Política de tecnologías digitales

Política de tecnologías digitales

25 de marzo de 2025

El Consejo de Administración de IBERDROLA, S.A. (la “Sociedad”) tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad de la Sociedad y, específicamente, de aprobar y actualizar las políticas, las cuales contienen las pautas que rigen la actuación de la Sociedad y, además, en lo que sea de aplicación, informan las políticas que, en ejercicio de su autonomía de la voluntad, decidan aprobar las sociedades integradas en el grupo cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”).

En el ejercicio de estas competencias y en el marco de la normativa legal, de los Estatutos Sociales y del Propósito y Valores del Grupo Iberdrola, el Consejo de Administración aprueba esta Política de tecnologías digitales (la “Política”) que respeta, desarrolla y adapta, en relación con la Sociedad, los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola.

1. Ámbito de aplicación

Esta Política es de aplicación a la Sociedad. Sin perjuicio de lo cual, incluye principios básicos que complementan, en materia de la cadena de valor sostenible y, en particular, de procesos y actuaciones relacionados con las tecnologías digitales, los contenidos en los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola y, en esta medida, deben informar la actuación y los desarrollos normativos que, en el ejercicio de sus competencias y al amparo de su autonomía de la voluntad, lleven a cabo las demás sociedades del Grupo en esta materia.

En la medida en que formen parte del Grupo sociedades subholding cotizadas, ellas y sus filiales, al amparo de su propio marco especial de autonomía reforzada, podrán establecer principios y normas que deberán tener un contenido conforme a los principios de esta Política. 

Estos principios deberán informar también, en lo que proceda, la actuación de las entidades de naturaleza fundacional vinculadas al Grupo.

La Sociedad promoverá, igualmente, en aquellas otras compañías en las que participe y que no formen parte del Grupo, así como en las joint ventures, uniones temporales de empresas y otras entidades en las que asuma la gestión, el alineamiento de su normativa con los principios básicos en materia de la cadena de valor sostenible y, en particular, de procesos y actuaciones relacionados con las tecnologías de la información y la operación contenidos en esta Política.

2. Finalidad

La finalidad de esta Política es establecer el marco global para el gobierno y la gestión proactiva de los procesos y actuaciones relacionados con las tecnologías digitales, entendiendo como tales las tecnologías de la información y las tecnologías de la operación, −reconociendo su importancia como recurso clave para alcanzar los objetivos de la Sociedad y promover el funcionamiento eficaz y eficiente de los procesos de negocio−, promoviendo un enfoque coordinado en arquitectura, seguridad y en potenciales convergencias con otras tecnologías, minimizando riesgos operacionales y de seguridad, así como asegurando su continuidad.

A los efectos de esta Política se entiende por:

(i) tecnologías de la información (“IT”, por sus siglas en inglés), el conjunto de elementos físicos o materiales que constituyen una computadora o un sistema informático (“Hardware”) y el conjunto de programas, instrucciones, datos y reglas informáticas para ejecutar ciertas tareas en una computadora (“Software”) utilizado para el manejo de datos, centrado en la gestión y protección de la información digital, incluyendo redes de comunicación general, almacenamiento y procesamiento de datos y sistemas de gestión.

(ii) tecnologías de la operación (“OT”, por sus siglas en inglés), el Hardware y el Software utilizado para controlar e interactuar con procesos físicos industriales en tiempo real, incluyendo sistemas de control local, SCADA (“Supervisory, Control and Data Acquisition”), sistemas de operación remota y las telecomunicaciones entre ellos.

3. Principios básicos de actuación

La Sociedad asume y promueve los siguientes principios básicos de actuación que deben informar sus actividades relacionadas con el uso de las tecnologías digitales:

(i) Continuidad de las operaciones: Velar por la continuidad de las operaciones que procuren la prestación de los servicios, aplicando criterios de alta disponibilidad y resiliencia, desarrollando planes de continuidad de negocio, de contingencia y de recuperación ante desastres, todo ello de conformidad con la Política de seguridad, la Política de resiliencia operativa, las Bases generales de control y gestión de riesgos del Grupo Iberdrola y las Directrices y límites de riesgo de tecnologías digitales, aprobadas por el Consejo de Administración.

