Contenido

    Este artículo cubre 8 puntos sobre la formación mínima necesaria para cumplir con RGPD, ISO 27001 y NIS2:

    1. Qué exige cada normativa en materia de formación
    2. Checklist por marco: RGPD, ISO 27001 y NIS2
    3. Riesgos de no tener un plan de formación estructurado
    4. Qué debe incluir un plan de formación corporativo
    5. Cadencia mínima que resiste en auditoría
    6. Errores que pueden debilitar el cumplimiento
    7. Cómo puede ayudarte PrivaLex (incluido FUNDAE)
    8. Preguntas frecuentes y siguiente paso

    Cuando se habla de certificaciones y cumplimiento normativo, el foco suele estar en políticas, controles técnicos o auditorías. 

    Sin embargo, hay un elemento transversal que conecta el RGPD, la ISO 27001 y la NIS2, y que muchas empresas descuidan: la formación del personal. Un plan de formación no es un extra; es un requisito

    Por muy avanzados que sean tus sistemas de seguridad, si tu equipo no está formado y no puedes demostrarlo, puedes incumplir y fallar en una auditoría.

    Esta guía ofrece un checklist de la formación mínima que exigen las tres normativas, qué debe incluir tu plan, con qué cadencia y qué errores evitar. 

    En PrivaLex Partners diseñamos planes de formación integrados y la documentación que los auditores piden, para que el cumplimiento no se quede en el papel.

    Qué exige cada normativa en materia de formación

    Las tres normativas coinciden en un principio: la formación debe ser documentada, periódica y adaptada al rol. Lo que cambia es el énfasis y los artículos o cláusulas concretas.

    ISO 27001: competencia y concienciación

    La ISO 27001 exige que las personas bajo el control de la organización sean competentes y conscientes de la política de seguridad de la información, su rol y las consecuencias del incumplimiento. 

    Las cláusulas 7.2 y 7.3 lo desarrollan; el Anexo A (control A.6.3) obliga a impartir formación y concienciación de forma continua.

    En la práctica, los auditores piden: un plan de formación, registros de quién ha recibido qué formación y cuándo, y alguna forma de evaluación o evidencia de que la concienciación es efectiva. Si la certificación ISO 27001 está en tu hoja de ruta, obtener la certificación ISO 27001 es una lectura complementaria útil.

    NIS2: ciberseguridad y dirección

    La Directiva NIS2, en vigor desde 2024 y con aplicación práctica consolidada a partir de 2025, refuerza la formación para sectores esenciales e importantes. 

    Por un lado, establece que los órganos de dirección deben recibir formación para poder identificar riesgos y evaluar las prácticas de gestión del riesgo (Artículo 20). 

    Por otro, incorpora la formación en ciberseguridad como parte de las medidas de gestión del riesgo exigidas a las entidades (Artículo 21), junto con prácticas básicas de higiene cibernética.

    Si tu empresa está en el ámbito de NIS2, la formación no es opcional: es un pilar del cumplimiento y las autoridades pueden pedir evidencias de planes, registros y evaluaciones.

    RGPD: responsabilidad proactiva

    El RGPD no detalla un temario concreto, pero sí exige responsabilidad proactiva y que quien trate datos personales lo haga con pleno conocimiento de las obligaciones. 

    Eso se traduce en formación práctica para RRHH, Marketing, Ventas, Atención al Cliente y cualquier área que maneje información personal.

    Para alinear la formación en privacidad con lo que espera una auditoría, consulta qué debe incluir una auditoría GDPR.

    «ISO 27001, NIS2 y el RGPD comparten un principio: no hay cumplimiento real sin empleados formados.»

    Checklist por marco: RGPD, ISO 27001 y NIS2

    Un checklist mínimo que cubra las tres normativas puede resumirse así:

    Para ISO 27001

    • Plan de formación con alcance (quién) y frecuencia (cuándo).
    • Evidencia de competencia (formación o experiencia) y concienciación (política, rol, consecuencias).
    • Registros de asistencia o realización y materiales utilizados.
    • Actividades de concienciación continuas (no solo una sesión puntual).
    • Inclusión de onboarding para nuevas incorporaciones.

