Guía CCN-STIC 896: El nuevo estándar de certificación para SOC y MSSP en España

El contexto: por qué nace la CCN-STIC 896

El Esquema Nacional de Seguridad (RD 311/2022) establece las condiciones que deben cumplir los sistemas de información de las entidades del sector público español y de los proveedores privados que les prestan servicios. Hasta ahora, la conformidad ENS se acreditaba sobre los sistemas de información de la organización: sus redes, servidores, aplicaciones y plataformas. Sin embargo, existía una laguna significativa: ¿cómo acreditar que un proveedor de servicios de seguridad es técnicamente competente y operativamente fiable para prestar esos servicios de forma segura?

Una organización prestadora de SSG debe poder evidenciar sus capacidades operativas, así como su competencia técnica en relación a los servicios que presta, garantizando que serán de calidad; y de otra, los medios empleados para prestar los SSG deberán cumplir los requisitos necesarios de seguridad que garanticen que están protegidos y son confiables para realizar su desempeño de forma segura, tanto para la propia entidad como para las que contraten sus servicios.

La guía CCN-STIC 896 nace precisamente para cerrar esa brecha.

Qué es y qué regula la CCN-STIC 896

El CCN ha publicado la nueva Guía CCN-STIC 896, un documento clave orientado a impulsar la futura certificación de servicios de seguridad gestionados (SSG) y a facilitar la conformidad con el Esquema Nacional de Seguridad (ENS) de los sistemas de información involucrados, de acuerdo con el Real Decreto 311/2022, de 3 de mayo.

El documento establece el Perfil de Cumplimiento Específico para Servicios de Seguridad Gestionados (PCE-SSG) y cubre los cinco tipos de servicios que puede prestar un SOC o MSSP:

• Servicio de Gestión de la Ciberseguridad — gobierno, reporting y cuadros de mando
• Servicio de Prevención — análisis de vulnerabilidades, auditorías, pentesting
• Servicio de Protección — despliegue y operación de controles técnicos (firewalls, EDR, WAF, CASB, DLP…)
• Servicio de Detección — monitorización SIEM, vigilancia digital, threat hunting
• Servicio de Respuesta — gestión de incidentes, análisis forense, recuperación

Para cada uno de estos servicios, la guía define los requisitos específicos complementarios que se aplican sobre las medidas del Anexo II del ENS, elevando el nivel de exigencia de forma proporcional a la criticidad e impacto de los servicios prestados.

El marco normativo triple: ENS + NIS2 + Reglamento UE 2025/37

La CCN-STIC 896 no opera en un vacío normativo. Esta nueva guía representa un alineamiento con la normativa europea que afecta directamente tanto a los SSG, tal y como se recoge en el Reglamento (UE) 2025/37 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024 por el que se modifica el Reglamento (UE) 2019/881 en lo que se refiere a los servicios de seguridad gestionados, como a los proveedores de SSG, bajo el alcance de la Directiva NIS2 y afectados por el Reglamento de Ejecución (UE) 2024/2690.

Esto significa que la certificación CCN-STIC 896 genera un triple valor normativo:

1. ENS (nacional): acredita conformidad bajo el RD 311/2022, condición necesaria para prestar servicios a entidades públicas españolas
2. NIS2 (europeo): los proveedores de SSG son entidades sujetas a la Directiva NIS2 en el ámbito de la Directiva 2022/2555; la certificación aporta evidencias directas de cumplimiento
3. Reglamento UE 2025/37: este reglamento, publicado en diciembre de 2024, modifica el Reglamento de Ciberseguridad de la UE específicamente para regular los SSG a nivel europeo, siendo la CCN-STIC 896 el primer instrumento nacional que responde a esta exigencia

🔗 CONVERGENCIA ENS ↔ NIS2 ↔ Reglamento EU 2025/37

El proceso de certificación: accesible, riguroso y gratuito en su primera fase

La entidad solicitante solicita y cumplimenta la herramienta de autoevaluación de la Guía STIC 896 contactando con el CCN. Una vez realizada, y en caso de superar una puntuación del 50% en todos los apartados que le son de aplicación, podrá solicitar una auditoría sin coste que le permitirá desarrollar la adecuación de su servicio. En caso de que dicha auditoría obtenga una resolución favorable, podrá solicitar al CCN el certificado de sus servicios.

