En breve: El CPSTIC es el catálogo del Centro Criptológico Nacional (CCN) que recoge los productos y servicios de seguridad TIC que han superado una evaluación oficial. Dentro del catálogo conviven dos categorías que se confunden constantemente: los productos aprobados y los productos cualificados. La diferencia no es de marketing ni de calidad: marca el tipo de información que cada producto puede proteger y el nivel del Esquema Nacional de Seguridad al que da soporte. Aquí te explico, con criterio jurídico-técnico, qué significa cada una, cómo se consulta el catálogo y los errores que veo una y otra vez en pliegos y proyectos de cumplimiento.
Qué son el CCN y el CPSTIC
Cuando trabajo con organismos públicos y con empresas que aspiran a contratar con la Administración, la primera confusión que me encuentro es de siglas. Conviene fijarlas bien antes de entrar en las categorías del catálogo.
El CCN es el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (CNI). Es el organismo de referencia en España para la ciberseguridad de las Administraciones públicas y de los sistemas que manejan información sensible o clasificada. Entre sus competencias está elaborar normativa técnica (las conocidas guías CCN-STIC), gestionar la capacidad de respuesta ante incidentes del sector público y, lo que nos ocupa aquí, evaluar y catalogar productos de seguridad.
El CPSTIC es el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación. Es el listado oficial de soluciones que el CCN considera adecuadas para proteger los sistemas de la Administración. Su marco de referencia es la guía CCN-STIC 105, que define el procedimiento, las categorías y los requisitos para que un producto entre en el catálogo. Dicho de otra forma: el CPSTIC no es un comparador comercial, es una herramienta de cumplimiento. Si un sistema público necesita un cortafuegos, un sistema de cifrado o una solución de control de acceso, lo razonable es buscarlo primero en este catálogo.
Esta lógica encaja directamente con el Esquema Nacional de Seguridad, que es el marco que obliga a las entidades del sector público a proteger la información y los servicios según su categoría de seguridad. El ENS no solo exige medidas organizativas y de operación: también espera que los productos empleados ofrezcan garantías técnicas verificables. Y ahí es donde el CPSTIC se convierte en la respuesta práctica a la pregunta de qué tecnología usar.
Las dos categorías del catálogo
El CPSTIC clasifica los productos en dos grandes categorías que responden a necesidades de protección distintas. No es que una sea mejor que la otra en abstracto: son respuestas a escenarios de riesgo diferentes.
Productos aprobados
Un producto aprobado es aquel que cumple los requisitos de seguridad establecidos por el CCN para su uso en el sector público cuando los sistemas no manejan información clasificada. Está pensado para la inmensa mayoría de los sistemas de la Administración: sedes electrónicas, gestores documentales, plataformas de tramitación, infraestructuras de comunicaciones de uso administrativo y, en general, todo aquello que protege información sensible pero no clasificada.
La aprobación implica que el producto ha pasado un proceso de evaluación que verifica que sus funcionalidades de seguridad funcionan como deben y que está correctamente configurado según las recomendaciones del CCN. Es el nivel que da cobertura, según la normativa del CCN, a las categorías de seguridad más habituales del ENS, es decir, las inferiores a la máxima exigencia. Para la mayoría de proyectos con los que trabajo, un producto aprobado es exactamente lo que se necesita.
Productos cualificados
Un producto cualificado está sometido a una evaluación más exigente y se asocia a los escenarios de mayor riesgo: sistemas que manejan información clasificada y sistemas que el ENS encuadra en la categoría ALTA. Aquí el listón sube de forma notable, porque las consecuencias de un compromiso de seguridad son mucho más graves.
La cualificación supone un análisis técnico más profundo del producto, de su criptografía cuando aplica, de su arquitectura y de su comportamiento frente a amenazas avanzadas. No basta con que el producto declare unas funcionalidades: se comprueban con un nivel de rigor superior. Por eso el conjunto de productos cualificados es, lógicamente, más reducido que el de aprobados, y por eso su incorporación al catálogo es más lenta y selectiva.
Conviene entender que la cualificación no es un sello de prestigio comercial. Es una etiqueta funcional: indica que ese producto es apto para escenarios donde la información tiene la máxima sensibilidad o donde la criticidad del servicio exige las máximas garantías. Usar un producto cualificado donde bastaría uno aprobado no está prohibido, pero suele ser sobredimensionar el proyecto sin aportar valor real.
La diferencia clave entre aprobado y cualificado
Si tuviera que resumir la distinción en una frase para un comité de dirección, diría esto: la categoría aprobado habilita un producto para proteger información sensible no clasificada en las categorías más comunes del ENS, mientras que la categoría cualificado lo habilita para información clasificada y para la categoría ALTA del ENS, tras una evaluación más exigente.
La diferencia, por tanto, no está en la marca ni en el precio, sino en dos ejes: el tipo de información que el producto puede manejar y el nivel de exigencia de la evaluación que ha superado. Lo expreso en la siguiente tabla para que se vea de un vistazo.
| Criterio | Producto APROBADO | Producto CUALIFICADO |
|---|---|---|
| Tipo de información que protege | Información sensible no clasificada del sector público | Información clasificada y de máxima sensibilidad |
| Nivel del ENS asociado | Categorías inferiores a la máxima (según la normativa del CCN) | Categoría ALTA del ENS |
| Exigencia de la evaluación | Verificación de requisitos de seguridad | Evaluación más profunda y exigente |
| Volumen en el catálogo | Más amplio | Más reducido y selectivo |
| Caso de uso típico | Sedes electrónicas, gestión documental, comunicaciones administrativas | Sistemas con información clasificada o de criticidad ALTA |
| Marco de referencia | Guía CCN-STIC 105 y normativa del CCN | |
Una idea importante: ambas categorías conviven dentro del mismo CPSTIC. No son catálogos distintos, sino dos niveles dentro del mismo catálogo. Por eso, cuando alguien me dice que un producto está en el CPSTIC, mi siguiente pregunta siempre es la misma: vale, pero ¿aprobado o cualificado?, porque de esa respuesta depende para qué sistemas podrás usarlo legítimamente.
