Un perfil de cumplimiento específico (PCE) del ENS es un conjunto de medidas de seguridad que el Centro Criptológico Nacional valida y publica para un sector o tipo de entidad concreto. Se apoya en el artículo 30 del el texto del RD 311/2022 y en el principio de proporcionalidad para hacer la adecuación más pragmática, sin rebajar el nivel de seguridad exigido.
¿Qué es un perfil de cumplimiento específico del ENS?
Cuando una entidad afronta la adecuación al Esquema Nacional de Seguridad, lo habitual es partir del catálogo completo de medidas del Anexo II y, tras el análisis de riesgos, determinar cuáles aplican según la categoría del sistema. Es un trabajo correcto, pero también extenso, y obliga a cada organismo a recorrer el mismo camino de interpretación una y otra vez. Aquí es donde entran los perfiles de cumplimiento específicos.
Un perfil de cumplimiento específico (PCE) es, en términos sencillos, un traje a medida del ENS pensado para un colectivo concreto: ayuntamientos pequeños, centros sanitarios, organismos pagadores de fondos agrícolas, entidades dentro del ámbito de la Directiva NIS2, etc. En lugar de que cada entidad de ese colectivo interprete el catálogo desde cero, el Centro Criptológico Nacional (CCN) define qué medidas y refuerzos resultan idóneos para ese tipo de organización y para una categoría de seguridad determinada, y lo publica en una guía CCN-STIC.
La definición oficial es bastante precisa: un PCE es un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que como consecuencia del preceptivo análisis de riesgos resultan de aplicación a una entidad o sector de actividad concreto y para una categoría de seguridad determinada. Conviene quedarse con dos ideas de esa frase: el PCE parte siempre del análisis de riesgos (no lo sustituye) y puede incluir medidas adicionales a las del Anexo II cuando el sector lo necesita.
¿Cuál es la base legal de los PCE?

La base de los perfiles de cumplimiento específicos es el artículo 30 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el el cumplimiento del Esquema Nacional de Seguridad. Ese artículo lleva por título "Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras" y habilita expresamente la figura.
El texto del artículo 30 establece que, en virtud del principio de proporcionalidad y buscando una aplicación eficaz y eficiente del ENS a determinadas entidades o sectores de actividad concretos, se podrán implementar perfiles de cumplimiento específicos. Estos perfiles comprenderán aquellas medidas de seguridad que, como consecuencia del preceptivo análisis de riesgos, resulten idóneas para una categoría de seguridad concreta.
El mismo artículo atribuye al CCN una doble función: validar y publicar los perfiles de cumplimiento específicos que se definan, conforme a las instrucciones técnicas de seguridad y a las guías de seguridad aprobadas. Es decir, un PCE no es un documento que pueda elaborar cualquiera por su cuenta; tiene un emisor con competencia para hacerlo y un proceso de validación detrás. Esa procedencia es lo que le da valor a efectos de la posterior auditoría de certificación.
El artículo 30 también abre la puerta a esquemas de acreditación de entidades y validación de personas que implementan configuraciones seguras de soluciones o plataformas de terceros, pero esa parte es complementaria. Para el propósito de este artículo nos interesa la primera mitad: la que da soporte normativo a los perfiles sectoriales.
¿En qué se diferencia un PCE de la adecuación general?
La diferencia no está en el rigor ni en el nivel de seguridad, sino en el punto de partida y en el esfuerzo de interpretación. En una adecuación general, la entidad toma el catálogo completo de medidas (el marco organizativo, el operacional y el de protección) y decide su aplicabilidad caso por caso. En una adecuación apoyada en un PCE, gran parte de ese trabajo viene ya razonado y acotado para su tipo de organización.
| Aspecto | Adecuación general | Adecuación con PCE |
|---|---|---|
| Punto de partida | Catálogo completo del Anexo II | Conjunto de medidas ya acotado para el sector o tipo de entidad |
| Determinación de aplicabilidad | La hace íntegramente la entidad | Viene razonada y priorizada en la guía CCN-STIC |
| Análisis de riesgos | Obligatorio | Obligatorio (el PCE no lo sustituye) |
| Nivel de seguridad exigido | El que corresponde a la categoría | El mismo: el PCE no rebaja el nivel |
| Medidas adicionales al Anexo II | Solo si el riesgo lo justifica | Puede incorporarlas cuando el sector lo necesita |
| Esfuerzo de interpretación | Alto | Reducido y homogéneo entre entidades del colectivo |
Lo importante es entender que un PCE adapta y prioriza, no recorta. Aplica el principio de proporcionalidad que ya está en el corazón del ENS, pero lo hace de forma colectiva y razonada para un sector, en vez de dejar que cada entidad lo resuelva en solitario. Si quieres profundizar en cómo se estructuran esas medidas que el PCE ordena, conviene repasar el marco organizativo, operacional y de protección del Anexo II.
¿Qué ventajas tiene un PCE?
Las ventajas de trabajar con un perfil de cumplimiento específico son sobre todo prácticas, y se notan mucho en organizaciones con recursos técnicos limitados.
- Adecuación más pragmática. La entidad no parte de una hoja en blanco: dispone de un punto de partida razonado por el CCN para su tipo de organización, lo que reduce el riesgo de errar en la interpretación de las medidas.
- Homogeneidad dentro del sector. Cuando todos los ayuntamientos de un tramo de población aplican el mismo perfil, las soluciones, los documentos y los criterios se vuelven comparables y reutilizables. Esto facilita el apoyo de diputaciones y entidades supramunicipales.
- Menor coste de proyecto. Al venir el grueso del análisis de aplicabilidad ya hecho, el esfuerzo de consultoría y de documentación se concentra en lo que de verdad es propio de cada entidad: su inventario de activos, su análisis de riesgos y su declaración de aplicabilidad.
- Mejor encaje con la certificación. Como el PCE está validado y publicado por el CCN, la entidad de certificación cuenta con un marco de referencia claro frente al que contrastar el cumplimiento.
- Plantillas y anexos de apoyo. Muchas guías de PCE incorporan anexos de análisis de riesgos, política de seguridad, categorización, declaración de aplicabilidad y plan de concienciación, que aceleran el arranque del proyecto.
Ahora bien, conviene ser honesto: un PCE no es un atajo para cumplir menos. No reduce las obligaciones legales ni permite saltarse el análisis de riesgos. Lo que hace es organizar mejor el trabajo. Por eso, incluso con un PCE de por medio, el acompañamiento en la implantación del ENS sigue aportando valor: alguien tiene que aterrizar ese perfil a la realidad concreta de cada organismo.
¿Qué perfiles de cumplimiento específicos hay publicados?
El catálogo de PCE ha ido creciendo en los últimos años. El marco general de los perfiles se documenta en las guías de la serie 890, mientras que los perfiles sectoriales o por tipo de entidad tienen sus propias guías CCN-STIC. Esta es una panorámica de los principales perfiles validados y publicados por el CCN.
| Perfil / colectivo | Guía CCN-STIC | A quién aplica |
|---|---|---|
| Marco general de los PCE | Serie 890 (890A, 890C) | Documenta el concepto y los requisitos esenciales de seguridad para la adecuación al ENS |
| Ayuntamientos muy pequeños | CCN-STIC 883A | Municipios de menos de 5.000 habitantes (aproximadamente) |
| Ayuntamientos pequeños | CCN-STIC 883B | Ayuntamientos de menos de 20.000 habitantes |
| Ayuntamientos medianos | CCN-STIC 883C | Ayuntamientos de entre 20.000 y 75.000 habitantes |
| Diputaciones | CCN-STIC 883D | Entidades supramunicipales y diputaciones provinciales |
| Sector salud | CCN-STIC 891 | Prestación sanitaria a pacientes: atención primaria y especializada |
| Organismos pagadores | CCN-STIC 852 | Organismos pagadores de fondos agrícolas europeos |
El catálogo se actualiza con cierta frecuencia y se han ido sumando perfiles para nuevos colectivos, como el orientado a organizaciones dentro del ámbito de aplicación de la Directiva NIS2. Por eso, antes de planificar un proyecto, merece la pena consultar el listado vigente en los portales del CCN, que enlazo en la sección de fuentes. La serie 883, dedicada a las entidades del sector público local, es la más consolidada y la que más entidades emplea en la práctica.
¿Hay un PCE para ayuntamientos pequeños?
Sí, y es probablemente el caso de uso más extendido. Los ayuntamientos pequeños son, con diferencia, las entidades que más se benefician de los perfiles de cumplimiento específicos, porque suelen tener poco personal técnico y un presupuesto ajustado para ciberseguridad. La serie CCN-STIC 883 organiza estos perfiles por tramos de población.
El enfoque por tramos tiene una lógica clara: no es razonable exigir lo mismo, en cuanto a estructura y recursos, a un municipio de 2.000 habitantes que a uno de 60.000. Por eso el perfil del 883A está pensado para los ayuntamientos más pequeños, el 883B para los de menos de 20.000 habitantes y el 883C para la franja intermedia hasta 75.000. Las diputaciones, que a menudo prestan servicios compartidos a varios municipios, cuentan con su propio perfil en el 883D.
El CCN mantiene además un portal específico para entidades locales con materiales de apoyo a la implantación. Si tu organización es un ayuntamiento o una entidad supramunicipal, el primer paso sensato es identificar tu tramo de población y localizar el perfil de la serie 883 que te corresponde, antes incluso de empezar a documentar nada.
¿Hay perfiles para sectores como la sanidad?
También. Más allá del mundo local, el CCN ha publicado perfiles para sectores de actividad concretos. El más representativo es el del sector salud, recogido en la guía CCN-STIC 891, orientada a la prestación sanitaria a pacientes en atención primaria y atención especializada.
Este perfil de salud es un buen ejemplo de cómo un PCE puede ir más allá del Anexo II cuando el sector lo justifica: incluye un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que tras el análisis de riesgos resultan aplicables a la prestación sanitaria y garantizan un nivel mínimo de seguridad. La guía aborda la aplicabilidad del ENS, la declaración de aplicabilidad y los criterios para aplicar las medidas (análisis de riesgos, arquitectura de seguridad, componentes certificados, mecanismos de autenticación, gestión de incidentes, plan de continuidad), y se acompaña de varios anexos prácticos.
Existen otros perfiles por tipo de entidad o función, como el de organismos pagadores de fondos agrícolas (CCN-STIC 852) o el orientado al ámbito de la Directiva NIS2. La tendencia del CCN es ir cubriendo colectivos con necesidades homogéneas, de modo que cada vez es más probable que una entidad encuentre un perfil que encaje con su actividad.
¿Cómo se aplica un perfil de cumplimiento específico?
Aplicar un PCE no exime de hacer las cosas bien; simplemente reordena el proyecto de adecuación. Una secuencia razonable es la siguiente.
- Identificar el perfil aplicable. Determinar si tu organización encaja en un colectivo con PCE publicado (tramo de población para ayuntamientos, sector salud, etc.) y localizar la guía CCN-STIC correspondiente.
- Categorizar los sistemas. Determinar la categoría de seguridad (básica, media o alta) de los sistemas afectados, porque el conjunto de medidas del perfil se modula según esa categoría.
- Realizar el análisis de riesgos. Es preceptivo y el PCE no lo sustituye. El perfil orienta qué medidas son idóneas, pero el riesgo concreto de tu entidad sigue siendo tuyo.
- Elaborar la declaración de aplicabilidad. Partiendo de las medidas que el perfil ya prioriza, documentar cuáles aplican, cómo y por qué, ajustando lo que sea propio de tu organización.
- Implantar y documentar. Desplegar las medidas técnicas y organizativas y dejar la evidencia documental que la auditoría exigirá.
- Auditar y certificar. En categorías media y alta, la auditoría de certificación contrasta el cumplimiento real frente al perfil y al ENS.
El PCE acelera sobre todo los pasos 1 y 4, porque buena parte del razonamiento de aplicabilidad ya viene hecho. Pero los pasos 3 y 5 siguen siendo trabajo propio e indelegable de cada entidad.
¿Necesito ayuda externa si uso un PCE?
Depende de la madurez de tu organización. Un perfil de cumplimiento específico reduce la barrera de entrada, pero no elimina la necesidad de criterio técnico. La guía dice qué medidas son idóneas; alguien tiene que decidir cómo se implantan en tu inventario real, redactar la documentación del sistema de gestión y preparar la entidad para la auditoría sin sorpresas.
Desde mis sedes en Castilla y León (Valladolid) y en Las Palmas acompaño a entidades públicas y proveedores tecnológicos en proyectos de adecuación al ENS, tanto en el enfoque general como apoyándome en el PCE que mejor encaje con cada caso. La elección entre uno y otro no es ideológica: si existe un perfil para tu colectivo, casi siempre conviene usarlo como base y dedicar el esfuerzo a lo que de verdad es singular de tu organización.
Preguntas frecuentes
¿Qué es un perfil de cumplimiento específico del ENS?
Es un conjunto de medidas de seguridad, estén o no recogidas en el Real Decreto 311/2022, que tras el preceptivo análisis de riesgos resultan idóneas para un sector o tipo de entidad concreto y para una categoría de seguridad determinada. El CCN lo valida y lo publica en una guía CCN-STIC, con apoyo en el artículo 30 del RD 311/2022 y en el principio de proporcionalidad.
¿Qué ventajas tiene un PCE?
Hace la adecuación más pragmática: la entidad parte de un conjunto de medidas ya razonado para su colectivo, lo que reduce el coste de interpretación, homogeneiza las soluciones dentro del sector y encaja mejor con la certificación. Eso sí, no rebaja el nivel de seguridad exigido ni sustituye el análisis de riesgos: adapta y prioriza, no recorta obligaciones.
¿Hay perfiles para ayuntamientos o universidades?
Para ayuntamientos sí, en la serie CCN-STIC 883 organizada por tramos de población (883A, 883B y 883C, más el 883D para diputaciones). También existen perfiles sectoriales como el del sector salud (CCN-STIC 891) o el de organismos pagadores (CCN-STIC 852). El catálogo se amplía con regularidad, así que conviene consultar el listado vigente del CCN para comprobar si hay un perfil para tu actividad concreta.
¿Cómo se aplica un perfil de cumplimiento?
Se identifica el perfil aplicable, se categorizan los sistemas, se realiza el análisis de riesgos (que el PCE no sustituye), se elabora la declaración de aplicabilidad partiendo de las medidas que el perfil prioriza, se implanta y documenta, y finalmente se audita y certifica en categorías media y alta. El PCE acelera la determinación de aplicabilidad, pero el análisis de riesgos y la auditoría siguen siendo trabajo propio de cada entidad.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191)
- Artículo 30 del RD 311/2022: Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras
- Portal de entidades locales del CCN (ENS)
- Guías CCN-STIC 890A y 890C sobre los perfiles de cumplimiento específico para la adecuación al ENS
- CCN-STIC 883: Guía de implantación del ENS para entidades locales (serie de ayuntamientos por tramos de población)
- CCN-STIC 891: Perfil de cumplimiento específico para el sector salud