Saltar al contenido
CertENS
EN
Actualidad

Actualización CCN-STIC 803 en 2025: qué cambia

Análisis de las novedades de la guía CCN-STIC 803 en su revisión de 2025: valoración de activos, categorización y su impacto en la Declaración de Aplicabilidad.

5 min de lectura Iván Cortés · Consultor CCN-STIC · CertENS

El Centro Criptológico Nacional actualiza periódicamente sus guías CCN-STIC. En 2025 ha publicado una revisión significativa de la CCN-STIC 803 — Valoración de los sistemas en el ENS, uno de los textos de referencia para categorizar correctamente sistemas y justificar la DA ante auditoría. La actualización no cambia la filosofía del ENS, pero introduce matices importantes que conviene incorporar si estás en fase de categorización o en renovación.

Qué es la guía CCN-STIC 803

La 803 es la guía que desarrolla con detalle cómo aplicar los Anexos I y II del RD 311/2022 a la hora de:

  • Determinar el nivel (Bajo, Medio, Alto) en cada dimensión.
  • Asignar la categoría global del sistema.
  • Documentar la decisión con criterios trazables.
  • Enlazar la categorización con la Declaración de Aplicabilidad.

Es el texto que el auditor tiene en la mano cuando te pregunta “por qué has categorizado así”.

Principales cambios de la revisión 2025

1. Mayor énfasis en el impacto en derechos y libertades

La guía integra explícitamente el impacto sobre derechos fundamentales (no solo RGPD sino Carta de Derechos Digitales) como criterio para la dimensión de confidencialidad e integridad. Sistemas que tratan datos que permiten tomar decisiones que afectan directamente a las personas (automatización decisional, scoring, perfilado) tienden a subir categoría por este criterio.

2. Criterios específicos para servicios esenciales y críticos

Con la llegada de NIS2, la 803 incorpora criterios para alinear la categorización ENS con la tipología de operadores esenciales e importantes. Un sistema que soporta un servicio esencial tiende a Alta en disponibilidad como mínimo.

3. Sistemas con componentes de IA

La guía reconoce explícitamente la necesidad de valorar los sistemas que incluyan componentes de inteligencia artificial considerando:

  • Opacidad del modelo.
  • Posibilidad de manipulación (poisoning, prompt injection).
  • Impacto de decisiones automatizadas.
  • Dependencia de proveedores externos.

El efecto práctico: sistemas con IA tienden a subir en integridad y trazabilidad.

4. Servicios en la nube

Mayor desarrollo de cómo valorar sistemas con componentes SaaS, PaaS, IaaS:

  • Responsabilidad compartida y cómo documentarla.
  • Qué heredas del proveedor cloud con ENS.
  • Criterios para cuando dos componentes del mismo sistema están en proveedores distintos.

5. Cadena de suministro y valoración

La 803 actualizada exige documentar la categorización de cada componente externalizado, no solo del sistema global. Si tu proveedor crítico está en Media y tu sistema en Alta, debe justificarse la diferencia.

6. Matrices de decisión mejoradas

Incluye matrices y árboles de decisión más claros que ayudan a traducir los criterios cualitativos en niveles concretos. Útil para equipos que categorizan por primera vez.

7. Casos prácticos

La revisión incorpora más casos prácticos por sector (entidades locales, sanidad, universidades, justicia). Son casi plantillas que aceleran el trabajo.

Qué hacer si ya estás categorizado bajo la versión anterior

Si tu sistema ya está certificado bajo una categorización hecha con la versión previa de la 803, no hay obligación automática de recategorizar. Pero sí conviene:

  1. Revisar si algún criterio nuevo podría aumentar la categoría de alguna dimensión.
  2. Actualizar la documentación para referenciar la nueva versión.
  3. Discutir con el Responsable de la Información si la decisión sigue siendo válida o debe revisarse.
  4. Dejar constancia en el histórico de revisiones.

En la auditoría de renovación, el auditor pedirá ver que has valorado el cambio aunque hayas decidido mantener la categorización.

Qué hacer si estás en fase de categorización

Aplicar directamente la versión actualizada. El esfuerzo adicional es mínimo (los criterios son más específicos, no radicalmente distintos) y evita reabrir la categorización en la auditoría.

Impacto en la Declaración de Aplicabilidad

La DA debe referenciar la versión de la 803 usada. Si estás actualizando, también toca:

  • Revisar si las medidas aplicables cambian.
  • Revisar si los refuerzos aplicados siguen siendo los correctos.
  • Actualizar el apartado de justificación de medidas no aplicables.

En la mayoría de los casos, los cambios son marginales. En sistemas con IA o con fuerte dependencia de cadena de suministro, los cambios pueden ser relevantes.

Relación con otros cambios normativos

La 803 2025 no se publica en el vacío. Se conecta con:

  • Transposición NIS2: alineación de categorizaciones.
  • Reglamento europeo de IA: criterios de valoración específicos.
  • Actualización de la CCN-STIC 804 (implementación de medidas): coherencia.
  • Revisión de INES: nuevos campos que reflejan los nuevos criterios.

Aconsejamos revisar el paquete completo para entender bien el contexto.

Errores a evitar al aplicar la nueva versión

  • Subir categoría “por si acaso”: sigue siendo necesario justificar. Categorizar alto sin razón dispara el coste.
  • Copiar la categorización anterior sin revisar: los nuevos criterios pueden cambiar la foto.
  • Olvidar actualizar el mapa a NIS2: la coherencia es relevante.
  • Hacer todo el trabajo en una semana: los cambios de categoría tienen implicaciones contractuales y de inversión. Planifica.

Recomendación final

La CCN-STIC 803 2025 no rompe el ENS: lo refina. El mejor momento para incorporarla es ahora, en las próximas revisiones ordinarias del AR y de la DA. Posponerlo hasta la próxima auditoría convierte un ajuste menor en un sprint bajo presión.

Sigue leyendo

Actualidad

Inteligencia artificial y su tratamiento bajo el ENS

Cómo se articula el tratamiento de sistemas con inteligencia artificial dentro del ENS: categorización, medidas reforzadas, gobierno del modelo y relación con el AI Act.

7 min
Actualidad

ENS 2026: tendencias y novedades esperadas

Qué está cambiando en el ENS en 2026: transposición NIS2 consolidada, integración con IA Act, evolución del catálogo CCN y refuerzo en cadena de suministro.

6 min
Actualidad

ENS y NIS2: cómo encajan ambas normativas en 2025

Solapamiento y diferencias entre el ENS y la directiva NIS2. Cómo estructurar un único sistema de gestión que cumpla con ambas sin duplicar trabajo.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu