Diez nuevos vídeos de concienciación accesibles a todos los usuarios llegan al portal de formación del Centro Criptológico Nacional justo cuando la obligación de formación en ciberseguridad se convierte en requisito legal bajo NIS2.
El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI) y máxima autoridad técnica en materia de ciberseguridad para el sector público español, acaba de ampliar la plataforma ÁNGELES con diez nuevos vídeos de concienciación disponibles para todos los usuarios, sin necesidad de registro. La actualización se publicó el 8 de abril de 2026 en el portal del CCN-CERT.
La noticia, aparentemente técnica, cobra una dimensión estratégica de primer orden en el contexto normativo actual: tanto el Esquema Nacional de Seguridad (ENS) como la Directiva NIS2 establecen la formación y concienciación del personal como un requisito obligatorio, no una recomendación.
«La formación es la medida de seguridad con mejor relación coste-beneficio. Un empleado concienciado es un cortafuegos humano que ningún appliance puede replicar. Y ahora, además, es una obligación legal.»
ÁNGELES es el portal de formación en ciberseguridad del CCN, diseñado para mejorar el nivel de competencia digital de los empleados de las Administraciones Públicas y de cualquier organización que desee fortalecer su cultura de seguridad. Sus contenidos están alineados con los requisitos del Esquema Nacional de Seguridad (RD 311/2022) y son de acceso gratuito.
Los nuevos contenidos audiovisuales se suman a un catálogo que ya cuenta con más de 200 guías CCN-STIC disponibles en el portal del CCN-CERT. Esta ampliación responde directamente a la creciente presión normativa que España afronta de cara a la transposición definitiva de NIS2.
La formación, obligación legal bajo NIS2
El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad —el texto que transpondrá la Directiva NIS2 al ordenamiento jurídico español, actualmente en tramitación parlamentaria— incluye entre sus obligaciones expresas la formación de empleados y, muy especialmente, de los órganos de dirección de las entidades afectadas.
El impacto es doble y debe ser bien comprendido por las organizaciones:
- Formación del personal técnico: los empleados con acceso a sistemas críticos deben recibir formación periódica en ciberseguridad. Los registros de formación serán evidencia auditada.
- Formación de la alta dirección: los directivos que no acrediten haber recibido formación en ciberseguridad verán agravada su responsabilidad individual en caso de incidente. NIS2 convierte la ignorancia en agravante.
- Concienciación continua: no basta con una formación puntual. NIS2 exige programas de concienciación continuos, que incluyan simulacros de phishing, actualizaciones ante nuevas amenazas y protocolos de respuesta a incidentes.
- Cadena de suministro incluida: la obligación se extiende a los proveedores con acceso a sistemas críticos. Los contratos TIC deben reflejarlo.
ENS y NIS2: la formación como punto de convergencia
El Esquema Nacional de Seguridad (RD 311/2022) ya recoge en su Anexo II la concienciación y formación del personal como medida de seguridad de aplicación en todos los niveles (bajo, medio y alto). La plataforma ÁNGELES es, desde este punto de vista, una herramienta de cumplimiento directo del ENS, no solo un recurso formativo voluntario.
Esta convergencia tiene implicaciones prácticas inmediatas para las organizaciones del sector público y sus proveedores: el uso acreditado de ÁNGELES puede ser presentado como evidencia de cumplimiento de la medida de concienciación en auditorías ENS, y anticipará el cumplimiento de los requisitos formativos que establecerá la futura Ley de Ciberseguridad española.
Con más de tres décadas en proyectos de adecuación ENS e implantación de ISO 27001 en Administraciones Públicas, municipios inteligentes e industria, puedo afirmar que la formación sigue siendo el gap más persistente en cualquier diagnóstico de madurez. Las organizaciones invierten en tecnología y descuidan al factor humano. NIS2 y el ENS nos obligan, por fin, a equilibrar esa balanza.
— Equipo de consultoría · amio.es · Telecomunicaciones e Ingeniería de Sistemas.
Recomendaciones prácticas para organizaciones y AAPP
Desde amio.es recomendamos las siguientes acciones inmediatas para aprovechar este recurso y avanzar en el cumplimiento normativo:
- Incorporar ÁNGELES al plan de concienciación anual de la organización y registrar la participación de empleados como evidencia documental.
- Diseñar un itinerario formativo diferenciado para perfiles técnicos, personal de gestión y alta dirección, con contenidos adaptados a cada audiencia.
- Complementar los vídeos de ÁNGELES con simulacros de phishing y ejercicios de respuesta a incidentes para completar el ciclo de concienciación activa.
- Para entidades locales y Smart Cities: utilizar la guía CCN-STIC 882 (análisis de riesgos para entidades locales) como complemento al plan formativo.
- Exigir a los proveedores TIC que acrediten planes de concienciación equivalentes: la cadena de suministro es responsabilidad de la entidad contratante bajo NIS2.
¿Necesita asesoramiento en cumplimiento ENS o NIS2?
Más de 20 años acompañando a AAPP y Sector Privado en sus proyectos de seguridad de la información.