La trasposición de la directiva NIS2 al marco jurídico nacional marca un antes y un después en la gestión de la ciberseguridad en las organizaciones.
Según Francisco Lázaro, formador de ISMS Forum, con NIS2 se pasará de unas 380 organizaciones afectadas a más de 7.000 empresas, lo que supone la creación de más de 6.600 nuevos puestos de trabajo relacionados con la ciberseguridad. Muchos de estos nuevos profesionales carecen de experiencia previa o conocimiento profundo de la normativa.
Si la persona contratada no conoce en profundidad la directiva, existen dos opciones: “externalizar la gestión a través de una empresa especializada o apoyarse en ISMS Forum y su grupo de trabajo sobre NIS2, que está abierto a nuevos profesionales”.
La asociación presentó sus alegaciones en el trámite público de audiencia y elaboró un dossier explicativo sobre la relevancia de esta directiva en el marco jurídico nacional. A partir de este análisis nacieron las primeras iniciativas de formación online para explicar a CISO y responsables de seguridad los detalles de NIS2.
A lo largo del año, el área formativa de ISMS Forum ofrece programas focalizados en las necesidades de los CISO y responsables de seguridad de la información, con el objetivo de atender sus retos más inmediatos. Se trata de programas online con destacados profesionales del ecosistema digital, que actúan como tutores especializados en ciberseguridad.
En 2025, ISMS Forum ha puesto en marcha dos programas clave. El primero es el curso “NIS2: Conoce y aplica el framework regulatorio de ciberseguridad”, con una duración de 10 horas. Tras una exitosa primera edición en 2024, ahora está disponible en modalidad asíncrona, lo que permite a cualquier profesional acceder a sus contenidos en el momento que mejor se adapte a su agenda.
Según Lázaro, , “el objetivo es poner al día a los responsables de seguridad de la información y a los órganos de gobierno sobre lo que implica la NIS2: qué requisitos exige su trasposición, cómo ha evolucionado, y cómo deben los CISO construir el cumplimiento normativo desde un conocimiento profundo de la directiva”.
“Lo que hacemos en el curso es explicar qué implica la NIS2, qué exige, y advertir a las empresas de que esta normativa establece requisitos no solo para las compañías, sino también para los gobiernos y las autoridades de control. Nos centramos especialmente en cómo afecta a la figura del CISO y en la nueva responsabilidad de los órganos de gobierno en materia de ciberseguridad”, añade.
Este programa formativo está diseñado para que los asistentes comprendan qué exige NIS2, qué impacto tiene en sus organizaciones y cómo pueden aplicar de forma práctica las obligaciones derivadas de la norma. “Les ayudamos a diseñar su estrategia de adaptación a NIS2 y resolvemos sus dudas durante el proceso”, afirma Lázaro.
La segunda iniciativa es un programa de 20 horas centrado en la Gestión del riesgo IT en la cadena de suministro, un aspecto que cobra especial relevancia dentro del marco de obligaciones que introduce la directiva NIS2.
Con más de 7.000 empresas afectadas por NIS2, 40 grandes bancos bajo el ámbito de DORA y toda la administración pública bajo ENS, es difícil imaginar un proveedor de servicios TIC que no deba cumplir con estas normativas.
La cadena de suministro es un punto crítico en cualquier organización y uno de los focos más habituales de ciberincidentes. ISMS Forum ha desarrollado un programa específico para ayudar a las empresas a comprender cómo deben gestionar este entorno de forma segura, junto a sus proveedores y socios.
Lázaro señala que esta necesidad está respaldada por diversas normativas nacionales: el ENS (versión 2020/2022, RD Ley 311/2022), NIS2 y el reglamento DORA en el sector financiero. “En el ENS se aplica directamente la ley; en NIS2 y DORA se aplica indirectamente a través de los operadores, que deben exigir a sus proveedores que cumplan los requisitos establecidos”.
“Hemos diseñado un curso completo que detalla cómo gestionar adecuadamente la cadena de suministro, sin importar el sector de actividad. ENS, NIS2 y DORA comparten principios como el análisis de riesgos. Las empresas pueden también exigir certificaciones de terceros o auditorías externas a sus proveedores”.
“NIS2 exige a las empresas una gestión exhaustiva del riesgo, especialmente en su cadena de suministro. Por ello, además de explicar la directiva en el primer curso, desarrollamos un segundo programa que traduce esos requisitos en medidas prácticas y adaptables a cada organización”. Con ello, ISMS Forum proporciona a los profesionales un itinerario completo que cubre tanto el marco normativo general como su aplicación específica en entornos de terceros y proveedores. “Los CISO deben tener claro que no basta con entender la directiva: deben también saber cómo implementarla. Y ahí es donde ambos cursos se enlazan, se complementan y se potencian mutuamente”, concluye Lázaro.
Ambos cursos están diseñados para entender de forma integral la nueva normativa: mientras el primero se centra en la comprensión y aplicación de la directiva NIS2, el segundo aborda una de sus áreas clave: el control sobre terceros y proveedores.
Raquel de Saá, responsable de formación de ISMS Forum, explica que estos programas están diseñados para ayudar tanto a las empresas en general como a los CISO en particular, en sus obligaciones derivadas de la entrada en vigor de NIS2, del Esquema Nacional de Seguridad (ENS) o del reglamento DORA, aplicable al sector financiero. “Con el curso de NIS2 explicamos al CISO la importancia de esta directiva, que ahora se va a trasponer a nuestro ordenamiento jurídico. Uno de los cambios clave afecta a los proveedores, por lo que hemos diseñado otro programa centrado en la gestión de la cadena de suministro”.
Estos cursos son totalmente online y en formato asíncrono. “El objetivo es que cada profesional adapte la formación a su actividad diaria. Además, se incluyen evaluaciones para comprobar si los participantes están asimilando los contenidos. En el curso de NIS2 se tratan las disposiciones generales, su contexto global, y su relación con el ENS, el reglamento DORA y el RGPD europeo. Los contenidos están diseñados para perfiles como responsables de ciberseguridad, de cumplimiento normativo, directores de seguridad de la información y auditores”, aclara De Saá.
En este contexto, la asociación recuerda que el verano, al ser una época en la que los profesionales suelen tener menos carga de trabajo, puede ser el momento idóneo para acceder a estas iniciativas formativas. Gracias a su formato online y asíncrono, los CISO pueden organizar estas “píldoras informativas” en el horario y entorno que mejor se adapten a sus necesidades.
Desde ISMS Forum se lanza un mensaje claro: “Es imprescindible contar con un responsable de seguridad de la información, generalmente un CISO. Y una vez nombrado, debe recibir formación intensiva adaptada a sus funciones. Desde la asociación, ofrecemos esa formación a medida”.
Formadores de Alto Nivel
Los formadores son profesionales en activo del ámbito de la seguridad de la información. En el curso de NIS2 participan expertos como Carlos Saiz, vicepresidente de ISMS Forum; Mariano Benito, CISO de GMV Soluciones Globales Internet S.A.U.; David Andrés Hurtado, Head of Cyber Resilience & OT Cybersecurity en Naturgy; y Francisco Lázaro, director del Centro de Estudios de Movilidad e Internet de las Cosas del ISMS Forum, entre otros.
En el curso sobre cadena de suministro también participan Saiz y Lázaro, junto a Jesús Sánchez (Naturgy), Fabián Vidal (Sanitas), Daniela Aparicio (Ferrovial) y Enrique Cervantes, actual CISO en Cesce.
