1. Página Principal
  2. Recursos
  3. Cómo realizar la formación y la concienciación según la NIS 2

Cómo realizar la formación y la concienciación según la NIS 2

Artículo de Advisera Dejan KosuticDejan Kosutic 6 min de lectura

La Directiva NIS 2 (SRI 2) impone claramente que todos los empleados, incluidos los directivos, tienen que realizar formación en ciberseguridad. Entonces, ¿por dónde debería comenzar? ¿Qué temas tratar? ¿Cómo organizar todo el proceso?

Al planear la formación en ciberseguridad de la NIS 2, necesita definir lo siguiente:
  • Qué temas tratar en la formación
  • Cómo configurar el proceso de formación
  • Qué métodos utilizar para impartir la formación periódicamente

Qué temas tratar en la formación y concienciación en ciberseguridad de la NIS2

En el Capítulo IV, Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación, la NIS2 enumera varias actividades y medidas de seguridad que se deben ejecutar.

La mejor estrategia para definir los temas de la formación y concienciación en ciberseguridad es abarcar cada una de estas actividades y medidas. Sin embargo, no todos los temas resultarán apropiados para todos los miembros de la compañía. Por tanto, a lo largo de este artículo hemos separado los temas dependiendo del público objetivo.

Temas para todos los empleados (incluyendo directivos y empleados de nivel medio)

  • Fundamentos básicos de la Directiva NIS2 (abarca todos los artículos relevantes)
  • Prácticas básicas de ciberhigiene (artículo 21 párrafo 2 punto g)
  • Gestión de incidentes (artículo 21 párrafo 2 punto b)
  • Copias de seguridad (artículo 21 párrafo 2 punto c)
  • Continuidad de las actividades (artículo 21 párrafo 2 punto c)
  • Uso de soluciones de autenticación multifactorial o de autenticación continua (artículo 21 párrafo 2 punto j)
Cómo realizar la formación y la concienciación según la NIS 2 - Advisera

Temas para empleados de TIC y gestores de seguridad

  • Políticas de seguridad de los sistemas de información (artículo 21 párrafo 2 punto a)
  • Recuperación en caso de catástrofe (artículo 21 párrafo 2 punto c)
  • Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información (artículo 21 párrafo 2 punto e)
  • Políticas y procedimientos relativos a la utilización de criptografía y cifrado (artículo 21 párrafo 2 punto h)
  • Control de accesos (artículo 21 párrafo 2 punto i)
  • Gestión de activos (artículo 21 párrafo 2 punto i)
  • Comunicaciones de voz, vídeo y texto seguras (artículo 21 párrafo 2 punto j)
  • Sistemas seguros de comunicaciones de emergencia (artículo 21 párrafo 2 punto j)

Temas específicos para gestores de seguridad

  • Pasos para el cumplimiento de la NIS 2 (artículos relevantes en el Capítulo IV)
  • ¿Cómo se relaciona la NIS 2 con la ISO 27001? (Preámbulo (79), artículo 21 párrafo 1; artículo 25)
  • ¿Cómo se relaciona la NIS 2 con el DORA? (Preámbulo (28))
  • ¿Cómo se relaciona la NIS 2 con la CER? (artículo 2 párrafo 3; artículo 3 párrafo 1 punto f)
  • ¿Cómo se relaciona la NIS 2 con el RGPD de la UE? (Preámbulo (121), artículo 35)
  • Certificación de productos y servicios de TIC (artículo 24)
  • Entidades gubernamentales definidas en la NIS 2 (varios artículos)
  • Organización de formaciones de ciberseguridad periódicas para diferentes niveles de empleados en la compañía (artículo 20 párrafo 2; artículo 21 párrafo 2 punto g)
  • Cómo realizar la evaluación y tratamiento de riesgos según la NIS 2 (artículo 21 párrafo 1)
  • Evaluación de vulnerabilidades y calidad de los proveedores (artículo 21 párrafo 3)
  • Seguridad de los recursos humanos (artículo 21 párrafo 2 punto i)
  • Evaluación de la efectividad de las medidas de gestión de riesgos de la ciberseguridad (artículo 21 párrafo 2 punto f)
  • Adopción de medidas correctivas (artículo 21 párrafo 4)

Temas para directivos y gestores de seguridad

  • ¿Cuáles son las entidades esenciales e importantes que deben cumplir con la NIS 2? (artículo 3)
  • Principales requisitos de ciberseguridad en la NIS 2 (artículo 21)
  • Aprobación y supervisión de las medidas de gestión de riesgos de la ciberseguridad (artículo 20 párrafo 1)
  • Gestión de crisis (artículo 21 párrafo 2 punto c)
  • Seguridad de la cadena de suministro (artículo 21 párrafo 2 punto d)
  • Obligaciones de notificación (artículo 23)
  • Multas y responsabilidades en la NIS 2 (artículo 20 párrafo 1; artículo 32 párrafo 6; artículo 34)
  • Legislación de ciberseguridad en los países de la UE (artículo 41)

Formación y concienciación en la NIS 2: ¿Cómo hacerlo bien?

 

El proceso para configurar la formación en la NIS 2

Por encima de todo, el proceso para configurar la formación en ciberseguridad para cumplir con la NIS 2 debería seguir estos pasos:

  1. Evaluar los riesgos en la compañía. Esta es la base para redactar documentos de seguridad y para identificar en qué aspectos centrar la formación en ciberseguridad.
  2. Definir políticas y procedimientos de ciberseguridad. De este modo, los roles y responsabilidades en materia de ciberseguridad estarán claros.
  3. Definir los grupos destinatarios de la formación dentro de la compañía (grupos de empleados con diferentes roles en ciberseguridad).
  4. Definir los temas de la formación (basada en riesgos, roles y responsabilidades) que serán diferentes para los distintos grupos de destinatarios.
  5. Definir la periodicidad con que se impartirá la formación, cómo se medirá y quién se ocupará de ella.

Opciones para impartir formación con regularidad

Hay varias opciones para impartir la formación en ciberseguridad de la NIS 2:

a) Formación en aula dirigida por un profesor

Pros:

  • La formación se puede adaptar a las necesidades de la compañía
  • Mayor interacción

Contras:

  • Probablemente la opción más cara
  • No se puede impartir muy a menudo
  • Resulta difícil impartir diferente formación para diferentes grupos de destinatarios

b) Formación virtual dirigida por un profesor

Pros:

  • La formación se puede adaptar a las necesidades de la compañía

Contras:

  • Menor interacción

c) Formación virtual grabada ofrecida mediante sistemas de gestión del aprendizaje (LMS)

Pros:

  • Fácil seguimiento de la asistencia y resultados de los tests
  • Los empleados pueden ver los vídeos cuando puedan
  • La opción más asequible

Contras:

  • Los asistentes no pueden realizar preguntas directas al profesor

Encontrar la formación más adecuada para usted

Por último, la configuración del proceso de formación y la selección de la mejor opción para impartir formación dependerá de las circunstancias de cada compañía concreta. Después de analizar su situación, puede elegir las soluciones que mejor se adapten a su caso.

Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.

Etiquetas Artículos NIS 2 Competences & Training
Advisera Dejan Kosutic

Dejan Kosutic

Destacado experto en ciberseguridad y seguridad de la información y autor de varios libros, artículos, webinars y cursos. Como experto de primer nivel, Dejan fundó Advisera para ayudar a las pequeñas y medianas empresas a conseguir los recursos que necesitan para cumplir con la normativa de la UE y las normas ISO. Cree que conseguir que los marcos regulatorios complejos resulten fáciles de entender y usar crea una ventaja competitiva para los clientes de Advisera, y que la IA es clave para lograrlo.

Como experto en ISO 27001 y NIS 2, Dejan ayuda a las empresas a encontrar el mejor camino hacia el cumplimiento normativo, eliminando gastos fijos y adaptando la implementación al tamaño y las necesidades específicas del sector.

Leer más artículos de Dejan Kosutic