Por qué importa para el ENS y la contratación pública
Esta distinción no es un tecnicismo de laboratorio. Tiene consecuencias muy concretas en dos terrenos en los que asesoro de forma habitual.
El primero es el cumplimiento del propio ENS. Cuando una entidad afronta su certificación ENS, el auditor no solo mira procedimientos y políticas: revisa si las tecnologías empleadas están a la altura de la categoría declarada. Emplear productos del CPSTIC, y de la categoría adecuada, facilita demostrar que las medidas técnicas son razonables y verificadas por un tercero de confianza, que en este caso es el CCN. No es un requisito mecánico universal para cada componente, pero sí una vía sólida y muy recomendable para justificar la idoneidad de las soluciones.
El segundo terreno es la contratación pública. Cada vez veo más pliegos que exigen, o que valoran de forma destacada, que determinados productos figuren en el CPSTIC con una categoría concreta. Si tu empresa quiere vender a la Administración una solución de seguridad, que esté catalogada deja de ser un adorno y se convierte en una condición de acceso al mercado. Y si la categoría que pide el pliego es cualificado y tú solo tienes el producto aprobado, sencillamente no puedes optar a ese contrato. Por eso insisto a mis clientes proveedores en planificar la entrada en el catálogo con tiempo, porque los procesos de evaluación no son inmediatos.
Todo esto se conecta, además, con marcos de gestión más amplios como la ISO 27001. El CPSTIC resuelve el plano del producto concreto, mientras que esa norma ordena el sistema de gestión de la seguridad de la información en su conjunto. Son piezas complementarias, no alternativas.
Cómo se consulta el catálogo y cómo elegir producto
El CPSTIC es público y se consulta a través de la web del CCN. El catálogo permite filtrar por familias o taxonomías de producto, de modo que puedes localizar la categoría tecnológica que necesitas y ver qué soluciones están catalogadas y en qué condición. Mi recomendación práctica es seguir un orden claro.
- Define primero la categoría ENS de tu sistema. Antes de mirar producto alguno, necesitas saber si tu sistema es de categoría básica, media o alta, y si maneja o no información clasificada. Sin eso, no sabes qué categoría de catálogo te corresponde.
- Identifica la familia tecnológica. Cortafuegos, cifrado, control de acceso, protección del puesto de trabajo, etc. El catálogo está organizado por taxonomías que facilitan esta búsqueda.
- Filtra por categoría del catálogo. Si tu sistema es de categoría ALTA o maneja información clasificada, tu objetivo son los productos cualificados. Si no, los aprobados te sirven y suelen darte más opciones.
- Lee las condiciones de empleo seguro. Un producto catalogado conserva sus garantías solo si se instala y configura como indica el CCN. Catalogado no significa seguro por defecto: significa seguro si lo despliegas según sus condiciones.
En este punto suelo apoyar a las entidades desde mi consultoría de cumplimiento normativo, porque la elección del producto correcto ahorra mucho tiempo después: evita rehacer arquitecturas y reduce hallazgos en auditoría.
Errores y confusiones habituales
Después de bastantes proyectos, hay equivocaciones que se repiten con una regularidad sorprendente. Te dejo las que más caras salen.
- Creer que cualificado es simplemente mejor. No es una escala de calidad. Un producto aprobado bien elegido para un sistema de categoría media es la decisión correcta. Pedir cualificado por defecto encarece y limita opciones sin ganar protección útil.
- Suponer que estar en el catálogo basta. La categoría importa. Decir que un producto está en el CPSTIC sin precisar si es aprobado o cualificado puede llevar a comprar algo que no encaja con el nivel del sistema.
- Ignorar las condiciones de empleo seguro. Catalogar un producto no exime de configurarlo bien. Una mala configuración tira por tierra las garantías que justificaron su entrada en el catálogo.
- Confundir el producto con el sistema. El CPSTIC cataloga productos, no acredita por sí solo que todo tu sistema cumpla el ENS. El cumplimiento es del sistema completo, y el producto es una pieza de ese puzzle.
- Dejar la catalogación para el final, siendo fabricante. Si vendes a la Administración, esperar a que un pliego te exija el catálogo cuando aún no has iniciado la evaluación te deja fuera. La planificación es clave.
Conclusión
La diferencia entre un producto aprobado y uno cualificado del CPSTIC se entiende mejor pensando en qué información protege cada uno y bajo qué nivel de exigencia ha sido evaluado. Aprobado da cobertura a la información sensible no clasificada y a las categorías más comunes del ENS; cualificado se reserva para información clasificada y para la categoría ALTA, con una evaluación más rigurosa. Saber cuál te corresponde no es un detalle académico: condiciona tu cumplimiento del ENS y, si eres proveedor, tu capacidad de concurrir a contratos públicos.
Si tienes que decidir qué productos del catálogo encajan en tu organización, o necesitas preparar la entrada de tu solución en el CPSTIC, puedo ayudarte a hacerlo con criterio y sin sobresaltos. Cuéntame tu caso y lo vemos juntos.