Las technical security instructions del ENS (ITS) son normas de obligado cumplimiento publicadas en el BOE que desarrollan aspectos concretos del los requisitos del ENS. Las CCN-STIC guides, en cambio, son documentos de apoyo del National Cryptologic Centre (CCN): recomiendan cómo aplicar el ENS, pero no son norma salvo que una ITS o el propio reglamento remitan a ellas.
Cuando una entidad afronta su adecuación al ENS (Spanish National Security Framework), lo primero que descubre es que el Royal Decree 311/2022 no lo dice todo. El reglamento fija el marco, las security categories y el anexo de medidas, pero deja muchos detalles operativos —cómo se audita, cómo se notifica un incidente, cómo se declara la conformidad— a un segundo nivel normativo. Ese segundo nivel se reparte entre dos familias de documentos que conviene no confundir: las Instrucciones Técnicas de Seguridad (ITS) y las CCN-STIC guides. En esta guía te explico qué es cada cosa, cuáles son las más importantes y cómo usarlas para que tu adecuación avance con orden en vez de en círculos.
Si todavía no tienes claro el marco general, te recomiendo empezar por la guía completa del ENS (Spanish National Security Framework) y volver luego a este artículo. Aquí asumo que ya sabes qué es el ENS y a quién obliga, y nos centramos en su corpus de desarrollo.
¿Qué son las technical security instructions del ENS?
Las Instrucciones Técnicas de Seguridad son disposiciones que desarrollan aspectos específicos del ENS y que se aprueban mediante resolución, con publicación en el Official State Gazette (BOE). El la normativa del Royal Decree 311/2022 prevé expresamente este mecanismo: el ENS se completa con technical instructions que precisan cómo cumplir determinadas obligaciones, y esas instrucciones son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación del Esquema.
Dicho de otro modo: una ITS no es una recomendación ni un manual de buenas prácticas. Es norma. Cuando la ITS de Auditoría dice que los sistemas de categoría media o alta deben someterse a auditoría al menos cada dos años, esa periodicidad es exigible. Cuando la ITS de Notificación de Incidentes establece un procedimiento para comunicar los incidentes de impacto significativo al National Cryptologic Centre (CCN), ese procedimiento se debe seguir. Por eso, en cualquier proyecto de ENS implementation, las ITS marcan obligaciones concretas que no se pueden negociar ni interpretar a conveniencia.
Las cuatro ITS clásicas se aprobaron bajo el reglamento anterior (Real Decreto 3/2010) y se han mantenido en vigor y como referencia operativa también bajo el ENS actual, mientras no se aprueben sustitutas. Conviene tenerlas localizadas desde el principio, porque cada una responde a una pregunta práctica distinta: cómo demuestro conformidad, cómo informo del estado de mi seguridad, cómo me auditan y cómo notifico cuando algo va mal.
¿Qué es una CCN-STIC guide?

Las CCN-STIC guides son la serie de documentos que publica el National Cryptologic Centre (CCN) (CCN), dependiente del Centro Nacional de Inteligencia, para ayudar a las organizaciones a mejorar su seguridad. La sigla significa "CCN — Seguridad de las Tecnologías de la Información y la Comunicación". Hay cientos de guías agrupadas por series numéricas; la serie 800 es la que desarrolla específicamente el ENS (Spanish National Security Framework), y otras series (100, 400, 600, 900…) cubren productos, infraestructuras, configuraciones y entornos concretos.
La diferencia importante respecto a las ITS es su naturaleza jurídica. Una CCN-STIC guide es, por defecto, un documento de apoyo: recomienda, explica, propone metodologías y ofrece plantillas, pero no es norma de obligado cumplimiento por sí misma. Eso no significa que sea opcional en la práctica. Muchas guías desarrollan justamente cómo aplicar una medida del anexo del ENS o cómo cumplir una ITS, y cuando una norma remite a una guía concreta —o cuando un auditor la usa como criterio de referencia— su contenido adquiere un peso muy real. La regla de oro para mantener la honestidad normativa es sencilla: la ITS obliga; la guía orienta, salvo que la norma remita expresamente a ella.
En la web del CCN encontrarás todas las guías de la serie 800 y el resto de series. Para la adecuación al ENS, un puñado de ellas concentra casi todo el valor práctico, y son las que repasamos más abajo.
