La nueva Directiva NIS2 (Directiva (UE) 2022/2555), aplicable desde octubre de 2024, establece un conjunto de exigencias reforzadas en materia de ciberseguridad corporativa, entre las que destaca la formación obligatoria del personal como medida clave de prevención. Esta no es una recomendación general ni una acción puntual, sino una obligación legal que afecta directamente a las organizaciones consideradas entidades esenciales o importantes dentro del marco NIS2.
La formación en ciberseguridad no solo debe existir: debe diseñarse, ejecutarse, registrarse y evaluarse de forma documentada, con una estructura adaptada al perfil de cada puesto y con una periodicidad coherente con los riesgos reales de la organización. En este artículo te contamos cómo cumplir con esta exigencia normativa, a quién va dirigida, qué contenidos mínimos debe incluir y cómo implantarla de forma eficaz y verificable, de acuerdo con las obligaciones establecidas en el servicio de NSI2.
¿Por qué es obligatoria la formación según la NIS2?
La Directiva NIS2 reconoce que el factor humano es uno de los principales vectores de riesgo en ciberseguridad. Por ello, obliga a las entidades bajo su ámbito a garantizar que:
Todo el personal tenga un nivel adecuado de concienciación y formación.
Los miembros de la alta dirección comprendan sus responsabilidades y los riesgos asociados.
Se disponga de un plan formativo documentado y actualizado, con cobertura suficiente y trazabilidad verificable.
El artículo 21 de la directiva establece expresamente que las entidades deben adoptar medidas para formar y capacitar a su personal en materia de ciberseguridad, así como asegurar la actualización regular de dichos conocimientos.
¿A qué organizaciones afecta esta obligación?
La NIS2 aplica a entidades públicas y privadas de sectores estratégicos, clasificadas como:
Entidades esenciales: energía, transporte, salud, agua potable, infraestructuras digitales, banca, administración pública, etc.
Entidades importantes: servicios TIC, proveedores digitales, manufactura crítica, alimentación, servicios postales, entre otros.
Si tu organización pertenece a alguno de estos sectores y cumple con los criterios de tamaño o relevancia, estará obligada a implantar un programa formal y continuado de formación en ciberseguridad.
¿A quién debe dirigirse la formación en ciberseguridad?
La formación obligatoria debe adaptarse al nivel de responsabilidad, acceso y exposición de cada grupo dentro de la organización. En términos prácticos, debe abarcar al menos los siguientes colectivos:
1. Alta dirección
Incluye miembros del consejo, dirección general, comités ejecutivos y responsables de unidades de negocio. Deben conocer:
Riesgos estratégicos y consecuencias legales del incumplimiento
Responsabilidades de supervisión según NIS2
Implicaciones financieras y operativas de un ciberincidente
Este grupo debe recibir formación específica y participativa, no solo divulgativa.
2. Personal técnico y administradores de sistemas
Se trata del grupo con más implicación en la implementación de medidas de seguridad. Su formación debe cubrir:
Gestión segura de accesos y contraseñas
Configuración de redes y sistemas
Protocolos de cifrado, backups y segmentación
Monitorización, detección de amenazas e informes de eventos
Debe incluir ejercicios prácticos y escenarios de simulación.
3. Personal general de oficina
Aunque no tenga responsabilidades técnicas, este grupo representa un riesgo significativo por:
Uso diario de correo electrónico, redes y dispositivos
Acceso a datos sensibles o confidenciales
Interacción con proveedores y clientes
Su formación debe centrarse en hábitos seguros, prevención de errores humanos y detección de amenazas comunes como el phishing.
4. Personal externo o subcontratado con acceso a sistemas
La NIS2 exige que también reciban formación los trabajadores externos que acceden a entornos internos o manipulan información crítica. Deben recibir formación equivalente al personal interno.
¿Cómo debe ser la formación para cumplir con la NIS2?
1. Formal, estructurada y continua
No basta con una acción puntual o informal. La formación debe estar:
Planificada anualmente
Adaptada a los riesgos específicos de la organización
Documentada y trazable
Cada sesión, curso o taller debe tener objetivos claros, contenidos definidos, fechas, responsables y resultados evaluables.
2. Adaptada al perfil del usuario
El contenido debe variar según el puesto, acceso a información, rol y nivel de responsabilidad. No se puede aplicar una misma sesión para toda la plantilla sin distinciones.
Por ejemplo:
Dirección: formación estratégica y normativa.
