En vigor desde el 17 oct 2024·Día 578·

Gobernanza22 mar. 20255 min

La formación en ciberseguridad que todo consejo NIS2 debe ahora a sus accionistas

El artículo 20(2) obliga a los administradores a recibir formación. Le contamos cómo es una formación sólida — y qué aceptarán los reguladores como prueba.

La formación en ciberseguridad que todo consejo NIS2 debe ahora a sus accionistasGobernanza

El artículo 20, apartado 2 de la Directiva (UE) 2022/2555 es inusualmente directo para una directiva europea. No dice deberían, considerar ni tener en cuenta. Dice, en forma operativa: los miembros de los órganos de dirección de las entidades esenciales e importantes estarán obligados a recibir formación.

El mismo apartado extiende la obligación medio paso más. Los Estados miembros animarán a las entidades esenciales e importantes a ofrecer una formación similar a sus empleados con regularidad. El verbo se ablanda — animarán en lugar de exigirán — pero el reenvío al artículo 21, apartado 2, letra g), que enumera «las prácticas básicas de ciberhigiene y la formación en ciberseguridad» entre las categorías de medidas que las entidades adoptarán, lo vuelve a endurecer. En conjunto, NIS2 hace obligatoria la formación del consejo y esperada la del personal.

Es el artículo que los consejos subestiman sistemáticamente. No porque se nieguen a formarse — porque no saben qué aceptará el regulador como prueba de que lo han hecho.

Lo que la directiva exige realmente

Leyendo juntos el artículo 20, apartado 2, y el considerando 81, los obligatorios legales son cuatro:

  1. La formación es seguida por los propios miembros del órgano de dirección. No el CISO. No el equipo jurídico. Los administradores.
  2. La formación les permite identificar riesgos. La concienciación genérica no basta — el contenido debe conectar con el panorama de amenazas de la entidad.
  3. La formación les permite evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados. Los administradores deben poder leer el registro de riesgos, hacer preguntas exigentes, evaluar si las medidas propuestas son proporcionadas.
  4. Se ofrece una formación similar a los empleados con regularidad. Recurrente, con cadencia medible, trazable a un registro.

Ese es el suelo. Cualquier cosa por debajo es un hallazgo. Cualquier cosa por encima es la decisión de la entidad sobre cuánto sobre-ingenierizar.

El recuento de horas: lo que aceptarán los reguladores

La directiva no especifica horas. Las autoridades nacionales competentes no se contradicen sobre el umbral defendible. Extraídas de sus directrices publicadas, tres cifras se repiten:

  • Onboarding de nuevos administradores: de 6 a 12 horas. Cubriendo la propia directiva, el panorama de amenazas de la entidad, el registro de riesgos y el procedimiento de respuesta a incidentes.
  • Actualización anual de administradores en activo: de 2 a 4 horas. Cubriendo cambios materiales desde la sesión previa — nuevas amenazas, nuevas medidas, nuevas directrices regulatorias, e incidentes ocurridos en el último año.
  • Programa para empleados: de 30 a 60 minutos por empleado y año, con módulos específicos para roles de alto riesgo (finanzas, operaciones de TI, asistencia ejecutiva).

Significativamente por debajo de esas cifras es difícil de defender ante un inspector. Significativamente por encima es lo normal en sectores regulados con expectativas supervisoras ya más altas (servicios financieros, energía).

Qué debe cubrir el contenido

Tres bloques son innegociables, independientemente del sector:

Bloque 1 — La propia directiva y la clasificación de la entidad. De cinco a quince minutos de contenido. Qué es NIS2, a quién aplica, por qué esta entidad está en el ámbito, qué consecuencias tiene el incumplimiento. El considerando 81 enmarca este bloque como el suelo del conocimiento de los administradores.

Bloque 2 — El modelo de amenazas de la entidad, en lenguaje claro. Qué ataques han golpeado a entidades comparables en los dos últimos años. Cuál es el objetivo de alto valor de la entidad. Cuál es el peor escenario realista. Este bloque distingue formación de concienciación — los administradores salen capaces de cuestionar a su CISO con las preguntas correctas, no solo de asentir.

Bloque 3 — Las responsabilidades específicas del consejo. Las cinco responsabilidades del artículo 20 (aprobar, supervisar, asumir responsabilidad personal, formarse, garantizar formación a escala de la entidad), el reloj de 72 horas que el consejo puede tener que alimentar, la trazabilidad documental que el regulador buscará. Es el bloque operativo — qué hace el consejo, con qué cadencia.

Qué pasa como prueba

En las notas de inspección publicadas por las autoridades nacionales competentes europeas, tres artefactos satisfacen sistemáticamente:

  • Un registro de formación fechado con el nombre de cada administrador, la(s) sesión(es) seguidas, la fecha y la duración. Validado por el secretario del consejo o equivalente, este documento es la pieza más importante.
  • Los materiales de formación conservados — diapositivas, casos de estudio, test si lo hay. Los inspectores no exigen exhaustividad; exigen que sean localizables y demuestren los tres bloques anteriores.
  • Una breve acta del consejo dejando constancia del cierre del ciclo, idealmente con uno o dos puntos de acción que los administradores se llevan. Los puntos de acción son la señal más fuerte de que la formación fue sustantiva en lugar de marca-de-casilla.

Lo que no satisface, en términos regulatorios:

  • Un vídeo genérico de concienciación enviado por correo, sin registro de asistencia.
  • Una presentación del CISO en una reunión del consejo, tratada como la formación. (Puede complementar la formación pero no la sustituye. El considerando 81 es explícito sobre la formación dedicada del órgano de dirección.)
  • Una certificación delegada — por ejemplo, el administrador que asistió a un curso externo de gobernanza en 2023 y considera la obligación cumplida.

Cadencia y titularidad

El programa de formación debe tener un titular nombrado. La pauta defendible: el secretario del consejo o equivalente (responsable de gobernanza, responsable jurídico en entidades menores) mantiene el registro de formación, programa los ciclos y reporta la finalización al comité de auditoría o de riesgos. El CISO aporta el contenido; el secretario del consejo es titular del artefacto.

Esa separación importa. Un CISO que a la vez imparte y certifica la formación de los administradores está auto-evaluándose — una señal que los reguladores cada vez documentan más en sus metodologías publicadas.

Cómo se ve cuando está bien hecho

En las notas de inspección publicadas por las autoridades nacionales competentes europeas aparecen cuatro señales:

  1. El registro de formación muestra 100 % de finalización por cada miembro del órgano de dirección, con el ciclo previo fechado en los últimos doce meses.
  2. El contenido estaba adaptado a la entidad — no un vídeo genérico — y una muestra de los materiales se puede producir a petición.
  3. El onboarding ocurre antes de que el nuevo administrador asista a su primera reunión de riesgo y ciber, no después.
  4. La formación de empleados tiene una tasa de finalización medible que el consejo revisa, con módulos específicos para funciones de alto riesgo.

No es un esfuerzo pesado. La barrera no es presupuestaria — una formación para administradores en el rango 6-12 horas cuesta de 5 000 a 15 000 € por cohorte si está bien hecha. La barrera es titularizar la cadencia y producir los documentos. Ambas son tareas administrativas — y exactamente lo que mide el regulador.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 20, apartado 2 (formación de los órganos de dirección y aliento a la formación de empleados).
  2. Directiva (UE) 2022/2555, artículo 21, apartado 2, letra g) (prácticas básicas de ciberhigiene y formación en ciberseguridad).
  3. Directiva (UE) 2022/2555, considerando 81 (justificación de la formación obligatoria de los órganos de dirección).
  4. Directiva (UE) 2022/2555, considerando 89 (fomento de la cultura de ciberseguridad y la formación en las entidades).
  5. Directrices publicadas por las autoridades nacionales competentes sobre expectativas de formación: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE) y ENISA.

Otros artículos

Autenticación multifactor NIS2: 5 clases de acceso obligatoriasMedidas técnicas

Autenticación multifactor NIS2: 5 clases de acceso obligatorias

11 may. 2026·Leer · 7 min
Transposición NIS2 España: dónde están hoy los cuatro mercadosEjecución nacional

Transposición NIS2 España: dónde están hoy los cuatro mercados

6 may. 2026·Leer · 7 min
Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugadaGestión de incidentes

Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugada

6 may. 2026·Leer · 7 min