Contenido

    Este artículo cubre 8 puntos sobre qué formación necesitan tus empleados para cumplir con NIS2:

    1. Qué exige NIS2 en materia de formación (Artículo 20)
    2. Formación según el rol: no todos necesitan lo mismo
    3. Checklist: formación mínima para RGPD, ISO 27001 y NIS2
    4. Qué esperan ver auditores y autoridades
    5. Cómo demostrar en una auditoría que tu personal está correctamente formado
    6. Errores que pueden debilitar el cumplimiento en formación NIS2
    7. Cómo puede ayudarte PrivaLex (incluido FUNDAE en España)
    8. Preguntas frecuentes y siguiente paso

    La mayoría de los incidentes graves de ciberseguridad no se deben a fallos técnicos complejos, sino a errores humanos: un clic en un enlace de phishing, una contraseña débil, un dispositivo mal protegido o un archivo compartido por un canal no seguro. La Directiva NIS2 convierte esa realidad en un requisito de gobernanza: la resiliencia no es solo técnica, es organizativa.

    Esta guía explica qué formación exige NIS2, qué cambia cuando la alineas con el RGPD y la ISO 27001, y qué evidencias debes conservar para demostrar la formación en una auditoría o supervisión. 

    En PrivaLex Partners diseñamos programas por roles y entregamos la documentación que los auditores piden de verdad, para que el cumplimiento no se quede en presentaciones.

    Qué exige NIS2 en materia de formación (Artículo 20)

    NIS2 sitúa la responsabilidad en la cúpula. 

    Según el Artículo 20, los órganos de dirección deben aprobar y supervisar las medidas de gestión del riesgo de ciberseguridad y se espera que reciban formación para comprender riesgos y responsabilidades.

    En la práctica, la formación debe ser:

    • Recurrente: no una única sesión de concienciación.
    • Documentada: para poder demostrarla ante auditores o autoridades.
    • Adaptada al rol: en función de lo que hace cada equipo.

    Además, el programa de formación debe tratarse como un control, no como un deck de diapositivas. Una forma práctica de operativizarlo es definir:

    • Alcance: quién está incluido (empleados, contratistas, becarios, proveedores clave).
    • Cadencia: frecuencia mínima de actualización (p. ej. micro-sesiones trimestrales + refresco anual completo).
    • Responsable: quién mantiene el plan (Seguridad, Cumplimiento o un responsable compartido).
    • Evidencias: qué conservarás (registros de realización, materiales, evaluaciones).
    • Escalado: cómo notifican los empleados eventos sospechosos y quién responde.

    Si tu organización está en un sector afectado por NIS2, asume que las autoridades no solo preguntarán «¿habéis formado a la gente?», sino «¿podéis demostrar que el programa se mantiene y se ajusta a vuestro perfil de riesgo?». 

    La mejor respuesta es un programa medible: asistencia, resultados de simulacros de phishing, tasas de finalización y evolución en el tiempo.

    Para el texto oficial, consulta la Directiva NIS2 en EUR-Lex: Directiva (UE) 2022/2555.

    Formación según el rol: no todos necesitan lo mismo

    Uno de los fallos de cumplimiento más habituales es impartir el mismo curso genérico a toda la plantilla. NIS2 exige un enfoque práctico y proporcionado al riesgo, y eso empieza por diferenciar por roles.

    Personal no técnico

    Los perfiles no técnicos (Operaciones, RRHH, Ventas, Atención al Cliente) necesitan formación aplicable al día a día:

    • Higiene de seguridad: gestores de contraseñas, nociones de MFA, uso seguro de dispositivos.
    • Phishing e ingeniería social: ejemplos reales, flujo de reporte, hábitos de parar y comprobar.
    • Manejo de información sensible: nociones de clasificación, compartición segura, cultura de mínimo privilegio.

    Para que sea efectiva, ancla la formación a tareas concretas. Por ejemplo:

    • RRHH: manejo de datos de empleados, compartición segura de documentos, listas de desvinculación, evitar canales informales para archivos sensibles.
    • Ventas: recepción de archivos externos, peticiones urgentes del CEO, uso de herramientas aprobadas para propuestas, prevención de suplantación en email/CRM.
    • Atención al Cliente: guiones de verificación de identidad, resets seguros, evitar sobreexposición de datos, detectar peticiones de clientes sospechosas.

    El formato importa tanto como el contenido. 

    Para equipos no técnicos, módulos cortos (15–30 minutos) con escenarios realistas funcionan mejor que charlas largas. Un objetivo sencillo: que cada empleado pueda responder con seguridad a tres preguntas: ¿Qué es sospechoso? ¿Cómo lo reporto? ¿Qué no debo hacer?

    Personal técnico

    Los equipos técnicos necesitan una preparación operativa más profunda:

    • Gestión de incidentes: detección, vías de escalado, preservación de evidencias, comunicación.
    • Control de accesos y autenticación: aplicación de MFA, acceso privilegiado, ciclo de vida de cuentas.
    • Monitorización y endurecimiento: registros, alertas, ciclo de parches, líneas base de configuración.
    • Copia de seguridad y recuperación: pruebas de restauración, planes de recuperación ante desastres.

    Para alinear la formación con los resultados que pide NIS2, incluye ejercicios de memoria muscular:

    • Simulacros de incidentes: recorrer un escenario de ransomware, fuga de datos o compromiso de proveedor y validar quién hace qué en la primera hora.
    • Recorrido de runbooks: no solo dónde está el documento, sino cómo ejecutarlo (rotar credenciales, aislar cargas, recoger logs).
    • Puntos de control en gestión del cambio: formación sobre cómo documentar el impacto en seguridad de cambios que afectan a servicios críticos.

    Si tu organización trabaja en cloud, incluye temas específicos (IAM, secretos, registro, mínimo privilegio). NIS2 no distingue entre on-prem y cloud; lo que importa es que puedas demostrar los controles y el lado humano de operarlos.

    Alta dirección

    Con NIS2, la dirección no puede delegar la responsabilidad. Debe formarse en:

    • Deberes de gobernanza: supervisión, rendición de cuentas, toma de decisiones bajo riesgo.
    • Gestión del riesgo: cómo valorar el impacto y priorizar mitigaciones.
    • Continuidad de negocio y notificación: qué ocurre en un incidente, cuándo y cómo notificar y qué documentación se espera.

    La formación de dirección debe incluir también cómo hacer las preguntas adecuadas. Por ejemplo:

    • ¿Cuáles son nuestros servicios críticos y dependencias (incluidos proveedores)?
    • ¿Cuáles son los vectores de incidente más probables (phishing, compromiso SaaS, brecha de proveedor)?
    • ¿Qué evidencias tendremos listas si una autoridad pide pruebas de nuestro programa?
    • ¿Cuál es nuestro umbral de escalado para respuesta a incidentes, legal y comunicación?

    «Con NIS2, la seguridad ya no es solo cosa de IT: cada empleado contribuye a la resiliencia operativa.«

    Checklist: formación mínima para RGPD, ISO 27001 y NIS2

    Aunque tu punto de partida sea NIS2, la mayoría de las organizaciones necesitan una formación que también respalde la responsabilidad proactiva del RGPD y las auditorías ISO 27001. Un checklist mínimo viable práctico sería:

    NIS2 (obligaciones de la Directiva)

    • Concienciación en ciberseguridad para toda la organización, impartida de forma periódica.
    • Formación para la dirección en supervisión y toma de decisiones basada en el riesgo.
    • Evidencias y registros que demuestren que el programa existe y es efectivo.

    Una cadencia mínima que suele resistir bien en auditorías:

    • Onboarding: formación en las dos primeras semanas desde la incorporación.
    • Refresco anual: actualización de base para toda la empresa.
    • Micro-formación trimestral: píldoras ligadas a amenazas actuales (phishing, fatiga MFA, estafas a proveedores).
    • Aprendizaje post-incidente: breve actualización formativa tras incidentes o cuasi-incidentes relevantes.

    ISO 27001 (competencia y concienciación)

    La ISO 27001 exige que las personas bajo el control de la organización sean competentes y conscientes de la política de seguridad de la información, su rol y las consecuencias del incumplimiento (cláusulas 7.2 y 7.3), además de expectativas de concienciación continua en los controles del Anexo A.

    Si la ISO 27001 está en tu hoja de ruta, te resultará útil obtener la certificación ISO 27001 como referencia. En la práctica, los auditores suelen pedir:

    • Una matriz de competencias (quién necesita qué formación y por qué).
    • Cobertura de concienciación en seguridad (phishing, seguridad de dispositivos, contraseñas/MFA, reporte).
    • Competencia por rol (p. ej. administradores formados en acceso privilegiado y registro).
    • Señales de mejora continua (materiales actualizados, sesiones repetidas, resultados medidos).

