Formación del órgano de dirección en NIS 2 conforme al artículo 20(2)
NIS 2 dice que el propio órgano de dirección tiene que formarse en ciberseguridad. No el CISO. No el responsable de TI. El consejo, los administradores, las personas que aprueban las medidas de gestión de riesgos conforme al artículo 20(1).
La versión breve
El artículo 20 NIS 2 es el artículo de gobernanza. El apartado 1 dice que el órgano de dirección tiene que aprobar las medidas de gestión de riesgos, supervisar su implementación y puede ser considerado personalmente responsable si no lo hace. El apartado 2 añade la parte de formación: el propio órgano de dirección recibe formación, y la entidad ofrece formación periódica a todo el personal.
La formación no es delegable. La directiva nombra específicamente al órgano de dirección. Enviar al CISO a un curso no exime del deber. Las personas que aprueban las medidas del artículo 21 necesitan conocimiento suficiente para entender lo que firman.
Alemania incorpora esta regla al Derecho nacional mediante el §38(3) BSIG. La redacción refleja la directiva. Esta página recorre el artículo 20(2), el deber práctico y la transposición alemana en ese orden.
Artículo 20(2) Directiva NIS 2 (2022/2555)
Los Estados miembros velarán por que se exija a los miembros de los órganos de dirección de las entidades esenciales e importantes que sigan una formación, y exigirán a las entidades esenciales e importantes que ofrezcan una formación similar a sus empleados de forma periódica, a fin de que adquieran conocimientos y aptitudes suficientes que les permitan detectar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
Esta es la regla fuente. Nombra al órgano de dirección por su nombre y vincula el contenido de la formación a la identificación de riesgos, la evaluación de riesgos, las prácticas de gestión de la ciberseguridad y el impacto en los servicios de la entidad. También crea el deber de formación del personal para las entidades esenciales e importantes.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión
El CIR establece requisitos técnicos y metodológicos para las medidas del artículo 21(2). No cubre el artículo 20.
A diferencia del artículo 21, el artículo 20 no tiene reglamento de ejecución. El texto de la directiva es el estándar. Las autoridades nacionales y ENISA completan el detalle práctico; no hay una sección del CIR a la que apuntar.
§38(3) BSIG (Alemania)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
El §38 BSIG se sitúa dentro de la ley de implementación de NIS2 (NIS2UmsuCG) y está en vigor desde 2026. Es el anclaje operativo alemán del deber personal de formación. El §38(1) y (2) BSIG añaden el deber de aprobación y la parte de responsabilidad personal. El registro conforme al §33 BSIG vencía el 6 de marzo de 2026.
El propio órgano de dirección recibe formación
Los miembros del órgano de dirección tienen que formarse. Personalmente. La directiva usa el plural ('miembros'), de modo que todo administrador, todo miembro del consejo con responsabilidad operativa, está dentro del ámbito. La prueba de inscripción y finalización es el mínimo legal. La plataforma almacena ambas.
La entidad ofrece formación a todo el personal
La entidad tiene que ofrecer formación a sus empleados de forma periódica. 'Periódica' no está definido; anual es la norma operativa conforme a Grundschutz ORP.3. Concienciación para todos, formación específica por función para el personal de TI. El deber se aplica a toda la plantilla, no solo al equipo técnico.
El contenido cubre riesgos más prácticas de gestión más impacto en el servicio
La directiva nombra cuatro bloques de contenido: identificar riesgos, evaluar riesgos, entender las prácticas de gestión de la ciberseguridad, entender el impacto en los servicios que presta la entidad. Una simulación genérica de phishing no cubre los cuatro. Un curso de nivel directivo sí.
Deber personal del órgano de dirección (artículo 20(1) y 20(2))
El órgano de dirección no puede delegar esto en el CISO, el responsable de TI o el delegado de protección de datos. El artículo 20(1) vincula el deber de aprobación al órgano de dirección. El artículo 20(2) vincula el deber de formación a las mismas personas. Los dos van juntos por diseño. La razón: si aprueba las medidas de gestión de riesgos, necesita entender lo que firma.
La proporcionalidad se aplica a través del artículo 21(1)
El artículo 21(1) dice que las medidas de ciberseguridad deben ser 'adecuadas al riesgo existente', teniendo en cuenta el tamaño, la exposición, la probabilidad, la gravedad, el estado de la técnica y el coste. El requisito de formación se lee bajo la misma lente. Una Stadtwerk de 60 personas necesita una formación seria y documentada; no necesita un programa ejecutivo de varias semanas. Lo que la directiva no permite es la ausencia de formación.
BSI / §38(3) BSIG
Alemania copia la redacción de la directiva casi al pie de la letra en el §38(3) BSIG. La Handreichung del BSI para el §38 (abril de 2026) es únicamente material de investigación no vinculante, no un plan de estudios. El BSI no opera un esquema de acreditación para la formación del artículo 20. La prueba de inscripción más finalización es el mínimo legal.
Guía Técnica de Implementación de ENISA
La TIG de ENISA cubre las medidas del artículo 21. El artículo 20 queda fuera del ámbito de la TIG porque no hay un CIR que implementar aquí. ENISA sí cita el artículo 20 en su material más amplio sobre NIS 2, pero no ha emitido criterios formales de formación.
Leyes nacionales de transposición
Todos los Estados miembros han transpuesto el artículo 20(2) (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). Mismo deber, mismos bloques de contenido. Distintos canales de notificación y distintas autoridades de supervisión. Ninguno de ellos opera tampoco un organismo de acreditación para la formación del artículo 20.
Hemos delegado esto en nuestro CISO.
No puede. El artículo 20(2) nombra explícitamente a 'los miembros de los órganos de dirección'. Enviar al CISO a un curso no exime del deber. El CISO puede ejecutar el programa, elegir el proveedor, construir el contenido. La formación que la directiva exige es para las personas que aprueban conforme al artículo 20(1).
Hicimos un módulo de concienciación en seguridad, así que el órgano de dirección está cubierto.
La formación de concienciación de usuarios no es formación de dirección. El artículo 20(2) enumera cuatro bloques de contenido: identificar riesgos, evaluar riesgos, entender las prácticas de gestión de la ciberseguridad, entender el impacto en los servicios. 'No hagas clic en enlaces de phishing' no está en esa lista. El órgano de dirección necesita formación en prácticas de gestión, no en comportamiento de usuario.
Nuestro seguro D&O cubre la responsabilidad personal, así que la formación es opcional.
No lo hace. El §38(2) BSIG crea responsabilidad personal por incumplimiento de los deberes de dirección conforme al §38. El seguro es algo que se añade por encima. No elimina la obligación subyacente, y la formación en sí es lo que reduce el riesgo subyacente de incumplimiento. Saltarse la formación eleva la responsabilidad, no la reduce.
No hay organismo de acreditación para la formación del artículo 20. No se exige esquema de la DAkkS, marca TÜV ni certificación de los Big Four. El artículo 20(2) nombra inscripción y finalización. Ese es el mínimo legal. Cualquier cosa más allá de eso es opcional e impulsada por el riesgo, no por la ley.
Lo que funciona en el Mittelstand alemán: un curso estructurado que cubra los cuatro bloques de contenido (identificación de riesgos, evaluación de riesgos, prácticas de gestión, impacto en el servicio), inscripción registrada frente a cada miembro del órgano de dirección por su nombre, prueba de finalización almacenada con el registro de auditoría, repaso con una cadencia periódica. Eso se sostiene conforme al artículo 20(2). También encaja con el §38(3) BSIG y con el propio encuadre del BSI en la Handreichung del §38.
Construimos el curso para CEO exactamente para esto. El curso cubre los cuatro bloques de contenido que nombra el artículo 20(2): identificación de riesgos, evaluación de riesgos, prácticas de gestión de la ciberseguridad y el impacto en los servicios que presta la entidad. Cada lección es breve. El curso está hecho para administradores, no para ingenieros de seguridad.
La plataforma registra la inscripción frente a cada miembro del órgano de dirección por su nombre, captura la prueba de finalización y almacena ambas en el registro de auditoría. El mismo registro satisface la expectativa de documentación del §38(3) BSIG. El curso es gratuito, y también lo es la plataforma que lo sostiene.
- Directiva (UE) 2022/2555 (NIS 2), artículo 20 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ley del BSI (BSIG), §38 en su redacción dada por la Ley de Implementación de NIS2 y Refuerzo de la Ciberseguridad (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 de abril de 2026 (no vinculante)
- Materiales de ENISA sobre NIS 2 relativos a las responsabilidades de la dirección — enisa.europa.eu
- IT-Grundschutz ORP.3 (Concienciación y formación)