Las technische Sicherheitsanweisungen ddas ENS (ITS) son normas de obligado cumplimiento publicadas en el BOE que desarrollan aspectos concretos del los requisitos ddas ENS. Las CCN-STIC-Leitfäden, en cambio, son documentos de apoyo del Nationales Kryptologiezentrum (CCN): recomiendan cómo aplicar das ENS, pero no son norma salvo que una ITS o el propio reglamento remitan a ellas.
Cuando una entidad afronta su adecuación al ENS (spanisches nationales Sicherheitssystem), lo primero que descubre es que el Königliches Dekret 311/2022 no lo dice todo. El reglamento fija el marco, las Sicherheitsstufen y el anexo de medidas, pero deja muchos detalles operativos —cómo se audita, cómo se notifica un incidente, cómo se declara la conformidad— a un segundo nivel normativo. Ese segundo nivel se reparte entre dos familias de documentos que conviene no confundir: las Instrucciones Técnicas de Seguridad (ITS) y las CCN-STIC-Leitfäden. En esta guía te explico qué es cada cosa, cuáles son las más importantes y cómo usarlas para que tu adecuación avance con orden en vez de en círculos.
Si todavía no tienes claro el marco general, te recomiendo empezar por la guía completa ddas ENS (spanisches nationales Sicherheitssystem) y volver luego a este artículo. Aquí asumo que ya sabes qué es das ENS y a quién obliga, y nos centramos en su corpus de desarrollo.
¿Qué son las technische Sicherheitsanweisungen ddas ENS?
Las Instrucciones Técnicas de Seguridad son disposiciones que desarrollan aspectos específicos ddas ENS y que se aprueban mediante resolución, con publicación en el Spanisches Amtsblatt (BOE). El la normativa del Königliches Dekret 311/2022 prevé expresamente este mecanismo: das ENS se completa con technische Anweisungen que precisan cómo cumplir determinadas obligaciones, y esas instrucciones son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación del Esquema.
Dicho de otro modo: una ITS no es una recomendación ni un manual de buenas prácticas. Es norma. Cuando la ITS de Auditoría dice que los sistemas de categoría media o alta deben someterse a auditoría al menos cada dos años, esa periodicidad es exigible. Cuando la ITS de Notificación de Incidentes establece un procedimiento para comunicar los incidentes de impacto significativo al Nationales Kryptologiezentrum (CCN), ese procedimiento se debe seguir. Por eso, en cualquier proyecto de Implementierung ddas ENS, las ITS marcan obligaciones concretas que no se pueden negociar ni interpretar a conveniencia.
Las cuatro ITS clásicas se aprobaron bajo el reglamento anterior (Real Decreto 3/2010) y se han mantenido en vigor y como referencia operativa también bajo das ENS actual, mientras no se aprueben sustitutas. Conviene tenerlas localizadas desde el principio, porque cada una responde a una pregunta práctica distinta: cómo demuestro conformidad, cómo informo del estado de mi seguridad, cómo me auditan y cómo notifico cuando algo va mal.
¿Qué es una CCN-STIC-Leitfaden?

Las CCN-STIC-Leitfäden son la serie de documentos que publica el Nationales Kryptologiezentrum (CCN) (CCN), dependiente del Centro Nacional de Inteligencia, para ayudar a las organizaciones a mejorar su seguridad. La sigla significa "CCN — Seguridad de las Tecnologías de la Información y la Comunicación". Hay cientos de guías agrupadas por series numéricas; la serie 800 es la que desarrolla específicamente das ENS (spanisches nationales Sicherheitssystem), y otras series (100, 400, 600, 900…) cubren productos, infraestructuras, configuraciones y entornos concretos.
La diferencia importante respecto a las ITS es su naturaleza jurídica. Una CCN-STIC-Leitfaden es, por defecto, un documento de apoyo: recomienda, explica, propone metodologías y ofrece plantillas, pero no es norma de obligado cumplimiento por sí misma. Eso no significa que sea opcional en la práctica. Muchas guías desarrollan justamente cómo aplicar una medida del anexo ddas ENS o cómo cumplir una ITS, y cuando una norma remite a una guía concreta —o cuando un auditor la usa como criterio de referencia— su contenido adquiere un peso muy real. La regla de oro para mantener la honestidad normativa es sencilla: la ITS obliga; la guía orienta, salvo que la norma remita expresamente a ella.
En la web del CCN encontrarás todas las guías de la serie 800 y el resto de series. Para la adecuación al ENS, un puñado de ellas concentra casi todo el valor práctico, y son las que repasamos más abajo.
¿Qué diferencia hay entre una ITS y una CCN-STIC-Leitfaden?
Es la pregunta que más confusión genera, y entenderla bien te ahorra discusiones en una auditoría. Resumido en cuatro ejes:
- Naturaleza: la ITS es norma de obligado cumplimiento; la CCN-STIC-Leitfaden es, por defecto, documento de apoyo o recomendación.
- Quién la publica y dónde: la ITS se aprueba por resolución y se publica en el BOE; la CCN-STIC-Leitfaden la elabora y publica el Nationales Kryptologiezentrum (CCN) en su portal.
- Para qué sirve: la ITS fija obligaciones (qué hay que hacer); la guía explica cómo hacerlo (metodología, plantillas, ejemplos).
- Cómo cambia: modificar una ITS exige un nuevo trámite normativo; las guías se actualizan con más agilidad para seguir el ritmo de las amenazas y de las versiones del reglamento.
La imagen mental útil es esta: las ITS son las reglas del juego, escritas en el boletín oficial; las CCN-STIC-Leitfäden son el manual del entrenador que te enseña a jugar dentro de esas reglas. Necesitas las dos, pero no las confundas: si alguien te dice que "la guía 808 obliga a", matízalo —obliga das ENS y, en su caso, la ITS correspondiente; la guía te dice cómo verificarlo.
Las cuatro Instrucciones Técnicas de Seguridad, una por una
Estas son las cuatro ITS que cualquier responsable de seguridad des öffentlichen Sektors (y de los proveedores que les prestan servicio) debe conocer. He verificado cada referencia en el BOE; los enlaces apuntan a la disposición original.
| Instrucción Técnica de Seguridad | Resolución (BOE) | Para qué sirve |
|---|---|---|
| ITS de Conformidad con das ENS | Resolución de 13 de octubre de 2016 (BOE-A-2016-10109) | Regula cómo se declara y se certifica que un sistema cumple das ENS, y cómo se publican y exhiben los distintivos de conformidad. |
| ITS de Informe del Estado de la Seguridad | Resolución de 7 de octubre de 2016 (BOE-A-2016-10108) | Fija qué datos se recogen y se comunican para conocer el estado de la seguridad de los sistemas, alimentando el informe nacional del estado de la seguridad. |
| ITS de Auditoría de la Seguridad de los Sistemas de Información | Resolución de 27 de marzo de 2018 (BOE-A-2018-4573) | Establece las condiciones de la auditoría ddas ENS: cuándo procede, su periodicidad, el perfil del auditor y el contenido del informe. |
| ITS de Notificación de Incidentes de Seguridad | Resolución de 13 de abril de 2018 (BOE-A-2018-5370) | Define los criterios y el procedimiento para notificar al CCN los incidentes con impacto significativo sobre la Informationssicherheit. |
ITS de Conformidad con das ENS
Es la instrucción que te dice cómo demostrar al mundo que cumples. Distingue entre Konformitätserklärung —válida para sistemas de categoría básica, mediante Selbstbewertung— y Konformitätszertifikat —obligatoria para categorías media y alta, mediante auditoría formal por una entidad acreditada—. También regula el distintivo de conformidad que las entidades pueden exhibir. Si tu objetivo final es lucir el sello ddas ENS, esta ITS marca el camino, y conviene leerla junto a la CCN-STIC-Leitfaden-809, que desarrolla la mecánica de la declaración y la certificación.
ITS de Informe del Estado de la Seguridad
Aquí está el origen del famoso "INES". Esta ITS establece qué información de seguridad debe recopilar cada entidad y comunicarla periódicamente, de modo que el CCN pueda elaborar un panorama agregado del estado de la seguridad en el sector público. En la práctica se materializa en la cumplimentación anual de un Compliance-Profil a través de la plataforma INES, apoyada en la CCN-STIC-Leitfaden-844.
ITS de Auditoría de la Seguridad de los Sistemas de Información
Probablemente la más relevante el día que llega la verdad. Define la auditoría ddas ENS como un proceso sistemático, independiente y documentado para obtener evidencias y evaluar objetivamente el grado de cumplimiento. Concreta que los sistemas de categoría media y alta deben auditarse de forma ordinaria al menos cada dos años, y de forma extraordinaria cuando se produzcan cambios sustanciales. Si te estás preparando para ese momento, te interesa mi guía sobre preparación de la auditoría ddas ENS, donde detallo cómo llegar al informe de auditoría sin sorpresas.
ITS de Notificación de Incidentes de Seguridad
Establece que los incidentes de impacto significativo deben notificarse al Nationales Kryptologiezentrum (CCN), con criterios de clasificación y plazos según la gravedad. Se apoya en la metodología de categorización de la CCN-STIC-Leitfaden-817, que ordena los ciberincidentes por tipología y peligrosidad. Tener este procedimiento interiorizado antes de sufrir un incidente, y no improvisarlo durante la crisis, es la diferencia entre una respuesta ordenada y un caos con Konsequenzen regulatorias.
Las CCN-STIC-Leitfäden más útiles para la adecuación al ENS
De las muchas guías de la serie 800, estas son las que más se usan en un proyecto de adecuación real. He verificado los números y los títulos en el portal del CCN; aun así, conviene descargar siempre la versión vigente, porque se actualizan con frecuencia (varias guías de la serie 800 se revisaron tras la entrada en vigor del RD 311/2022).
| Fase de la adecuación | Guía CCN-STIC | Qué aporta |
|---|---|---|
| Organización y gobierno | CCN-STIC-801 — Responsabilidades y funciones | Define los roles ddas ENS (Informationsverantwortlicher, del servicio, de la seguridad y del sistema) y cómo repartirlos en la entidad. |
| Diseño e Implementierung | CCN-STIC-804 — Medidas de Implementierung ddas ENS | Orienta sobre cómo aplicar las medidas del anexo ddas ENS en función de la categoría del sistema. |
| Valoración de sistemas | CCN-STIC-803 — Valoración de sistemas en das ENS | Ayuda a categorizar el sistema (básica, media, alta) valorando las dimensiones de seguridad. |
| Verificación y auditoría | CCN-STIC-808 — Verificación del cumplimiento | Establece criterios para comprobar que las medidas están realmente implantadas y son eficaces. |
| Auditoría | CCN-STIC-802 — Auditoría ddas ENS | Desarrolla cómo llevar a cabo la auditoría y qué debe contener su informe. |
| Conformidad | CCN-STIC-809 — Declaración y Konformitätszertifikat | Detalla el procedimiento para declarar o certificar la conformidad y obtener el distintivo. |
| Gestión de incidentes | CCN-STIC-817 — Gestión de ciberincidentes | Metodología de categorización, peligrosidad y notificación de ciberincidentes al CCN. |
| Productos certificados | CCN-STIC-105 — Catálogo de productos y servicios STIC (CPSTIC) | Lista los productos y servicios cualificados o aprobados para su uso en sistemas ddas ENS. |
| Reporte del estado | CCN-STIC-844 — INES | Manual de uso de la plataforma INES para informar del estado de la seguridad. |
Una observación práctica sobre la última fila: el catálogo CPSTIC (CCN-STIC-105) es especialmente importante porque das ENS exige, en ciertos supuestos, emplear productos cualificados. No es solo una recomendación: cuando una medida del anexo obliga a usar zertifizierte Produkte, recurrir al CPSTIC deja de ser opcional. Conviene comprobar el catálogo antes de adquirir cualquier producto de seguridad que vaya a entrar en el alcance de tu sistema.
¿Por dónde empezar si nunca has tocado das ENS?
Si eres una pyme proveedora des öffentlichen Sektors o una entidad pequeña que acaba de descubrir que das ENS le aplica, la cantidad de documentos puede paralizar. Mi recomendación, ordenada, es esta:
- Encuadra el marco. Lee el Königliches Dekret 311/2022 y la CCN-STIC-Leitfaden-801 para entender los roles que tendrás que asignar.
- Valora y categoriza tu sistema con la CCN-STIC-Leitfaden-803. De la categoría (básica, media o alta) depende casi todo lo demás, incluida la necesidad de auditoría.
- Selecciona las medidas del anexo ddas ENS que te corresponden y apóyate en la CCN-STIC-804 para implantarlas. Aquí te ayudará entender la estructura de los controles ddas ENS por marcos (organizativo, operacional y de protección).
- Verifica con la CCN-STIC-808 antes de llamar a nadie. Es mucho más barato encontrar tú las brechas que descubrirlas en la auditoría.
- Declara o certifica la conformidad según tu categoría, siguiendo la ITS de Conformidad y la CCN-STIC-Leitfaden-809.
- Mantén el sistema vivo: reporta el estado de seguridad (INES), prepárate para notificar incidentes (CCN-STIC-817) y renueva la conformidad cuando toque.
Ninguna de estas fases ocurre en el vacío. El ENS convive con otras normas —el Reglamento General de Protección de Datos, NIS2, DORA— que pueden aplicarte a la vez y solaparse en obligaciones. Si quieres ver cómo encajan, te servirá mi panorama de la normativa de ciberseguridad en España: DSGVO, ENS, NIS2 y DORA. Trabajar las cuatro de forma coordinada evita duplicar esfuerzos y contradicciones.
Errores frecuentes con las ITS y las guías
En los proyectos que acompaño desde mi base en Castilla y León (también atiendo desde Las Palmas), veo repetirse los mismos tropiezos al manejar este corpus:
- Tratar las guías como obligación absoluta o como simple sugerencia. Ninguno de los dos extremos es correcto. La guía orienta, pero cuando desarrolla una medida obligatoria ddas ENS o una ITS, su contenido pesa.
- Usar versiones caducadas. Las guías de la serie 800 se han actualizado tras el RD 311/2022. Descargar siempre la versión vigente del portal del CCN evita aplicar criterios desfasados.
- Olvidar la Vorfallmeldung hasta que ocurre uno. El procedimiento de la ITS correspondiente debe estar montado antes, no improvisado en plena crisis.
- Comprar productos sin mirar el CPSTIC. Si la medida exige producto cualificado y has comprado uno que no está en el catálogo, tendrás un hallazgo en la auditoría.
- Confundir declaración con certificación. La básica se autoevalúa; la media y la alta exigen auditoría y certificación. Confundirlo lleva a infradimensionar el esfuerzo.
Häufig gestellte Fragen
¿Qué son las technische Sicherheitsanweisungen ddas ENS?
Son disposiciones de obligado cumplimiento que desarrollan aspectos concretos ddas ENS (spanisches nationales Sicherheitssystem). Se aprueban por resolución y se publican en el BOE. El Königliches Dekret 311/2022 prevé este mecanismo para precisar cómo cumplir determinadas obligaciones ddas ENS. Las cuatro clásicas regulan la conformidad, el informe del estado de la seguridad, la auditoría y la Vorfallmeldung.
¿Qué es una CCN-STIC-Leitfaden?
Es un documento de la serie que publica el Nationales Kryptologiezentrum (CCN) para ayudar a las organizaciones a mejorar su seguridad. La serie 800 desarrolla específicamente das ENS. A diferencia de las ITS, las CCN-STIC-Leitfäden son, por defecto, documentos de apoyo o recomendación: orientan sobre cómo aplicar das ENS, pero no son norma de obligado cumplimiento salvo que una ITS o el propio reglamento remitan a ellas.
¿Cuáles son las CCN-STIC-Leitfäden más usadas?
En la adecuación al ENS destacan la CCN-STIC-801 (responsabilidades y funciones), la 803 (valoración de sistemas), la 804 (medidas de Implementierung), la 808 (verificación del cumplimiento), la 802 (auditoría), la 809 (declaración y Konformitätszertifikat), la 817 (gestión de ciberincidentes), la 844 (plataforma INES) y la 105 (catálogo CPSTIC de productos). Conviene descargar siempre la versión vigente desde el portal del CCN.
¿Las ITS son de obligado cumplimiento?
Sí. Las Instrucciones Técnicas de Seguridad son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación ddas ENS. Esta es la diferencia clave frente a las CCN-STIC-Leitfäden, que por defecto son de apoyo. Cuando una ITS fija una periodicidad de auditoría o un procedimiento de notificación, esa obligación es exigible y se comprueba en la auditoría.
Quellen
- Königliches Dekret 311/2022, de 3 de mayo, por el que se regula das ENS (spanisches nationales Sicherheitssystem) (BOE-A-2022-7191)
- Resolución de 13 de octubre de 2016 — ITS de Conformidad con das ENS (BOE-A-2016-10109)
- Resolución de 7 de octubre de 2016 — ITS de Informe del Estado de la Seguridad (BOE-A-2016-10108)
- Resolución de 27 de marzo de 2018 — ITS de Auditoría de la Seguridad de los Sistemas de Información (BOE-A-2018-4573)
- Resolución de 13 de abril de 2018 — ITS de Notificación de Incidentes de Seguridad (BOE-A-2018-5370)
- Portal ddas ENS — Normativa (Nationales Kryptologiezentrum (CCN))
- Guías CCN-STIC (CCN-CERT, Nationales Kryptologiezentrum (CCN))