El CCN-CERT es el CERT gubernamental de España: la capacidad de respuesta a incidentes de seguridad del Centro Criptológico Nacional (CCN), adscrito al CNI. Es el organismo al que las entidades del ámbito del Esquema Nacional de Seguridad (ENS) deben notificar los ciberincidentes con impacto significativo, a través de la herramienta LUCIA y conforme al Real Decreto 311/2022.

Cuando acompaño a un organismo, o a una empresa proveedora del sector público, en su adecuación al ENS, la parte de incidentes es la que más dudas genera. Se confunde el CERT al que hay que avisar, no se sabe cuándo la notificación es realmente obligatoria y se mezcla el registro interno del incidente con el reporte oficial al Estado. Aquí aclaro qué es el CCN-CERT, qué papel tiene dentro del ENS y, sobre todo, cuándo y cómo hay que notificarle un ciberincidente.

Qué es el CCN-CERT (respuesta rápida)

El CCN-CERT es la capacidad de respuesta a incidentes de seguridad de la información del Centro Criptológico Nacional. Dicho en corto: es el CERT gubernamental nacional, el equipo público que ayuda a la Administración a prevenir, detectar y responder a los ciberataques. Tres ideas para situarlo:

CCN, CNI y CCN-CERT: quién es quién

Los nombres se parecen y se mezclan con facilidad, así que conviene separarlos:

Traducido a la práctica: el CCN pone las reglas (el ENS, las guías); el CCN-CERT es a quien llamas cuando algo pasa. Y el detalle de qué exige cada norma lo desarrollo en mi resumen del Real Decreto 311/2022.

CCN-CERT o INCIBE-CERT: a cuál te diriges según tu perfil

España no tiene un único CERT, sino varios equipos de referencia según el tipo de entidad. Elegir mal el interlocutor retrasa la respuesta, así que esta es la asignación que fija el propio Real Decreto 311/2022:

Perfil de la entidadCERT de referenciaBase
Administración pública (estatal, autonómica, local) y sus organismosCCN-CERTRD 311/2022 (ENS), art. 33
Empresa privada que presta servicios al sector público (ámbito ENS)INCIBE-CERT, en coordinación con el CCN-CERTRD 311/2022, art. 33
Empresa privada, ciudadano u operador fuera del ámbito ENSINCIBE-CERTINCIBE
Sistemas vinculados a la Defensa NacionalESPDEF-CERT (Mando Conjunto del Ciberespacio)Ministerio de Defensa

La regla general es sencilla: sector público → CCN-CERT; sector privado → INCIBE-CERT; defensa → ESPDEF-CERT. El matiz importante está en la fila dos: si eres una empresa privada certificada en el ENS porque prestas servicios a la Administración, la notificación se canaliza a través del INCIBE-CERT, que coordina con el CCN-CERT. Los tres equipos comparten información entre sí, de modo que no notificas «por duplicado»: eliges el interlocutor que te corresponde y él escala lo que haga falta.

Cuándo es obligatorio notificar un incidente según el ENS

No todo incidente se notifica al Estado. La obligación nace cuando el incidente tiene impacto significativo en la seguridad de los sistemas afectados. Lo dicen los dos artículos del Real Decreto 311/2022 que regulan esta materia:

La clave, por tanto, no es «¿he tenido un incidente?», sino «¿qué impacto tiene?». Y para responder a eso hace falta clasificarlo, que es justo lo que estandariza la guía técnica de referencia.

Cómo se clasifica la peligrosidad de un ciberincidente

La referencia es la guía CCN-STIC 817 («Esquema Nacional de Seguridad. Gestión de Ciberincidentes»), que ordena la clasificación en dos ejes independientes, cada uno con cinco niveles (CRÍTICO, MUY ALTO, ALTO, MEDIO y BAJO):

La siguiente tabla resume, de forma orientativa, cuándo se activa la notificación al CCN según el nivel de impacto:

Nivel de impacto¿Notificación al CCN-CERT?Plazo orientativo de la guía
CRÍTICOSí, con la máxima urgenciaInmediata (referencia: máx. 24 h)
MUY ALTOInmediata (referencia: máx. 24 h)
ALTOInmediata (referencia: máx. 24 h)
MEDIOSegún el criterio de la guíaReferencia: 72 h
BAJORegistro y seguimiento internosReferencia: 5 días

Los umbrales y plazos exactos los fija la versión vigente de la CCN-STIC 817, que se actualiza: antes de aplicarlos, confírmalos en la guía actual y en el resto de instrucciones técnicas de seguridad y guías CCN-STIC. La idea de fondo no cambia: cuanto mayor es el impacto, antes hay que avisar.

LUCIA y el procedimiento de notificación paso a paso

La notificación no es un correo suelto: se hace a través de LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), la herramienta del CCN-CERT para gestionar y coordinar los ciberincidentes del sector público. LUCIA ofrece un lenguaje común de peligrosidad y clasificación, mantiene la trazabilidad del incidente y cumple con los requisitos del ENS y de la guía 817. El flujo, en la práctica, es este:

  1. Detecta y registra el incidente internamente. Esta parte la ordena tu protocolo de gestión de incidentes del ENS, con su detección, contención y erradicación; aquí no entro en ella.
  2. Clasifica la peligrosidad y el impacto conforme a la CCN-STIC 817. De esa clasificación depende si hay obligación de notificar y con qué urgencia.
  3. Notifica al CCN-CERT abriendo el caso en LUCIA cuando el impacto alcanza el umbral, con el contenido mínimo: qué ha ocurrido, sistemas y servicios afectados y medidas ya adoptadas.
  4. Contén y erradica en paralelo, actualizando el estado del incidente en la herramienta a medida que avanza la respuesta.
  5. Coordina con el CCN-CERT el análisis y, si procede, el apoyo especializado. La herramienta está pensada para ese trabajo conjunto.
  6. Cierra el incidente en LUCIA cuando la amenaza está erradicada, documentando las lecciones aprendidas.

Si quieres el detalle del ciclo interno de respuesta —los pasos previos al reporte—, lo desarrollo en mi guía sobre la respuesta ante incidentes en el ENS. Este artículo cubre la otra mitad: la notificación externa obligatoria.

Qué servicios ofrece el CCN-CERT además de la gestión de incidentes

Reducir el CCN-CERT a «donde se notifican los incidentes» se queda corto. Conforme al artículo 34 del Real Decreto 311/2022, presta un catálogo de servicios que conviene aprovechar antes de tener un problema:

Para un responsable de seguridad, el CCN-CERT es tanto un recurso preventivo como un interlocutor en crisis. Cuanto antes lo integres en tu operativa, menos improvisarás el día del incidente.

Notificación de incidentes y NIS2: lo que viene

Hasta ahora, la notificación obligatoria de incidentes ha sido casi una singularidad del sector público. Eso está cambiando con la directiva NIS2, que extiende el deber de notificar a las entidades esenciales e importantes de muchos más sectores —energía, salud, transporte, banca, infraestructuras digitales— con plazos propios y estrictos: una alerta temprana en las primeras 24 horas, una notificación en 72 y un informe final posterior, ante el CSIRT que corresponda.

La consecuencia es que muchas organizaciones quedarán bajo dos marcos a la vez: el ENS, si operan en el ámbito público, y NIS2, si pertenecen a un sector cubierto. No son incompatibles —comparten la lógica de clasificar, notificar y coordinar—, pero sí obligan a tener claro a qué equipo se notifica cada incidente y con qué plazo. Diseñar el procedimiento una sola vez, contemplando ambos, evita duplicar el trabajo y errar el interlocutor.

Conclusión: la notificación forma parte del cumplimiento, no lo penaliza

El CCN-CERT no es un enemigo al que ocultarle los problemas: es el equipo público que existe precisamente para ayudarte cuando tienes un incidente. Notificar a tiempo, clasificar bien la peligrosidad y el impacto y usar LUCIA como la norma manda no resta puntos en tu conformidad con el ENS; los suma, porque demuestra que tu sistema de gestión funciona. Lo que compromete la conformidad es lo contrario: callar un incidente significativo.

Si estás adecuando un organismo o una empresa proveedora al ENS y no tienes claro cuándo y cómo notificar, o cómo encaja todo esto con la guía del cumplimiento ENS, cuéntame tu caso y lo revisamos juntos.