2LRN4 security awareness platform
← Volver a la base de conocimientos

Cbw artículo 24: la obligación de formación del consejo explicada

Explicación práctica sobre cbw artículo 24 formación para organizaciones que quieren mejorar de forma estructural el comportamiento seguro.

Actual

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

El artículo 24 de la Ley neerlandesa de Ciberseguridad (Cbw) obliga a los miembros del consejo de organizaciones bajo la Cbw a completar formación demostrable en ciberseguridad, e impone responsabilidad personal por negligencia culpable. Es una transposición directa del artículo 20 de NIS2. ¿Quién entra, qué debe cubrir la formación, cómo documentarla y cuáles son las consecuencias del incumplimiento? Todo lo que los consejos deben saber sobre Cbw art. 24.

¿A quién se aplica la obligación de formación del consejo?

El requisito de formación de Cbw art. 24 se aplica a "las personas que pertenecen al órgano que ostenta la dirección" de una entidad bajo la Cbw. En términos neerlandeses se traduce a:

  • Consejos de Administración (Raad van Bestuur, órgano ejecutivo)
  • Consejos de Supervisión (Raad van Toezicht / Raad van Commissarissen, órgano supervisor)
  • Direcciones y administradores únicos en entidades sin consejo formal
  • Concejales, diputados provinciales y miembros del consejo ejecutivo diario en entidades públicas
  • Miembros del consejo rector de universidades y escuelas superiores (la educación superior entra en la Cbw)

¿Qué debe cubrir la formación?

La Cbw no prescribe un currículo específico, pero el Cyberbeveiligingsbesluit (Cbb) y los reguladores han publicado orientaciones. La formación debe permitir a los miembros del consejo identificar los riesgos de ciberseguridad y evaluar su impacto sobre la organización y sus servicios.

En la práctica eso cubre: panorama actual de amenazas (ransomware, ingeniería social, cadena de suministro), obligaciones Cbw y rol de gobernanza, responsabilidad personal, notificación y escalado de incidentes significativos, y traducción del riesgo técnico en estrategia de negocio.

Importante: la formación debe estar demostrablemente dirigida a tomadores de decisiones. Un módulo genérico de concienciación diseñado para empleados no es suficiente, los consejos necesitan formación a nivel de gobernanza, no de usuario.

Frecuencia y alcance

Cbw art. 24 dice "regularmente". Las orientaciones de los reguladores lo interpretan como un mínimo de una sesión formal anual por miembro, complementada con actualizaciones intermedias ante incidentes relevantes o cambios normativos.

La inversión total es típicamente 4–8 horas por miembro al año: 2–3h formación inicial, 2–3h refresco/profundización, 1–2h ejercicio de escenario o table-top. Varias sesiones cortas de 30–60 minutos funcionan mejor que una única sesión anual larga.

Los nuevos miembros deben completar la formación en los 6 meses siguientes a su nombramiento. Para los existentes suele aplicarse un período de adaptación de 12–24 meses desde la entrada en vigor de la Cbw, después renovación anual.

Documentación y evidencia

La evidencia es esencial: en acciones de supervisión la primera pregunta casi siempre es "demuestre que el consejo ha sido formado". Qué documentar:

  • Por miembro: nombre, fecha, contenido, duración, proveedor, prueba de finalización (certificado o log de plataforma)
  • Por organización: calendario de formación del ejercicio actual y siguiente, vinculado a nombramientos y renovaciones
  • Por orden del día: reuniones del consejo donde se trató la ciberseguridad, con actas que muestren el tratamiento del tema
  • Por incidente: cuándo se informó al consejo, qué decisión se tomó, qué acción de seguimiento se acordó
  • Logs inalterables (sellos de tiempo + audit-trail) son sustancialmente más sólidos que certificados o correos sueltos

¿Qué significa concretamente la responsabilidad personal?

Cbw art. 24 introduce responsabilidad personal directa para los miembros del consejo en caso de negligencia culpable en ciberseguridad. Es una ruptura con el régimen anterior donde solo la organización era responsable.

En casos graves los reguladores pueden: imponer multas personales, suspender temporalmente a miembros y, ante sospecha de actos punibles (como ocultar deliberadamente notificaciones de incidentes), trasladar el caso a la Fiscalía. Adicionalmente es posible la responsabilidad civil por daños a terceros.

"Culpable" significa típicamente: saber o tener que saber razonablemente que existe un riesgo y no tomar medidas apropiadas. Un miembro que puede demostrar haber completado formación, haber puesto el riesgo en la agenda y haber tomado decisiones razonables suele estar protegido. Uno que nunca se formó y delega sistemáticamente la ciberseguridad sin juicio propio, no.

Errores frecuentes

En la primera ronda de implementación los reguladores ven los mismos patrones que pueden interpretarse como negligencia culpable:

  • Usar módulos genéricos de concienciación para el consejo en lugar de formación específica de gobernanza. Es una "casilla", no formación de consejo demostrable.
  • Delegar completamente la ciberseguridad al CISO sin que el consejo verifique el estado. La Cbw exige pilotaje activo, no solo aprobación formal.
  • Sin documentación de las reuniones del consejo donde se discutió la ciberseguridad. Sin punto en la agenda = sin atención desde la perspectiva de supervisión.
  • Confusión entre "cumplimiento" y "seguridad". Una organización puede ser conforme Cbw en el papel y a la vez vulnerable en la práctica. Los consejos deben distinguir ambos.
  • Onboarding tardío de nuevos miembros, si un nuevo miembro recibe formación solo tras 12 meses, surge una brecha inmediatamente auditable.
De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Artículos relacionados

Fuentes

FAQ

¿Puede impartirse la formación online?

Sí. Cbw art. 24 no prescribe un formato específico. Formación online, híbrida y presencial son todas aceptables siempre que la finalización sea demostrable y el contenido sea adecuado. Muchos miembros eligen módulos cortos de 30–60 minutos porque encajan en su agenda.

¿Aplica también al consejo supervisor?

Sí. La Cbw habla de "el órgano que ostenta la dirección", lo que en los Países Bajos incluye tanto el consejo ejecutivo (RvB) como el supervisor (RvT, RvC). Ambos deben cursar formación, eventualmente con énfasis distintos, el órgano supervisor más enfocado en gobernanza, el ejecutivo en decisiones operativas.

¿Qué pasa si un miembro se niega a formarse?

Formalmente es negligencia de la organización; materialmente, del propio miembro. El consejo supervisor puede y debe intervenir. Ante negativa persistente, la junta general puede destituir al miembro; en casos extremos, los reguladores pueden intervenir.

¿Cuenta un MBA con asignatura de ciberseguridad?

No automáticamente. La formación debe estar demostrablemente dirigida al rol cibernético de un miembro Cbw. Una asignatura MBA general rara vez cumple la especificidad que esperan los reguladores. Una "board cyber training" específica con contexto Cbw es más sólida.

¿Cuál es un presupuesto razonable?

Por miembro típicamente €500–€2.000/año para un programa profesional con certificación, e-learning y sesión anual de actualización. Para organizaciones pequeñas, programas sectoriales colectivos suelen ser más ventajosos; para grandes, una academia interna de gobernanza puede ser más eficiente.

¿En qué se diferencia de la concienciación Cbw art. 21?

Cbw art. 21 exige concienciación general para todos los empleados. Cbw art. 24 exige formación específica del consejo. Ambos son obligatorios y complementarios: los empleados aprenden a reconocer riesgos, los consejos aprenden a pilotarlos. En la práctica son dos programas distintos, no un mismo recorrido.

Fuente externa: European Commission - NIS2 Directive

Lectura relacionada
¿Qué es la Ley de Ciberseguridad neerlandesa (Cbw)? → NEN 7510 y concienciación en sanidad →
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos