Saltar al contenido
CertENS
EN
Herramientas CCN

INES: cómo reportar tu estado de conformidad al CCN

Qué es INES (Informe Nacional del Estado de Seguridad), quién está obligado, qué datos se reportan y cómo organizar la recolección interna.

5 min de lectura Iván Cortés · Consultor CCN-STIC · CertENS

INES (Informe Nacional del Estado de Seguridad) es la plataforma del Centro Criptológico Nacional para que las entidades del sector público reporten anualmente su nivel de adecuación al Esquema Nacional de Seguridad. No es un trámite cosmético: el CCN consolida estos datos, los analiza por sector y los eleva al Consejo de Seguridad Nacional.

Quién está obligado

La obligación recae sobre las entidades incluidas en el artículo 2 del RD 311/2022: AGE, organismos autónomos, agencias, CCAA, entidades locales, universidades públicas, y en general los sujetos del sector público institucional.

Los proveedores privados no reportan a INES directamente —lo hace su cliente público—, pero deben entregar información al cliente para que pueda cumplimentar INES correctamente sobre los servicios externalizados.

Qué se reporta

INES recoge información estructurada sobre:

  • Identificación de la entidad y contactos responsables.
  • Inventario de sistemas incluidos en ENS, con su categoría.
  • Estado de cumplimiento por cada medida del Anexo II (implantada / parcial / no implantada / no aplica).
  • Madurez evaluada en el modelo CCN (L0 a L5).
  • Incidentes del periodo reportable.
  • Certificaciones externas vigentes (ENS, ISO 27001, otras).
  • Recursos dedicados a ciberseguridad.

El nivel de detalle es considerable: es frecuente que el primer reporte lleve varias jornadas.

Calendario y plazos

INES abre cada año un periodo de reporte (habitualmente primer semestre) que cubre los datos del ejercicio anterior. Los plazos concretos varían cada campaña; conviene preguntar en enero para planificar recursos.

Cómo organizar la recolección interna

Si tu organización reporta INES por primera vez, una estrategia que funciona:

1. Designar un coordinador

Persona responsable del reporte. Suele ser el RSI o figura equivalente. Este coordinador organiza el acopio de información y revisa la consistencia.

2. Segmentar el trabajo

  • Organizativo: lo rellena el área de gobernanza.
  • Técnico/operativo: lo rellena sistemas.
  • Incidentes: lo rellena SOC / guardias.
  • Proveedores: lo rellena compras o contratación.
  • Datos personales: lo coordina el DPO.

Cada bloque se asigna con plazo y formato.

3. Pre-cargar la información con el AR y la DA

Buena parte de INES se alinea con el Anexo II y con la Declaración de Aplicabilidad. Si tu DA está actualizada y es realista, más del 70 % de INES se rellena a partir de ella.

4. Validación cruzada

Antes de enviar: revisa coherencia entre la DA y INES, entre el inventario de sistemas y el reporte, entre los incidentes de LUCIA y los declarados.

5. Firma y envío

INES se firma electrónicamente por el representante autorizado. Guarda justificante y copia del informe.

Uso estratégico de INES

INES no es solo un trámite. Bien explotado:

  • Te obliga a mantener la DA viva. Si llega INES y tu DA es de hace 2 años, vas a sufrir.
  • Te permite ver tu evolución año a año. El sistema muestra comparativas que ayudan a priorizar mejoras.
  • Facilita el benchmarking con entidades similares. El CCN publica informes agregados por sector.
  • Alimenta tu cuadro de mando de seguridad. Los datos valen dentro de la entidad, no solo hacia el CCN.

Integración con otras herramientas CCN

INES forma parte del ecosistema CCN junto con:

  • CLARA: auditoría técnica automatizada de configuraciones.
  • PILAR: análisis de riesgos.
  • LUCIA: gestión de incidentes.
  • ANA: análisis de normativa en web.

Cuanto más integradas estén todas (PILAR alimenta la DA, la DA alimenta INES, LUCIA alimenta el apartado de incidentes), menor es el esfuerzo de reporte.

Errores frecuentes al rellenar INES

  • Copiar el reporte del año anterior sin revisar. Los cambios de criterios del CCN hacen que sea peligroso.
  • Sobrevalorar el estado de implantación. Tentación humana, pero INES consolida datos y las inconsistencias se detectan.
  • No contar con proveedores externos. Si externalizas servicios críticos, debes pedirles información y reflejarla.
  • Dejar el apartado de incidentes vacío. Si tu LUCIA tiene tickets y en INES declaras 0 incidentes, hay contradicción.

Qué ocurre tras el envío

El CCN analiza los reportes y publica análisis agregados. Si hay discrepancias importantes o datos incoherentes, puede requerir aclaración. Entidades con madurez muy baja pueden recibir acompañamiento específico.

Recomendación final

Trata INES como parte del ciclo anual de seguridad, no como un formulario al final. Planifica en el último trimestre del año el acopio de información para reportar el primer trimestre siguiente. Con esa cadencia, INES deja de ser un dolor y pasa a ser un chequeo útil.

Sigue leyendo

Herramientas CCN

PILAR: la herramienta oficial del CCN para análisis de riesgos

Qué es PILAR, cuándo usarlo, cómo instalarlo y qué entregables produce. Guía práctica para equipos que empiezan con la herramienta oficial.

6 min
Herramientas CCN

CCN-STIC 809: declaración y certificación de conformidad

Qué es la guía CCN-STIC 809, cuándo usar la declaración responsable y cuándo la certificación ENAC, y qué contiene cada entregable.

5 min
Herramientas CCN

Análisis de riesgos con MAGERIT v3 paso a paso

Cómo ejecutar un análisis de riesgos MAGERIT v3 para ENS: identificación de activos, amenazas, salvaguardas y valoración del riesgo residual.

7 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu