Actualidad CCN
Actualizada la guía CCN-STIC 890 sobre adecuación al ENS conforme al Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad
- Detalles
Fecha de publicación: 29/07/2025
- Ante la próxima publicación y consiguiente entrada en vigor de la Ley por la que se traspone al ordenamiento jurídico español la Directiva NIS2, el CCN ha actualizado la Guía CCN-STIC 890 con un nuevo título: Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad.
- A través de 38 medidas de seguridad, se facilita la obtención de la Certificación en el Esquema Nacional de Seguridad para la categoría BÁSICA, como primera aproximación a la Conformidad en el ENS para las entidades con dificultades para abordar la adecuación estándar.
- Esta nueva versión refuerza el compromiso de mejora continua, dotando al perfil de cumplimiento de un carácter transitorio y exigiendo asumir el riesgo derivado de su utilización.
El Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia, en colaboración con la Agencia Estatal de Administración Digital del Ministerio para la Transformación Digital y de la Función Pública, ha actualizado el contenido de la guía CCN-STIC 890 que ahora se denomina Adecuación al ENS conforme al Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad. Esta actualización, adaptada al creciente entorno global y normativo en materia de ciberseguridad incluyendo la Directiva (UE) 2022/2555 (NIS2), responde también a la experiencia adquirida en la implementación de los diferentes Perfiles de Cumplimiento Específico (PCE) como vía de acceso al Esquema Nacional de Seguridad (ENS) para entidades públicas y privadas bajo el ámbito de aplicación del Real Decreto 311/2022, de 3 de mayo.
Este PCE está destinado a las organizaciones con dificultades para adaptarse al Esquema Nacional de Seguridad (ENS) en su versión estándar, con el propósito de garantizar la seguridad de sus sistemas de información con unos requisitos fundamentales para, posteriormente, mejorar sus medidas de seguridad de forma progresiva. Para ello, la guía describe el proceso para alcanzar la adecuación al ENS y obtener la Certificación de Conformidad para sistemas de categoría BÁSICA, empleando la metodología µCeENS.
Este proceso, que aborda la gestión integral de la ciberseguridad, comienza con un diagnóstico de cumplimiento, para después establecer un Modelo de Gobernanza. A continuación, elabora un Plan de Adecuación que detalla las tareas a realizar en la fase de Implantación y, una vez completada esta fase, permite solicitar la Auditoría de Conformidad. Todo ello, automatizado en las soluciones de Gobernanza INÉS y AMPARO del Centro Criptológico Nacional.
En relación con el número de medidas contenidas en la Declaración de Aplicabilidad, este ha aumentado de 35 a un total de 38, al objeto de mejorar la protección de la confidencialidad de la información y asegurar la disponibilidad de los servicios prestados. Atendiendo tanto a los requerimientos propios del ENS como de la Directiva NIS2, la guía propone medidas adicionales como el bloqueo de puesto de trabajo, el control de acceso a áreas separadas, el almacenamiento de copias de seguridad offline, el uso de MFA, un modelo de documento para el control de la cadena de suministro y otro para la aprobación de un plan de continuidad, todo ello conforme al análisis de riesgos.
Finalmente, la nueva versión de la guía CCN-STIC 890 incluye documentos y anexos con toda la información necesaria relativa al Perfil de Cumplimiento Específico de Requisitos Fundamentales de Seguridad para diferentes tipos de organizaciones.
Más información:


