Las instrucciones técnicas de seguridad del ENS (ITS) son normas de obligado cumplimiento publicadas en el BOE que desarrollan aspectos concretos del los requisitos del ENS. Las guías CCN-STIC, en cambio, son documentos de apoyo del Centro Criptológico Nacional: recomiendan cómo aplicar el ENS, pero no son norma salvo que una ITS o el propio reglamento remitan a ellas.
Cuando una entidad afronta su adecuación al Esquema Nacional de Seguridad, lo primero que descubre es que el Real Decreto 311/2022 no lo dice todo. El reglamento fija el marco, las categorías de seguridad y el anexo de medidas, pero deja muchos detalles operativos —cómo se audita, cómo se notifica un incidente, cómo se declara la conformidad— a un segundo nivel normativo. Ese segundo nivel se reparte entre dos familias de documentos que conviene no confundir: las Instrucciones Técnicas de Seguridad (ITS) y las guías CCN-STIC. En esta guía te explico qué es cada cosa, cuáles son las más importantes y cómo usarlas para que tu adecuación avance con orden en vez de en círculos.
Si todavía no tienes claro el marco general, te recomiendo empezar por la guía completa del Esquema Nacional de Seguridad y volver luego a este artículo. Aquí asumo que ya sabes qué es el ENS y a quién obliga, y nos centramos en su corpus de desarrollo.
¿Qué son las instrucciones técnicas de seguridad del ENS?
Las Instrucciones Técnicas de Seguridad son disposiciones que desarrollan aspectos específicos del ENS y que se aprueban mediante resolución, con publicación en el Boletín Oficial del Estado. El la normativa del Real Decreto 311/2022 prevé expresamente este mecanismo: el ENS se completa con instrucciones técnicas que precisan cómo cumplir determinadas obligaciones, y esas instrucciones son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación del Esquema.
Dicho de otro modo: una ITS no es una recomendación ni un manual de buenas prácticas. Es norma. Cuando la ITS de Auditoría dice que los sistemas de categoría media o alta deben someterse a auditoría al menos cada dos años, esa periodicidad es exigible. Cuando la ITS de Notificación de Incidentes establece un procedimiento para comunicar los incidentes de impacto significativo al Centro Criptológico Nacional, ese procedimiento se debe seguir. Por eso, en cualquier proyecto de implantación del ENS, las ITS marcan obligaciones concretas que no se pueden negociar ni interpretar a conveniencia.
Las cuatro ITS clásicas se aprobaron bajo el reglamento anterior (Real Decreto 3/2010) y se han mantenido en vigor y como referencia operativa también bajo el ENS actual, mientras no se aprueben sustitutas. Conviene tenerlas localizadas desde el principio, porque cada una responde a una pregunta práctica distinta: cómo demuestro conformidad, cómo informo del estado de mi seguridad, cómo me auditan y cómo notifico cuando algo va mal.
¿Qué es una guía CCN-STIC?

Las guías CCN-STIC son la serie de documentos que publica el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia, para ayudar a las organizaciones a mejorar su seguridad. La sigla significa "CCN — Seguridad de las Tecnologías de la Información y la Comunicación". Hay cientos de guías agrupadas por series numéricas; la serie 800 es la que desarrolla específicamente el Esquema Nacional de Seguridad, y otras series (100, 400, 600, 900…) cubren productos, infraestructuras, configuraciones y entornos concretos.
La diferencia importante respecto a las ITS es su naturaleza jurídica. Una guía CCN-STIC es, por defecto, un documento de apoyo: recomienda, explica, propone metodologías y ofrece plantillas, pero no es norma de obligado cumplimiento por sí misma. Eso no significa que sea opcional en la práctica. Muchas guías desarrollan justamente cómo aplicar una medida del anexo del ENS o cómo cumplir una ITS, y cuando una norma remite a una guía concreta —o cuando un auditor la usa como criterio de referencia— su contenido adquiere un peso muy real. La regla de oro para mantener la honestidad normativa es sencilla: la ITS obliga; la guía orienta, salvo que la norma remita expresamente a ella.
En la web del CCN encontrarás todas las guías de la serie 800 y el resto de series. Para la adecuación al ENS, un puñado de ellas concentra casi todo el valor práctico, y son las que repasamos más abajo.
¿Qué diferencia hay entre una ITS y una guía CCN-STIC?
Es la pregunta que más confusión genera, y entenderla bien te ahorra discusiones en una auditoría. Resumido en cuatro ejes:
- Naturaleza: la ITS es norma de obligado cumplimiento; la guía CCN-STIC es, por defecto, documento de apoyo o recomendación.
- Quién la publica y dónde: la ITS se aprueba por resolución y se publica en el BOE; la guía CCN-STIC la elabora y publica el Centro Criptológico Nacional en su portal.
- Para qué sirve: la ITS fija obligaciones (qué hay que hacer); la guía explica cómo hacerlo (metodología, plantillas, ejemplos).
- Cómo cambia: modificar una ITS exige un nuevo trámite normativo; las guías se actualizan con más agilidad para seguir el ritmo de las amenazas y de las versiones del reglamento.
La imagen mental útil es esta: las ITS son las reglas del juego, escritas en el boletín oficial; las guías CCN-STIC son el manual del entrenador que te enseña a jugar dentro de esas reglas. Necesitas las dos, pero no las confundas: si alguien te dice que "la guía 808 obliga a", matízalo —obliga el ENS y, en su caso, la ITS correspondiente; la guía te dice cómo verificarlo.
Las cuatro Instrucciones Técnicas de Seguridad, una por una
Estas son las cuatro ITS que cualquier responsable de seguridad del sector público (y de los proveedores que les prestan servicio) debe conocer. He verificado cada referencia en el BOE; los enlaces apuntan a la disposición original.
| Instrucción Técnica de Seguridad | Resolución (BOE) | Para qué sirve |
|---|---|---|
| ITS de Conformidad con el ENS | Resolución de 13 de octubre de 2016 (BOE-A-2016-10109) | Regula cómo se declara y se certifica que un sistema cumple el ENS, y cómo se publican y exhiben los distintivos de conformidad. |
| ITS de Informe del Estado de la Seguridad | Resolución de 7 de octubre de 2016 (BOE-A-2016-10108) | Fija qué datos se recogen y se comunican para conocer el estado de la seguridad de los sistemas, alimentando el informe nacional del estado de la seguridad. |
| ITS de Auditoría de la Seguridad de los Sistemas de Información | Resolución de 27 de marzo de 2018 (BOE-A-2018-4573) | Establece las condiciones de la auditoría del ENS: cuándo procede, su periodicidad, el perfil del auditor y el contenido del informe. |
| ITS de Notificación de Incidentes de Seguridad | Resolución de 13 de abril de 2018 (BOE-A-2018-5370) | Define los criterios y el procedimiento para notificar al CCN los incidentes con impacto significativo sobre la seguridad de la información. |
ITS de Conformidad con el ENS
Es la instrucción que te dice cómo demostrar al mundo que cumples. Distingue entre declaración de conformidad —válida para sistemas de categoría básica, mediante autoevaluación— y certificación de conformidad —obligatoria para categorías media y alta, mediante auditoría formal por una entidad acreditada—. También regula el distintivo de conformidad que las entidades pueden exhibir. Si tu objetivo final es lucir el sello del ENS, esta ITS marca el camino, y conviene leerla junto a la guía CCN-STIC-809, que desarrolla la mecánica de la declaración y la certificación.
ITS de Informe del Estado de la Seguridad
Aquí está el origen del famoso "INES". Esta ITS establece qué información de seguridad debe recopilar cada entidad y comunicarla periódicamente, de modo que el CCN pueda elaborar un panorama agregado del estado de la seguridad en el sector público. En la práctica se materializa en la cumplimentación anual de un perfil de cumplimiento a través de la plataforma INES, apoyada en la guía CCN-STIC-844.
ITS de Auditoría de la Seguridad de los Sistemas de Información
Probablemente la más relevante el día que llega la verdad. Define la auditoría del ENS como un proceso sistemático, independiente y documentado para obtener evidencias y evaluar objetivamente el grado de cumplimiento. Concreta que los sistemas de categoría media y alta deben auditarse de forma ordinaria al menos cada dos años, y de forma extraordinaria cuando se produzcan cambios sustanciales. Si te estás preparando para ese momento, te interesa mi guía sobre preparación de la auditoría del ENS, donde detallo cómo llegar al informe de auditoría sin sorpresas.
ITS de Notificación de Incidentes de Seguridad
Establece que los incidentes de impacto significativo deben notificarse al Centro Criptológico Nacional, con criterios de clasificación y plazos según la gravedad. Se apoya en la metodología de categorización de la guía CCN-STIC-817, que ordena los ciberincidentes por tipología y peligrosidad. Tener este procedimiento interiorizado antes de sufrir un incidente, y no improvisarlo durante la crisis, es la diferencia entre una respuesta ordenada y un caos con consecuencias regulatorias.
Las guías CCN-STIC más útiles para la adecuación al ENS
De las muchas guías de la serie 800, estas son las que más se usan en un proyecto de adecuación real. He verificado los números y los títulos en el portal del CCN; aun así, conviene descargar siempre la versión vigente, porque se actualizan con frecuencia (varias guías de la serie 800 se revisaron tras la entrada en vigor del RD 311/2022).
| Fase de la adecuación | Guía CCN-STIC | Qué aporta |
|---|---|---|
| Organización y gobierno | CCN-STIC-801 — Responsabilidades y funciones | Define los roles del ENS (responsable de la información, del servicio, de la seguridad y del sistema) y cómo repartirlos en la entidad. |
| Diseño e implantación | CCN-STIC-804 — Medidas de implantación del ENS | Orienta sobre cómo aplicar las medidas del anexo del ENS en función de la categoría del sistema. |
| Valoración de sistemas | CCN-STIC-803 — Valoración de sistemas en el ENS | Ayuda a categorizar el sistema (básica, media, alta) valorando las dimensiones de seguridad. |
| Verificación y auditoría | CCN-STIC-808 — Verificación del cumplimiento | Establece criterios para comprobar que las medidas están realmente implantadas y son eficaces. |
| Auditoría | CCN-STIC-802 — Auditoría del ENS | Desarrolla cómo llevar a cabo la auditoría y qué debe contener su informe. |
| Conformidad | CCN-STIC-809 — Declaración y certificación de conformidad | Detalla el procedimiento para declarar o certificar la conformidad y obtener el distintivo. |
| Gestión de incidentes | CCN-STIC-817 — Gestión de ciberincidentes | Metodología de categorización, peligrosidad y notificación de ciberincidentes al CCN. |
| Productos certificados | CCN-STIC-105 — Catálogo de productos y servicios STIC (CPSTIC) | Lista los productos y servicios cualificados o aprobados para su uso en sistemas del ENS. |
| Reporte del estado | CCN-STIC-844 — INES | Manual de uso de la plataforma INES para informar del estado de la seguridad. |
Una observación práctica sobre la última fila: el catálogo CPSTIC (CCN-STIC-105) es especialmente importante porque el ENS exige, en ciertos supuestos, emplear productos cualificados. No es solo una recomendación: cuando una medida del anexo obliga a usar productos certificados, recurrir al CPSTIC deja de ser opcional. Conviene comprobar el catálogo antes de adquirir cualquier producto de seguridad que vaya a entrar en el alcance de tu sistema.
¿Por dónde empezar si nunca has tocado el ENS?
Si eres una pyme proveedora del sector público o una entidad pequeña que acaba de descubrir que el ENS le aplica, la cantidad de documentos puede paralizar. Mi recomendación, ordenada, es esta:
- Encuadra el marco. Lee el Real Decreto 311/2022 y la guía CCN-STIC-801 para entender los roles que tendrás que asignar.
- Valora y categoriza tu sistema con la guía CCN-STIC-803. De la categoría (básica, media o alta) depende casi todo lo demás, incluida la necesidad de auditoría.
- Selecciona las medidas del anexo del ENS que te corresponden y apóyate en la CCN-STIC-804 para implantarlas. Aquí te ayudará entender la estructura de los controles del ENS por marcos (organizativo, operacional y de protección).
- Verifica con la CCN-STIC-808 antes de llamar a nadie. Es mucho más barato encontrar tú las brechas que descubrirlas en la auditoría.
- Declara o certifica la conformidad según tu categoría, siguiendo la ITS de Conformidad y la guía CCN-STIC-809.
- Mantén el sistema vivo: reporta el estado de seguridad (INES), prepárate para notificar incidentes (CCN-STIC-817) y renueva la conformidad cuando toque.
Ninguna de estas fases ocurre en el vacío. El ENS convive con otras normas —el Reglamento General de Protección de Datos, NIS2, DORA— que pueden aplicarte a la vez y solaparse en obligaciones. Si quieres ver cómo encajan, te servirá mi panorama de la normativa de ciberseguridad en España: RGPD, ENS, NIS2 y DORA. Trabajar las cuatro de forma coordinada evita duplicar esfuerzos y contradicciones.
Errores frecuentes con las ITS y las guías
En los proyectos que acompaño desde mi base en Castilla y León (también atiendo desde Las Palmas), veo repetirse los mismos tropiezos al manejar este corpus:
- Tratar las guías como obligación absoluta o como simple sugerencia. Ninguno de los dos extremos es correcto. La guía orienta, pero cuando desarrolla una medida obligatoria del ENS o una ITS, su contenido pesa.
- Usar versiones caducadas. Las guías de la serie 800 se han actualizado tras el RD 311/2022. Descargar siempre la versión vigente del portal del CCN evita aplicar criterios desfasados.
- Olvidar la notificación de incidentes hasta que ocurre uno. El procedimiento de la ITS correspondiente debe estar montado antes, no improvisado en plena crisis.
- Comprar productos sin mirar el CPSTIC. Si la medida exige producto cualificado y has comprado uno que no está en el catálogo, tendrás un hallazgo en la auditoría.
- Confundir declaración con certificación. La básica se autoevalúa; la media y la alta exigen auditoría y certificación. Confundirlo lleva a infradimensionar el esfuerzo.
Preguntas frecuentes
¿Qué son las instrucciones técnicas de seguridad del ENS?
Son disposiciones de obligado cumplimiento que desarrollan aspectos concretos del Esquema Nacional de Seguridad. Se aprueban por resolución y se publican en el BOE. El Real Decreto 311/2022 prevé este mecanismo para precisar cómo cumplir determinadas obligaciones del ENS. Las cuatro clásicas regulan la conformidad, el informe del estado de la seguridad, la auditoría y la notificación de incidentes.
¿Qué es una guía CCN-STIC?
Es un documento de la serie que publica el Centro Criptológico Nacional para ayudar a las organizaciones a mejorar su seguridad. La serie 800 desarrolla específicamente el ENS. A diferencia de las ITS, las guías CCN-STIC son, por defecto, documentos de apoyo o recomendación: orientan sobre cómo aplicar el ENS, pero no son norma de obligado cumplimiento salvo que una ITS o el propio reglamento remitan a ellas.
¿Cuáles son las guías CCN-STIC más usadas?
En la adecuación al ENS destacan la CCN-STIC-801 (responsabilidades y funciones), la 803 (valoración de sistemas), la 804 (medidas de implantación), la 808 (verificación del cumplimiento), la 802 (auditoría), la 809 (declaración y certificación de conformidad), la 817 (gestión de ciberincidentes), la 844 (plataforma INES) y la 105 (catálogo CPSTIC de productos). Conviene descargar siempre la versión vigente desde el portal del CCN.
¿Las ITS son de obligado cumplimiento?
Sí. Las Instrucciones Técnicas de Seguridad son de obligado cumplimiento para las entidades incluidas en el ámbito de aplicación del ENS. Esta es la diferencia clave frente a las guías CCN-STIC, que por defecto son de apoyo. Cuando una ITS fija una periodicidad de auditoría o un procedimiento de notificación, esa obligación es exigible y se comprueba en la auditoría.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191)
- Resolución de 13 de octubre de 2016 — ITS de Conformidad con el ENS (BOE-A-2016-10109)
- Resolución de 7 de octubre de 2016 — ITS de Informe del Estado de la Seguridad (BOE-A-2016-10108)
- Resolución de 27 de marzo de 2018 — ITS de Auditoría de la Seguridad de los Sistemas de Información (BOE-A-2018-4573)
- Resolución de 13 de abril de 2018 — ITS de Notificación de Incidentes de Seguridad (BOE-A-2018-5370)
- Portal del ENS — Normativa (Centro Criptológico Nacional)
- Guías CCN-STIC (CCN-CERT, Centro Criptológico Nacional)