Desde la entrada en vigor del artículo 24 del Cbw en 2024-2025, la pregunta sobre qué temas de seguridad deben conocer los directivos ya no es académica. Los miembros del consejo y la alta dirección son personalmente responsables de la gobernanza cibernética, y su formación debe reflejar esa responsabilidad: no detalle operativo, sino dirección estratégica, ponderación de riesgo y comportamiento en crisis. ¿Qué debe incluirse en 2026?
Por qué la formación del consejo difiere de la del empleado
Un empleado aprende a detectar phishing y actuar ante una contraseña robada. Un miembro del consejo aprende otra cosa: cómo dirigir el riesgo cibernético, qué preguntas hacer al CISO, cómo codecidir en un incidente, y qué responsabilidad asume.
Bajo el Cbw artículo 24, la formación del consejo es legalmente obligatoria para entidades esenciales e importantes. La responsabilidad es personal.
Una buena formación del consejo no es una versión abreviada de la del empleado, sino un itinerario propio enfocado en decisiones y supervisión.
Los siete temas que sí pertenecen en 2026
Top siete utilizable para formación del consejo:
- Gobernanza cibernética y responsabilidad.
- Análisis y aceptación de riesgo.
- Panorama de amenazas en términos generales.
- Respuesta a incidentes a nivel de consejo.
- Panorama de cumplimiento.
- Gobernanza de IA.
- Informes y cuadros de mando.
Qué no debe estar en la formación del consejo
Algunos temas que aparecen pero no deberían:
Detalles técnicos de cadenas de ataque.
Procedimientos operativos de respuesta.
Simulaciones de phishing sin contexto.
Ejercicios tabletop: el componente más potente
Lo más efectivo no es el e-learning sino un tabletop. Un facilitador plantea un escenario y el consejo toma decisiones en tiempo real.
Tres beneficios: detectar dónde se atasca el proceso, practicar cohesión bajo presión, construir lenguaje común.
Cadencia razonable: dos tabletops al año.
Comunicación y portavocía en crisis
A menudo infravalorado: cómo comunicar durante y después de un incidente.
Tres principios: breve, honesto, consolidado. Un portavoz, sin mensajes contradictorios.
Cbw: notificación en 24/72 horas. No esperar a tener todos los hechos.
Cómo anclar esto en un programa de concienciación
Estructural, no puntual.
Módulo base anual (45-60 min) sobre gobernanza, amenazas, cumplimiento, reporte.
Dos tabletops al año con escenarios variados, facilitados por un externo.
Carta trimestral del CISO al consejo.
Administración demostrable: terminación por miembro, fechas, versiones.
Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.
Ver la página NIS2Artículos relacionados
- Cbw artículo 24: formación del consejo
- ¿Qué es la ley neerlandesa de ciberseguridad (Cbw)?
- Informe al consejo para concienciación
- Requisitos de cumplimiento
Fuentes
- Cyberbeveiligingswet (texto oficial, NL)
- Directiva NIS2 (EUR-Lex)
- World Economic Forum: cybersecurity board toolkit
FAQ
¿Qué temas en formación del consejo bajo Cbw art. 24?
Gobernanza, riesgo, amenazas, respuesta, cumplimiento, IA, reportes. Detalles operativos no.
¿Diferencia con la formación de empleados?
Empleados: reconocer y actuar. Consejo: dirigir, decidir, supervisar.
¿Qué es un tabletop?
Ejercicio estructurado con escenario de crisis. Componente más efectivo. Dos al año recomendados.
¿Debe el consejo saber cómo funciona el ransomware?
En términos generales sí, técnicamente no.
¿Diferencia entre Cbw art. 24 y art. 21?
Art. 24 para consejo, art. 21 para todos los empleados.
¿Con qué frecuencia formar al consejo?
Base anual, dos tabletops, actualización trimestral del CISO.
¿Responsabilidad personal?
Sí, bajo Cbw art. 24. Documentación es defensa.
Fuente externa: European Commission - NIS2 Directive