Un perfil de cumplimiento específico (PCE) del ENS es un conjunto de medidas de seguridad que el Centro Criptológico Nacional valida y publica para un sector o tipo de entidad concreto. Se apoya en el artículo 30 del el texto del RD 311/2022 y en el principio de proporcionalidad para hacer la adecuación más pragmática, sin rebajar el nivel de seguridad exigido.

¿Qué es un perfil de cumplimiento específico del ENS?

Infografía sobre Perfiles de cumplimiento específicos del ENS (PCE)
Infografía: Infografía sobre Perfiles de cumplimiento específicos del ENS (PCE). Elaboración propia — Summum Marketing.

Cuando una entidad afronta la adecuación al Esquema Nacional de Seguridad, lo habitual es partir del catálogo completo de medidas del Anexo II y, tras el análisis de riesgos, determinar cuáles aplican según la categoría del sistema. Es un trabajo correcto, pero también extenso, y obliga a cada organismo a recorrer el mismo camino de interpretación una y otra vez. Aquí es donde entran los perfiles de cumplimiento específicos.

Un perfil de cumplimiento específico (PCE) es, en términos sencillos, un traje a medida del ENS pensado para un colectivo concreto: ayuntamientos pequeños, centros sanitarios, organismos pagadores de fondos agrícolas, entidades dentro del ámbito de la Directiva NIS2, etc. En lugar de que cada entidad de ese colectivo interprete el catálogo desde cero, el Centro Criptológico Nacional (CCN) define qué medidas y refuerzos resultan idóneos para ese tipo de organización y para una categoría de seguridad determinada, y lo publica en una guía CCN-STIC.

La definición oficial es bastante precisa: un PCE es un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que como consecuencia del preceptivo análisis de riesgos resultan de aplicación a una entidad o sector de actividad concreto y para una categoría de seguridad determinada. Conviene quedarse con dos ideas de esa frase: el PCE parte siempre del análisis de riesgos (no lo sustituye) y puede incluir medidas adicionales a las del Anexo II cuando el sector lo necesita.

Perfiles de cumplimiento específicos del ENS (PCE)
Foto: Jorge Lascar (CC BY 2.0)
Fotografía relacionada con Perfiles de cumplimiento específicos del ENS (PCE)
Foto: Jorge Lascar (CC BY 2.0)

La base de los perfiles de cumplimiento específicos es el artículo 30 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el el cumplimiento del Esquema Nacional de Seguridad. Ese artículo lleva por título "Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras" y habilita expresamente la figura.

El texto del artículo 30 establece que, en virtud del principio de proporcionalidad y buscando una aplicación eficaz y eficiente del ENS a determinadas entidades o sectores de actividad concretos, se podrán implementar perfiles de cumplimiento específicos. Estos perfiles comprenderán aquellas medidas de seguridad que, como consecuencia del preceptivo análisis de riesgos, resulten idóneas para una categoría de seguridad concreta.

El mismo artículo atribuye al CCN una doble función: validar y publicar los perfiles de cumplimiento específicos que se definan, conforme a las instrucciones técnicas de seguridad y a las guías de seguridad aprobadas. Es decir, un PCE no es un documento que pueda elaborar cualquiera por su cuenta; tiene un emisor con competencia para hacerlo y un proceso de validación detrás. Esa procedencia es lo que le da valor a efectos de la posterior auditoría de certificación.

El artículo 30 también abre la puerta a esquemas de acreditación de entidades y validación de personas que implementan configuraciones seguras de soluciones o plataformas de terceros, pero esa parte es complementaria. Para el propósito de este artículo nos interesa la primera mitad: la que da soporte normativo a los perfiles sectoriales.

¿En qué se diferencia un PCE de la adecuación general?

La diferencia no está en el rigor ni en el nivel de seguridad, sino en el punto de partida y en el esfuerzo de interpretación. En una adecuación general, la entidad toma el catálogo completo de medidas (el marco organizativo, el operacional y el de protección) y decide su aplicabilidad caso por caso. En una adecuación apoyada en un PCE, gran parte de ese trabajo viene ya razonado y acotado para su tipo de organización.

PCE frente a adecuación general al ENS
Aspecto Adecuación general Adecuación con PCE
Punto de partida Catálogo completo del Anexo II Conjunto de medidas ya acotado para el sector o tipo de entidad
Determinación de aplicabilidad La hace íntegramente la entidad Viene razonada y priorizada en la guía CCN-STIC
Análisis de riesgos Obligatorio Obligatorio (el PCE no lo sustituye)
Nivel de seguridad exigido El que corresponde a la categoría El mismo: el PCE no rebaja el nivel
Medidas adicionales al Anexo II Solo si el riesgo lo justifica Puede incorporarlas cuando el sector lo necesita
Esfuerzo de interpretación Alto Reducido y homogéneo entre entidades del colectivo

Lo importante es entender que un PCE adapta y prioriza, no recorta. Aplica el principio de proporcionalidad que ya está en el corazón del ENS, pero lo hace de forma colectiva y razonada para un sector, en vez de dejar que cada entidad lo resuelva en solitario. Si quieres profundizar en cómo se estructuran esas medidas que el PCE ordena, conviene repasar el marco organizativo, operacional y de protección del Anexo II.

¿Qué ventajas tiene un PCE?

Las ventajas de trabajar con un perfil de cumplimiento específico son sobre todo prácticas, y se notan mucho en organizaciones con recursos técnicos limitados.

Ahora bien, conviene ser honesto: un PCE no es un atajo para cumplir menos. No reduce las obligaciones legales ni permite saltarse el análisis de riesgos. Lo que hace es organizar mejor el trabajo. Por eso, incluso con un PCE de por medio, el acompañamiento en la implantación del ENS sigue aportando valor: alguien tiene que aterrizar ese perfil a la realidad concreta de cada organismo.

¿Qué perfiles de cumplimiento específicos hay publicados?

El catálogo de PCE ha ido creciendo en los últimos años. El marco general de los perfiles se documenta en las guías de la serie 890, mientras que los perfiles sectoriales o por tipo de entidad tienen sus propias guías CCN-STIC. Esta es una panorámica de los principales perfiles validados y publicados por el CCN.

Catálogo orientativo de PCE publicados por el CCN
Perfil / colectivo Guía CCN-STIC A quién aplica
Marco general de los PCE Serie 890 (890A, 890C) Documenta el concepto y los requisitos esenciales de seguridad para la adecuación al ENS
Ayuntamientos muy pequeños CCN-STIC 883A Municipios de menos de 5.000 habitantes (aproximadamente)
Ayuntamientos pequeños CCN-STIC 883B Ayuntamientos de menos de 20.000 habitantes
Ayuntamientos medianos CCN-STIC 883C Ayuntamientos de entre 20.000 y 75.000 habitantes
Diputaciones CCN-STIC 883D Entidades supramunicipales y diputaciones provinciales
Sector salud CCN-STIC 891 Prestación sanitaria a pacientes: atención primaria y especializada
Organismos pagadores CCN-STIC 852 Organismos pagadores de fondos agrícolas europeos

El catálogo se actualiza con cierta frecuencia y se han ido sumando perfiles para nuevos colectivos, como el orientado a organizaciones dentro del ámbito de aplicación de la Directiva NIS2. Por eso, antes de planificar un proyecto, merece la pena consultar el listado vigente en los portales del CCN, que enlazo en la sección de fuentes. La serie 883, dedicada a las entidades del sector público local, es la más consolidada y la que más entidades emplea en la práctica.

¿Hay un PCE para ayuntamientos pequeños?

Sí, y es probablemente el caso de uso más extendido. Los ayuntamientos pequeños son, con diferencia, las entidades que más se benefician de los perfiles de cumplimiento específicos, porque suelen tener poco personal técnico y un presupuesto ajustado para ciberseguridad. La serie CCN-STIC 883 organiza estos perfiles por tramos de población.

El enfoque por tramos tiene una lógica clara: no es razonable exigir lo mismo, en cuanto a estructura y recursos, a un municipio de 2.000 habitantes que a uno de 60.000. Por eso el perfil del 883A está pensado para los ayuntamientos más pequeños, el 883B para los de menos de 20.000 habitantes y el 883C para la franja intermedia hasta 75.000. Las diputaciones, que a menudo prestan servicios compartidos a varios municipios, cuentan con su propio perfil en el 883D.

El CCN mantiene además un portal específico para entidades locales con materiales de apoyo a la implantación. Si tu organización es un ayuntamiento o una entidad supramunicipal, el primer paso sensato es identificar tu tramo de población y localizar el perfil de la serie 883 que te corresponde, antes incluso de empezar a documentar nada.

¿Hay perfiles para sectores como la sanidad?

También. Más allá del mundo local, el CCN ha publicado perfiles para sectores de actividad concretos. El más representativo es el del sector salud, recogido en la guía CCN-STIC 891, orientada a la prestación sanitaria a pacientes en atención primaria y atención especializada.

Este perfil de salud es un buen ejemplo de cómo un PCE puede ir más allá del Anexo II cuando el sector lo justifica: incluye un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que tras el análisis de riesgos resultan aplicables a la prestación sanitaria y garantizan un nivel mínimo de seguridad. La guía aborda la aplicabilidad del ENS, la declaración de aplicabilidad y los criterios para aplicar las medidas (análisis de riesgos, arquitectura de seguridad, componentes certificados, mecanismos de autenticación, gestión de incidentes, plan de continuidad), y se acompaña de varios anexos prácticos.

Existen otros perfiles por tipo de entidad o función, como el de organismos pagadores de fondos agrícolas (CCN-STIC 852) o el orientado al ámbito de la Directiva NIS2. La tendencia del CCN es ir cubriendo colectivos con necesidades homogéneas, de modo que cada vez es más probable que una entidad encuentre un perfil que encaje con su actividad.

¿Cómo se aplica un perfil de cumplimiento específico?

Aplicar un PCE no exime de hacer las cosas bien; simplemente reordena el proyecto de adecuación. Una secuencia razonable es la siguiente.

  1. Identificar el perfil aplicable. Determinar si tu organización encaja en un colectivo con PCE publicado (tramo de población para ayuntamientos, sector salud, etc.) y localizar la guía CCN-STIC correspondiente.
  2. Categorizar los sistemas. Determinar la categoría de seguridad (básica, media o alta) de los sistemas afectados, porque el conjunto de medidas del perfil se modula según esa categoría.
  3. Realizar el análisis de riesgos. Es preceptivo y el PCE no lo sustituye. El perfil orienta qué medidas son idóneas, pero el riesgo concreto de tu entidad sigue siendo tuyo.
  4. Elaborar la declaración de aplicabilidad. Partiendo de las medidas que el perfil ya prioriza, documentar cuáles aplican, cómo y por qué, ajustando lo que sea propio de tu organización.
  5. Implantar y documentar. Desplegar las medidas técnicas y organizativas y dejar la evidencia documental que la auditoría exigirá.
  6. Auditar y certificar. En categorías media y alta, la auditoría de certificación contrasta el cumplimiento real frente al perfil y al ENS.

El PCE acelera sobre todo los pasos 1 y 4, porque buena parte del razonamiento de aplicabilidad ya viene hecho. Pero los pasos 3 y 5 siguen siendo trabajo propio e indelegable de cada entidad.

¿Necesito ayuda externa si uso un PCE?

Depende de la madurez de tu organización. Un perfil de cumplimiento específico reduce la barrera de entrada, pero no elimina la necesidad de criterio técnico. La guía dice qué medidas son idóneas; alguien tiene que decidir cómo se implantan en tu inventario real, redactar la documentación del sistema de gestión y preparar la entidad para la auditoría sin sorpresas.

Desde mis sedes en Castilla y León (Valladolid) y en Las Palmas acompaño a entidades públicas y proveedores tecnológicos en proyectos de adecuación al ENS, tanto en el enfoque general como apoyándome en el PCE que mejor encaje con cada caso. La elección entre uno y otro no es ideológica: si existe un perfil para tu colectivo, casi siempre conviene usarlo como base y dedicar el esfuerzo a lo que de verdad es singular de tu organización.

Preguntas frecuentes

¿Qué es un perfil de cumplimiento específico del ENS?

Es un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que tras el preceptivo análisis de riesgos resultan idóneas para un sector o tipo de entidad concreto y para una categoría de seguridad determinada. El CCN lo valida y lo publica en una guía CCN-STIC, con apoyo en el artículo 30 del RD 311/2022 y en el principio de proporcionalidad.

¿Qué ventajas tiene un PCE?

Hace la adecuación más pragmática: la entidad parte de un conjunto de medidas ya razonado para su colectivo, lo que reduce el coste de interpretación, homogeneiza las soluciones dentro del sector y encaja mejor con la certificación. Eso sí, no rebaja el nivel de seguridad exigido ni sustituye el análisis de riesgos: adapta y prioriza, no recorta obligaciones.

¿Hay perfiles para ayuntamientos o universidades?

Para ayuntamientos sí, en la serie CCN-STIC 883 organizada por tramos de población (883A, 883B y 883C, más el 883D para diputaciones). También existen perfiles sectoriales como el del sector salud (CCN-STIC 891) o el de organismos pagadores (CCN-STIC 852). El catálogo se amplía con regularidad, así que conviene consultar el listado vigente del CCN para comprobar si hay un perfil para tu actividad concreta.

¿Cómo se aplica un perfil de cumplimiento?

Se identifica el perfil aplicable, se categorizan los sistemas, se realiza el análisis de riesgos (que el PCE no sustituye), se elabora la declaración de aplicabilidad partiendo de las medidas que el perfil prioriza, se implanta y documenta, y finalmente se audita y certifica en categorías media y alta. El PCE acelera la determinación de aplicabilidad, pero el análisis de riesgos y la auditoría siguen siendo trabajo propio de cada entidad.

Fuentes