Para un responsable de cumplimiento, saber qué es la NIS2 ya no alcanza. La directiva está transpuesta o en proceso de transposición en todos los Estados miembros, y las primeras auditorías están empezando a preguntar por el componente humano del programa con un detalle que sorprende a más de un CISO.
El artículo 21 de la Directiva (UE) 2022/2555 incluye la formación en ciberseguridad y las prácticas básicas de ciberhigiene dentro de las medidas mínimas obligatorias. El artículo 20 añade una exigencia que muchos pasan por alto, porque los miembros del órgano de dirección también tienen que recibir formación específica y pueden responder personalmente por la falta de medidas adecuadas.
Esta pieza no repite qué es la NIS2. Asume que ya lo sabes. Lo que desarrolla es la capa siguiente, la que determina si un programa de concienciación pasa o no pasa una auditoría. Qué exige exactamente la directiva sobre formación, a quién aplica, qué contenidos cubrir, cómo demostrarlo y dónde se cae habitualmente el programa cuando la auditoría empieza a tirar del hilo.
Si necesitas el marco general antes de seguir, tenemos un artículo previo sobre qué es la NIS2 y cómo cumplir con la normativa europea que cubre el alcance, los sectores afectados y los plazos formales.
¿Qué exige el artículo 21 de la NIS2 en formación y prácticas de ciberhigiene?
El artículo 21 de la Directiva (UE) 2022/2555 lista las medidas técnicas, operativas y organizativas que las entidades esenciales e importantes están obligadas a adoptar. Entre esas medidas, el apartado 21.2 incluye expresamente las “prácticas básicas de ciberhigiene y formación en materia de ciberseguridad”. El texto no las plantea como anexo opcional ni como recomendación, las trata como parte de las medidas mínimas que la entidad debe demostrar.
A esto se suma el artículo 20, que abre un frente distinto y más político. Los miembros del órgano de dirección tienen que aprobar las medidas de gestión de riesgos, supervisar su implementación y recibir formación específica para poder hacerlo. La directiva habilita además que la dirección sea responsable individualmente por incumplimientos. En la práctica esto cambia la forma en la que se vende internamente un programa de awareness, porque deja de ser una iniciativa del CISO y pasa a ser una obligación personal de quien firma las decisiones de seguridad.
Resumido en una sola lectura, el bloque normativo dice que la NIS2 considera a las personas un control de seguridad de primer nivel, exige formación para todos y formación reforzada para la dirección, y permite sancionar a la entidad y a sus directivos cuando ese control falla. El programa de concienciación deja de ser comunicación interna y entra en el perímetro de auditoría.
¿A quiénes incluye realmente la formación bajo NIS2?
Una de las primeras confusiones aparece cuando se traduce la directiva a un alcance interno. “Todo el personal” no significa lo mismo en una entidad bancaria que en un operador energético con plantilla industrial dispersa, y la auditoría va a preguntar por la lógica de segmentación. Conviene distinguir cuatro audiencias con tratamientos distintos.
Órgano de dirección. Consejo, comité de dirección o equivalente. Tienen que recibir formación dirigida que les permita aprobar y supervisar las medidas de gestión de riesgos. El contenido no es el mismo que para un usuario final, porque el objetivo es habilitar la toma de decisión informada, no enseñarles a reconocer un phishing.
Personal técnico con responsabilidad operativa. TI, seguridad, ingeniería de plataforma, administradores de sistemas críticos. Formación específica por rol, con contenidos sobre gestión de vulnerabilidades, configuración segura, respuesta a incidentes y el papel concreto que cada función cumple dentro del plan de contingencia.
Resto de los colaboradores con acceso a sistemas. El bloque grande del programa. Formación periódica en ciberhigiene básica, reconocimiento de ingeniería social, manejo seguro de datos, uso de credenciales y reporte de incidentes. Una buena práctica es segmentar también dentro de este grupo por nivel de exposición, no por organigrama.
Terceros con acceso a sistemas críticos. Proveedores, integradores, partners técnicos. La directiva incorpora la seguridad de la cadena de suministro como medida obligatoria en el mismo artículo 21, y eso incluye el acceso humano de terceros. Si un proveedor con cuenta activa nunca pasó por tu programa, el riesgo y la responsabilidad siguen siendo tuyos.
