¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

La obligación de formación del consejo bajo NIS2 en España

España transpuso la directiva NIS2 mediante el Real Decreto-ley 7/2025, que actualiza el régimen anterior del RDL 12/2018 y sitúa la supervisión bajo el Centro Criptológico Nacional (CCN-CERT) y el INCIBE. El nuevo marco obliga al órgano de gobierno de las entidades esenciales e importantes a aprobar las medidas de gestión de riesgos, supervisar su aplicación y completar formación periódica. Este artículo explica el alcance, los contenidos exigibles y las sanciones que pueden recaer personalmente sobre los administradores.

¿A quién obliga la formación del órgano de gobierno?

La obligación se aplica al órgano de gobierno de toda entidad designada como esencial o importante por el Real Decreto-ley 7/2025. En la práctica societaria española eso abarca:

Consejo de administración y consejeros delegados de sociedades anónimas y limitadas
Administradores únicos, solidarios o mancomunados en entidades sin órgano colegiado
Comité de dirección y alta dirección de operadores de servicios esenciales (energía, transporte, sanidad, agua, infraestructura digital)
Órganos rectores de universidades y entidades del sector público que presten servicios esenciales
Consejeros y directivos de entidades financieras, sin perjuicio del régimen específico de DORA y de la supervisión del Banco de España y la CNMV

¿Qué contenidos exige la norma?

El Real Decreto-ley 7/2025 reproduce el artículo 20 de NIS2: los miembros del órgano de gobierno deben recibir formación que les permita identificar los riesgos de ciberseguridad, valorar su impacto sobre la entidad y los servicios prestados, y adoptar las decisiones oportunas. El CCN-CERT ha publicado guías que sirven como referencia práctica, en línea con el Esquema Nacional de Seguridad (ENS) aplicable al sector público y a sus proveedores.

Los contenidos esperados incluyen: panorama actual de amenazas (ransomware, ingeniería social, cadena de suministro), obligaciones derivadas de NIS2 y del ENS, papel del órgano de gobierno, responsabilidad personal de los administradores, procedimientos de notificación de incidentes al CCN-CERT y al INCIBE-CERT, y la traducción del riesgo técnico en decisiones estratégicas.

Es esencial que la formación esté concebida para responsables de decisión. Un módulo genérico de concienciación dirigido al personal no satisface la obligación: el CCN-CERT lo señala expresamente en sus orientaciones.

Frecuencia y duración

La norma exige una formación periódica. Las orientaciones del CCN-CERT y de INCIBE coinciden en un mínimo de una sesión formal anual por miembro del órgano de gobierno, completada con actualizaciones tras incidentes significativos o cambios normativos relevantes.

La inversión razonable se sitúa entre 4 y 8 horas por persona y año: 2 a 3 horas de formación inicial, 2 a 3 horas de profundización y 1 a 2 horas de ejercicio de simulación o table-top. Varias sesiones breves de 30 a 60 minutos funcionan mejor en la práctica que una única sesión anual prolongada.

Los administradores recién nombrados deben completar la formación en los seis meses siguientes al nombramiento. Para los miembros en activo se aplica un período de adaptación de 12 a 24 meses desde la entrada en vigor del Real Decreto-ley, con renovación anual posterior.

Documentación y evidencia ante el CCN-CERT

En una inspección del CCN-CERT, INCIBE o autoridad sectorial, la primera pregunta es casi siempre: «demuestren que el órgano de gobierno ha recibido formación». Qué documentar:

Por miembro: nombre, fecha, contenido, duración, proveedor y prueba de finalización (certificado o registro de plataforma)
Por entidad: plan de formación del ejercicio en curso y del siguiente, vinculado a nombramientos y renovaciones
Por orden del día: reuniones del consejo donde se trató la ciberseguridad, con actas que acrediten el tratamiento del tema
Por incidente: momento de la información al órgano de gobierno, decisión adoptada y acción de seguimiento acordada
Los registros inalterables con sello de tiempo y pista de auditoría son notablemente más sólidos que certificados o correos sueltos

Responsabilidad personal y régimen sancionador

El Real Decreto-ley 7/2025 introduce responsabilidad personal directa de los miembros del órgano de gobierno en caso de incumplimiento culpable de sus deberes de ciberseguridad. Esto se suma al régimen general de responsabilidad de administradores previsto en la Ley de Sociedades de Capital.

A nivel de entidad, las sanciones pueden alcanzar los 10 millones de euros o el 2 % de la cifra de negocios anual mundial para entidades esenciales, y 7 millones o el 1,4 % para entidades importantes. El CCN-CERT puede además, en supuestos graves, suspender temporalmente a un administrador del ejercicio de funciones directivas. Se añaden la responsabilidad civil por daños a terceros y, en caso de ocultación deliberada de incidentes, consecuencias penales.

Es culpable, típicamente, quien conoce o debiera razonablemente conocer un riesgo y no adopta medidas apropiadas. Un administrador que pueda acreditar formación, inscripción del tema en el orden del día y decisiones razonadas estará en general protegido.

Errores frecuentes en la práctica española

El CCN-CERT, INCIBE y las autoridades sectoriales observan patrones recurrentes susceptibles de calificarse como negligencia culpable:

Usar módulos genéricos de concienciación para el órgano de gobierno en lugar de formación específica de gobernanza — formalmente una casilla, no una prueba válida
Delegar la ciberseguridad por completo en el CISO sin verificación efectiva por parte del consejo — NIS2 exige supervisión activa, no solo aprobación formal
Ausencia de actas de reuniones donde se trató la ciberseguridad — sin punto en el orden del día, la autoridad considera que no ha habido tratamiento
Confusión entre cumplimiento y seguridad — una entidad puede ser conforme con NIS2 y el ENS sobre el papel y, al mismo tiempo, vulnerable en la práctica
Onboarding tardío de nuevos administradores — una formación que se retrase más de doce meses tras el nombramiento genera una brecha inmediatamente detectable en auditoría

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Fuentes

FAQ

¿Puede impartirse la formación en línea?

Sí. El Real Decreto-ley 7/2025 no impone un formato. Formación en línea, híbrida y presencial son equivalentes, siempre que la finalización sea demostrable y el contenido se ajuste a los criterios del CCN-CERT. Los módulos cortos de 30 a 60 minutos suelen encajar mejor en la agenda de los administradores que una única sesión anual prolongada.

¿Aplica también al consejo asesor o a los consejeros no ejecutivos?

La obligación se dirige al órgano de gobierno en el sentido de NIS2. En una estructura típica española eso abarca al consejo de administración en pleno, incluidos los consejeros no ejecutivos en cuanto participan en la aprobación de las medidas y en la supervisión. Los órganos meramente consultivos quedan fuera, salvo que asuman funciones decisorias.

¿Qué ocurre si un administrador se niega a recibir formación?

Formalmente es un incumplimiento de la entidad y materialmente del administrador. El consejo o la junta general deben intervenir. Ante una negativa persistente cabe la revocación del cargo; en último extremo, el CCN-CERT puede adoptar medidas coercitivas.

¿Vale un MBA con asignatura de ciberseguridad?

Rara vez. La formación debe estar demostrablemente orientada al papel de un administrador de entidad NIS2. Una asignatura MBA generalista difícilmente alcanza la especificidad que esperan el CCN-CERT y las autoridades sectoriales. Una formación dedicada de board cyber con contexto español es claramente más sólida.

¿Qué presupuesto es razonable?

Para un programa profesional con certificación, e-learning y sesión anual de actualización, calcule entre 500 y 2.000 euros por administrador y año. Para entidades pequeñas los programas sectoriales colectivos suelen ser más ventajosos; los grupos grandes operan habitualmente una academia interna de gobernanza, más eficiente a gran escala.

¿Cómo se articula esto con la concienciación general del personal?

Son dos obligaciones distintas. La formación del órgano de gobierno deriva del artículo 20 de NIS2 transpuesto por el Real Decreto-ley 7/2025; la concienciación general del personal forma parte de las medidas de gestión de riesgos del artículo 21 y del Esquema Nacional de Seguridad. Ambas son obligatorias y complementarias, y deben gestionarse como programas separados con contenidos y métricas propios.