Su formación anual no superará la NIS2 – ¡esto es lo que los auditores realmente exigen!

Superar una auditoría NIS2 requiere mucho más que certificados de formación anuales: exige pruebas verificables de resiliencia cibernética real. Para cumplir con el artículo 21 de NIS2, las organizaciones deben aportar siete paquetes de evidencias específicos que demuestren la gobernanza de la dirección, la competencia de los empleados y una reducción de riesgos medible – no simplemente cursos completados.

Muchas organizaciones siguen dependiendo de una carpeta de certificados de formación anuales y tienen dificultades para recopilar esos paquetes con rapidez.

¿Cuántas? En 2024, la encuesta de Eurostat sobre el uso de las TIC y el comercio electrónico en empresas registró un total de 1,54 millones de empresas europeas con más de 10 empleados. Aproximadamente el 60 % de esas empresas – es decir, 924.000 entidades de negocio – informaron a su personal en 2024 sobre sus obligaciones en materia de seguridad de las TIC.

La buena noticia es que esta brecha puede cerrarse en cuanto se hace visible – y nosotros le ofrecemos un camino práctico para lograrlo.

Descubrirá los siete paquetes de evidencias que los auditores suelen solicitar, por qué los certificados de finalización por sí solos no satisfacen el enfoque de la Directiva en la efectividad, y cómo llevar a cabo una sencilla prueba de 48 horas para comprobar si su programa está listo para la auditoría antes de su próxima revisión.

Por qué esto importa ahora: la NIS2 es un problema de 2026, no de «algún día»

NIS2 es la Directiva europea actualizada en materia de ciberseguridad, diseñada para elevar el nivel básico de resiliencia cibernética en 18 sectores y organizaciones críticos – desde infraestructuras críticas y sanidad hasta proveedores digitales, industria manufacturera y numerosos servicios regulados.

Su relevancia radica en que reencuadra la ciberseguridad como una cuestión de gobernanza y riesgo operativo, no como una buena práctica de tecnología de la información.

El artículo 21 es especialmente determinante: exige políticas y procedimientos que permitan evaluar la efectividad de las medidas de gestión de riesgos. La finalización se convierte en un punto de partida, mientras que la prueba de impacto se convierte en el estándar.

La fecha límite de transposición fue el 17 de octubre de 2024.

Alrededor de 160.000 entidades en el seno de la Unión Europea están sujetas al ámbito de aplicación de la Directiva NIS2 – y la Comisión Europea lo calificó de estimación conservadora, basada en las notificaciones de los Estados miembros hasta septiembre de 2025.

La Comisión Europea evidenció este giro al abrir procedimientos de infracción mediante cartas de emplazamiento formal a 23 Estados miembros por no transponer íntegramente la Directiva, seguidas de dictámenes motivados a 19 Estados miembros. Esto señala que el mecanismo de ejecución está activo a nivel europeo, y la supervisión nacional tiende a acelerarse en cuanto existe ese respaldo político.

Los límites máximos de las sanciones ya están definidos: hasta 10 millones de euros o el 2 % del volumen de negocios mundial para las entidades esenciales (NIS2), y al menos 7 millones de euros o el 1,4 % del volumen de negocios mundial para las entidades importantes (NIS2). Las multas NIS2 divulgadas públicamente siguen siendo limitadas hasta la fecha, en gran medida porque la aplicación es nacional y los calendarios de implementación han sido desiguales entre los Estados miembros. No obstante, la dirección es clara: las autoridades supervisoras pueden formular preguntas más exigentes y esperar mejores evidencias en menor tiempo.

Este cambio transforma lo que cuenta como prueba. Usted deberá demostrar la efectividad de sus medidas de control – no solo su realización.

Los 7 paquetes de evidencias: lo que los auditores de NIS2 realmente exigen

NIS2 requires training, requires effectiveness assessment, and requires governance.