    Checklist ampliado (lo que suele “cerrar” auditoría):

    • Matriz de competencias por rol (qué formación necesita cada perfil y por qué).
    • Mapa de contenidos (seguridad, privacidad, incidentes, reporte) y a qué norma responde.
    • Control de cambios: cómo actualizas el contenido si cambia el riesgo (nuevo SaaS, proveedor, incidente).
    • Métricas mínimas: tasa de finalización, resultados de cuestionarios, tendencia en simulaciones (p. ej. phishing).

    Para NIS2

    • Formación específica para la alta dirección (riesgos, responsabilidades, supervisión) y evidencia de esa formación.
    • Formación y concienciación en ciberseguridad como parte de las medidas de gestión del riesgo, con enfoque práctico (higiene básica, reporte, incidentes).
    • Registros y evidencias que demuestren que el programa existe, se mantiene y mejora.
    • Cadencia recurrente (p. ej. anual + refuerzos trimestrales) y onboarding.

    Checklist ampliado (para resistir supervisión):

    • Evidencia de supervisión de dirección: aprobación del plan, seguimiento de KPIs, revisión periódica.
    • Integración con incidentes: formación post-incidente y lecciones aprendidas documentadas.
    • Cobertura de terceros relevantes: onboarding o requisitos de formación para proveedores clave si tienen acceso o impacto operativo.

    Para RGPD

    • Formación para cualquier persona que trate datos personales.
    • Contenidos que cubran principios, derechos de los interesados y protocolos internos (brechas, solicitudes de derechos).
    • Documentación que permita demostrar que la formación se ha impartido y se actualiza.

    Checklist ampliado (lo que suele fallar):

    • Formación de inducción antes o justo al inicio del acceso a datos personales (especialmente en RRHH, Ventas, Soporte).
    • Módulo de brechas: qué es una brecha, a quién se reporta, qué evidencias se preservan.
    • Módulo de derechos: cómo identificar una solicitud y cómo escalarla internamente.
    • Módulo de terceros: cómo compartir datos con proveedores, herramientas aprobadas y qué no hacer.

    Un único plan de formación por roles puede satisfacer los tres marcos si define claramente alcance, contenidos por perfil, cadencia y evidencias.

    Riesgos de no tener un plan de formación estructurado

    Los auditores y autoridades coinciden: el punto débil no suele ser la tecnología, sino las personas. Ciberseguridad y formación van de la mano: phishing, contraseñas débiles, pérdida de dispositivos o desconocimiento de los protocolos internos son incidentes frecuentes ligados a la falta de formación.

    Las no conformidades más habituales en auditorías de formación son:

    • No tener un programa de formación definido: ni plan, ni responsables, ni fechas.
    • Limitar la formación a IT o dirección: el resto de la organización queda fuera.
    • No disponer de registros claros de fechas, contenidos y asistentes.
    • Empleados que no saben explicar cómo actuar en caso de incidente o a quién reportar.

    Estos fallos son evitables con un plan estructurado; si no se corrigen, pueden traducirse en sanciones regulatorias, no conformidades en ISO 27001 o medidas correctivas bajo NIS2.

    «El mayor riesgo no está en la tecnología, sino en las personas que no saben cómo usarla.»

    Un indicador práctico: si preguntas a una persona de un equipo no técnico dónde reportaría un phishing, o qué haría si cree que ha compartido un archivo con datos sensibles por error, y no sabe responder, tu programa es “formal” pero no “operativo”. 

    En auditoría, este tipo de muestreo de entrevistas es habitual.

