Saltar al contenido
CertENS
EN
Herramientas CCN

CCN-STIC 809: declaración y certificación de conformidad

Qué es la guía CCN-STIC 809, cuándo usar la declaración responsable y cuándo la certificación ENAC, y qué contiene cada entregable.

5 min de lectura Iván Cortés · Consultor CCN-STIC · CertENS

La guía CCN-STIC 809 regula los distintivos de adecuación al ENS: cuándo se publica una declaración responsable, cuándo se obtiene una certificación por entidad ENAC, qué contiene cada documento y cómo deben utilizarse los sellos oficiales. Es una guía corta pero clave: quien la interpreta mal publica declaraciones que no cumplen, o asume costes de certificación que no le corresponden.

Los dos caminos de conformidad

El ENS define dos caminos distintos para demostrar adecuación, según la categoría:

Categoría Básica — Declaración responsable

La entidad puede publicar una declaración responsable firmada por el Responsable de la Seguridad. No requiere auditoría externa formal. Implica:

  • Autoevaluación interna completa contra el Anexo II.
  • Declaración pública firmada.
  • Uso del distintivo oficial de “conformidad” según CCN-STIC 809.

Categorías Media y Alta — Certificación ENAC

La entidad debe obtener certificación por entidad ENAC acreditada en el esquema ENS. Implica:

  • Auditoría documental y de campo.
  • Informe de auditoría con hallazgos y acciones correctivas.
  • Emisión de certificado por la entidad ENAC.
  • Auditoría bienal.
  • Uso del distintivo oficial específico para certificación ENAC.

Distintivos: qué se puede y qué no

La CCN-STIC 809 establece el uso del sello oficial. Reglas prácticas:

  • El sello solo puede utilizarse tras completar el proceso (no “mientras se trabaja en ello”).
  • Debe ir acompañado de información visible sobre la categoría y el alcance.
  • No puede inducir a confusión sobre el alcance (ej: usar el sello en una web cuando solo hay certificación sobre un servicio específico).
  • Debe retirarse inmediatamente si se suspende o revoca la certificación.

Para proveedores privados con certificación Media o Alta, el sello se convierte en elemento comercial en licitaciones y material corporativo. Úsalo con rigor: un uso indebido puede dar lugar a expediente.

Qué contiene la declaración responsable (Básica)

Modelo mínimo según CCN-STIC 809:

  1. Identificación de la entidad: nombre, NIF, representante.
  2. Identificación del sistema: denominación, alcance, categoría.
  3. Referencia al análisis de riesgos.
  4. Referencia a la Declaración de Aplicabilidad.
  5. Declaración expresa de cumplimiento del RD 311/2022 y aplicación de las medidas aplicables del Anexo II.
  6. Fecha y firma del Responsable de la Seguridad.
  7. Publicación en la sede electrónica o web institucional.

Es un documento público. Cualquier ciudadano o potencial cliente puede consultarlo.

Qué contiene el certificado de conformidad (Media / Alta)

El certificado emitido por la entidad ENAC incluye:

  • Datos de la entidad certificada.
  • Identificación del sistema y alcance certificado.
  • Categoría.
  • Número de certificado.
  • Referencia al esquema aplicable (ENS + RD 311/2022).
  • Entidad emisora y referencia a su acreditación ENAC.
  • Fecha de emisión y de vencimiento (normalmente 2 años).
  • Firma del responsable de certificación.

El certificado se puede publicar en la web institucional junto con el distintivo y es el documento que se adjunta en licitaciones.

Errores típicos al publicar la declaración o el certificado

1. Alcance vago o abusivo

Publicar “conforme al ENS” sin especificar qué sistemas, qué servicios y qué categoría. Tras una inspección, puede interpretarse como uso indebido.

2. Usar el sello antes de terminar

Adjuntar el distintivo en ofertas mientras la auditoría aún no ha cerrado. Es un riesgo serio: además de incumplir CCN-STIC 809, puede considerarse publicidad engañosa.

3. No renovar y seguir usándolo

Si la certificación caduca y no se renueva a tiempo, el uso del distintivo debe cesar. Hemos visto webs que mantienen el sello un año después de la caducidad: en una inspección, sanción.

4. Declaración responsable para categoría Media

El error técnico más flagrante. En Media o Alta no vale la declaración responsable: es imprescindible la certificación ENAC.

Cómo utilizar el certificado comercialmente

Para proveedores privados, el certificado es un activo comercial. Algunas buenas prácticas:

  • Publicarlo en una página dedicada (“Seguridad y cumplimiento”) con el PDF del certificado y el alcance.
  • Incluir el número de certificado y la entidad ENAC en propuestas comerciales.
  • Mencionarlo en firmas de correo sin sobreuso.
  • Mantenerlo actualizado tras cada renovación.

No uses el distintivo como si fuese un logo: es un sello oficial y tiene normas de uso. Un uso estético agresivo resta credibilidad.

Revisión periódica

La CCN-STIC 809 se actualiza cada cierto tiempo (la última revisión coincidió con la entrada del RD 311/2022). Revísala al menos una vez al año para verificar que tu uso del distintivo y el formato de la declaración siguen vigentes.

Conclusión

La diferencia entre declaración responsable y certificación ENAC no es cosmética: cambia obligaciones, costes y usos. Para Básica, la declaración responsable es la vía oficial; para Media y Alta, la certificación ENAC es obligatoria. El sello y el texto que los acompaña tampoco son negociables: seguir la CCN-STIC 809 al pie de la letra evita sorpresas.

Sigue leyendo

Herramientas CCN

INES: cómo reportar tu estado de conformidad al CCN

Qué es INES (Informe Nacional del Estado de Seguridad), quién está obligado, qué datos se reportan y cómo organizar la recolección interna.

5 min
Herramientas CCN

PILAR: la herramienta oficial del CCN para análisis de riesgos

Qué es PILAR, cuándo usarlo, cómo instalarlo y qué entregables produce. Guía práctica para equipos que empiezan con la herramienta oficial.

6 min
Herramientas CCN

Análisis de riesgos con MAGERIT v3 paso a paso

Cómo ejecutar un análisis de riesgos MAGERIT v3 para ENS: identificación de activos, amenazas, salvaguardas y valoración del riesgo residual.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu