¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

Roles y responsabilidades NIS2 en torno a la concienciación

Los artículos 20 y 21 de la Directiva NIS2 establecen las obligaciones de gobernanza y gestión de riesgos que debe cumplir toda entidad incluida en su ámbito. En España, esas obligaciones se trasponen mediante el Real Decreto-ley de transposición de NIS2 (2024-2025), articulado con el Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022). La supervisión y la respuesta a incidentes corresponden principalmente al CCN-CERT (sector público e infraestructuras críticas) y al INCIBE-CERT (sector privado), con la AEPD como autoridad de protección de datos. Una concienciación eficaz exige una asignación clara de roles: el consejo dirige y responde, el CISO coordina, TI y RR. HH. ejecutan y el equipo de respuesta a incidentes interviene. Este artículo describe los roles conforme a la normativa española y ofrece un marco de referencia para construir tu propia RACI.

Consejo de administración: dirigir y responder

Conforme al artículo 20 de NIS2 y a su transposición española, la responsabilidad directa de la ciberseguridad recae en el órgano de gobierno de mayor nivel: consejo de administración, comité ejecutivo, dirección general o equivalente. El órgano de gobierno debe aprobar las medidas de gestión de riesgos, supervisar activamente su implantación y realizar formación regular que permita identificar los ciberriesgos y evaluar su impacto sobre la organización.

La responsabilidad personal por incumplimientos graves es una consecuencia directa. En la práctica, el órgano de gobierno incluye la ciberseguridad como punto recurrente del orden del día, documenta las decisiones en las actas y se asegura del estado de la implantación. La delegación íntegra al CISO no es una estrategia válida; los consejeros deben poder debatir con criterio propio.

En las organizaciones grandes, el consejo designa con frecuencia a un consejero responsable de ciberseguridad. Este actúa como patrocinador del programa, destinatario de los informes y primer interlocutor frente al CCN-CERT o el INCIBE. La responsabilidad sigue siendo colegiada y no se limita a esa figura.

CISO o responsable de seguridad de la información

El CISO (Chief Information Security Officer) o, en organizaciones más pequeñas, el responsable de seguridad de la información asume la responsabilidad operativa de definir, mantener y supervisar la política de seguridad. Esta función debe estar explícitamente dotada, con mandato suficiente y acceso directo al órgano de gobierno.

Funciones concretas: análisis de riesgos, mantenimiento del SGSI (Sistema de Gestión de la Seguridad de la Información), dirección de los programas de concienciación, definición y reporte de indicadores al consejo, relación con el CCN-CERT, el INCIBE-CERT y autoridades sectoriales (CNMV, Banco de España, Ministerio de Sanidad), coordinación de incidentes con TI y asesoría jurídica.

Importante: el CISO no opera personalmente las medidas técnicas; esa es función del área de TI. El CISO actúa como segunda línea de defensa: define requisitos, controla y reporta. En estructuras pequeñas, la función puede combinarse con la de DPD o responsable de riesgos, siempre que se preserven independencia y mandato.

Operación TI y CSIRT

El área de operación TI (interna o externalizada a un proveedor de servicios gestionados) implanta las medidas técnicas: parcheo, segmentación, supervisión, copias de seguridad y restauración, gestión de identidades y accesos, protección de los equipos. Estas medidas integran las «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» exigidas por NIS2.

El CSIRT (Computer Security Incident Response Team) gestiona los incidentes desde la detección hasta la restauración y la lección aprendida. La notificación se realiza en tres fases: alerta temprana en 24 horas, informe intermedio en 72 horas, informe final en un mes, canalizada a través del CSIRT competente (CCN-CERT para el sector público e infraestructuras críticas, INCIBE-CERT para el sector privado, o el CSIRT sectorial pertinente).

En España, el CSIRT puede cooperar con el CCN-CERT y con CSIRTs sectoriales (CSIRT-CV en la Comunidad Valenciana, AndalucíaCERT, BasqueCSIRT, CSIRT autonómicos), así como con ISACs sectoriales. La adhesión a un ISAC facilita la vigilancia y la asistencia mutua en caso de incidente grave.

RR. HH., comunicación y responsable de concienciación

La obligación de formación no es una tarea exclusivamente técnica. Recursos humanos ancla la seguridad en la política de personas: formación de bienvenida para nuevas incorporaciones, reciclaje anual, registro de la participación en el sistema de RR. HH., consecuencias en caso de incumplimiento reiterado.

El responsable del programa de concienciación (frecuentemente adscrito al CISO o a RR. HH.) diseña y coordina el programa: selección de contenidos, calendario, simulaciones de phishing, comunicación, informes. En organizaciones grandes es una función diferenciada; en las más pequeñas se combina con CISO o comunicación interna.

Adicionalmente, muchas organizaciones designan propietarios de riesgo por unidad de negocio: responsables de línea que asumen los riesgos de sus propios procesos y trasladan los mensajes de concienciación al día a día. Así se evita que la seguridad quede confinada a las funciones centrales.

Articulación con el ENS y las autoridades sectoriales

En España, la transposición de NIS2 convive con el Esquema Nacional de Seguridad (ENS) regulado por el Real Decreto 311/2022. El ENS es obligatorio para el sector público y sus proveedores, con su propia estructura de roles (responsable de la información, responsable del servicio, responsable de seguridad, responsable del sistema). En las entidades públicas, esta estructura coexiste con la gobernanza NIS2 y, en la práctica, suele integrarse en un único marco de gobierno.

Las autoridades sectoriales conservan competencias específicas: CNMV y Banco de España para el sector financiero, CNMC para telecomunicaciones, Ministerio de Sanidad y autoridades autonómicas para la sanidad. La AEPD mantiene su competencia en protección de datos y puede actuar en paralelo a la autoridad NIS2 cuando un incidente afecta a datos personales.

Para grupos con presencia en varios Estados miembros, la regla del establecimiento principal del artículo 26 de NIS2 designa el régimen nacional aplicable con carácter general; las obligaciones sectoriales pueden, sin embargo, aplicarse en paralelo en cada país de operación. Una coordinación temprana con cada autoridad implicada evita lagunas y duplicidades.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Fuentes

FAQ

¿Todos los miembros del consejo deben formarse o basta con el consejero responsable de ciberseguridad?

El artículo 20 apartado 2 de NIS2 es claro: todos los miembros del órgano de gobierno deben recibir formación regular. La figura de un consejero responsable puede actuar como patrocinador e interlocutor, pero no exime a los demás miembros de su obligación individual de formación ni de la responsabilidad colegiada.

¿Qué diferencia hay entre CISO y DPD?

El CISO se responsabiliza de la seguridad de la información en sentido amplio (confidencialidad, integridad, disponibilidad), mientras que el DPD (Delegado de Protección de Datos) vela específicamente por el cumplimiento del RGPD en los tratamientos de datos personales. Ambas funciones pueden cooperar, pero deben mantener su independencia organizativa para evitar conflictos de interés.

¿Se puede externalizar la función de CISO?

Sí. El modelo de CISO externo o CISO-as-a-service es posible y resulta a menudo práctico para entidades de tamaño medio. Requisitos: disponibilidad suficiente, mandato claro, línea de reporte directa al órgano de gobierno y ausencia de conflicto de intereses con otras prestaciones (por ejemplo, el proveedor del SOC). La responsabilidad última del órgano de gobierno permanece inalterada.

¿Quién notifica un incidente a la autoridad?

Operativamente, el CSIRT realiza la notificación, con la conformidad del CISO y la información al órgano de gobierno. Jurídicamente, la entidad es la obligada; la persona firmante depende del régimen interno. La notificación se canaliza a través del CCN-CERT (sector público e infraestructuras críticas) o del INCIBE-CERT (sector privado), conforme al ámbito de aplicación.

¿Cómo se documenta la asignación de roles de cara a una auditoría?

Elabora una matriz RACI (Responsible, Accountable, Consulted, Informed) para las obligaciones NIS2, vincúlala a las descripciones de puesto y formaliza la responsabilidad del órgano de gobierno mediante un acuerdo del consejo. Incorpora los roles al manual del SGSI y al plan de respuesta a incidentes. La combinación de RACI y acuerdo del consejo constituye la prueba más sólida en una auditoría.

¿El personal de RR. HH. también debe formarse en obligaciones NIS2?

Sí, al menos las personas de RR. HH. que planifican o registran las formaciones de concienciación. Deben conocer las evidencias exigidas en una auditoría (registros de participación, certificados, frecuencia de reciclaje) y la manera en que las nuevas incorporaciones reciben su formación inicial en un plazo razonable (normalmente entre 30 y 90 días). Un briefing de gobernanza de una hora suele bastar.