NIS2: Formación, Responsabilidad Directiva y Medidas de ciberseguridad

NIS2: Formación, Responsabilidad Directiva y Medidas de ciberseguridad

La Directiva NIS2 supone un antes y un después en la forma en que las empresas de sectores críticos y estratégicos deben abordar la ciberseguridad.

Ya no se trata solo de tecnología, la formación del personal, la implicación real de la Dirección y la implantación de medidas organizativas y técnicas pasan a ser obligaciones legales claras.

En este artículo explicamos, de forma práctica, qué deben hacer las empresas sujetas a NIS2 para cumplir con esta Directiva Europea.

¿A qué empresas aplica la NIS2?

De forma general, NIS2 se aplica a empresas que:

  • Operan en sectores esenciales o importantes (energía, salud, transporte, industria, alimentación, servicios digitales, IT, logística, etc.)
  • Tienen 50 o más empleados o 10 millones de euros de facturación
  • O, aun siendo más pequeñas, desempeñan un papel crítico o son designadas por la autoridad competente

Una vez dentro del ámbito de aplicación, las obligaciones no son opcionales.

Formación obligatoria para trabajadores

La NIS2 exige que las empresas garanticen que su personal recibe formación adecuada en ciberseguridad y esto no se limita a un curso genérico ni a tener políticas escritas que nadie conoce. En la práctica, implica:

  • Concienciación frente a phishing e ingeniería social
  • Uso seguro de contraseñas y autenticación multifactor
  • Buenas prácticas en el uso de sistemas, dispositivos y datos
  • Conocimiento de los procedimientos internos de seguridad
  • Saber cómo actuar ante un incidente

Si una empresa implanta medidas de seguridad, las personas que deben aplicarlas tienen que estar formadas, de lo contrario, se considera un incumplimiento.

Formación específica según el rol

NIS2 no exige la misma formación para todos, pero sí:

  • Formación básica para todo el personal
  • Formación técnica o especializada para IT, seguridad y responsables de procesos críticos
  • Formación específica para directivos

Y muy importante, la formación debe ser continua, proporcional al riesgo y documentada.

Responsabilidad de los Directivos

Uno de los aspectos más relevantes y menos comprendidos de la NIS2 es el artículo 20, que introduce una responsabilidad clara de los órganos de dirección.

Lo que exige el artículo 20 a la Dirección es:

  • Aprobar las medidas de gestión de riesgos de ciberseguridad
  • Supervisar activamente su implantación
  • Recibir información periódica sobre riesgos e incidentes
  • Formarse en ciberseguridad para poder tomar decisiones informadas

Ya no es válido:

  • “Eso lo llevaba IT”
  • “No era consciente del riesgo”
  • “Había políticas, pero no se aplicaban”

En casos de negligencia grave, la normativa permite sanciones a la empresa y medidas contra los directivos, incluidas inhabilitaciones temporales según la transposición nacional.

Medidas de seguridad exigidas por la NIS2

El artículo 21 de la NIS2 define las medidas mínimas de gestión de riesgos de ciberseguridad que deben implantar las entidades esenciales e importantes. No exige soluciones desproporcionadas, pero sí medidas reales, coherentes y demostrables.

Lo que realmente mirará el regulador

La NIS2 no se basa solo en “tener” medidas, sino en poder demostrar que funcionan y en una inspección la autoridad puede pedir:

  • Políticas aprobadas por dirección
  • Registros de formación
  • Informes de riesgos
  • Evidencias de supervisión
  • Pruebas de backups y planes de continuidad
  • Actas o reporting a dirección
  • Etc.

 Business Adapter® a tu servicio 

Las organizaciones que empiecen ahora, de forma estructurada y realista, no solo cumplirán la normativa, sino que estarán mucho mejor preparadas frente a ciberataques graves.

Si necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario:

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!