En la práctica, los auditores utilizan siete paquetes de evidencias porque les permiten comprobar rápidamente si su formación funciona como un sistema de control en lugar de como un ejercicio formal de cumplimiento.

En el conjunto de la Unión Europea, solo el 24,51 % de las empresas empleó cursos obligatorios o material obligatorio como parte de sus actividades de concienciación. Aquí es donde podrá comprobar si su programa está listo para la auditoría: los auditores preguntarán si los empleados entendieron los temas críticos y si la falta de comprensión desencadenó medidas de subsanación.

Recomendación: Facilite una exportación fechada de su plataforma de aprendizaje que muestre quién completó cada módulo, la puntuación obtenida en el cuestionario por cada persona, el umbral de aprobación y una lista de los individuos a los que se asignó automáticamente una acción de subsanación en los 7 días siguientes a no superar la prueba.

Los auditores buscan indicadores que demuestren que los comportamientos de riesgo muestran una tendencia a la baja. En 2024, el 3,43 % de las empresas europeas sufrió presuntamente un ciberataque externo que provocó la indisponibilidad del servicio. Precisamente por ello necesita evidencias que vayan más allá de los certificados: señales conductuales, líneas de tendencia e intervenciones documentadas que reduzcan los errores reiterados.

Recomendación: Muestre una tendencia de tres meses de los resultados de phishing simulado por departamento (tasa de notificación, tasa de clic, tasa de introducción de credenciales), junto con la acción correctiva exacta adoptada para el equipo con peor rendimiento y la mejora medible en el mes siguiente.

NIS2 espera que las medidas de seguridad sean gestionadas, evaluadas y mejoradas. En 2024, solo el 35,50 % de las empresas europeas disponía de documentación sobre medidas, prácticas o procedimientos de seguridad de las TIC. Los auditores verificarán si las mejoras están registradas, tienen responsables asignados y son reproducibles – y no informales ni improvisadas.

Recomendación: Adjunte sus dos últimas actas de revisión trimestral de concienciación en materia de seguridad con responsables designados, acciones aprobadas, fechas objetivo y una captura de pantalla o un identificador de ticket que acredite la implementación de cada acción (por ejemplo, un nuevo paso de verificación en el flujo de trabajo de restablecimiento del servicio de asistencia).

Esto está explícitamente contemplado en los requisitos de gobernanza de NIS2: los miembros de los órganos de dirección están obligados a seguir formación, y se insta a las entidades a ofrecer regularmente formaciones similares a sus empleados.

Recomendación: Incluya el registro de formación del órgano de dirección con la fecha de la reunión, la lista de asistencia, el título del módulo y un breve resumen de la decisión que se adoptó a raíz de la misma (por ejemplo, la aprobación de una política revisada de gobernanza de accesos o un presupuesto para controles de verificación de identidad).

NIS2 establece un plazo de 24 horas para una alerta temprana tras tener conocimiento de un incidente significativo, lo que convierte el reconocimiento y la escalada por parte de los empleados en un requisito de control. Los equipos financieros deben congelar los pagos sospechosos, los Recursos Humanos deben validar los cambios de identidad y los servicios de asistencia necesitan pasos de verificación claros antes de restablecer el acceso.

Recomendación: Facilite el informe más reciente de un incidente real o de un ejercicio en mesa, con el tiempo hasta la detección, el tiempo hasta la escalada, quién realizó la escalada, qué procedimiento de respuesta se activó y evidencia de que los empleados siguieron los pasos de verificación y notificación en lugar de improvisar.

Los auditores comprueban con creciente frecuencia si usted sabe dónde se concentra el riesgo humano. La pregunta práctica es la siguiente: ¿qué equipos están más expuestos y qué hizo de forma diferente para ellos?