    RGPD (privacidad en el día a día)

    El RGPD no define un temario único, pero sí exige responsabilidad proactiva y que quien trate datos personales lo haga correctamente. Para la mayoría de los equipos eso implica:

    • Reconocer datos personales, uso legítimo y reglas internas de tratamiento.
    • Saber canalizar solicitudes de los interesados e incidentes.
    • Conocer qué documentación existe (registros, políticas, procedimientos) y dónde encontrarla.

    Si tratas datos personales a escala, suma dos módulos que reducen riesgo real: nociones de brecha (qué es una brecha de datos personales, a quién avisar internamente, qué preservar) y disciplina con proveedores y compartición (herramientas aprobadas, cuándo involucrar a Legal/Cumplimiento, cómo evitar transferencias no controladas).

    Para alinear la formación en privacidad con lo que espera una auditoría, consulta qué debe incluir una auditoría GDPR.

    Qué esperan ver auditores y autoridades

    NIS2 no es una certificación como la ISO 27001, pero la supervisión se parece en un punto clave: debes poder aportar evidencias. Auditores y autoridades suelen buscar:

    • Un plan de formación (alcance, audiencias, frecuencia, responsables).
    • Prueba de que se ha impartido: registros de asistencia y logs de finalización de cursos.
    • Prueba de que funciona: evaluaciones, simulaciones o métricas de evolución.
    • Prueba de que se mantiene: procesos de onboarding y refrescos periódicos.

    Lo que quieren validar es sencillo: que la formación existe, es relevante y es repetible.

    En muchas auditorías también muestrean la realidad: entrevistas a empleados de distintos departamentos preguntando dónde reportarían un phishing o un incidente; petición de pruebas de un mes concreto (no «tu mejor presentación», sino logs y asistencias reales); preguntas sobre cómo se actualiza la formación cuando aparecen nuevos riesgos (nuevo proveedor, nuevo SaaS, nuevo incidente). 

    Si te preparas para ese enfoque, la auditoría resulta predecible: tu plan describe lo que haces, tus registros muestran que lo has hecho y tu gente puede explicar lo básico sin improvisar.

    Cómo demostrar en una auditoría que tu personal está correctamente formado

    Si quieres superar una auditoría con fluidez, prepara las evidencias como si tuvieras que entregarlas mañana. Un pack de evidencias sólido incluye:

    • Plan y cronograma de formación anual (incluyendo refrescos y sesiones ad hoc tras incidentes).
    • Listas de asistencia (firmas), exportaciones del LMS o logs de acceso a cursos online.
    • Materiales formativos: presentaciones, vídeos, resúmenes de políticas internas.
    • Resultados de evaluaciones: cuestionarios breves, simulaciones de phishing, ejercicios de mesa, encuestas de satisfacción.
    • Evidencias de onboarding para nuevas incorporaciones (y, si aplica, terceros): en qué se formaron y cuándo.

    «En cumplimiento, lo que no está documentado se trata como si no existiera.«

    Para mantenerlo manejable, guarda las evidencias en una estructura coherente. Por ejemplo:

    • Formacion/Plan/ (plan anual, alcance, matriz de competencias)
    • Formacion/Materiales/ (versiones de presentaciones y fechas)
    • Formacion/Registros/AAAA/ (asistencia, exportaciones, logs de realización)
    • Formacion/Evaluaciones/AAAA/ (cuestionarios, resultados de simulaciones, notas de simulacros)
    • Formacion/Onboarding/ (listas de comprobación y evidencias de realización)

    Dos elementos más refuerzan mucho la historia de «demostrarlo»: excepciones y remediación (registro de qué pasa cuando alguien no asiste y evidencia de sesiones de recuperación) y KPIs (tasas de finalización, tasa de clics en phishing simulado, tasa de reporte, mejora de tiempo hasta reportar). 

    No son opcionales: son la forma de demostrar mejora continua, que es lo que auditores y reguladores esperan cuando ven un programa recurrente.

    4 Errores que pueden debilitar el cumplimiento en formación NIS2

    1. Formar solo al equipo de IT. NIS2 exige resiliencia en toda la organización. La mayoría de los incidentes empiezan fuera de IT y las auditorías muestrean distintos departamentos. Si Ventas y Atención al Cliente no saben cómo reportar un correo sospechoso, tu respuesta a incidentes será más lenta, más ruidosa y más difícil de documentar.

