Contenido

    Estos son los 8 puntos que cubre este artículo sobre cómo crear un plan de formación corporativo para ISO 27001, NIS2 y RGPD:

    1. Por qué la formación no es “extra”, sino un requisito para el cumplimiento
    2. Qué pide ISO 27001 en competencia y concienciación
    3. Qué refuerza NIS2 en entrenamiento y participación de la alta dirección
    4. Qué se traduce en formación desde el RGPD para equipos que tratan datos
    5. Cómo diseñar el plan por roles: alcance, contenidos y cadencia
    6. Qué evidencias pedirán en auditoría (registros, materiales y evaluación)
    7. Cómo mantener el plan vivo: onboarding y aprendizaje post-incidente
    8. Errores habituales que te pueden frenar y cómo corregirlos

    Cuando una organización crece, el riesgo no crece solo en tecnología.

    También crece en las personas: en lo que saben, en lo que repiten sin pensar y en lo que no saben hacer cuando ocurre un incidente.

    Un plan de formación corporativo bien diseñado convierte ese riesgo en una ventaja: te ayuda a demostrar control y a operar con consistencia.

    Qué exige ISO 27001, NIS2 y RGPD sobre formación

    La idea común es simple.

    Las normativas no esperan que “hagas una charla”.

    Esperan que demuestres que las personas son competentes, conscientes y que sabes mantener la formación en el tiempo.

    ISO 27001: competencia y concienciación (con evidencia)

    ISO/IEC 27001 establece que las personas bajo control deben ser competentes y estar conscientes de la política de seguridad, su rol y las consecuencias de no seguir procedimientos.

    Además, el enfoque de ISO es de mejora continua.

    Para profundizar en el estándar, revisa ISO/IEC 27001:2022 – Information security management systems.

    NIS2: formación como parte de la resiliencia organizativa

    Con NIS2, la formación deja de ser un “tema de ciberseguridad” para convertirse en un elemento de gobernanza.

    La directiva (UE) 2022/2555 refuerza entrenamiento y supervisión para que la organización gestione riesgos de ciberseguridad de forma operativa.

    Puedes consultar el texto en Directive (EU) 2022/2555 on NIS2.

    RGPD: formación práctica para quien trata datos personales

    El RGPD no define un temario único.

    Pero sí exige responsabilidad proactiva y que las personas que tratan datos personales lo hagan con conocimiento de obligaciones.

    En la práctica, eso se traduce en formación que baja a la operación: qué es “información personal”, cómo actuar ante incidencias y cómo ejecutar derechos de los interesados con trazabilidad interna.

    Cómo encajan los tres marcos en un solo plan (sin mezclar conceptos)

    No necesitas tres planes distintos si defines bien el mapa de requisitos.

    ISO 27001 te pide competencia y concienciación sobre seguridad de la información y consecuencias del incumplimiento.

    NIS2 refuerza la idea de que la ciberseguridad es responsabilidad organizativa y que la formación forma parte de la resiliencia (no es un “extra cultural”).

    El RGPD te obliga a que quien trate datos personales lo haga con criterio y con conocimiento de obligaciones básicas.

    En la práctica, un plan corporativo sólido responde a tres preguntas en paralelo:

    ¿sabe la persona qué proteger?, ¿sabe cómo actuar ante un incidente?, y ¿puedes demostrarlo con registros coherentes?

    Diseña el plan por roles: alcance, contenidos y cadencia audit-ready

    El primer error es “un curso para todos”.

    La formación por roles es la forma más directa de que sea relevante.

    Y lo relevante es lo que un auditor entiende como control.

    1) Define el alcance: quién entra en el plan

    No es solo plantilla interna.

    Incluye personas bajo control: empleados, colaboradores, contratistas, personal temporal y perfiles que operan datos o sistemas críticos.

    Aquí es clave documentar qué equipos entran y por qué.