Que estés clasificada como entidad esencial o importante cambia el rigor de la supervisión pero no la lógica del alcance. Las dos categorías están obligadas a formar a su personal, lo que cambia es la intensidad del control posterior por parte de las autoridades.
¿Qué contenidos debe cubrir un programa de awareness compatible con NIS2?
La directiva no publica un currículum, lo cual deja a la entidad la responsabilidad de justificar que el programa cubre lo necesario. La estrategia más limpia es construir el plan de contenidos cruzando dos ejes: las medidas técnicas listadas en el artículo 21 y las amenazas reales que afectan al sector.
A partir de ese cruce, un programa típicamente sólido incluye al menos estos dominios:
- Ingeniería social y phishing, con foco en correo, mensajería corporativa, voz y vectores recientes como el quishing por QR.
- Gestión de credenciales, contraseñas robustas, gestores de contraseñas y autenticación multifactor real.
- Uso seguro de dispositivos y redes, incluyendo trabajo remoto, redes domésticas, redes públicas y BYOD.
- Manejo de datos sensibles, clasificación, retención, transferencias y eliminación segura.
- Reporte de incidentes, procedimiento interno, canal, plazos y la cultura de no penalizar el reporte.
- Riesgo de cadena de suministro a nivel humano, qué hacer cuando un proveedor pide acceso o documentación fuera de canal.
- Continuidad de negocio y respuesta, qué hace cada rol cuando ocurre un incidente que afecta su área.
- Privacidad y protección de datos, en conexión con el RGPD, porque los inspectores tienden a mirar ambos marcos juntos.
- Formación específica para dirección, marco normativo, responsabilidades del órgano, lectura de informes de riesgo y trazabilidad de las decisiones.
Cada dominio debería tener material principal, refuerzos breves y al menos un mecanismo de evaluación. Tener un curso por dominio no es suficiente para un auditor exigente, porque lo que mide la NIS2 es el carácter continuo del programa, no su existencia puntual.
¿Cómo se mide y demuestra el cumplimiento del awareness ante una auditoría?
Aquí es donde caen los programas que sobre el papel parecen completos. La auditoría NIS2 pide evidencia, y la evidencia se mide en capas. Cuando hablamos con CISOs que ya pasaron por una revisión seria, todos describen el mismo problema: cursos hay, lo que falta es trazabilidad por usuario.
Conviene tener listas cuatro capas de evidencia.
Asistencia y completitud. Qué porcentaje del personal completó cada módulo obligatorio, en qué plazo, con cuántos recordatorios. Esto incluye a directivos y terceros, no solo a empleados internos.
Comprensión. Resultados de evaluaciones, no satisfacción del alumno. La directiva no pide encuestas de satisfacción, pide que el personal sea capaz de aplicar lo aprendido. Una evaluación post-formación con umbral de aprobación es la pieza estándar.
Comportamiento. Simulaciones controladas de phishing, ransomware o vishing donde se mide la conducta real frente a un estímulo. Esta capa es la que diferencia un programa formal de uno efectivo, porque permite comparar lo que el usuario dice que sabe con lo que realmente hace cuando recibe el señuelo.
Reporte ejecutivo y trazabilidad por usuario. El auditor pedirá poder seleccionar un nombre concreto de la plantilla y ver su trayectoria completa, con módulos asignados, completados, evaluaciones aprobadas, simulaciones recibidas y conductas registradas. Si el sistema no permite extraer esa vista en minutos, el control falla con independencia de la calidad del contenido.
Junto a estas capas conviene mantener una bitácora documental que registre la lógica del programa, con la política aprobada por la dirección, la segmentación de audiencias, el calendario anual, los criterios de éxito y las revisiones periódicas. Cuando la auditoría pregunta por qué el programa está diseñado así, esa bitácora es la respuesta.
¿Qué errores típicos hacen caer un programa de awareness en auditoría NIS2?
Después de acompañar implementaciones de programas de concienciación durante varios años, hay un puñado de fallos que se repiten con una frecuencia incómoda. Conviene revisarlos antes de la auditoría, no después.
Programa anual de una sola pieza. Una formación obligatoria en enero, ningún refuerzo, ninguna simulación, y se da el año por cubierto. La NIS2 habla de carácter continuo, y un auditor con experiencia lo va a marcar.
Mismo contenido para dirección que para usuarios. El artículo 20 exige formación específica para el órgano de dirección. Servirles el mismo módulo introductorio que al resto del personal no satisface la obligación, aunque la asistencia esté documentada.
