Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Llamada a entrenamiento en ciberseguridad para personal de los sectores Energía e Industria Nuclear

Fecha de publicación 27/01/2026
Autor
INCIBE (INCIBE)

La Directiva NIS2 (Directiva (UE) 2022/2555) establece que la formación en ciberseguridad ha de ser uno de los pilares fundamentales tanto para la gobernanza corporativa como para la gestión operativa de riesgos. Es importante recordar que los sujetos obligados debieran cumplir con los siguientes requisitos específicos que menciona la propia norma: 

  • Formación para los miembros de Órganos de Dirección (Art. 20.2)

    Introduce una responsabilidad directa y personal para los directivos. En concreto menciona que será obligatorio que los miembros de los órganos de dirección sigan una formación periódica para adquirir conocimientos suficientes que les permitan identificar riesgos y evaluar las prácticas de gestión de ciberseguridad. 

  • Formación para Empleados y Ciberhigiene (Art. 21.2.g)

    Dentro de las medidas mínimas de gestión de riesgos, la directiva menciona la realización de prácticas básicas de ciberhigiene y formación en ciberseguridad. 

FORMACIÓN CIBERSEGURIDAD

La formación en ciberseguridad debe pues, llegar a todos los empleados ya que la ciberresiliencia depende de todos y cada uno de los niveles de una organización.

La Fundación Ciudad de la Energía (CIUDEN), el Instituto Nacional de Ciberseguridad (INCIBE) y la Universidad Nacional de Educación a Distancia (UNED) celebraron el miércoles, 21 de enero, un ejercicio avanzado de simulación de cibercrisis en infraestructuras energéticas en el nuevo Laboratorio de Ciberseguridad de CIUDEN, ubicado en sus instalaciones de Cubillos. 

La actividad contó con participación tanto presencial como en remoto.
Aquellos interesados de las entidades que constituyen el ES-ISAC Energía han podido participar en esta acción formativa, donde se han llevado a cabo dos tipos de ejercicios dirigidos al sector:

TABLE-TOP

Este ejercicio buscaba entrenar a profesionales del sector en la gestión de incidentes complejos que afectan a infraestructuras críticas. 
En este tipo de situaciones, se ven comprometidas de forma simultánea la seguridad digital, la operación industrial, la comunicación corporativa y la toma de decisiones estratégicas. 
Este entrenamiento estaba muy orientado a los miembros de Órganos de Dirección de las empresas, poniendo el foco en la toma de decisiones bajo presión, con información incompleta y consecuencias claras, reflejando fielmente los retos a los que se enfrentan las organizaciones del sector energético ante un incidente grave de ciberseguridad. 
Asimismo, se incorporó el uso de tecnologías emergentes como inteligencia artificial y deepfakes, así como la gestión de la comunicación y el cumplimiento normativo en contextos de alta exposición pública.

CTF (Capture the Flag)

En el caso del CTF, se trató de un ejercicio de entrenamiento con 11 retos de dificultad progresiva, pensados para que tanto perfiles en crecimiento como expertos consolidados encontraran su espacio y pudieran avanzar a su propio ritmo. 
El recorrido comenzó en una zona perimetral pública, desde la cual los participantes debieron identificar vectores de acceso, escalar privilegios y pivotar progresivamente hacia el Sistema de Control Industrial (ICS), enfrentándose finalmente a componentes OT reales.
 


 
Etiquetas