    2) Mapea contenidos por tipo de rol

    Una forma práctica de estructurar la formación es por tres capas:

    • Capa corporativa (mínimos para todos): higiene de seguridad, phishing y reporte, manejo básico de información y disciplina de uso de herramientas aprobadas.
    • Capa por rol (lo que cada equipo hace de verdad): RRHH, Ventas, Soporte, Operaciones, IT/SecOps, etc.
    • Capa por riesgo (refuerzos): módulos cortos cuando aparecen nuevos vectores (cambios en herramientas, nuevos proveedores, incidentes o near-misses).

    3) Fija una cadencia que puedas mantener

    Un plan creíble tiene frecuencia.

    Una referencia común para que sea auditable:

    • Onboarding en las primeras semanas
    • Refresh anual como baseline
    • Micro-sesiones trimestrales (breves y con enfoque en “lo actual”)
    • Actualización tras incidentes cuando haya aprendizaje demostrable

    No necesitas convertirlo en un proyecto infinito.

    Necesitas que sea repetible y que el calendario tenga dueño.

    Ejemplo de matriz mínima por área (orientativa)

    La matriz no tiene que ser perfecta el primer día.

    Sí tiene que ser honesta y auditable.

    • Dirección / órgano de gobierno: riesgos, responsabilidades de supervisión, decisiones bajo presión y comunicación en incidentes (sin tecnicismos innecesarios).
    • RRHH: datos de empleados, ciclo de vida del expediente, canales seguros, altas/bajas y mínimos de privacidad en procesos internos.
    • Ventas y marketing: datos de clientes y leads, compartición externa, “urgencias” habituales y límites de lo que se puede prometer o enviar.
    • Atención al cliente / soporte: verificación de identidad, accesos, resets, escalado y prevención de filtraciones por buena intención.
    • Operaciones y administración: ficheros compartidos, proveedores, facturación y manejo de documentación sensible.
    • IT / SecOps: controles operativos, registro de incidentes, privilegios, copias y continuidad (alineado al alcance del SGSI).

    Si documentas qué módulo recibe cada área, cada cuánto y qué evidencia genera, ya tienes un artefacto que aguanta preguntas en auditoría.

    Evidencias que te pedirá un auditor (y cómo prepararlas antes)

    La tecnología puede fallar.

    Las personas también.

    Lo que ISO, NIS2 y el RGPD buscan es que tengas evidencia de que entrenas y de que el entrenamiento se mantiene y se mejora.

    En un enfoque audit-ready, prepara como mínimo:

    • Plan: alcance, audiencias, objetivos por rol, periodicidad y responsables
    • Registros de entrega: fechas, asistentes (o altas/bajas), materiales usados y formato (presencial, e-learning, sesión corta)
    • Evidencias de comprensión: evaluación simple (cuestionario breve, simulación, respuesta a escenarios)
    • Evidencias de actualización: versión de contenidos, cambios por incidentes o cambios de contexto

    Si tu hoja de ruta está alineada con certificación ISO 27001, puede ayudarte revisar cómo se estructura la preparación en cómo obtener la certificación ISO 27001 como startup en la UE.

    En auditoría, el valor está en la coherencia.

    Si el plan dice que entrenas cada trimestre, pero los registros muestran otra cosa, el problema no es el año: es la trazabilidad.

    Qué suelen pedir en una revisión documental (lista corta)

    No es una lista legal exhaustiva, pero suele ser el “mínimo creíble”:

    • versión actual del plan y su fecha de aprobación
    • calendario ejecutado (aunque sea simple) con fechas reales
    • listas de asistencia o registros equivalentes del LMS
    • materiales usados (PDF, vídeo, guión interno)
    • resultados de evaluación o simulación (aunque sea básica)
    • evidencia de onboarding para altas recientes
    • registro de cambios cuando actualizas contenido (y por qué)

    Si puedes reconstruir la historia con papeles (o tickets) sin depender de la memoria de una sola persona, vas en buena dirección.

    Muestreo en entrevistas: qué evalúa un auditor

    Muchas auditorías no se quedan en el expediente.

    Preguntan a personas de distintos departamentos si saben a quién avisar, dónde está el procedimiento y qué no deben hacer (por ejemplo, reenviar datos sensibles por canales no aprobados).

    Si el plan existe pero la realidad no coincide, aparece la brecha.

    Onboarding y aprendizaje continuo: cómo mantener la formación viva

    La formación que “se hizo una vez” no es formación.

    Es un evento.

    Para que funcione como control, necesitas una cadena continua: entrada, refuerzo, aprendizaje y mejora.

    Onboarding: mínimo desde el primer día

    Cada nueva incorporación debería recibir un paquete básico.

    La clave no es saturar, sino asegurar que entienden: qué comportamientos son esperados y cómo reportar señales de riesgo sin esperar a “saber más”.

    Micro-sesiones trimestrales (sin burocracia)

    Una micro-sesión corta puede ser suficiente si está conectada a lo que pasa en el trimestre.

    Ejemplos típicos:

    • una campaña de phishing observada,
    • una mejora en procedimientos,
    • o un cambio de herramientas para compartir información.

    Aprendizaje post-incidente: formación como remediación

    Cuando ocurra un incidente o near-miss, el plan debe reflejarlo.

    No se trata solo de “repetir el curso”.

    Se trata de demostrar que aprendiste:

    • qué falló,
    • qué se corrigió,
    • y qué aprendieron las personas para que no vuelva a ocurrir.

    Proveedores, subcontratistas y accesos temporales

    Si un proveedor accede a sistemas o datos relevantes, el riesgo humano también existe fuera de la plantilla.

    No siempre podrás “formar” igual que a un empleado, pero sí puedes definir requisitos mínimos: accesos acotados, aceptación de políticas, formación breve obligatoria y registro de cumplimiento cuando aplique.

    Esto reduce el típico hueco de “tenemos formación interna, pero el proveedor entra sin briefing”.

    Cómo integrar el plan de formación sin duplicar trabajo

    Un plan de formación corporativo no vive aislado.

    Se integra en tu sistema de gestión y en tu forma de gestionar riesgos. El objetivo es que el mismo artefacto te sirva para coherencia interna y para auditoría.

    Integra con tu gestión de seguridad y riesgos

    Si ya tienes un SGSI o un sistema de gestión, busca:

    • responsables y roles ya definidos
    • calendario de revisiones
    • mecanismos de auditoría interna
    • gestión de no conformidades y acciones correctivas

    La formación entra ahí como “evidencia viva” de competencia y concienciación.

    Unifica lo que se solapa en los tres marcos

    Aunque ISO 27001, NIS2 y RGPD no son lo mismo, comparten una lógica: formar, documentar y mantener.

    Una sola matriz por rol puede cubrir: mínimos corporativos, módulos por equipo, y actualizaciones cuando cambia el riesgo. Así evitas que cada marco te pida “otro plan distinto”.

    Revisión anual del plan: qué debe cambiar sí o sí

    Una vez al año (o cuando cambie el contexto), revisa:

    • si los roles siguen siendo los mismos (crecimiento, nuevos productos, nuevos mercados)
    • si las herramientas cambiaron (nuevo CRM, nuevo proveedor cloud, nuevo canal de soporte)
    • si hubo incidentes o near-misses que exigen un módulo nuevo
    • si los responsables siguen siendo los correctos (rotación, reorganización)

    Documenta la revisión como una decisión: fecha, participantes y cambios aplicados.

    Eso es exactamente el tipo de señal de mejora continua que encaja con ISO y con una gestión madura del riesgo.

    Roles y responsabilidades: quién “posee” el plan

    Un plan falla cuando nadie es dueño del calendario.

    Define al menos:

    • un propietario del programa (quien mantiene el plan y coordina ejecución)
    • dueños de módulos por área o tema (por ejemplo, privacidad, incidentes, accesos)
    • un mecanismo de escalado cuando alguien detecta un gap (empleado → manager → seguridad/compliance)

    Esto no es burocracia por gusto.

    Es la forma más simple de que la formación no dependa de una sola persona ni se paralice con las vacaciones.

    España: FUNDAE como palanca de ejecución (cuando encaje)

    En España, muchas empresas pueden aprovechar esquemas de formación bonificada para programas alineados con ciberseguridad y privacidad.

    No sustituye el diseño del plan ni la evidencia regulatoria, pero puede ayudar a mantener la cadencia en equipos grandes.