Simulaciones de phishing sin métricas longitudinales. Tener una simulación por trimestre con resultado puntual no es lo mismo que mostrar evolución del comportamiento por usuario, por grupo y por tipo de cebo. El dato comparado en el tiempo es lo que evidencia mejora.
Ausencia de evidencia para terceros. Proveedores con acceso a sistemas críticos suelen quedar fuera del alcance, hasta que la auditoría pregunta cómo se gestiona el riesgo humano de la cadena de suministro y la respuesta no existe.
Falta de trazabilidad por usuario. Reportes agregados con porcentajes globales suenan bien hasta que el auditor selecciona tres personas al azar y pide su historial individual. Si el sistema no lo entrega, el programa entero queda en duda.
Documentación de gobernanza floja. Política sin firmar, sin revisión periódica, sin acta de aprobación del órgano de dirección. El componente formal pesa más de lo que muchos esperan, porque la auditoría se construye sobre el papel antes que sobre la práctica.
Comunicación interna pobre. El programa existe, los módulos están asignados, pero la plantilla no entiende para qué sirve ni qué se espera de ella. Cuando el auditor entrevista al azar a personas de distintas áreas y la respuesta a “¿por qué hacéis estos cursos?” es vaga, el carácter formativo del programa queda en cuestión. Una buena estrategia es preparar un mensaje claro de la dirección al inicio del año, refuerzos periódicos del responsable directo de cada área y un canal abierto para preguntas.
Cómo SMARTFENSE ayuda a sostener el componente humano de NIS2
Llegado este punto, la pregunta operativa es cómo se sostiene en el tiempo un programa que cubre todos estos requisitos sin agotar al equipo de seguridad. La plataforma de SMARTFENSE está diseñada exactamente para este escenario y cubre los puntos que un auditor NIS2 va a pedir.
El multicatálogo de contenidos permite asignar módulos distintos por rol, idioma y nivel de exposición, lo cual resuelve la segmentación entre dirección, técnicos, usuarios y terceros. Los contenidos están mapeados a marcos normativos europeos relevantes, NIS2 incluida, y se actualizan cuando los reguladores publican guías nuevas. Para la formación específica del órgano de dirección hay material diferenciado, que respeta el tono y el nivel de profundidad que la dirección necesita.
A esa segmentación se suman los programas automáticos, planes predefinidos por nuestros expertos que asignan módulos, refuerzos y simulaciones según el rol de la persona, su nivel de exposición y las normativas aplicables. La asignación de contenidos deja de depender de planillas manuales del equipo de seguridad: el sistema reactiva el plan cuando cambia la plantilla, cuando entra un proveedor con acceso o cuando aparece una guía nueva del regulador, y conecta cada módulo con el marco normativo al que responde. Es la pieza que reduce hasta un setenta por ciento el tiempo de gestión sin perder trazabilidad por usuario.
El calendario de campañas sostiene el carácter continuo que la directiva exige, alternando módulos principales, refuerzos breves, simulaciones de phishing y evaluaciones a lo largo del año. La trazabilidad por usuario es nativa, lo que significa que cuando el auditor pide la vista de una persona concreta, la información sale en segundos, no en semanas.
SMARTFENSE es una plataforma de security awareness con presencia consolidada en Latinoamérica y España, contenido nativo en español, italiano, portugués europeo e inglés, y soporte para entornos multicatálogo que los responsables de cumplimiento de grupos multinacionales agradecen. Si tu organización está preparando la documentación de auditoría NIS2, vale la pena revisar también nuestra página de cumplimiento normativo y el artículo sobre cumplimiento normativo como compromiso sostenido, donde profundizamos en cómo encajan los distintos marcos.
El componente humano como control auditable
La NIS2 termina de consolidar una idea que el sector venía pidiendo desde hacía años. El factor humano es un control de seguridad, con todo lo que eso implica. Necesita política aprobada, alcance definido, contenidos justificados, evaluación periódica, evidencia individual y revisión por la dirección. Lo que antes podía resolverse con un curso anual y un par de mails recordatorios ahora pide una arquitectura. Para los responsables de cumplimiento que llevaban tiempo discutiendo el presupuesto del programa de awareness, la directiva resuelve la discusión por ellos. Conviene aprovecharlo.
Deja una respuesta