    Qué debe incluir un plan de formación corporativo

    Un plan eficaz no tiene por qué ser complejo, pero sí estratégico y auditable. Lo recomendable es:

    • Adaptar los contenidos al rol: lo que necesita un técnico de IT no es lo mismo que un comercial o RRHH.
    • Asegurar periodicidad: al menos una vez al año como base, con sesiones de refuerzo breves durante el año.
    • Documentar y evaluar: registrar asistencia, materiales utilizados y resultados de las formaciones (cuestionarios, simulaciones, etc.).
    • Incluir onboarding: cada nueva incorporación debe recibir formación básica desde el inicio.
    • Fomentar la aplicación práctica: simulacros de incidentes, casos de privacidad o ciberseguridad.

    Este enfoque convierte la formación en un pilar de la cultura corporativa y en evidencia sólida ante una auditoría.

    Una forma sencilla de aterrizarlo es separar el plan en tres capas:

    • Capa 1 (base para toda la empresa): phishing, contraseñas/MFA, compartición segura, reporte de incidentes.
    • Capa 2 (por rol): IT/SecOps (respuesta a incidentes, logging), RRHH (datos de empleados), Ventas/Soporte (verificación y compartición), Dirección (gobernanza).
    • Capa 3 (refuerzos por riesgo): módulos cortos cuando cambian herramientas/proveedores o tras incidentes.

    Y acompañarlo de un artefacto “audit-friendly”: una matriz de formación donde cada rol tiene asignados módulos, periodicidad y evidencia esperada.

    Un ejemplo de matriz mínima (resumen) podría ser:

    • Toda la empresa: phishing + reporte de incidentes + compartición segura (anual + micro-sesiones).
    • RRHH: datos de empleados + onboarding/offboarding + brechas (anual + refresco).
    • Ventas/Soporte: verificación + compartición + solicitudes de derechos (anual + refresco).
    • IT/SecOps: respuesta a incidentes + logging + acceso privilegiado (anual + simulacros).
    • Dirección: gobernanza + revisión de KPIs + decisiones bajo riesgo (anual + revisión semestral).

    No necesitas que sea perfecto desde el día 1, pero sí que exista, que sea coherente con tu realidad y que puedas demostrar su ejecución.

    Cadencia mínima que suele resistir en auditoría

    Una cadencia que suele ser defendible ante auditores y autoridades es:

    • Onboarding: formación en las dos primeras semanas desde la incorporación.
    • Refresco anual: actualización de base para toda la empresa.
    • Micro-formación trimestral: píldoras ligadas a amenazas actuales (phishing, MFA, estafas a proveedores).
    • Post-incidente: breve actualización formativa tras incidentes o cuasi-incidentes relevantes.

    Ajusta la intensidad al tamaño y al riesgo de tu organización; lo importante es que esté documentado y repetible.

    Si quieres que la cadencia sea defendible, evita que todo dependa de “una sesión anual”. En su lugar, usa formación por pulsos: piezas pequeñas y repetidas. Esto no solo mejora la retención, también facilita demostrar continuidad (un punto clave en ISO 27001 y NIS2).

    Un ejemplo de calendario anual (adaptable) sería:

    • Enero: refresco base (toda la empresa) + actualización de políticas clave.
    • Marzo: simulacro de phishing + recordatorio de reporte de incidentes.
    • Junio: módulo por roles (RRHH/Ventas/Soporte) + mini evaluación.
    • Septiembre: sesión técnica (IT/SecOps) + simulacro de incidente/tabletop.
    • Noviembre: repaso de lecciones aprendidas (incidentes del año) + refresco de dirección.

    Lo importante no es el mes, sino que el plan sea predecible, que deje rastros (registros/materiales/resultados) y que puedas explicar por qué esa cadencia es razonable para tu riesgo.

    Errores que pueden debilitar el cumplimiento

    No tener plan ni responsable. Si nadie es dueño del programa y no hay fechas ni alcance definido, ninguna norma lo considerará cumplida.

    Formar solo a una parte de la organización. Tanto ISO 27001 como NIS2 y el RGPD esperan cobertura adecuada al riesgo; limitar la formación a IT o a dirección deja un gap evidente.

    No conservar evidencias. «Hemos formado a la gente» sin registros de asistencia, materiales ni evaluaciones no resiste una revisión. Cada sesión debe generar un rastro documental.

    Ignorar a la dirección. NIS2 hace explícita la formación de la alta dirección. Excluirla es un fallo de gobernanza, no un detalle.

    No preparar evidencias “exportables”. En auditorías y supervisiones, no basta con decir “lo tenemos en un LMS”. Necesitas poder exportar: plan, listas de asistencia, materiales y resultados. Idealmente, con un repositorio interno con estructura estable (por año / por módulo / por rol).

    No definir qué pasa cuando alguien no completa la formación. 

    Un auditor no espera perfección, pero sí un proceso: recordatorios, ventana de recuperación, registro de excepciones y evidencia de cierre. Sin ese circuito, la formación se convierte en un “evento” y no en un control.

    Cómo puede ayudarte PrivaLex

    En PrivaLex Partners ayudamos a las organizaciones a definir e implantar planes de formación que cumplan con RGPD, ISO 27001 y NIS2 de forma integrada. Ofrecemos:

    • Diseño del plan por roles y por marco normativo.
    • Impartición (sesiones presenciales, talleres o formato mixto).
    • Documentación lista para auditoría (planes, registros, plantillas).
    • Gestión de FUNDAE en España para bonificar la formación y reducir el coste.

    El objetivo es que tu equipo no solo reciba formación, sino que sepa actuar y que puedas demostrarlo con evidencias claras.

    Agenda una sesión estratégica con PrivaLex y te ayudamos a cerrar el checklist de formación mínima para RGPD, ISO 27001 y NIS2.

    Preguntas Frecuentes (FAQs)

    ¿La formación es obligatoria bajo ISO 27001, NIS2 y RGPD?

    Sí, en los tres casos. La ISO 27001 exige competencia y concienciación (cláusulas 7.2, 7.3 y control A.6.3). 

    NIS2 exige formación periódica en ciberseguridad y para la dirección. El RGPD exige que quien trate datos personales actúe con conocimiento de las obligaciones; la formación es la vía práctica de demostrarlo.

    ¿Puedo usar un único plan de formación para las tres normativas?

    Sí. Un plan único por roles puede cubrir los requisitos de concienciación, competencia y documentación de las tres, siempre que defina alcance, contenidos por perfil, cadencia y evidencias para cada marco.

    ¿Qué mínima de formación suelen aceptar los auditores?

    Suele ser defendible: formación de onboarding en las primeras semanas, refresco anual para toda la plantilla y refuerzos trimestrales (micro-formación). 

    Lo crítico es que esté documentado y sea repetible.

    ¿Qué evidencias debo conservar?

    Como mínimo: plan de formación, registros de asistencia o realización, materiales utilizados y resultados de evaluaciones, además de evidencias de onboarding para nuevas incorporaciones.

    Si quieres subir de nivel (y reducir fricción en auditoría), añade: matriz de competencias por rol, KPIs (finalización, resultados, phishing simulado) y registro de acciones correctivas cuando alguien no completa formación.

    ¿Puedo bonificar la formación en España?

    Sí. Las acciones de formación en ciberseguridad y privacidad pueden bonificarse a través de FUNDAE. En PrivaLex gestionamos el proceso para que puedas cumplir con el checklist sin asumir todo el coste.

    ¿Qué pasa si solo formo a IT?

    Tanto ISO 27001 como NIS2 y el RGPD esperan una cobertura adecuada al riesgo. Limitar la formación a IT suele generar no conformidades o gaps ante una inspección, porque el riesgo humano existe en todos los departamentos que manejan información o sistemas.

    Siguiente paso

    Cumplir con la formación mínima que exigen el RGPD, la ISO 27001 y la NIS2 no es opcional si quieres superar auditorías y reducir riesgo. 

    Agenda una sesión estratégica con PrivaLex y te ayudamos a definir tu checklist y a ponerlo en marcha con documentación lista para auditoría.

    Para referencia legal de NIS2, puedes consultar el texto oficial en EUR-Lex: Directiva (UE) 2022/2555.