El  proceso se estructura en tres fases:

• Fase 1 — Autoevaluación: La organización accede a la herramienta en gobernanza.ccn-cert.cni.es y cumplimenta el cuestionario para cada servicio que presta (Prevención, Protección, Detección, Respuesta, Gestión). El umbral mínimo para avanzar es el 50% de cumplimiento en cada apartado aplicable.

• Fase 2 — Auditoría CCN: El propio CCN actúa como entidad de certificación y realiza la auditoría sin coste para la organización solicitante. Esta fase permite detectar brechas y desarrollar el plan de adecuación.

• Fase 3 — Certificación y reconocimiento en la RNS: Superada la auditoría, el CCN emite el certificado y el SOC obtiene reconocimiento en la Red Nacional de SOC (RNS), con un nivel de madurez transparente y trazable: SOC Básico, SOC Avanzado o SOC Completo.

Un requisito estructural: los sistemas que soportan los SSG deben disponer de Certificación de Conformidad ENS para Categoría MEDIA o superior, o comprometerse a obtenerla en un plazo máximo de 12 meses.

El COCS de la AGE, referente del modelo

El caso de uso más relevante es el del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (COCS), liderado por la Agencia Estatal de Administración Digital (AEAD) en colaboración con el CCN.

El COCS presta servicios de prevención, protección, detección y respuesta ante incidentes de ciberseguridad. Gracias a la optimización y las economías de escala, facilita una mejor eficacia y eficiencia y sirve de referente para otras iniciativas similares. Además, el COCS ha actuado como facilitador del proyecto de mejora de la Administración General del Estado al ENS, concluido en julio de 2025, permitiendo a numerosas entidades mejorar significativamente su gobernanza de la ciberseguridad. La certificación obtenida prepara al COCS para la siguiente etapa, que sería la certificación conforme a la guía CCN-STIC 896, que valida la competencia técnica y la capacidad operativa de los SSG prestados.

La CCN-STIC 896 permite además el reconocimiento en la Red Nacional de SOC (RNS) dentro de un nivel de madurez claro y transparente.

El modelo COCS-AGE —una «ventanilla única» que centraliza la detección, respuesta e inteligencia de amenazas para más de un centenar de entidades ministeriales— es el prototipo del futuro de la ciberseguridad gestionada en la Administración Pública española.

Implicaciones para el mercado: quién debe actuar y cuándo

No existe un plazo fijado para adecuarse y certificarse respecto a la Guía STIC 896. En estos momentos la certificación es voluntaria, pero recomendable puesto que está previsto que en un futuro próximo la certificación empiece a ser obligatoria para optar a prestar Servicios de Seguridad Gestionados a Entidades públicas, Infraestructuras Críticas y/o Esenciales o para formar parte de la RNS.

Esto tiene implicaciones directas para varios perfiles:

Para organismos públicos: Deberían comenzar a exigir esta acreditación en sus pliegos de contratación de servicios de ciberseguridad gestionada. Un proveedor certificado CCN-STIC 896 ofrece garantías técnicas y normativas que uno sin certificar no puede proporcionar.

Para proveedores MSSP/SOC privados: La certificación voluntaria de hoy será el requisito de acceso al mercado público de mañana. Las organizaciones que inicien el proceso ahora tienen ventaja competitiva real y tiempo para abordar las brechas sin presión de plazo.

Para integradores y consultoras: La guía define los perfiles profesionales asociados a los SSG certificados, lo que impacta directamente en las capacidades de equipo que deben acreditarse.

Para la industria OT e infraestructuras críticas: Los operadores de servicios esenciales que externalicen su ciberseguridad a terceros deberán verificar que sus proveedores cuentan con esta acreditación, especialmente de cara al marco NIS2 en materia de seguridad de la cadena de suministro.