Recomendación: Elabore un mapa de calor de riesgos que clasifique los equipos por nivel de exposición (por ejemplo, Finanzas, Compras, RRHH, servicio de asistencia) utilizando sus propios datos – susceptibilidad al phishing, niveles de gestión de accesos privilegiados (PAM) y volumen de transacciones de alto riesgo – y muestre el plan de formación específico que se adaptó para los dos equipos con mayor exposición.

NIS2 exige una notificación de incidente significativo más completa en un plazo de 72 horas. Por ello, a los auditores les importa la competencia bajo presión – no solo la participación en los períodos de calma.

Recomendación: Documente un simulacro cronometrado en el que los empleados tuvieran que clasificar un escenario y adoptar la primera acción correcta en menos de 10 minutos (por ejemplo, notificar una posible vulneración, congelar un pago o rechazar un restablecimiento sin verificación), con los resultados aprobado/suspendido y los registros de seguimiento de coaching.

El reto de las 48 horas: compruebe hoy mismo su nivel de preparación para la auditoría

Pruébelo hoy: ¿Podría recopilar los siete paquetes de evidencias en 48 horas, en un formato claro, con responsables, fechas y controles asociados?

Esta es la forma más sencilla de convertir una vaga sensación de preparación en una respuesta concreta. Muchos programas generan un pico de actividad en enero y once meses de silencio – la prueba de las 48 horas hace visible ese patrón.

Una encuesta realizada en junio de 2024 entre profesionales de la tecnología de la información por Hornet Security reveló que el 22,4 % de las organizaciones realiza formación en concienciación de seguridad para usuarios finales únicamente una vez al año. Mientras tanto, los atacantes escalan sus técnicas de persuasión de forma continua, elevando constantemente el listón de lo que debe lograr una «formación eficaz».

Microsoft ha informado de que los correos electrónicos de phishing automatizados mediante inteligencia artificial alcanzaron una tasa de clics del 54 % en entornos controlados, lo que demuestra la rapidez con la que el contenido de los ataques evoluciona en comparación con los módulos puntuales y anuales.

Los vectores de ataque también continúan evolucionando. En el tercer trimestre de 2025, un conjunto de datos registró 716.306 códigos QR maliciosos únicos detectados en actividades de phishing. En la práctica, esto puede traducirse en un responsable de almacén que escanea un aviso de «problema con el envío» y desencadena una vulneración en el seno de una actividad rutinaria.

Evidencia, no formación: el nuevo estándar de lo «continuo»

La «formación continua» se comercializa a menudo como una mejor experiencia de aprendizaje, pero bajo NIS2 cumple un propósito más estratégico: genera un flujo constante de evidencias conductuales.

El cuello de botella rara vez es la falta de herramientas. El 70 % de las organizaciones afirma utilizar más de 10 soluciones puntuales de seguridad. Un patrón ampliamente citado en el sector es que los entornos operan simultáneamente con muchas soluciones individuales, y la brecha restante radica en las evidencias de riesgo humano: pruebas de que las decisiones y los comportamientos se han vuelto más seguros con el tiempo.

Un ejemplo práctico que los auditores aprecian: micro-escenarios mensuales vinculados a flujos de trabajo críticos – como cambios en facturas, recuperación de cuentas o incorporación de proveedores –, combinados con respuestas documentadas ante casi incidentes y mejoras medibles.

Usted generará todos los paquetes de evidencias de forma automática – formación continua, métricas conductuales, análisis de tendencias y documentación lista para la auditoría – sin convertir a su equipo de seguridad en una fábrica de informes. Para eso está diseñado Prime Security Awareness.

Próximos pasos: cierre la brecha

Lleve a cabo la prueba de las 48 horas esta semana. Intente recopilar los siete paquetes de evidencias y documente con precisión dónde se interrumpe el proceso. Esa brecha es su verdadera prioridad de cumplimiento.

Las próximas entregas de esta serie mostrarán cómo construir su firewall humano y cómo las empresas están logrando una formación automatizada en concienciación de seguridad que reduce de manera efectiva el riesgo de phishing.