(ii) Eficiencia operativa: Promover la operación de los activos IT y OT con la máxima eficiencia, optimizando los recursos personales y materiales y sus costes durante el ciclo de vida de los activos, sobre la base de procesos y tecnologías fiables que aseguren la alta disponibilidad de las instalaciones, aplicando las mejores prácticas y estándares reconocidos.

(iii) Gestión de riesgos: Promover la identificación y gestión proactiva de los riesgos en los dispositivos, sistemas y procesos asociados a las tecnologías digitales, asegurando que los riesgos identificados se encuentran dentro de los umbrales considerados adecuados, en especial, los relacionados con la seguridad, el capital natural, la continuidad de negocio y aquellos asociados a las instalaciones consideradas críticas según la normativa de aplicación. Esto incluye, en particular, la planificación, el despliegue y la utilización de soluciones que permitan la identificación, protección, detección, respuesta y recuperación de riesgos en ciberseguridad, en coordinación con la Política de seguridad y la Política de resiliencia operativa, así como con las Directrices y límites de riesgo de ciberseguridad.

(iv) Innovación tecnológica y ciclo de vida: Promover principios para el diseño seguro, planificación, implantación, operación, desmantelamiento y sustitución de los equipos y sistemas de IT y OT.

(v) Sostenibilidad y responsabilidad social: Impulsar la selección de tecnologías que optimicen la eficiencia energética y la reducción del consumo, de las pérdidas energéticas y de las emisiones de gases de efecto invernadero. En particular, se prestará especial atención a que los dispositivos, sistemas y procesos asociados a las tecnologías digitales no perjudiquen la salud de los profesionales, de los usuarios, de los clientes y de la sociedad en general.

(vi) Formación y concienciación: Impulsar la adecuada preparación y capacitación de planificadores, desarrolladores, mantenedores y usuarios de las tecnologías digitales, en función de su perfil, para entender los riesgos asociados a estas tecnologías.

4. Coordinación a nivel de Grupo: el Modelo de gobierno de las tecnologías digitales

Se establecerá un Modelo de gobierno de las tecnologías digitales a nivel del Grupo de conformidad con lo previsto en los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola, en las Bases de definición y coordinación del Grupo Iberdrola y en esta Política en el que se fijarán las metodologías, procedimientos y herramientas necesarias para que las sociedades del Grupo cuenten con un modelo común que permita cumplir con los principios básicos de actuación.

La Dirección de Recursos y Servicios (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), supervisará el establecimiento del citado Modelo de gobierno de las tecnologías digitales.

De igual modo, la Dirección de Recursos y Servicios, a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades) se coordinará con los comités de seguridad, resiliencia y tecnologías digitales que, en su caso, se constituyan en las sociedades subholding o, en su defecto, con las correspondientes direcciones de las sociedades del Grupo que, en cada momento, asuman sus facultades para velar por un adecuado y consolidado nivel de madurez del Modelo de gobierno de las tecnologías digitales.

5. Implementación y desarrollo

Para la implementación y seguimiento de lo previsto en esta Política, el Consejo de Administración cuenta con la Dirección de Recursos y Servicios (o la dirección que, en cada momento asuma sus facultades), que desarrollará los procedimientos necesarios para ello.

La Dirección de Recursos y Servicios (o la dirección que, en cada momento asuma sus facultades), revisará esta Política al menos una vez al año a fin de garantizar que su contenido sea adecuado a los constantes avances, innovaciones, riesgos y cambios normativos que se producen en la materia. 

* * *

Esta Política fue aprobada inicialmente por el Consejo de Administración el 10 de mayo de 2022 y modificada por última vez el 25 de marzo de 2025.