La Directiva NIS2 introduce importantes cambios con respecto a la NIS1, entre los cuales destaca la responsabilidad de la alta dirección en el cumplimiento de las obligaciones en materia de formación. Más allá de definir medidas técnicas, operativas y organizativas, la NIS2 establece como pilar fundamental la capacitación de los directivos.

¿Cuáles son las obligaciones de la alta dirección en la Directiva NIS2? 

• Supervisión y control

La dirección de la organización tiene entre sus tareas aprobar y supervisar la implementación de las medidas operativas y organizativas de gestión de riesgos de ciberseguridad.

• Formación continua obligatoria

La Directiva NIS2 reconoce que el ser humano es el eslabón más débil en el campo de la ciberseguridad. Por esta razón, establece que 

• El personal directivo debe tener un nivel adecuado de concienciación y formación específica y regular en ciberseguridad. 

• Los miembros de la alta dirección deben también, fomentar la ciberhigiene, se espera que los directivos no solo reciban formación, deben ofrecer formación similar a su personal de forma periódica. 

• Es necesario tener un plan formativo documentado y actualizado, con cobertura suficiente.  

• Responsabilidad propia 

En caso de que se produzca un incumplimiento de las obligaciones establecidas por la Directiva NIS2, los miembros de la alta dirección pueden ser considerados personalmente responsables. ¿Qué implica esto? Que podrían enfrentarse a la inhabilitación para desempeñar funciones ejecutivas en la organización, a responsabilidades penales, y ser responsables de sanciones económicas a la entidad que dirigen. 

¿Qué enfoque debe adoptar la alta dirección en relación con la ciberseguridad? 

La alta dirección debe revisar de forma periódica los riesgos e incidentes que puedan surgir en la organización, con el fin de establecer planes de mejora. Asimismo, la Directiva NIS2 exige una mayor implicación de la dirección en las decisiones relacionadas con las tecnologías de la información (TI), evaluando cada inversión no solo por su retorno económico, sino también por su impacto en la seguridad. Además, esta normativa establece la obligación de designar responsables internos que cuenten con la autoridad y los recursos necesarios para implementar y ejecutar la estrategia de ciberseguridad de la organización. 

¿Qué buenas prácticas debe seguir la alta dirección con la Directiva NIS2? 

• Formarse de manera continua en ciberseguridad, con el objetivo de conocer las principales amenazas y las estrategias más eficaces para mitigarlas. 

• Establecer una adecuada gobernanza de la ciberseguridad, definiendo de forma clara los roles y responsabilidades dentro de la organización. 

• Fomentar una cultura de ciberseguridad en todos los niveles de la empresa. 

• La alta dirección debe aprobar las medidas de ciberseguridad que se implementen y supervisar su correcta ejecución, asumiendo la responsabilidad legal en caso de incumplimiento. 

• La organización debe disponer de planes de respuesta y recuperación ante incidentes de seguridad, incluyendo la obligación de notificar los incidentes graves dentro de los plazos establecidos por la normativa. 

¿Qué cursos de formación podrían interesarte para implantar la NIS2? 

Desde el Instituto Superior de Ciberseguridad te ofrecemos la posibilidad de formarte en: 

Curso de Implantación y Gestión de la ISO 27001:2022 (60 horas). Esta formación te ayuda a cumplir con los requisitos de la NIS2 en relación con la identificación, la detección y respuesta ante incidentes de seguridad.  

También tienes la posibilidad de formarte en el curso de Experto Implantador del ENS (100h). Este curso proporciona las competencias necesarias para implementar de forma correcta los controles y principios del Esquema Nacional de Seguridad, asegurado la adecuación a la normativa y facilitando auditorías y revisiones de cumplimiento.