2LRN4 security awareness platform
← Volver a la base de conocimientos

¿Qué requisitos de cumplimiento obligan a una formación de concienciación?

Explicación práctica sobre requisitos cumplimiento formación concienciación para organizaciones que quieren mejorar de forma estructural el comportamiento seguro.

Actualizado recientemente

De la información a la acción

Descubra cómo convertir este tema en un programa de concienciación práctico con formación, simulaciones de phishing e informes claros para dirección.

Reservar demo Ver la página de solución principal
Alain Rees
Fundador y especialista en concienciación sobre seguridad · 2LRN4

En 2026 la formación de concienciación en seguridad ya no figura solo en una directiva interna, sino en varias leyes y normas a la vez. La Ley neerlandesa de Ciberseguridad (NIS2), DORA, ISO 27001, el RGPD, NEN 7510 y el Reglamento IA de la UE incluyen sus propios requisitos sobre concienciación y formación. ¿Cuál se aplica a su organización, qué exigen exactamente y cómo se combinan en un único programa funcional en lugar de cinco trayectos paralelos?

NIS2 y la Ley de Ciberseguridad: la base general

La directiva NIS2 se aplica en los Países Bajos a través de la Ley de Ciberseguridad (Cbw), que sustituye a la antigua Wbni. Cubre sanidad, finanzas, energía, agua potable, infraestructuras digitales, administración y educación superior, entre otros.

Artículo 21 NIS2 (Cbw artículo 21): política de seguridad con un componente explícito de concienciación y formación. Documentada y cumplimiento demostrable.

Artículo 20 NIS2 (Cbw artículo 24) introduce una obligación de formación del consejo con responsabilidad personal.

DORA para el sector financiero: lex specialis

Desde el 17 de enero de 2025 DORA rige para todas las entidades financieras de la UE. Reglamento, directamente aplicable, prevalece donde se solapa con el Cbw.

Artículo 13 DORA: programas de concienciación ICT y formación de resiliencia operativa digital. Base regular para todos, especializada para funciones críticas, por rol, consejo, medición de eficacia.

En la práctica: un programa DORA integrado más adición Cbw.

ISO 27001 y NEN 7510: requisitos basados en normas

ISO 27001:2022 cláusula 7.2 exige concienciación formal; Anexo A.7.2 un programa formalizado.

NEN 7510 añade en sanidad formaciones sectoriales: datos médicos, seguridad del paciente, cadena.

ISO 27001 y NEN 7510 cubren casi los mismos requisitos para sanidad, con énfasis distintos.

RGPD: concienciación como medida del responsable

El RGPD menciona menos la concienciación, pero el artículo 39 (DPO) incluye "sensibilización y formación del personal que participe en las operaciones de tratamiento".

El supervisor pregunta tras una fuga por el estado del programa. Sin programa documentado: riesgo de multa adicional solo por concienciación insuficiente.

Formación anual demostrable para todos los que trabajan con datos personales.

Reglamento IA UE: alfabetización IA desde febrero de 2025

Desde el 2 de febrero de 2025 el artículo 4 del Reglamento IA obliga a toda organización que use IA a procurar alfabetización IA en sus empleados.

Concretamente: un módulo IA en el programa: qué es la IA, riesgos, servicios aprobados, límites, datos prohibidos en sistemas públicos.

Módulo de cuatro a seis minutos, anual, actualizado.

Cómo combinar todos los requisitos en un programa funcional

Ni cinco programas separados ni cinco trayectos paralelos: un plan anual integrado:

  • Programa base para todos. Phishing, contraseñas, seguridad física, alfabetización IA, protección de datos.
  • Módulos por rol. Finanzas, TI, RR. HH., sanidad.
  • Formación del consejo. Cbw artículo 24 y DORA artículo 13.
  • Simulaciones de phishing periódicas. Cuatro a seis al año, modernas.
  • Administración demostrable. Plataforma central, lista para auditoría.

Qué piden los supervisores en concreto

Tres elementos: política documentada con objetivos, prueba de ejecución, prueba de eficacia (simulaciones).

No esperar un incidente. Plataforma con informes de auditoría a demanda. Cbw: notificación 24/72 horas.

Actualizar al menos anualmente. Programa vivo.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Artículos relacionados

Fuentes

FAQ

¿Es obligatoria la formación en concienciación?

Sí, bajo varios marcos: NIS2/Cbw, DORA, RGPD, ISO 27001, Reglamento IA.

¿Qué exigencia es la más estricta?

Para finanzas: DORA. Para el resto: Cbw con formación del consejo obligatoria y responsabilidad personal.

¿Qué es el artículo 24 del Cbw?

Obligación de formación regular del consejo en riesgos cibernéticos, con responsabilidad personal por incumplimiento.

¿Qué es la alfabetización IA?

Los empleados deben entender qué es la IA, sus riesgos, cómo usarla con responsabilidad y qué datos no van a sistemas públicos.

¿Cuántas horas de formación al año bastan?

Ningún marco fija horas. En la práctica: 20-30 minutos por persona y año en microlearning, más por rol y consejo.

¿Debo guardar las evidencias de formación?

Sí, listas para auditoría. Plataforma con participación, terminación, simulaciones.

¿Un solo programa para todos los requisitos?

Sí: un plan anual integrado cubre NIS2, Cbw, DORA, RGPD, ISO 27001 y Reglamento IA.

Fuente externa: European Commission - NIS2 Directive

Lectura relacionada
DORA para instituciones financieras — qué significa la concienciación → Protección de datos y privacidad: esenciales del RGPD para empleados →
Siguiente paso

Use este artículo como base y luego vea cómo 2LRN4 traduce el tema en segmentación de audiencias, formación e informes.

Reservar demo Descargar la guía Más artículos