El Centro Criptológico Nacional publica un perfil de cumplimiento específico para ayudar a las entidades a cumplir con la NIS 2

09-05-2024 — AR/2024/037

En estos perfiles, el Centro Criptológico, recopila criterios y medidas concretas que facilitan a las entidades el camino para alcanzar un elevado nivel común de ciberseguridad en toda la Unión, acorde también con el Esquema Nacional de Seguridad y la norma ISO correspondiente.

El Centro Criptológico Nacional (CCN) ha publicado el «Perfil de Cumplimiento Especifico para organizaciones»1 para concretar la aplicación de las disposiciones de ciberseguridad de la Directiva 2022/2555,2 conocida como NIS 2 y  aún pendiente de trasposición, por las entidades obligadas o que lo adopten voluntariamente, de acuerdo también con el Real Decreto 311/2022,3 que regula el Esquema Nacional de Seguridad.

Un «perfil de cumplimiento específico» es un conjunto de medidas de seguridad  aplicables a una entidad o sector de actividad concreto, derivado de un análisis de riesgos y para una determinada categoría de seguridad.

Por tanto, determinadas entidades o sectores de actividad concretos podrán implementar perfiles de cumplimiento específicos definidos por el CCN, ajustados al Esquema Nacional de Actividad, para cumplir con los requisitos básicos comunes que determina la NIS 2.

Ámbito de aplicación

El perfil de cumplimiento se aplicará a todas las entidades públicas y privadas, como recoge el artículo 2 de la NIS 2 y del real decreto del Esquema Nacional de Seguridad. Es decir:

  • todo el sector público español, según lo determina el artículo 2 de la Ley 40/2015;4
  • las entidades del sector privado cuando presten servicios o provean soluciones a las  del sector público para ejercer sus competencias y potestades administrativas, por una relación contractual, convenio o encomienda de gestión, y
  • las entidades titulares de sistemas que tratan información clasificada como secretos oficiales según la Ley 9/1968.5

Alcance del perfil de cumplimiento específico

En este perfil, el CCN:

  • describe los principales requisitos de la NIS 2;
  • analiza esos requisitos en relación con los vigentes que recoge el Esquema Nacional sobre ciberseguridad, para identificar las medidas de seguridad necesarias y las que  requieren determinados refuerzos;
  • define una metodología para acoplar otras medidas de seguridad con las de la NIS2;
  • considera los controles de la norma ISO/IEC 27001:2022, sobre sistemas de gestión de la seguridad de la información, y
  • permite compatibilizar la NIS2 con dos certificaciones: la del Esquema Nacional y la de la ISO 27001 citada, contrastándola con las medidas de seguridad del primero y los controles de la segunda.

Exigencia de garantías y medidas concretas de NIS 2

Correlación entre normas, auditoría y certificación

El perfil de cumplimiento específico ayuda a cumplir las medidas de la NIS 2 a las entidades a las que se dirige.

Además. las entidades de certificación, acreditadas por la Entidad Nacional de Acreditación (ENAC), y órganos de auditoría técnica de la Administración certificarán que se cumple con el perfil.

En este sentido, el perfil de cumplimiento específico tiene que auditarse internamente cada año, según marca la certificación de conformidad con el Esquema Nacional de Seguridad, y auditarse también para renovar la esa certificación cada dos años.

El CCN velará por que la supervisión y auditoría de las entidades esenciales e importantes las realicen profesionales cualificados, con las competencias necesarias para esas tareas.

Medidas del perfil de cumplimiento específico

Este perfil contiene medidas de seguridad para gestionar los  riesgos de ciberseguridad, que están relacionadas con las generales de la NIS2, como:

  • análisis de riesgos,
  • empleo de componentes certificados,
  • mecanismos de autenticación,
  • disponibilidad de un inventario de activos,
  • mantenimiento de los sistemas y aplicación de parches,
  • protección de la cadena de suministro, los procesos y los flujos de información,
  • desarrollo de un plan de continuidad,
  • previsión de medios alternativos cuando no estén disponibles los habituales,
  • soluciones de vigilancia para vulnerabilidades y deficiencias,
  • fijación de las responsabilidades sobre seguridad y definición de los requisitos de confidencialidad de las personas que ocupen estos puestos,
  • inventario de los dispositivos portátiles y sus responsables,
  • ejecución de pruebas periódicas,
  • formación al personal,
  • protección de las instalaciones e infraestructuras,
  • empleo de redes privadas virtuales (VPN) para proteger la confidencialidad,
  • respeto a las disposiciones del Reglamento General de Protección de Datos y resto de la normativa aplicable.
1 Centro Criptológico Nacional: «Perfil de Cumplimiento Especifico CCN-STIC 892: Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2»,
PCE-NIS2  NIPO: 083-24-158-2, abril de 2024.
2 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).
3 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
4 Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
5 Ley 9/1968, de 5 de abril, sobre secretos oficiales.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información