    Si usas bonificación, conserva disciplina documental: qué se impartió, a quién, cuándo y con qué resultado.

    Errores que te pueden frenar

    Limitar la formación a IT o a dirección

    Si solo tiene registros IT o solo se entrena a dirección, el plan deja un gap visible.

    Los incidentes suelen empezar en procesos cotidianos y equipos no técnicos.

    No definir alcance ni audiencias por rol

    Un plan sin mapeo de roles no permite demostrar “proporcionalidad”.

    El auditor debe ver por qué cada equipo recibe los contenidos que recibe.

    No documentar evidencias (asistencia, materiales y evaluación)

    Cuando no hay registros trazables, el plan se vuelve declarativo.

    ISO, NIS2 y RGPD dependen de que puedas demostrar que la formación ocurrió y fue efectiva.

    No actualizar el plan tras cambios o incidentes

    Si cambian herramientas, proveedores o aparecen nuevos vectores, el entrenamiento debe evolucionar.

    Un plan estático contradice la lógica de mejora continua.

    Cómo puede ayudarte PrivaLex con un plan de formación corporativo

    En PrivaLex diseñamos y estructuramos planes de formación para que puedas cumplir de forma integrada con ISO 27001, NIS2 y RGPD.

    Nos centramos en que el plan sea:

    • Relevante por rol (no “un curso genérico”)
    • Auditable (con registros y evidencias coherentes)
    • Operativo (incluyendo onboarding y aprendizaje post-incidente)
    • Sostenible (cadencia que realmente puedes mantener)

    Si operas en España, también te ayudamos con la parte de bonificación FUNDAE cuando aplica.

    Agenda una sesión estratégica con PrivaLex y revisamos tu punto de partida.

    Preguntas Frecuentes (FAQs)

    Sí, si el plan es por roles, tiene cadencia y mantiene evidencias.

    Lo importante es que lo que entrenas sea coherente con lo que cada marco espera.

    En la práctica, suele funcionar un mapa de contenidos: cada módulo indica qué requisito cubre (seguridad, ciber-resiliencia, privacidad) y por qué aplica a ese rol.

    Así evitas duplicar cursos y, a la vez, evitas dejar fuera un requisito porque “eso era de otro departamento”.

    Como base suele funcionar onboarding + refresh anual.

    Los refuerzos trimestrales y la actualización post-incidente convierten el plan en un control operativo.

    La frecuencia real depende del riesgo y del ritmo de cambio de tu organización: una scaleup que cambia herramientas cada mes necesita micro-refuerzos más a menudo que una operación estable.

    Registros de asistencia, materiales usados y algún mecanismo de evaluación.

    Además, que puedas mostrar cómo actualizas contenidos cuando cambia el riesgo.
    Si puedes demostrar cobertura (quién debía recibirlo y quién lo recibió) y eficacia razonable (evaluación, simulación o mejora medible), normalmente reduces fricción en revisión.

    Si operan bajo tu control o tratan información relevante, deberían entrar en el alcance.

    La clave es asegurar que reciben el onboarding mínimo y sus obligaciones operativas.

    Si el acceso es puntual, al menos deja constancia de briefing, aceptación de políticas y fecha de revocación de accesos al terminar el encargo.

    Se recomienda un paquete básico en las primeras semanas.

    Debe cubrir comportamientos esperados, reporte de señales de riesgo y disciplina de uso de herramientas.

    Idealmente, el onboarding conecta con el primer día útil: antes de que la persona acceda a datos sensibles, ya sabe qué puede hacer y qué debe escalar.

    Si el incidente revela un gap de competencia o concienciación, la actualización debe reflejarlo.

    La formación post-incidente es la forma de demostrar remediación y prevención.

    A veces basta un módulo corto y una evidencia de asistencia/comprensión, siempre que quede trazado el aprendizaje.

    Siguiente paso

    Si tu objetivo es crear un control de formación que sea consistente y demostrable, empieza por definir alcance, roles y evidencias.

    Agenda una sesión estratégica con PrivaLex y te ayudamos a convertirlo en un plan audit-ready.

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar