El CCN-CERT es el CERT gubernamental de España: la capacidad de respuesta a incidentes de seguridad del Centro Criptológico Nacional (CCN), adscrito al CNI. Es el organismo al que las entidades del ámbito del Esquema Nacional de Seguridad (ENS) deben notificar los ciberincidentes con impacto significativo, a través de la herramienta LUCIA y conforme al Real Decreto 311/2022.
Cuando acompaño a un organismo, o a una empresa proveedora del sector público, en su adecuación al ENS, la parte de incidentes es la que más dudas genera. Se confunde el CERT al que hay que avisar, no se sabe cuándo la notificación es realmente obligatoria y se mezcla el registro interno del incidente con el reporte oficial al Estado. Aquí aclaro qué es el CCN-CERT, qué papel tiene dentro del ENS y, sobre todo, cuándo y cómo hay que notificarle un ciberincidente.
Qué es el CCN-CERT (respuesta rápida)
El CCN-CERT es la capacidad de respuesta a incidentes de seguridad de la información del Centro Criptológico Nacional. Dicho en corto: es el CERT gubernamental nacional, el equipo público que ayuda a la Administración a prevenir, detectar y responder a los ciberataques. Tres ideas para situarlo:
- Es un equipo, no una ley. «CERT» significa Computer Emergency Response Team: un equipo técnico de respuesta a emergencias informáticas. El CCN-CERT es el del Estado para el sector público.
- Depende del CCN, que a su vez depende del CNI. Está integrado en el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia. Por eso su ámbito natural es la Administración y sus sistemas.
- Tiene una función normativa concreta en el ENS. El Real Decreto 311/2022 lo designa como el punto al que las entidades del ámbito ENS notifican los incidentes con impacto significativo.
CCN, CNI y CCN-CERT: quién es quién
Los nombres se parecen y se mezclan con facilidad, así que conviene separarlos:
- CNI — Centro Nacional de Inteligencia. El servicio de inteligencia del Estado.
- CCN — Centro Criptológico Nacional. Adscrito al CNI, es el organismo responsable de la seguridad de las tecnologías de la información en la Administración. Es quien elabora las guías CCN-STIC y el marco del ENS.
- CCN-CERT — la capacidad de respuesta a incidentes del CCN. Es el brazo operativo que gestiona las alertas, coordina la respuesta y recibe las notificaciones de incidentes del sector público.
Traducido a la práctica: el CCN pone las reglas (el ENS, las guías); el CCN-CERT es a quien llamas cuando algo pasa. Y el detalle de qué exige cada norma lo desarrollo en mi resumen del Real Decreto 311/2022.
CCN-CERT o INCIBE-CERT: a cuál te diriges según tu perfil
España no tiene un único CERT, sino varios equipos de referencia según el tipo de entidad. Elegir mal el interlocutor retrasa la respuesta, así que esta es la asignación que fija el propio Real Decreto 311/2022:
| Perfil de la entidad | CERT de referencia | Base |
|---|---|---|
| Administración pública (estatal, autonómica, local) y sus organismos | CCN-CERT | RD 311/2022 (ENS), art. 33 |
| Empresa privada que presta servicios al sector público (ámbito ENS) | INCIBE-CERT, en coordinación con el CCN-CERT | RD 311/2022, art. 33 |
| Empresa privada, ciudadano u operador fuera del ámbito ENS | INCIBE-CERT | INCIBE |
| Sistemas vinculados a la Defensa Nacional | ESPDEF-CERT (Mando Conjunto del Ciberespacio) | Ministerio de Defensa |
La regla general es sencilla: sector público → CCN-CERT; sector privado → INCIBE-CERT; defensa → ESPDEF-CERT. El matiz importante está en la fila dos: si eres una empresa privada certificada en el ENS porque prestas servicios a la Administración, la notificación se canaliza a través del INCIBE-CERT, que coordina con el CCN-CERT. Los tres equipos comparten información entre sí, de modo que no notificas «por duplicado»: eliges el interlocutor que te corresponde y él escala lo que haga falta.
Cuándo es obligatorio notificar un incidente según el ENS
No todo incidente se notifica al Estado. La obligación nace cuando el incidente tiene impacto significativo en la seguridad de los sistemas afectados. Lo dicen los dos artículos del Real Decreto 311/2022 que regulan esta materia:
- Artículo 33 (Capacidad de respuesta a incidentes de seguridad). El CCN articula la respuesta mediante el CCN-CERT y establece que las entidades públicas le notificarán los incidentes con impacto significativo, con coordinación con ESPDEF-CERT en el ámbito de la defensa y con INCIBE-CERT para el sector privado prestador de servicios públicos.
- Artículo 34 (Prestación de servicios de respuesta a incidentes a las entidades del sector público). Define los servicios que presta el CCN-CERT: apoyo y coordinación ante vulnerabilidades e incidentes, investigación, divulgación de buenas prácticas, formación e información sobre amenazas.
La clave, por tanto, no es «¿he tenido un incidente?», sino «¿qué impacto tiene?». Y para responder a eso hace falta clasificarlo, que es justo lo que estandariza la guía técnica de referencia.
Cómo se clasifica la peligrosidad de un ciberincidente
La referencia es la guía CCN-STIC 817 («Esquema Nacional de Seguridad. Gestión de Ciberincidentes»), que ordena la clasificación en dos ejes independientes, cada uno con cinco niveles (CRÍTICO, MUY ALTO, ALTO, MEDIO y BAJO):
- Peligrosidad. La gravedad técnica de la amenaza en sí (por ejemplo, un ransomware activo frente a un correo de phishing aislado). La guía maneja una taxonomía de nueve clases de incidente y 36 subtipos.
- Impacto. Las consecuencias reales para tu organización (información comprometida, servicios afectados, alcance). Es este eje el que dispara la obligación de notificar.
La siguiente tabla resume, de forma orientativa, cuándo se activa la notificación al CCN según el nivel de impacto:
| Nivel de impacto | ¿Notificación al CCN-CERT? | Plazo orientativo de la guía |
|---|---|---|
| CRÍTICO | Sí, con la máxima urgencia | Inmediata (referencia: máx. 24 h) |
| MUY ALTO | Sí | Inmediata (referencia: máx. 24 h) |
| ALTO | Sí | Inmediata (referencia: máx. 24 h) |
| MEDIO | Según el criterio de la guía | Referencia: 72 h |
| BAJO | Registro y seguimiento internos | Referencia: 5 días |
Los umbrales y plazos exactos los fija la versión vigente de la CCN-STIC 817, que se actualiza: antes de aplicarlos, confírmalos en la guía actual y en el resto de instrucciones técnicas de seguridad y guías CCN-STIC. La idea de fondo no cambia: cuanto mayor es el impacto, antes hay que avisar.
LUCIA y el procedimiento de notificación paso a paso
La notificación no es un correo suelto: se hace a través de LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), la herramienta del CCN-CERT para gestionar y coordinar los ciberincidentes del sector público. LUCIA ofrece un lenguaje común de peligrosidad y clasificación, mantiene la trazabilidad del incidente y cumple con los requisitos del ENS y de la guía 817. El flujo, en la práctica, es este:
- Detecta y registra el incidente internamente. Esta parte la ordena tu protocolo de gestión de incidentes del ENS, con su detección, contención y erradicación; aquí no entro en ella.
- Clasifica la peligrosidad y el impacto conforme a la CCN-STIC 817. De esa clasificación depende si hay obligación de notificar y con qué urgencia.
- Notifica al CCN-CERT abriendo el caso en LUCIA cuando el impacto alcanza el umbral, con el contenido mínimo: qué ha ocurrido, sistemas y servicios afectados y medidas ya adoptadas.
- Contén y erradica en paralelo, actualizando el estado del incidente en la herramienta a medida que avanza la respuesta.
- Coordina con el CCN-CERT el análisis y, si procede, el apoyo especializado. La herramienta está pensada para ese trabajo conjunto.
- Cierra el incidente en LUCIA cuando la amenaza está erradicada, documentando las lecciones aprendidas.
Si quieres el detalle del ciclo interno de respuesta —los pasos previos al reporte—, lo desarrollo en mi guía sobre la respuesta ante incidentes en el ENS. Este artículo cubre la otra mitad: la notificación externa obligatoria.
Qué servicios ofrece el CCN-CERT además de la gestión de incidentes
Reducir el CCN-CERT a «donde se notifican los incidentes» se queda corto. Conforme al artículo 34 del Real Decreto 311/2022, presta un catálogo de servicios que conviene aprovechar antes de tener un problema:
- Alertas y avisos de vulnerabilidades y amenazas emergentes.
- Informes de ciberamenazas y buenas prácticas, con inteligencia útil para anticiparse.
- Herramientas de apoyo, como la propia LUCIA, para dotar de capacidades a organismos que no las tienen.
- Formación especializada (cursos y jornadas técnicas) para los equipos de seguridad del sector público.
- Guías CCN-STIC, la serie 800 dedicada al ENS, que marcan el «cómo» de cada medida.
Para un responsable de seguridad, el CCN-CERT es tanto un recurso preventivo como un interlocutor en crisis. Cuanto antes lo integres en tu operativa, menos improvisarás el día del incidente.
Notificación de incidentes y NIS2: lo que viene
Hasta ahora, la notificación obligatoria de incidentes ha sido casi una singularidad del sector público. Eso está cambiando con la directiva NIS2, que extiende el deber de notificar a las entidades esenciales e importantes de muchos más sectores —energía, salud, transporte, banca, infraestructuras digitales— con plazos propios y estrictos: una alerta temprana en las primeras 24 horas, una notificación en 72 y un informe final posterior, ante el CSIRT que corresponda.
La consecuencia es que muchas organizaciones quedarán bajo dos marcos a la vez: el ENS, si operan en el ámbito público, y NIS2, si pertenecen a un sector cubierto. No son incompatibles —comparten la lógica de clasificar, notificar y coordinar—, pero sí obligan a tener claro a qué equipo se notifica cada incidente y con qué plazo. Diseñar el procedimiento una sola vez, contemplando ambos, evita duplicar el trabajo y errar el interlocutor.
Conclusión: la notificación forma parte del cumplimiento, no lo penaliza
El CCN-CERT no es un enemigo al que ocultarle los problemas: es el equipo público que existe precisamente para ayudarte cuando tienes un incidente. Notificar a tiempo, clasificar bien la peligrosidad y el impacto y usar LUCIA como la norma manda no resta puntos en tu conformidad con el ENS; los suma, porque demuestra que tu sistema de gestión funciona. Lo que compromete la conformidad es lo contrario: callar un incidente significativo.
Si estás adecuando un organismo o una empresa proveedora al ENS y no tienes claro cuándo y cómo notificar, o cómo encaja todo esto con la guía del cumplimiento ENS, cuéntame tu caso y lo revisamos juntos.