Higiene cibernética y formación en seguridad NIS 2 conforme al artículo 21(2)(g)
El artículo 21(2)(g) NIS 2 abarca su plantilla. El artículo 20(2) abarca su órgano de dirección. Dos deberes separados. El §8 del CIR (UE) 2024/2690 establece lo que significa realmente el deber relativo a la plantilla: un programa de concienciación para todos, más formación específica por funciones para las personas en puestos relevantes para la seguridad.
La versión breve
El artículo 21(2)(g) incluye la higiene cibernética y la formación en seguridad en la lista de diez medidas de ciberseguridad que toda entidad esencial e importante debe tener implantadas. El deber abarca a todas las personas de la entidad, incluido el órgano de dirección y los proveedores directos.
El §8 del CIR (UE) 2024/2690 divide el deber en dos partes. El §8.1 es concienciación: un programa que llega a cada miembro del personal, repetido periódicamente, alineado con su política de seguridad de la información y su panorama de amenazas real, que cubre las amenazas, los puntos de contacto y los recursos. El §8.2 es formación específica por funciones: identifica al personal en puestos relevantes para la seguridad, lo forma en la configuración y operación seguras, las amenazas conocidas y cómo comportarse durante un evento relevante para la seguridad.
Este no es el mismo deber que el del artículo 20(2). El artículo 20(2) es la formación del propio órgano de dirección, sobre riesgos de ciberseguridad y prácticas de gestión. El artículo 21(2)(g) es la formación del resto de la organización. Necesita ambos. Los auditores comprueban ambos.
Artículo 21(2)(g) de la Directiva NIS 2 (2022/2555)
Prácticas básicas de higiene cibernética y formación en materia de ciberseguridad.
Este es el punto (g) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante debe implantar. Es el deber relativo a toda la plantilla, distinto de la formación del órgano de dirección del artículo 20(2).
CIR (UE) 2024/2690, Anexo §8
A efectos del artículo 21(2)(g) de la Directiva (UE) 2022/2555, las entidades pertinentes garantizarán que sus empleados, incluidos los miembros del órgano de dirección y los proveedores directos, sean conscientes de los riesgos, estén informados de la importancia de la ciberseguridad y apliquen prácticas de higiene cibernética.
Como se trata de un reglamento (no de una directiva), es Derecho de la UE directamente vinculante. El §8.1 establece el programa de concienciación. El §8.2 establece el deber de formación específica por funciones. Se aplica a los proveedores de DNS, los registros de TLD, los proveedores de nube y de centros de datos, los MSP, los prestadores de servicios de confianza y los demás sectores enumerados en su Anexo.
§30(2)(7) BSIG (Alemania)
Procedimientos básicos en el ámbito de la higiene cibernética y formación en el ámbito de la ciberseguridad.
Alemania copia de cerca el texto de la UE. La vía de implementación que señala el BSI es el Baustein ORP.3 de IT-Grundschutz 'Sensibilisierung und Schulung zur Informationssicherheit', que cubre tanto la parte de concienciación como la parte específica por funciones.
Programa de concienciación para todos
Un programa que llega a cada miembro del personal, incluido el órgano de dirección y los proveedores directos. Repetido periódicamente, no puntual. Las nuevas incorporaciones quedan recogidas. El contenido está alineado con su política de seguridad de la información y su panorama de amenazas real. Cubre las amenazas cibernéticas que realmente le afectan, los puntos de contacto si algo parece anómalo y los recursos que el personal puede utilizar.
Formación específica por funciones para puestos relevantes para la seguridad
Identifique qué funciones necesitan competencias relevantes para la seguridad. Después forme a esas personas en tres cosas: cómo configurar y operar los sistemas que manejan (incluidos los dispositivos móviles), las amenazas conocidas que afectan a su trabajo y cómo comportarse durante un evento relevante para la seguridad. Más amplio que TI: el servicio de asistencia, los desarrolladores, RR. HH. y finanzas pueden encajar todos.
Nuevas incorporaciones y actualización periódica
Ambas partes del §8 establecen que el programa debe llegar al nuevo personal en puestos relevantes para la seguridad y actualizarse con regularidad. Eso significa un paso de incorporación dentro de los procesos de RR. HH., más una cadencia de revisión del propio plan de estudios, de modo que el contenido siga las amenazas a las que se enfrenta hoy en lugar de las amenazas a las que se enfrentaba hace dos años.
La concienciación y la formación por funciones son dos programas distintos
El §8.1 y el §8.2 no son lo mismo reempaquetado. La concienciación llega a todos. La formación por funciones llega a las personas cuyo trabajo crea o controla exposición a la seguridad. El contenido es diferente, la cadencia es diferente, la prueba es diferente. Si su plan de formación solo tiene un programa, le falta uno de los dos deberes.
El contenido de la formación refleja su panorama de riesgos real
El §8.1 establece que el programa de concienciación debe estar 'alineado con la política de seguridad de la información y el panorama de riesgos' de la entidad. El contenido genérico sobre phishing pensado para un banco no encajará en un Stadtwerk o una empresa de gestión de residuos. El programa debe seguir las amenazas a las que realmente se enfrenta, los sistemas que realmente opera y los puntos de contacto a los que el personal realmente debe llamar.
BSI / IT-Grundschutz Baustein ORP.3
La vía de implementación del BSI para el §30(2)(7) BSIG es el Baustein ORP.3 de IT-Grundschutz 'Sensibilisierung und Schulung'. ORP.3 cubre tanto la parte de concienciación (sesiones anuales para todo el personal) como la parte específica por funciones (módulos más profundos para administradores, desarrolladores, servicio de asistencia y directivos). También fija expectativas concretas de frecuencia y le exige documentar el plan de estudios, la asistencia y una cadencia de revisión.
Orientaciones técnicas de implementación de ENISA
La TIG de ENISA para el CIR (UE) 2024/2690 asigna el §8 a ISO/IEC 27001:2022 (A.6.3, A.7.2.2 en la numeración antigua), NIST CSF 2.0 (PR.AT) y ETSI EN 319 401. Si ya ejecuta concienciación en seguridad conforme a ISO 27001, la TIG le indica qué controles existentes cubren el §8 y dónde queda la brecha.
Leyes nacionales de transposición
Cada Estado miembro transpone el deber (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El fondo es el mismo porque la directiva fija un único estándar para toda la UE. Lo que difiere: el idioma de la documentación, los canales de notificación y qué autoridad nacional audita los registros de formación.
Hicimos el curso del órgano de dirección, ya hemos terminado con la formación NIS 2.
El artículo 20(2) y el artículo 21(2)(g) son dos deberes separados. El curso del órgano de dirección cubre el artículo 20(2). Su programa para toda la plantilla cubre el artículo 21(2)(g). Uno no sustituye al otro. Un auditor pedirá evidencia de ambos.
Realizamos una simulación de phishing anual, así que la concienciación está cubierta.
Una simulación de phishing es una táctica, no un programa. El §8.1 del CIR exige un programa que cubra las amenazas que le afectan, los puntos de contacto para reportar incidencias y los recursos que el personal puede utilizar. También debe llegar a las nuevas incorporaciones y ejecutarse periódicamente. Una única simulación anual no cumple por sí sola ese criterio.
Formamos al equipo de TI, eso cubre el deber específico por funciones.
El §8.2 establece 'el personal cuyas funciones requieren competencias relevantes para la seguridad'. Eso es más amplio que TI. El personal del servicio de asistencia que restablece contraseñas, los desarrolladores que escriben el código, el personal de RR. HH. que gestiona altas y bajas, el personal de finanzas que gestiona la autorización de pagos. Todos pueden quedar dentro del §8.2. La lista de funciones debe surgir de su panorama de riesgos real, no del organigrama.
Lo que vemos en el Mittelstand alemán: una simulación de phishing anual más un párrafo de seguridad en la presentación de incorporación. Eso no es el §8. El §8 exige un programa escrito, con un público objetivo por módulo, una frecuencia por módulo y un registro por aprendiz de lo que completó y cuándo.
El formato que se sostiene en una auditoría: una vía de concienciación para todos (módulo de incorporación más actualización anual, amenazas y puntos de contacto), y una vía específica por funciones para los puestos relevantes para la seguridad que haya identificado (administradores, desarrolladores, servicio de asistencia, más las funciones de negocio que su análisis de riesgos haya señalado). Documente el plan de estudios, el público, la frecuencia, los registros de finalización y una fecha de revisión del propio plan de estudios.
El módulo de formación (TRN) captura el programa: cada curso, su público objetivo, su frecuencia y un registro de finalización por aprendiz. Puede asignar el plan de concienciación a 'todo el personal' y los módulos específicos por funciones a las funciones que haya definido. La pista de auditoría es la evidencia.
La parte de concienciación del §8.1 se satisface con el curso para directivos de la plataforma (artículo 20(2)) más una vía de concienciación para todo el personal. La parte específica por funciones del §8.2 se satisface añadiendo módulos específicos por funciones y asignándolos al personal que señala su análisis de riesgos. La finalización se registra automáticamente. Los ciclos de reformación los programa el módulo.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21(2)(g) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo §8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(7) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- Baustein ORP.3 de IT-Grundschutz del BSI 'Sensibilisierung und Schulung zur Informationssicherheit'
- Orientaciones técnicas de implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)