El Centro Criptológico Nacional prepara una actualización de la Guía CCN-STIC 892 con un nuevo perfil de cumplimiento para sectores afectados por la NIS2.
La nueva guía alineará el cumplimiento con el Reglamento de Ejecución (UE) 2024/2690 y el Esquema Nacional de Seguridad (ENS).
La versión anterior ha sido retirada y deja de tener aplicabilidad inmediata, aunque los certificados emitidos siguen siendo válidos.
El documento final estará disponible tras la transposición de la Directiva NIS2 al ordenamiento jurídico español.
Una nueva guía para reforzar el cumplimiento normativo en ciberseguridad
El Centro Criptológico Nacional (CCN), junto a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID) y la Oficina de Coordinación de Ciberseguridad (OCC), ha iniciado la elaboración de una nueva versión de la Guía CCN-STIC 892, destinada a establecer un Perfil de Cumplimiento Específico para aquellas entidades incluidas en el ámbito del Reglamento de Ejecución (UE) 2024/2690, de desarrollo de la Directiva NIS2.
Esta actualización será clave para alinear las medidas de ciberseguridad con los requisitos técnicos y metodológicos exigidos en Europa, y estará vinculada también al cumplimiento del Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad (ENS).
¿A quién afecta esta actualización?
El Reglamento (UE) 2024/2690 establece criterios específicos de gestión de riesgos y notificación de incidentes que aplican a un amplio abanico de sectores estratégicos y proveedores clave de servicios digitales:
Servicios DNS y registros de dominios de primer nivel
Proveedores de computación en la nube y centros de datos
Redes de distribución de contenidos (CDN)
Proveedores de servicios gestionados y de seguridad gestionada
Plataformas de redes sociales, buscadores y marketplaces
Proveedores de servicios de confianza
Estas entidades deberán adaptar sus sistemas a los nuevos requisitos que integrará la guía para poder certificar su cumplimiento tanto con la normativa nacional como europea.
Despublicación inmediata de la guía anterior
Con el inicio de estos trabajos, la versión anterior de la Guía CCN-STIC 892 ha sido retirada del portal del CCN-CERT, quedando sin efecto. Aun así, los certificados del ENS obtenidos con base en esa guía siguen siendo válidos, siempre que se acompañen de la correspondiente Declaración de Aplicabilidad que justifique su conformidad con el ENS.
¿Qué se puede esperar a corto plazo?
Una vez que se publique la norma que transponga la Directiva NIS2 al marco jurídico español, se detallarán los procedimientos y requisitos concretos para la adecuación y certificación de los sistemas de información afectados.
Hasta entonces, el CCN, en colaboración con los organismos competentes, seguirá informando puntualmente sobre los avances y pondrá a disposición del público la nueva Guía CCN-STIC 892 en cuanto esté disponible para descarga desde su portal oficial.