Técnicos: formación operativa, técnica y de gestión de incidentes.
Usuarios finales: formación práctica y preventiva.
3. Evaluada y actualizada
Deben realizarse evaluaciones de aprovechamiento o cuestionarios para comprobar la eficacia. Además:
La formación debe actualizarse ante cambios tecnológicos o normativos.
Se debe mantener un registro individualizado por empleado.
4. Con trazabilidad documental
Es obligatorio conservar:
Calendario de formación
Contenidos impartidos
Asistencia de cada empleado
Evaluaciones realizadas
Esta documentación será requerida por las autoridades nacionales de supervisión en caso de inspección o incidente.
¿Con qué frecuencia debe impartirse la formación?
Aunque la NIS2 no establece una periodicidad exacta, se espera que:
Todos los empleados reciban formación al menos una vez al año
Los nuevos empleados la reciban antes o al inicio de su actividad
Se realicen refuerzos formativos tras incidentes o auditorías
También es recomendable que exista una formación continua mediante microcápsulas, campañas internas o simulaciones periódicas, especialmente en áreas críticas.
Contenidos mínimos recomendados según el perfil
A continuación, se resumen algunos de los contenidos imprescindibles por tipo de usuario:
Para todo el personal
Qué es la ciberseguridad y por qué importa
Buenas prácticas de uso de dispositivos
Riesgos del correo electrónico y navegación
Gestión de contraseñas
Cómo actuar ante incidentes sospechosos
Para directivos
Marco legal de la NIS2
Obligaciones y sanciones
Ciberseguridad como responsabilidad estratégica
Comunicación de incidentes
Coordinación con el DPO y el CISO
Para técnicos
Configuración segura de redes y sistemas
Protección de endpoints y servidores
Gestión de vulnerabilidades
Monitorización e informes SIEM
Respuesta ante ciberincidentes
¿Qué pasa si no se imparte esta formación?
El incumplimiento de esta obligación puede suponer:
Sanciones administrativas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global.
Consideración agravante en caso de incidentes.
Pérdida de confianza por parte de clientes y organismos reguladores.
Daño reputacional interno y externo.
Recomendaciones obligatorias o restricciones por parte de la autoridad competente.
Además, ante una inspección o auditoría, la ausencia de documentación acreditativa de la formación será un indicio directo de incumplimiento estructural.
Cómo implantar un plan formativo eficaz y conforme a NIS2
Para cumplir con garantías, tu organización debe:
Diseñar un plan anual de formación en ciberseguridad, alineado con su análisis de riesgos.
Identificar los perfiles clave y sus necesidades formativas.
Establecer una plataforma o sistema de formación interna o contar con un proveedor externo acreditado.
Registrar y conservar toda la documentación, evaluaciones y evidencias de seguimiento.
Actualizar los contenidos periódicamente y reforzar tras auditorías, cambios tecnológicos o ciberincidentes.
Todo este sistema debe integrarse en el marco global del cumplimiento de NSI2, junto con los controles técnicos, la gestión de incidentes y la documentación general.
Audidat, tu socio para formar en ciberseguridad con garantías NIS2
En Audidat, ayudamos a las organizaciones a implantar y documentar un plan formativo en ciberseguridad adaptado a los requisitos legales y técnicos de la NIS2. Definimos los contenidos, los perfiles destinatarios, la documentación obligatoria y las evaluaciones necesarias para acreditar el cumplimiento. Nuestro servicio de NSI2 incluye esta formación como parte esencial de una estrategia integral, profesional y sin compromiso inicial. Si tu organización debe cumplir la NIS2, contáctanos para iniciar un plan formativo eficaz y verificable.
Preguntas frecuentes sobre la formación obligatoria en ciberseguridad según la NIS2
¿Debo formar también a proveedores o personal externo?
Sí, si tienen acceso a sistemas internos o datos sensibles. La NIS2 exige que el personal subcontratado reciba formación adecuada.
¿Qué tipo de evidencia se exige sobre la formación impartida?
Calendarios, contenidos, listas de asistencia, evaluaciones de aprovechamiento y registros individualizados por empleado.
¿Es válida una formación online?
Sí, siempre que sea trazable, acreditable y adaptada a los perfiles. La combinación de formación online con sesiones presenciales suele ser recomendable.
¿Debo formar al personal que no usa sistemas informáticos?
Sí. Todos los empleados deben conocer las buenas prácticas básicas, incluso si no utilizan directamente sistemas TIC.
