boton
Contactar
Ciberseguridad
¿Qué es el CCN y cómo se relaciona con el ENS, el Catálogo CPSTIC y los productos de ciberseguridad?

En España, la ciberseguridad en el sector público se articula a través de varios conceptos clave: el Centro Criptológico Nacional (CCN), el Esquema Nacional de Seguridad (ENS), el Catálogo CPSTIC y los productos que en él se incluyen, tanto Cualificados como Aprobados. Aunque estrechamente relacionados, cada uno cumple una función específica dentro del ecosistema de protección de la información pública. Este artículo explica qué significa cada concepto y cómo se conectan, así como los pasos que debe seguir una empresa para aparecer en el catálogo con sus productos.

 

Productos de ciberseguridad cualificados y aprobados - Catálogo CPSTIC - Teldat

El Centro Criptológico Nacional (CCN)

El CCN es el organismo público responsable de velar por la seguridad de las tecnologías de la información en el sector público español. Adscrito al Centro Nacional de Inteligencia (CNI), actúa como autoridad técnica en materia de ciberseguridad, elaborando guías y normas, coordinando la respuesta ante incidentes a través del CCN-CERT, definiendo criterios técnicos de seguridad y gestionando el Catálogo CPSTIC. En pocas palabras, el CCN es la pieza central que articula la política técnica de ciberseguridad en el sector público.

El Esquema Nacional de Seguridad (ENS)

En el ámbito de la ciberseguridad en el sector público español, la información se puede clasificar en dos tipos: la información administrativa sensible, que incluye datos personales, expedientes, información tributaria o sanitaria y procesos internos de las administraciones, Además, existe la información clasificada, cuya divulgación no autorizada podría comprometer la defensa, la seguridad o los intereses estratégicos del Estado, y que está regulada por normativa específica de secretos oficiales y seguridad nacional.

Para proteger la información administrativa sensible, se creó el Esquema Nacional de Seguridad (ENS), un marco normativo que establece cómo deben protegerse los sistemas y los datos en las administraciones públicas y sus proveedores. El ENS define tres niveles de seguridad —básico, medio y alto— según el impacto que tendría un incidente de seguridad sobre la información y los sistemas, y establece medidas obligatorias que incluyen controles organizativos, procedimientos y soluciones técnicas, garantizando la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

 

El Catálogo CPSTIC

El Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), gestionado por el CCN, actúa como un repositorio oficial de productos y servicios de ciberseguridad que han sido evaluados y aprobados para su uso en el ámbito del sector público español. Su objetivo es facilitar a las administraciones la selección de productos fiables y con garantías técnicas suficientes de seguridad, en función del tipo de información que deben proteger y del marco normativo aplicable.

En este sentido, el catálogo distingue dos tipos de productos:

  • Productos Cualificados: destinados a proteger información administrativa sensible regulada por el ENS. Su evaluación incluye ensayos funcionales, revisión de arquitectura, análisis documental y, en algunos casos, certificaciones reconocidas como Common Criteria o LINCE.
  • Productos Aprobados: orientados a proteger información clasificada, con un nivel de garantía más alto y controles reforzados, especialmente en criptografía. La evaluación puede incluir validación de diseño, pruebas de implementación y análisis del ciclo de vida de desarrollo seguro.

¿Qué debe hacer una empresa para incluir su producto en el Catálogo CPSTIC?

Para que una empresa consiga que su solución aparezca en el Catálogo CPSTIC gestionado por el CCN, debe seguir un procedimiento formal que variará en función de si aspira a la cualificación del producto (orientado al ENS) o a su aprobación (para entornos que manejen información clasificada).

Para la cualificación (Producto Cualificado)

  1. Identificar la categoría del catálogo en la que encaja su solución.
  2. Analizar los requisitos técnicos definidos por el CCN para esa categoría.
  3. Adecuar el producto a dichos requisitos (funcionales, de seguridad, documentación, hardening, etc.).
  4. Presentar la documentación formal requerida, incluyendo evidencias técnicas, manuales, arquitectura y, en su caso, certificaciones adicionales.
  5. Someterlo a evaluación técnica, que puede implicar ensayos por laboratorios acreditados o procesos reconocidos por el CCN.
  6. Obtener la resolución de cualificación emitida por el CCN.

Es un proceso exigente, pero enfocado al cumplimiento del ENS y a garantizar que el producto ofrece garantías suficientes para entornos administrativos de nivel básico, medio o alto.

Para la aprobación (Producto Aprobado)

  1. Coordinarse directamente con el CCN para definir el alcance del proceso de aprobación.
  2. Cumplir requisitos técnicos reforzados, especialmente en el ámbito criptográfico.
  3. Someter el producto a evaluaciones técnicas avanzadas, que pueden incluir análisis de diseño, revisión de implementación criptográfica y ensayos en entornos controlados.
  4. Aportar evidencias detalladas del ciclo de vida de desarrollo seguro y del control de la cadena de suministro.
  5. Obtener la resolución formal de aprobación por parte del CCN.

La aprobación está orientada a sistemas que manejan información clasificada (CONFIDENCIAL, SECRETO, etc.) y, por tanto, el nivel de exigencia es superior al de la cualificación.

Conclusión

Aparecer en el Catálogo CPSTIC es clave para cualquier empresa que quiera ofrecer soluciones de ciberseguridad al sector público español. Formar parte de este catálogo no solo supone un reconocimiento de la calidad y fiabilidad de los productos, sino que también facilita su adopción por las administraciones, que buscan soluciones evaluadas y alineadas con los requisitos del ENS y con la protección de información clasificada.

Teldat ha logrado posicionar sus productos en ambas categorías del catálogo, cualificados y aprobados, demostrando que cumplir con los estándares del CCN permite acceder a oportunidades en el mercado público y aportar valor a la seguridad de la información en España. Estar incluido en el catálogo no es solo una certificación técnica, sino una ventaja estratégica que refuerza la confianza de los clientes y la visibilidad en el sector.

Tags: Ciberseguridad "Made in Spain" Soluciones de ciberseguridad Tecnología de Ciberseguridad Tecnología de comunicaciones
marzo 02, 2026
Vanesa Gil

Vanesa Gil

Bachelor’s degree in Information Technology Engineering at the University Carlos III, Madrid. Specialized in Enterprise Information Systems Development. An Engineer and Software Developer in Teldat’s R&D Department.

Related Posts