Para un responsable de cumplimiento, saber qu\u00e9 es la NIS2 ya no alcanza. La directiva est\u00e1 transpuesta o en proceso de transposici\u00f3n en todos los Estados miembros, y las primeras auditor\u00edas est\u00e1n empezando a preguntar por el componente humano del programa con un detalle que sorprende a m\u00e1s de un CISO. El art\u00edculo 21 de la Directiva (UE) 2022\/2555 incluye la formaci\u00f3n en ciberseguridad y las pr\u00e1cticas b\u00e1sicas de ciberhigiene dentro de las medidas m\u00ednimas obligatorias. El art\u00edculo 20 a\u00f1ade una exigencia que muchos pasan por alto, porque los miembros del \u00f3rgano de direcci\u00f3n tambi\u00e9n tienen que recibir formaci\u00f3n espec\u00edfica y pueden responder personalmente por la falta de medidas adecuadas.<\/p>\n
Esta pieza no repite qu\u00e9 es la NIS2. Asume que ya lo sabes. Lo que desarrolla es la capa siguiente, la que determina si un programa de concienciaci\u00f3n pasa o no pasa una auditor\u00eda. Qu\u00e9 exige exactamente la directiva sobre formaci\u00f3n, a qui\u00e9n aplica, qu\u00e9 contenidos cubrir, c\u00f3mo demostrarlo y d\u00f3nde se cae habitualmente el programa cuando la auditor\u00eda empieza a tirar del hilo.<\/p>\n
Si necesitas el marco general antes de seguir, tenemos un art\u00edculo previo sobre qu\u00e9 es la NIS2 y c\u00f3mo cumplir con la normativa europea<\/a> que cubre el alcance, los sectores afectados y los plazos formales.<\/p>\n El art\u00edculo 21 de la Directiva (UE) 2022\/2555 lista las medidas t\u00e9cnicas, operativas y organizativas que las entidades esenciales e importantes est\u00e1n obligadas a adoptar. Entre esas medidas, el apartado 21.2 incluye expresamente las \u201cpr\u00e1cticas b\u00e1sicas de ciberhigiene y formaci\u00f3n en materia de ciberseguridad\u201d. El texto no las plantea como anexo opcional ni como recomendaci\u00f3n, las trata como parte de las medidas m\u00ednimas que la entidad debe demostrar.<\/p>\n A esto se suma el art\u00edculo 20, que abre un frente distinto y m\u00e1s pol\u00edtico. Los miembros del \u00f3rgano de direcci\u00f3n tienen que aprobar las medidas de gesti\u00f3n de riesgos, supervisar su implementaci\u00f3n y recibir formaci\u00f3n espec\u00edfica para poder hacerlo. La directiva habilita adem\u00e1s que la direcci\u00f3n sea responsable individualmente por incumplimientos. En la pr\u00e1ctica esto cambia la forma en la que se vende internamente un programa de awareness, porque deja de ser una iniciativa del CISO y pasa a ser una obligaci\u00f3n personal de quien firma las decisiones de seguridad.<\/p>\n Resumido en una sola lectura, el bloque normativo dice que la NIS2 considera a las personas un control de seguridad de primer nivel, exige formaci\u00f3n para todos y formaci\u00f3n reforzada para la direcci\u00f3n, y permite sancionar a la entidad y a sus directivos cuando ese control falla. El programa de concienciaci\u00f3n deja de ser comunicaci\u00f3n interna y entra en el per\u00edmetro de auditor\u00eda.<\/p>\n Una de las primeras confusiones aparece cuando se traduce la directiva a un alcance interno. \u201cTodo el personal\u201d no significa lo mismo en una entidad bancaria que en un operador energ\u00e9tico con plantilla industrial dispersa, y la auditor\u00eda va a preguntar por la l\u00f3gica de segmentaci\u00f3n. Conviene distinguir cuatro audiencias con tratamientos distintos.<\/p>\n \u00d3rgano de direcci\u00f3n.<\/strong> Consejo, comit\u00e9 de direcci\u00f3n o equivalente. Tienen que recibir formaci\u00f3n dirigida que les permita aprobar y supervisar las medidas de gesti\u00f3n de riesgos. El contenido no es el mismo que para un usuario final, porque el objetivo es habilitar la toma de decisi\u00f3n informada, no ense\u00f1arles a reconocer un phishing.