¿Qué diferencia hay entre una ITS y una CCN-STIC guide?
Es la pregunta que más confusión genera, y entenderla bien te ahorra discusiones en una auditoría. Resumido en cuatro ejes:
- Naturaleza: la ITS es norma de obligado cumplimiento; la CCN-STIC guide es, por defecto, documento de apoyo o recomendación.
- Quién la publica y dónde: la ITS se aprueba por resolución y se publica en el BOE; la CCN-STIC guide la elabora y publica el National Cryptologic Centre (CCN) en su portal.
- Para qué sirve: la ITS fija obligaciones (qué hay que hacer); la guía explica cómo hacerlo (metodología, plantillas, ejemplos).
- Cómo cambia: modificar una ITS exige un nuevo trámite normativo; las guías se actualizan con más agilidad para seguir el ritmo de las amenazas y de las versiones del reglamento.
La imagen mental útil es esta: las ITS son las reglas del juego, escritas en el boletín oficial; las CCN-STIC guides son el manual del entrenador que te enseña a jugar dentro de esas reglas. Necesitas las dos, pero no las confundas: si alguien te dice que "la guía 808 obliga a", matízalo —obliga el ENS y, en su caso, la ITS correspondiente; la guía te dice cómo verificarlo.
Las cuatro Instrucciones Técnicas de Seguridad, una por una
Estas son las cuatro ITS que cualquier responsable de seguridad dthe public sector (y de los proveedores que les prestan servicio) debe conocer. He verificado cada referencia en el BOE; los enlaces apuntan a la disposición original.
| Instrucción Técnica de Seguridad | Resolución (BOE) | Para qué sirve |
|---|---|---|
| ITS de Conformidad con el ENS | Resolución de 13 de octubre de 2016 (BOE-A-2016-10109) | Regula cómo se declara y se certifica que un sistema cumple el ENS, y cómo se publican y exhiben los distintivos de conformidad. |
| ITS de Informe del Estado de la Seguridad | Resolución de 7 de octubre de 2016 (BOE-A-2016-10108) | Fija qué datos se recogen y se comunican para conocer el estado de la seguridad de los sistemas, alimentando el informe nacional del estado de la seguridad. |
| ITS de Auditoría de la Seguridad de los Sistemas de Información | Resolución de 27 de marzo de 2018 (BOE-A-2018-4573) | Establece las condiciones de la auditoría del ENS: cuándo procede, su periodicidad, el perfil del auditor y el contenido del informe. |
| ITS de Notificación de Incidentes de Seguridad | Resolución de 13 de abril de 2018 (BOE-A-2018-5370) | Define los criterios y el procedimiento para notificar al CCN los incidentes con impacto significativo sobre la information security. |
ITS de Conformidad con el ENS
Es la instrucción que te dice cómo demostrar al mundo que cumples. Distingue entre declaration of conformity —válida para sistemas de categoría básica, mediante self-assessment— y certificate of conformity —obligatoria para categorías media y alta, mediante auditoría formal por una entidad acreditada—. También regula el distintivo de conformidad que las entidades pueden exhibir. Si tu objetivo final es lucir el sello del ENS, esta ITS marca el camino, y conviene leerla junto a la CCN-STIC guide-809, que desarrolla la mecánica de la declaración y la certificación.
ITS de Informe del Estado de la Seguridad
Aquí está el origen del famoso "INES". Esta ITS establece qué información de seguridad debe recopilar cada entidad y comunicarla periódicamente, de modo que el CCN pueda elaborar un panorama agregado del estado de la seguridad en the public sector. En la práctica se materializa en la cumplimentación anual de un compliance profile a través de la plataforma INES, apoyada en la CCN-STIC guide-844.
ITS de Auditoría de la Seguridad de los Sistemas de Información
Probablemente la más relevante el día que llega la verdad. Define la auditoría del ENS como un proceso sistemático, independiente y documentado para obtener evidencias y evaluar objetivamente el grado de cumplimiento. Concreta que los sistemas de categoría media y alta deben auditarse de forma ordinaria al menos cada dos años, y de forma extraordinaria cuando se produzcan cambios sustanciales. Si te estás preparando para ese momento, te interesa mi guía sobre preparación de la auditoría del ENS, donde detallo cómo llegar al informe de auditoría sin sorpresas.
ITS de Notificación de Incidentes de Seguridad
Establece que los incidentes de impacto significativo deben notificarse al National Cryptologic Centre (CCN), con criterios de clasificación y plazos según la gravedad. Se apoya en la metodología de categorización de la CCN-STIC guide-817, que ordena los ciberincidentes por tipología y peligrosidad. Tener este procedimiento interiorizado antes de sufrir un incidente, y no improvisarlo durante la crisis, es la diferencia entre una respuesta ordenada y un caos con consequences regulatorias.
Las CCN-STIC guides más útiles para la adecuación al ENS
De las muchas guías de la serie 800, estas son las que más se usan en un proyecto de adecuación real. He verificado los números y los títulos en el portal del CCN; aun así, conviene descargar siempre la versión vigente, porque se actualizan con frecuencia (varias guías de la serie 800 se revisaron tras la entrada en vigor del RD 311/2022).
| Fase de la adecuación | Guía CCN-STIC | Qué aporta |
|---|---|---|
| Organización y gobierno | CCN-STIC-801 — Responsabilidades y funciones | Define los roles del ENS (information officer, del servicio, de la seguridad y del sistema) y cómo repartirlos en la entidad. |
| Diseño e implementation | CCN-STIC-804 — Medidas de ENS implementation | Orienta sobre cómo aplicar las medidas del anexo del ENS en función de la categoría del sistema. |
| Valoración de sistemas | CCN-STIC-803 — Valoración de sistemas en el ENS | Ayuda a categorizar el sistema (básica, media, alta) valorando las dimensiones de seguridad. |
| Verificación y auditoría | CCN-STIC-808 — Verificación del cumplimiento | Establece criterios para comprobar que las medidas están realmente implantadas y son eficaces. |
| Auditoría | CCN-STIC-802 — Auditoría del ENS | Desarrolla cómo llevar a cabo la auditoría y qué debe contener su informe. |
| Conformidad | CCN-STIC-809 — Declaración y certificate of conformity | Detalla el procedimiento para declarar o certificar la conformidad y obtener el distintivo. |
| Gestión de incidentes | CCN-STIC-817 — Gestión de ciberincidentes | Metodología de categorización, peligrosidad y notificación de ciberincidentes al CCN. |
| Productos certificados | CCN-STIC-105 — Catálogo de productos y servicios STIC (CPSTIC) | Lista los productos y servicios cualificados o aprobados para su uso en sistemas del ENS. |
| Reporte del estado | CCN-STIC-844 — INES | Manual de uso de la plataforma INES para informar del estado de la seguridad. |
Una observación práctica sobre la última fila: el catálogo CPSTIC (CCN-STIC-105) es especialmente importante porque el ENS exige, en ciertos supuestos, emplear productos cualificados. No es solo una recomendación: cuando una medida del anexo obliga a usar certified products, recurrir al CPSTIC deja de ser opcional. Conviene comprobar el catálogo antes de adquirir cualquier producto de seguridad que vaya a entrar en el alcance de tu sistema.
¿Por dónde empezar si nunca has tocado el ENS?
Si eres una pyme proveedora dthe public sector o una entidad pequeña que acaba de descubrir que el ENS le aplica, la cantidad de documentos puede paralizar. Mi recomendación, ordenada, es esta:
- Encuadra el marco. Lee el Royal Decree 311/2022 y la CCN-STIC guide-801 para entender los roles que tendrás que asignar.
- Valora y categoriza tu sistema con la CCN-STIC guide-803. De la categoría (básica, media o alta) depende casi todo lo demás, incluida la necesidad de auditoría.
- Selecciona las medidas del anexo del ENS que te corresponden y apóyate en la CCN-STIC-804 para implantarlas. Aquí te ayudará entender la estructura de los controles del ENS por marcos (organizativo, operacional y de protección).
- Verifica con la CCN-STIC-808 antes de llamar a nadie. Es mucho más barato encontrar tú las brechas que descubrirlas en la auditoría.
- Declara o certifica la conformidad según tu categoría, siguiendo la ITS de Conformidad y la CCN-STIC guide-809.
- Mantén el sistema vivo: reporta el estado de seguridad (INES), prepárate para notificar incidentes (CCN-STIC-817) y renueva la conformidad cuando toque.
Ninguna de estas fases ocurre en el vacío. El ENS convive con otras normas —el Reglamento General de Protección de Datos, NIS2, DORA— que pueden aplicarte a la vez y solaparse en obligaciones. Si quieres ver cómo encajan, te servirá mi panorama de la normativa de ciberseguridad en España: GDPR, ENS, NIS2 y DORA. Trabajar las cuatro de forma coordinada evita duplicar esfuerzos y contradicciones.
Errores frecuentes con las ITS y las guías
En los proyectos que acompaño desde mi base en Castilla y León (también atiendo desde Las Palmas), veo repetirse los mismos tropiezos al manejar este corpus:
- Tratar las guías como obligación absoluta o como simple sugerencia. Ninguno de los dos extremos es correcto. La guía orienta, pero cuando desarrolla una medida obligatoria del ENS o una ITS, su contenido pesa.
- Usar versiones caducadas. Las guías de la serie 800 se han actualizado tras el RD 311/2022. Descargar siempre la versión vigente del portal del CCN evita aplicar criterios desfasados.
- Olvidar la incident notification hasta que ocurre uno. El procedimiento de la ITS correspondiente debe estar montado antes, no improvisado en plena crisis.
- Comprar productos sin mirar el CPSTIC. Si la medida exige producto cualificado y has comprado uno que no está en el catálogo, tendrás un hallazgo en la auditoría.
- Confundir declaración con certificación. La básica se autoevalúa; la media y la alta exigen auditoría y certificación. Confundirlo lleva a infradimensionar el esfuerzo.
Frequently asked questions
¿Qué son las technical security instructions del ENS?
Son disposiciones de obligado cumplimiento que desarrollan aspectos concretos del ENS (Spanish National Security Framework). Se aprueban por resolución y se publican en el BOE. El Royal Decree 311/2022 prevé este mecanismo para precisar cómo cumplir determinadas obligaciones del ENS. Las cuatro clásicas regulan la conformidad, el informe del estado de la seguridad, la auditoría y la incident notification.
¿Qué es una CCN-STIC guide?
Es un documento de la serie que publica el National Cryptologic Centre (CCN) para ayudar a las organizaciones a mejorar su seguridad. La serie 800 desarrolla específicamente el ENS. A diferencia de las ITS, las CCN-STIC guides son, por defecto, documentos de apoyo o recomendación: orientan sobre cómo aplicar el ENS, pero no son norma de obligado cumplimiento salvo que una ITS o el propio reglamento remitan a ellas.
¿Cuáles son las CCN-STIC guides más usadas?
En la adecuación al ENS destacan la CCN-STIC-801 (responsabilidades y funciones), la 803 (valoración de sistemas), la 804 (medidas de implementation), la 808 (verificación del cumplimiento), la 802 (auditoría), la 809 (declaración y certificate of conformity), la 817 (gestión de ciberincidentes), la 844 (plataforma INES) y la 105 (catálogo CPSTIC de productos). Conviene descargar siempre la versión vigente desde el portal del CCN.
¿Las ITS son de obligado cumplimiento?
Sí. Las Instrucciones Técnicas de Seguridad son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación del ENS. Esta es la diferencia clave frente a las CCN-STIC guides, que por defecto son de apoyo. Cuando una ITS fija una periodicidad de auditoría o un procedimiento de notificación, esa obligación es exigible y se comprueba en la auditoría.
Sources
- Royal Decree 311/2022, de 3 de mayo, por el que se regula el ENS (Spanish National Security Framework) (BOE-A-2022-7191)
- Resolución de 13 de octubre de 2016 — ITS de Conformidad con el ENS (BOE-A-2016-10109)
- Resolución de 7 de octubre de 2016 — ITS de Informe del Estado de la Seguridad (BOE-A-2016-10108)
- Resolución de 27 de marzo de 2018 — ITS de Auditoría de la Seguridad de los Sistemas de Información (BOE-A-2018-4573)
- Resolución de 13 de abril de 2018 — ITS de Notificación de Incidentes de Seguridad (BOE-A-2018-5370)
- Portal del ENS — Normativa (National Cryptologic Centre (CCN))
- Guías CCN-STIC (CCN-CERT, National Cryptologic Centre (CCN))