    2. Tratar la formación como un acto único. Una única charla anual de concienciación rara vez es defendible. La formación necesita cadencia y refrescos, sobre todo cuando cambian equipos y amenazas. Un patrón práctico: base anual + micro-formación trimestral + onboarding.

    3. No conservar registros ni evidencias. «Hemos formado a la gente» sin asistencia, materiales ni resultados de evaluación no resiste una revisión. Haz que la recogida de evidencias forme parte del proceso: cada sesión debe generar un registro, un material fechado y un resultado de evaluación.

    4. Excluir a la dirección. NIS2 hace explícita la supervisión por parte de la dirección. Si la alta dirección no tiene registro de formación, es un gap de gobernanza, no un detalle menor. 

    La dirección debe poder explicar cómo supervisa el riesgo cibernético, qué revisa y qué espera del programa.

    Cómo puede ayudarte PrivaLex

    En PrivaLex Partners ayudamos a las organizaciones a construir programas de formación alineados con NIS2, RGPD e ISO 27001, sin convertir la formación en un trámite de checklist. Normalmente apoyamos con:

    • Diseño de formación por roles (plantilla, equipos técnicos, dirección).
    • Impartición (sesiones presenciales, talleres o formato mixto).
    • Documentación lista para auditoría (planes, packs de evidencias, plantillas e informes).
    • Optimización para España: si operas en España, podemos ayudarte a gestionar las bonificaciones FUNDAE para que la formación de cumplimiento sea eficiente desde el punto de vista económico.

    La diferencia no está solo en el contenido, sino en cómo se integra en tu modelo de operación. Te ayudamos a definir qué es «bueno» para tu perfil de riesgo y a convertirlo en un programa que puedas mantener con un equipo interno reducido:

    • Alcance y cadencia claros (qué ocurre anualmente, trimestralmente y en onboarding).
    • Un pack de evidencias fácil de actualizar (para no improvisar ante una auditoría).
    • Módulos cortos y prácticos centrados en cambio de comportamiento, no en teatro de cumplimiento.
    • Una capa sencilla de reporting para que la dirección pueda supervisar el programa y demostrarlo.

    Agenda una sesión estratégica con PrivaLex y te ayudamos a definir la formación mínima y las evidencias que debes conservar.

    Preguntas Frecuentes (FAQs)

    ¿Es obligatoria la formación bajo NIS2?

    Sí. NIS2 convierte la formación en un requisito práctico de la gestión del riesgo de ciberseguridad. Las organizaciones deben poder demostrar que la formación del personal es periódica, documentada y adecuada a los roles.

    ¿Qué implica el Artículo 20 de NIS2 para los equipos directivos?

    Implica que se espera que los órganos de dirección supervisen las medidas de ciberseguridad y dispongan de formación suficiente para comprender riesgos y responsabilidades. 

    Forma parte de demostrar la gobernanza, no solo la seguridad operativa.

    ¿Cuál es la formación mínima que suelen pedir en auditorías ISO 27001?

    Los auditores suelen esperar evidencias de que el personal es competente para su rol y consciente de las políticas y procedimientos de seguridad, además de actividades de concienciación recurrentes. En la práctica: plan de formación, asistencias/completitudes y alguna forma de evaluación.

    ¿Exige el RGPD formación en seguridad y privacidad?

    El RGPD no define un curso obligatorio concreto, pero sí exige que los datos personales se traten correctamente y que las organizaciones puedan demostrar el cumplimiento

    La formación es una de las formas más prácticas de reducir errores humanos y acreditar la responsabilidad proactiva.

    ¿Qué evidencias debemos conservar para demostrar que los empleados están formados?

    Conserva como mínimo un plan de formación, registros de asistencia o realización, materiales y resultados de evaluaciones, además de evidencias de onboarding para nuevas incorporaciones. 

    Es lo que utilizan auditores y autoridades.

    ¿Se puede combinar la formación NIS2, RGPD e ISO 27001 en un solo programa?

    Sí, y suele ser la mejor opción. Un único programa por roles puede cubrir requisitos comunes (concienciación, competencia, documentación) manteniendo bajo control la carga de trabajo y la gestión de evidencias.

    Siguiente paso

    Si tu plan de cumplimiento NIS2 no incluye un programa de formación (o existe pero no puedes demostrarlo), cerrar esa brecha es una de las formas más rápidas de reducir el riesgo en auditoría y mejorar la resiliencia real. Agenda una sesión estratégica con PrivaLex y te ayudamos a definir la formación mínima y un pack de evidencias que puedas defender.