<\/p>\n Personal t\u00e9cnico con responsabilidad operativa.<\/strong> TI, seguridad, ingenier\u00eda de plataforma, administradores de sistemas cr\u00edticos. Formaci\u00f3n espec\u00edfica por rol, con contenidos sobre gesti\u00f3n de vulnerabilidades, configuraci\u00f3n segura, respuesta a incidentes y el papel concreto que cada funci\u00f3n cumple dentro del plan de contingencia.<\/p>\n Resto de los colaboradores con acceso a sistemas.<\/strong> El bloque grande del programa. Formaci\u00f3n peri\u00f3dica en ciberhigiene b\u00e1sica, reconocimiento de ingenier\u00eda social, manejo seguro de datos, uso de credenciales y reporte de incidentes. Una buena pr\u00e1ctica es segmentar tambi\u00e9n dentro de este grupo por nivel de exposici\u00f3n, no por organigrama.<\/p>\n Terceros con acceso a sistemas cr\u00edticos.<\/strong> Proveedores, integradores, partners t\u00e9cnicos. La directiva incorpora la seguridad de la cadena de suministro como medida obligatoria en el mismo art\u00edculo 21, y eso incluye el acceso humano de terceros. Si un proveedor con cuenta activa nunca pas\u00f3 por tu programa, el riesgo y la responsabilidad siguen siendo tuyos.<\/p>\n Que est\u00e9s clasificada como entidad esencial o importante cambia el rigor de la supervisi\u00f3n pero no la l\u00f3gica del alcance. Las dos categor\u00edas est\u00e1n obligadas a formar a su personal, lo que cambia es la intensidad del control posterior por parte de las autoridades.<\/p>\n La directiva no publica un curr\u00edculum, lo cual deja a la entidad la responsabilidad de justificar que el programa cubre lo necesario. La estrategia m\u00e1s limpia es construir el plan de contenidos cruzando dos ejes: las medidas t\u00e9cnicas listadas en el art\u00edculo 21 y las amenazas reales que afectan al sector.<\/p>\n A partir de ese cruce, un programa t\u00edpicamente s\u00f3lido incluye al menos estos dominios:<\/p>\n Cada dominio deber\u00eda tener material principal, refuerzos breves y al menos un mecanismo de evaluaci\u00f3n. Tener un curso por dominio no es suficiente para un auditor exigente, porque lo que mide la NIS2 es el car\u00e1cter continuo del programa, no su existencia puntual.<\/p>\n Aqu\u00ed es donde caen los programas que sobre el papel parecen completos. La auditor\u00eda NIS2 pide evidencia, y la evidencia se mide en capas. Cuando hablamos con CISOs que ya pasaron por una revisi\u00f3n seria, todos describen el mismo problema: cursos hay, lo que falta es trazabilidad por usuario.<\/p>\n Conviene tener listas cuatro capas de evidencia.<\/p>\n Asistencia y completitud.<\/strong> Qu\u00e9 porcentaje del personal complet\u00f3 cada m\u00f3dulo obligatorio, en qu\u00e9 plazo, con cu\u00e1ntos recordatorios. Esto incluye a directivos y terceros, no solo a empleados internos.<\/p>\n Comprensi\u00f3n.<\/strong> Resultados de evaluaciones, no satisfacci\u00f3n del alumno. La directiva no pide encuestas de satisfacci\u00f3n, pide que el personal sea capaz de aplicar lo aprendido. Una evaluaci\u00f3n post-formaci\u00f3n con umbral de aprobaci\u00f3n es la pieza est\u00e1ndar.<\/p>\n Comportamiento.<\/strong> Simulaciones controladas de phishing, ransomware o vishing donde se mide la conducta real frente a un est\u00edmulo. Esta capa es la que diferencia un programa formal de uno efectivo, porque permite comparar lo que el usuario dice que sabe con lo que realmente hace cuando recibe el se\u00f1uelo.<\/p>\n Reporte ejecutivo y trazabilidad por usuario.<\/strong> El auditor pedir\u00e1 poder seleccionar un nombre concreto de la plantilla y ver su trayectoria completa, con m\u00f3dulos asignados, completados, evaluaciones aprobadas, simulaciones recibidas y conductas registradas. Si el sistema no permite extraer esa vista en minutos, el control falla con independencia de la calidad del contenido.<\/p>\n Junto a estas capas conviene mantener una bit\u00e1cora documental que registre la l\u00f3gica del programa, con la pol\u00edtica aprobada por la direcci\u00f3n, la segmentaci\u00f3n de audiencias, el calendario anual, los criterios de \u00e9xito y las revisiones peri\u00f3dicas. Cuando la auditor\u00eda pregunta por qu\u00e9 el programa est\u00e1 dise\u00f1ado as\u00ed, esa bit\u00e1cora es la respuesta.<\/p>\n Despu\u00e9s de acompa\u00f1ar implementaciones de programas de concienciaci\u00f3n durante varios a\u00f1os, hay un pu\u00f1ado de fallos que se repiten con una frecuencia inc\u00f3moda. Conviene revisarlos antes de la auditor\u00eda, no despu\u00e9s.<\/p>\n Programa anual de una sola pieza.<\/strong> Una formaci\u00f3n obligatoria en enero, ning\u00fan refuerzo, ninguna simulaci\u00f3n, y se da el a\u00f1o por cubierto. La NIS2 habla de car\u00e1cter continuo, y un auditor con experiencia lo va a marcar.<\/p>\n Mismo contenido para direcci\u00f3n que para usuarios.<\/strong> El art\u00edculo 20 exige formaci\u00f3n espec\u00edfica para el \u00f3rgano de direcci\u00f3n. Servirles el mismo m\u00f3dulo introductorio que al resto del personal no satisface la obligaci\u00f3n, aunque la asistencia est\u00e9 documentada.<\/p>\n Simulaciones de phishing sin m\u00e9tricas longitudinales.<\/strong> Tener una simulaci\u00f3n por trimestre con resultado puntual no es lo mismo que mostrar evoluci\u00f3n del comportamiento por usuario, por grupo y por tipo de cebo. El dato comparado en el tiempo es lo que evidencia mejora.<\/p>\n Ausencia de evidencia para terceros.<\/strong> Proveedores con acceso a sistemas cr\u00edticos suelen quedar fuera del alcance, hasta que la auditor\u00eda pregunta c\u00f3mo se gestiona el riesgo humano de la cadena de suministro y la respuesta no existe.<\/p>\n Falta de trazabilidad por usuario.<\/strong> Reportes agregados con porcentajes globales suenan bien hasta que el auditor selecciona tres personas al azar y pide su historial individual. Si el sistema no lo entrega, el programa entero queda en duda.<\/p>\n Documentaci\u00f3n de gobernanza floja.<\/strong> Pol\u00edtica sin firmar, sin revisi\u00f3n peri\u00f3dica, sin acta de aprobaci\u00f3n del \u00f3rgano de direcci\u00f3n. El componente formal pesa m\u00e1s de lo que muchos esperan, porque la auditor\u00eda se construye sobre el papel antes que sobre la pr\u00e1ctica.<\/p>\n Llegado este punto, la pregunta operativa es c\u00f3mo se sostiene en el tiempo un programa que cubre todos estos requisitos sin agotar al equipo de seguridad. La plataforma de SMARTFENSE est\u00e1 dise\u00f1ada exactamente para este escenario y cubre los puntos que un auditor NIS2 va a pedir.<\/p>\n El multicat\u00e1logo de contenidos<\/a> permite asignar m\u00f3dulos distintos por rol, idioma y nivel de exposici\u00f3n, lo cual resuelve la segmentaci\u00f3n entre direcci\u00f3n, t\u00e9cnicos, usuarios y terceros. Los contenidos est\u00e1n mapeados a marcos normativos europeos relevantes, NIS2 incluida, y se actualizan cuando los reguladores publican gu\u00edas nuevas. Para la formaci\u00f3n espec\u00edfica del \u00f3rgano de direcci\u00f3n hay material diferenciado, que respeta el tono y el nivel de profundidad que la direcci\u00f3n necesita.<\/p>\n A esa segmentaci\u00f3n se suman los programas autom\u00e1ticos<\/a>, planes predefinidos por nuestros expertos que asignan m\u00f3dulos, refuerzos y simulaciones seg\u00fan el rol de la persona, su nivel de exposici\u00f3n y las normativas aplicables. La asignaci\u00f3n de contenidos deja de depender de planillas manuales del equipo de seguridad: el sistema reactiva el plan cuando cambia la plantilla, cuando entra un proveedor con acceso o cuando aparece una gu\u00eda nueva del regulador, y conecta cada m\u00f3dulo con el marco normativo al que responde. Es la pieza que reduce hasta un setenta por ciento el tiempo de gesti\u00f3n sin perder trazabilidad por usuario.<\/p>\n El calendario de campa\u00f1as<\/a> sostiene el car\u00e1cter continuo que la directiva exige, alternando m\u00f3dulos principales, refuerzos breves, simulaciones de phishing y evaluaciones a lo largo del a\u00f1o. La trazabilidad por usuario es nativa, lo que significa que cuando el auditor pide la vista de una persona concreta, la informaci\u00f3n sale en segundos, no en semanas.<\/p>\n SMARTFENSE es una plataforma de security awareness con presencia consolidada en Latinoam\u00e9rica y Espa\u00f1a, contenido nativo en espa\u00f1ol, italiano, portugu\u00e9s europeo e ingl\u00e9s, y soporte para entornos multicat\u00e1logo que los responsables de cumplimiento de grupos multinacionales agradecen. Si tu organizaci\u00f3n est\u00e1 preparando la documentaci\u00f3n de auditor\u00eda NIS2, vale la pena revisar tambi\u00e9n nuestra p\u00e1gina de cumplimiento normativo<\/a> y el art\u00edculo sobre cumplimiento normativo como compromiso sostenido<\/a>, donde profundizamos en c\u00f3mo encajan los distintos marcos.<\/p>\n La NIS2 termina de consolidar una idea que el sector ven\u00eda pidiendo desde hac\u00eda a\u00f1os. El factor humano es un control de seguridad, con todo lo que eso implica. Necesita pol\u00edtica aprobada, alcance definido, contenidos justificados, evaluaci\u00f3n peri\u00f3dica, evidencia individual y revisi\u00f3n por la direcci\u00f3n. Lo que antes pod\u00eda resolverse con un curso anual y un par de mails recordatorios ahora pide una arquitectura. Para los responsables de cumplimiento que llevaban tiempo discutiendo el presupuesto del programa de awareness, la directiva resuelve la discusi\u00f3n por ellos. Conviene aprovecharlo.<\/p>\n","protected":false},"excerpt":{"rendered":" El art\u00edculo 21 de la NIS2 obliga a formar a todo el personal y al \u00f3rgano de direcci\u00f3n. Qu\u00e9 cubrir, c\u00f3mo medirlo y c\u00f3mo demostrarlo en auditor\u00eda.<\/p>\n","protected":false},"author":31,"featured_media":41246,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3,198],"tags":[304,236,1348,922,1450],"class_list":["post-41248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-compliance-es-ar","tag-concientizacion","tag-cumplimiento-normativo-es-ar","tag-europa-es-ar","tag-nis2-es-ar"],"acf":[],"yoast_head":" \n\u00bfQu\u00e9 exige el art\u00edculo 21 de la NIS2 en formaci\u00f3n y pr\u00e1cticas de ciberhigiene?<\/h2>\n
\u00bfA qui\u00e9nes incluye realmente la formaci\u00f3n bajo NIS2?<\/h2>\n
\u00bfQu\u00e9 contenidos debe cubrir un programa de awareness compatible con NIS2?<\/h2>\n
\n
\u00bfC\u00f3mo se mide y demuestra el cumplimiento del awareness ante una auditor\u00eda?<\/h2>\n
\u00bfQu\u00e9 errores t\u00edpicos hacen caer un programa de awareness en auditor\u00eda NIS2?<\/h2>\n
C\u00f3mo SMARTFENSE ayuda a sostener el componente humano de NIS2<\/h2>\n
El componente humano como control auditable<\/h2>\n