¿Qué exige el Artículo 20 de NIS2 a los miembros del consejo en materia de concienciación?

El Artículo 20 de NIS2 exige que los órganos de dirección de las entidades esenciales e importantes sigan formaciones en ciberseguridad ellos mismos y animen a los empleados a hacer lo mismo. El consejo de administración tiene la responsabilidad final del programa de concienciación.

¿Qué exige el Artículo 21 de NIS2 para la formación de empleados en concienciación?

El Artículo 21 de NIS2 menciona la formación y sensibilización de los empleados como medida concreta de gestión de riesgos. Las organizaciones deben demostrar formación periódica, una estructura de repetición y seguimiento del progreso por empleado y departamento.

¿Qué nivel de demostrabilidad se requiere para una auditoría NIS2?

Una auditoría NIS2 requiere informes exportables sobre participación, comportamiento (tasa de clic, tasa de notificación) y progreso por departamento o entidad. Los informes del consejo deben estar disponibles al menos trimestralmente, con planificación anual documentada y KPIs definidos.

¿La simulación de phishing cuenta como prueba para el cumplimiento de NIS2?

Sí. Las simulaciones de phishing se enmarcan en el Artículo 21(f) como medida de gestión de riesgos conductual. Los resultados — tasa de clic, tasa de notificación, seguimiento — son pruebas auditables de que la organización trabaja activamente en la mejora del comportamiento.

¿A qué organizaciones se aplica NIS2?

NIS2 se aplica a entidades esenciales e importantes en sectores que incluyen sanidad, energía, transporte, finanzas, agua, infraestructura digital y administraciones públicas. Los umbrales se basan en el tamaño de la organización y el impacto social.

NIS2 Checklist

Lista de verificación de concienciación NIS2 — ¿qué debe ser demostrable?

NIS2 obliga a las organizaciones no solo a organizar la concienciación de seguridad, sino también a hacerla demostrable. Esta lista de verificación ayuda a evaluar si su programa cumple los requisitos de los Artículos 20 y 21 y está listo para auditoría o informes de dirección.

Book a demo NIS2 awareness platform

This checklist is based on NIS2 Directive Articles 20 (management training and awareness) and 21 (risk management measures, including employee training). Use it as an internal assessment tool, not legal advice.

A. Responsabilidad a nivel del consejo (art. 20)

El consejo es consciente de manera demostrable de las obligaciones de concienciación de NIS2.
Los miembros del consejo han completado o están inscritos en una formación en ciberseguridad según el Artículo 20.
Existe una responsabilidad designada del programa de concienciación a nivel del consejo.
Los informes del consejo sobre concienciación se preparan y conservan al menos trimestralmente.
La organización puede demostrar que la dirección está activamente involucrada en la evaluación de riesgos.

B. Formación y concienciación de empleados (art. 21)

Todos los empleados en el ámbito reciben al menos una formación de concienciación de seguridad al año.
Las formaciones cubren temas relevantes para NIS2: phishing, ransomware, control de acceso, notificación de incidentes, terceros.
La finalización por empleado y departamento es trazable y exportable.
La incorporación incluye un componente de concienciación de seguridad para los nuevos empleados.
Hay una diferenciación demostrable en la formación por grupo de riesgo o rol (segmentación).
Hay una estructura de repetición: la concienciación se ofrece periódicamente, no solo una vez.

C. Simulación de phishing como medida de riesgo (art. 21 f)

La organización realiza simulaciones de phishing como parte de la gestión de riesgos.
Los resultados se rastrean: tasa de clic, tasa de notificación, comportamiento post-simulación.
Los empleados que hacen clic son orientados, no sancionados (cultura libre de culpas).
El seguimiento del phishing está vinculado a formación o explicaciones específicas.
Se mantiene una frecuencia mínima de simulación de 4 a 6 veces al año.

D. Informes y pruebas de auditoría

Los informes están disponibles por período, departamento, entidad o audiencia.
Están disponibles resúmenes exportables de participación, progreso y desarrollo conductual.
El programa tiene un plan anual documentado con temas y momentos programados.
Los KPIs para la concienciación están definidos (finalización, tasa de clic, tasa de notificación).
Las pruebas de auditoría están disponibles para revisiones externas o evaluaciones internas.

E. Integración de procesos

La gestión de usuarios está conectada a RR.HH. o Active Directory (sin listas manuales).
Las salidas de empleados revocan automáticamente las licencias o bloquean el acceso.
Hay momentos de comunicación interna en torno a temas de concienciación (boletín, intranet, vídeo de líderes).
El programa se revisa para su efectividad y se ajusta al menos anualmente.
Existe un camino de escalada cuando las audiencias se retrasan en la finalización o el comportamiento.

Download as PDF

Save this checklist as a PDF for internal use, your audit file or board reporting. Enter your email and receive a personalized NIS2 recommendations report.

Please enter a valid email address.

What next?

¿Quiere ver cómo 2LRN4 apoya cada paso de esta lista de verificación? Reserve una demo y la recorremos juntos según la situación de su organización.

Book a demo Take the NIS2 readiness check

NIS2 awareness platform How to build a security awareness program Board reporting for awareness Phishing simulation as a risk measure