🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Requisitos de formación de la NIS2: obligaciones, umbrales y quiénes deben cumplirlos

Las escuelas y las instituciones educativas de toda Europa son cada vez más blanco de los ciberdelincuentes. A principios de 2025, unos hackers tuvieron acceso a los sistemas informáticos de la Universidad Técnica de Eindhoven (TU/e) durante cinco días, utilizando credenciales robadas y una VPN sin autenticación de dos factores. Las clases se suspendieron durante toda una semana. Al mismo tiempo, la Directiva NIS2 exige a parte del sector educativo europeo que mejore de forma demostrable su seguridad digital. Pero, ¿a qué instituciones se aplica y qué deben hacer exactamente? Este artículo lo analiza en detalle.

¿Entra la educación dentro del ámbito de aplicación del NIS2?

La NIS2 se aplica cuando una organización cumple dos condiciones al mismo tiempo: debe operar en un sector designado (anexo I o II de la Directiva) y superar los umbrales de tamaño. El tamaño por sí solo no basta; la designación del sector es el criterio principal.

La Directiva NIS2 incluye la educación superior como parte del sector de la investigación (anexo II). Por lo tanto, las universidades y las universidades de ciencias aplicadas que realizan actividades de investigación pueden clasificarse como entidades importantes. La educación secundaria y primaria no figuran en los anexos y, por lo tanto, no entran automáticamente en el ámbito de aplicación de la Directiva NIS2, independientemente de su tamaño.

Dicho esto, no es tan sencillo como decir que «los grandes centros de formación profesional siempre están exentos». Hay tres situaciones en las que los centros de educación secundaria y primaria pueden verse afectados.

¿Qué instituciones educativas (potencialmente) entran en el ámbito de aplicación de la NIS2?

Tipo de institución Estado de NIS2 Notas
Universidades Entidad probablemente importante Función de búsqueda + tamaño; cumple ambas condiciones
Universidades de ciencias aplicadas Entidad que podría ser importante Depende del tamaño y de las actividades de investigación
Centros de formación profesional (MBO) No entra automáticamente en el ámbito de aplicación Sector no designado; la designación nacional o la estructura mixta pueden modificar esto
Educación secundaria No entra automáticamente en el ámbito de aplicación Sector no designado; los grandes grupos escolares pueden estar incluidos en el NIS2 mediante una designación nacional o una estructura mixta
Educación primaria No entra automáticamente en el ámbito de aplicación Sector no especificado; es posible que existan requisitos indirectos a través de socios

Límites de tamaño: La NIS2 se aplica a las organizaciones con más de 50 empleados o con una facturación anual o un balance total superior a 10 millones de euros. Sin embargo, el tamaño por sí solo no determina que una organización entre en el ámbito de aplicación; la designación del sector es siempre el primer requisito.

¿En qué casos se incluyen las escuelas secundarias y primarias en el NIS2?

«No estar automáticamente incluido en el ámbito de aplicación» no significa «no ser relevante». Hay tres situaciones en las que los centros de educación secundaria y primaria sí se ven afectados por la NIS2:

1. Designación nacional

Los Estados miembros pueden designar como entidades críticas a organizaciones que no figuren en los anexos europeos. El Gobierno neerlandés puede decidir que los grandes grupos escolares con un papel social significativo queden sujetos a la Ley de Ciberseguridad. En particular, corren este riesgo los consejos de administración de gran tamaño que supervisan decenas de centros educativos y cuentan con miles de empleados.

2. Organizaciones mixtas

Muchos centros educativos imparten tanto educación secundaria como formación profesional, o están adscritos a una universidad de ciencias aplicadas. Si el componente de formación profesional o de educación superior es lo suficientemente importante y lleva a cabo actividades de investigación, esa parte puede entrar en el ámbito de aplicación de la NIS2. En la práctica, esto hace que los requisitos de seguridad se extiendan a toda la organización.

3. Requisitos indirectos a través de la cadena de suministro

Las organizaciones sujetas a la Directiva NIS2 deben proteger su cadena de suministro. Si una organización educativa suministra software, comparte datos o colabora con instituciones sujetas a la Directiva NIS2, es posible que dichos socios le impongan requisitos de seguridad. Los organismos que conceden subvenciones y los clientes públicos también imponen cada vez más este tipo de requisitos.

¿Cuáles son las obligaciones de las instituciones educativas?

Cuando una institución educativa entra en el ámbito de aplicación de la NIS2, se le aplican las mismas obligaciones básicas que al resto de sectores. Las más relevantes en el contexto educativo son:

Análisis de riesgos y política de seguridad

Debe identificar de forma sistemática los riesgos que afectan a sus redes, sistemas y datos, incluidos los sistemas utilizados por proveedores, como los proveedores de SIS, los servicios en la nube para plataformas de aprendizaje y las herramientas de colaboración.

Obligación de notificar incidentes

Los incidentes graves, como los ataques de ransomware contra los sistemas de gestión de alumnos o las filtraciones de datos que afecten a los datos personales de los alumnos, deben comunicarse a la autoridad competente en un plazo de 24 horas.

Seguridad de la cadena de suministro

Los proveedores de software y servicios deben demostrar que cumplen tus requisitos de seguridad. Piensa, por ejemplo, en los proveedores de plataformas de aprendizaje, sistemas de información sobre alumnos o almacenamiento en la nube.

Gestión de accesos y autenticación

La autenticación multifactorial es obligatoria para acceder a los sistemas que contienen datos confidenciales. En el ámbito educativo, esto se aplica sin duda al personal con acceso a los expedientes de los alumnos, a los sistemas financieros y a los datos de investigación. El ataque sufrido por la Universidad Técnica de Eindhoven en enero de 2025 ilustra lo que puede ocurrir sin la autenticación multifactorial: los piratas informáticos lograron entrar a través de una VPN sin verificación en dos pasos y permanecieron en el sistema sin ser detectados durante cinco días.

Formación en materia de seguridad para el personal

La NIS2 exige expresamente a las instituciones que formen a su personal en materia de ciberseguridad. Esto no solo se refiere al personal de TI, sino también a los profesores, investigadores y personal de apoyo, es decir, a cualquier persona que tenga acceso a los sistemas y a los datos.

Por qué la ciberseguridad en el ámbito educativo merece una atención especial

Las instituciones educativas son objetivos atractivos para los ciberdelincuentes debido a la combinación de datos de investigación valiosos, grandes volúmenes de datos personales y una cultura informática relativamente abierta. Algunos retos concretos:

  • Grupos de usuarios numerosos: decenas de miles de estudiantes y miembros del personal con distintos derechos de acceso.
  • Alta rotación: cada año se matriculan y se gradúan nuevos alumnos; es necesario gestionar activamente las cuentas.
  • Cultura de red abierta: la libertad académica a veces entra en conflicto con las estrictas políticas de seguridad.
  • Presupuestos limitados para TI: especialmente en las instituciones más pequeñas, hay poco margen para invertir en seguridad.
  • Datos de investigación valiosos: la propiedad intelectual y los resultados de la investigación son de interés para los actores estatales.

Cómo ayuda Guardey a las instituciones educativas

Guardey ofrece formación en concienciación sobre seguridad con contenidos adaptados al sector educativo. El personal aprende a reconocer el phishing, a gestionar los datos de forma segura y a saber qué hacer cuando detecta algo sospechoso. Todo ello en módulos breves y fáciles de asimilar que se adaptan a una semana laboral ajetreada.

Mediante la formación continua del personal, las instituciones educativas cumplen con la obligación de sensibilización prevista en la NIS2 y, al mismo tiempo, crean una institución menos vulnerable a los ataques que afectan al sector a diario.

¿Quieres saber exactamente qué implica la NIS2 para tu institución? Consulta la guía de la NIS2 para 2026, donde encontrarás todas las obligaciones, los umbrales y una lista de verificación práctica.

No todas las instituciones educativas están sujetas formalmente a la normativa NIS2, pero la línea divisoria no es tan clara como parece. Las universidades y las grandes escuelas superiores de ciencias aplicadas están sujetas a la normativa NIS2 en la mayoría de los casos. En el caso de la formación profesional, la educación secundaria y la educación primaria, depende de la designación nacional, la estructura organizativa y los socios con los que colaboran.

Empiece por definir claramente el alcance, realice un análisis de riesgos y asegúrese de que el personal cuente con una formación acreditada. Estos son los pasos que abordan directamente la mayoría de las obligaciones de la NIS2 y que demuestran, como institución, que se toma en serio la ciberseguridad.

Formación en concienciación sobre seguridad: útil incluso sin NIS2

Es posible que la NIS2 no sea aplicable a todas las instituciones educativas, pero las amenazas a las que responde sí lo son. La formación en concienciación sobre seguridad ayuda a su personal a reconocer y responder ante los ciberataques, independientemente de si se exige el cumplimiento normativo.

Guardey para la educación

Guardey ha desarrollado módulos de formación específicos para el personal docente. Descarga el folleto o descubre cómo sería un programa a medida para tu centro.

Guardey para la educación
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada