Qué es INCIBE: funciones, servicios para empresas y diferencia con CCN

INCIBE (Instituto Nacional de Ciberseguridad) es la entidad pública española que coordina ciberseguridad para empresas privadas y ciudadanos. Es una sociedad mercantil estatal (S.M.E.) adscrita al Ministerio para la Transformación Digital y la Función Pública a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Tiene sede en León, fue constituida en 2014 como sucesora de INTECO y emplea aproximadamente 400 personas. Es el punto de contacto principal en España para empresas privadas que necesitan soporte ante incidentes, advisories técnicos, formación y certificaciones sectoriales.

Esta guía explica qué es exactamente INCIBE, las cuatro funciones que la organizan, los servicios concretos para empresas (INCIBE-CERT, Línea 017, advisories CVE, Kit Digital, etiquetas y sellos), en qué se diferencia del CCN y CCN-CERT (ámbitos no se solapan), cómo notificarle un incidente paso a paso, encaje con NIS2 como una de las autoridades sectoriales en España y cómo cualquier empresa española puede aprovechar lo que ofrece sin coste.

Qué es INCIBE

INCIBE opera como brazo ejecutivo del Estado en ciberseguridad para los ámbitos no clasificados. Sus competencias se solapan parcialmente con el CCN pero el reparto operativo es claro: CCN cubre administración pública y clasificado, INCIBE cubre empresa privada y ciudadano.

Lo que aporta operativamente al ecosistema español:

• Punto de contacto único para empresas privadas que necesitan soporte ante incidentes.
• Advisories técnicos sobre vulnerabilidades en productos usados en España.
• Formación y materiales gratuitos para pymes, ciudadanos, menores y educadores.
• Servicios de mediación y soporte en casos de ciberataques contra empresas y ciudadanos.
• Sellos y etiquetas que las empresas privadas pueden usar para evidenciar buenas prácticas.
• Coordinación con CSIRT internacionales y operadores estratégicos no clasificados.

INCIBE también opera el dominio público incibe.es y osi.es (Oficina de Seguridad del Internauta), y mantiene presencia activa en redes sociales para alertas tempranas.

Las cuatro funciones que la organizan

La estructura interna de INCIBE pivota sobre cuatro líneas principales.

1. INCIBE-CERT

El equipo de respuesta a incidentes de seguridad informática para ciudadanos, empresa privada y operadores estratégicos no clasificados. Es la pieza más visible para profesionales de ciberseguridad.

Funciones clave:

• Coordinación de respuesta ante incidentes nacionales.
• Publicación de advisories de vulnerabilidades detectadas por investigadores españoles o que afectan a productos usados en España. Detalle de cómo se usa esto en la guía de qué es un CVE.
• Acuerdos con CNAs (CVE Numbering Authorities) para coordinación responsible disclosure de investigadores españoles.
• Análisis técnico de muestras de malware detectadas en empresas españolas.
• Participación en EU CSIRTs Network y otros foros internacionales (FIRST, TF-CSIRT).

Web: https://www.incibe-cert.es/. Notificación: formulario online y correo incidencias@incibe-cert.es (para casos críticos también teléfono específico).

2. Servicios para ciudadanos (OSI y Línea 017)

OSI (Oficina de Seguridad del Internauta) ofrece materiales y campañas para usuarios particulares. Línea 017 es el teléfono gratuito (24/7) que cualquier ciudadano o empresa puede llamar ante un incidente o consulta de ciberseguridad. Gestionada por personal especializado, deriva a INCIBE-CERT los casos que requieren respuesta técnica.

La línea 017 maneja decenas de miles de consultas al año y es el primer escalón de soporte para pymes que aún no tienen relación contractual con un proveedor de ciberseguridad.

3. Servicios para empresas

Bloque que incluye programas específicos para PYMEs y operadores estratégicos:

• Kit Digital. Programa de subvenciones (no es de INCIBE puro, lo gestiona Red.es pero INCIBE participa en la parte de ciberseguridad). Aporta bonos digitales para que pymes contraten servicios de ciberseguridad básicos.
• Sello AENOR de Ciberseguridad y otras certificaciones promovidas con AENOR y otras entidades.
• Catálogo Innovación e Investigación que listas empresas españolas con capacidades de I+D en ciberseguridad.
• Programas de mentoring y aceleración para startups del sector (Cybersecurity Ventures).
• Cybercamp y CyberOlimpiadas para talento joven.

4. Talento y formación

INCIBE opera programas para captar y formar talento en ciberseguridad: TalentHackathons, becas, formación universitaria con CCN y otras entidades, materiales formativos abiertos.

Diferencia con CCN y CCN-CERT

La confusión entre INCIBE, CCN y CCN-CERT es muy frecuente. La diferencia clave:

• CCN (Centro Criptológico Nacional). Adscrito al CNI. Responsable de ciberseguridad para administración pública española y operadores estratégicos en información clasificada. Sede en Madrid. Mantiene Magerit (más detalle en la guía de Magerit), la suite CCN-STIC de guías, herramientas PILAR y MicroCLAUDIA, y la certificación CCN ENS.
• CCN-CERT. CSIRT gubernamental para administración pública y operadores con información clasificada. Brazo operativo del CCN.
• INCIBE. Sociedad estatal para ciudadanos, empresas privadas y operadores estratégicos no clasificados.
• INCIBE-CERT. CSIRT de INCIBE.

Resumen ejecutivo por situación:

• Empresa privada con incidente: INCIBE-CERT.
• Administración pública con incidente: CCN-CERT.
• Empresa privada bajo NIS2 esencial en sector específico: autoridad sectorial (CNMC, Banco de España, etc.) más INCIBE-CERT como apoyo técnico.
• Operador con información clasificada: CCN-CERT.
• Consulta de ciudadano o microempresa: OSI (parte de INCIBE) y Línea 017.

NIS2 ha reorganizado parcialmente este reparto, asignando a INCIBE el rol de autoridad nacional para muchos sectores no clasificados.

Cómo notificar un incidente a INCIBE-CERT

El flujo operativo paso a paso para una empresa española que sufre un incidente.

1. Decisión interna. El CISO o equivalente decide notificar (NIS2/DORA pueden hacerlo obligatorio). Documentar el momento de la decisión es importante para el plazo legal.
2. Acceso al portal de notificación. https://www.incibe-cert.es/reporte-de-incidentes o llamada a línea específica para incidentes graves.
3. Información mínima del primer reporte:

• Datos de contacto del notificante (organización, persona, teléfono, email).
• Naturaleza del incidente (categoría: malware, intrusión, denegación de servicio, fuga de datos, ingeniería social, etc.).
• Activos afectados (servidores, datos, servicios al cliente).
• Impacto estimado (alcance, criticidad, número de personas afectadas si hay datos personales).
• Si ya hay IoCs preliminares (hashes, dominios, IPs).
• Si hay sospecha de actor concreto.

4. Comunicación posterior. INCIBE-CERT asigna un analista que contacta para coordinar la respuesta técnica si es necesario. La interacción puede ser corta (solo informativa) o intensa (coordinación de respuesta) según la gravedad.
5. Cierre del incidente. Tras la remediación, se notifica el cierre con análisis post-incidente si aplica.

INCIBE-CERT no sustituye a la empresa de seguridad que opera la respuesta técnica del cliente; aporta coordinación nacional, threat intelligence agregada, y comunicación con otros CSIRTs si el incidente cruza fronteras.

Encaje con NIS2

La Directiva NIS2 (UE 2022/2555) y su transposición española mediante el RD-ley 7/2025 reorganizan las autoridades competentes. INCIBE asume varios roles:

• CSIRT nacional para empresa privada no clasificada bajo NIS2.
• Autoridad competente para varios sectores (sector digital genérico, gestores de servicios online, servicios públicos de la información).
• Punto único de contacto (SPOC) para coordinación europea con ENISA y otros estados miembros.
• Mantenimiento de catálogos y herramientas de soporte al cumplimiento.

La notificación de incidentes NIS2 en plazos de 24/72h va a la autoridad sectorial que aplique a la entidad notificadora; INCIBE-CERT recibe la notificación cuando la empresa cae en sectores donde es competente o cuando la propia autoridad sectorial deriva. Detalle del proceso completo en la guía de cómo cumplir NIS2 en España y en multas NIS2.

Servicios concretos que cualquier empresa puede aprovechar

Sin coste y sin requisitos especiales, una empresa española puede usar:

• Suscripción a advisories de INCIBE-CERT por RSS, web o email. Llegan alertas de CVEs críticos en productos comerciales antes que aparezcan en muchos feeds comerciales.
• Boletín de seguridad para empresas. Resumen periódico de amenazas relevantes.
• Materiales formativos OSI y específicos pyme. Cursos gratuitos, materiales para sensibilización interna, simuladores de phishing básicos.
• Servicio antiphishing. Reporte de URLs sospechosas que se procesan para alimentar listas de bloqueo nacionales.
• Análisis preliminar de muestras de malware. Vía formulario, INCIBE-CERT puede analizar binarios sospechosos.
• Catálogo de empresas y soluciones para encontrar proveedores españoles con capacidades reconocidas.
• Línea 017. Para consultas no críticas o primer escalón en incidentes.

Para una pyme sin equipo de seguridad propio, conocer estos servicios reduce drásticamente la curva inicial.

Errores típicos en la relación con INCIBE

Lo que se observa en proyectos reales con clientes españoles.

Confundir INCIBE con CCN. Aparece especialmente en proveedores que firman contratos con administración. CCN es el interlocutor para servicios públicos; INCIBE para empresa privada y ciudadanos. Mezclarlos retrasa la coordinación cuando hay incidente.

Notificación tardía en NIS2. Esperar a tener el incidente completamente caracterizado antes de notificar incumple plazos de 24/72h. El primer reporte debe ir con la información disponible aunque sea parcial, ampliándose después.

No suscribirse a advisories. Empresas que se enteran de Log4Shell, ProxyShell o equivalentes días después por noticias generalistas cuando podrían haber recibido el aviso temprano vía INCIBE-CERT o feeds del CCN.

Ignorar Línea 017 como escalón inicial. Para una pyme sin equipo de seguridad, 017 es punto de entrada útil para incidencias no críticas.

Pasar por alto Kit Digital. Empresas que pagan servicios de ciberseguridad básicos con presupuesto propio cuando podrían cubrir parte con bonos. Aplicable principalmente a pymes con menos de 250 empleados.

Preguntas frecuentes

¿INCIBE es público o privado?

Es público. Sociedad mercantil estatal adscrita al Ministerio para la Transformación Digital y la Función Pública. Sus servicios son gratuitos para ciudadanos y empresas privadas.

¿INCIBE sustituye a la policía o a la AEPD?

No. INCIBE coordina respuesta técnica y advisories. La denuncia penal va a Policía Nacional o Guardia Civil (Brigada Central de Investigación Tecnológica, BCIT, o Grupo de Delitos Telemáticos, GDT). Las brechas de datos personales se notifican a la AEPD en 72 horas según RGPD; INCIBE puede acompañar pero no sustituye esa obligación. Las obligaciones específicas de notificación NIS2 y los pasos por sector están en la guía de aplicación y multas NIS2.

¿Pueden las empresas extranjeras usar INCIBE?

Los servicios públicos generales (advisories, materiales formativos abiertos) sí. Los servicios de soporte directo (INCIBE-CERT, Línea 017) están orientados a entidades con presencia o víctimas en España. Para empresas con sede fuera de España, el CSIRT del país de origen es el punto de contacto natural; INCIBE-CERT coordina por la red europea.

¿INCIBE certifica?

No certifica empresas directamente. Promueve etiquetas y sellos (incluyendo Sello AENOR de Ciberseguridad y otros), participa en programas de reconocimiento, pero la certificación formal la emiten entidades acreditadas por ENAC.

¿Diferencia entre INCIBE y ENISA?

ENISA es la Agencia de la Unión Europea para la Ciberseguridad, sede en Atenas. Coordina ciberseguridad a nivel europeo, gestiona la EUVD (European Vulnerability Database) y publica guías de referencia para los estados miembros. INCIBE es la implementación nacional española. Las dos colaboran en la red europea de CSIRTs.

¿Existe INCIBE para empresas no españolas con clientes españoles?

Si la empresa extranjera presta servicios esenciales o importantes en España bajo NIS2, está dentro del alcance de la autoridad competente española. INCIBE puede actuar como punto de contacto para esos casos según el sector. La empresa debería tener representante UE designado bajo NIS2 si no tiene sede en la UE.

¿INCIBE publica IoCs públicos?

Sí, en advisories técnicos sobre amenazas específicas. La granularidad y velocidad son menores que las de proveedores comerciales (Mandiant, CrowdStrike, Recorded Future) pero la información es gratuita y a menudo específica para el contexto español. Detalle en threat hunting.

Recursos relacionados

• Cómo cumplir NIS2 en España: el marco que más empuja la interacción de empresas privadas con INCIBE.
• Directiva NIS2: aplicación y multas: donde aparece el rol de INCIBE como autoridad para varios sectores.
• Qué es Magerit: metodología de riesgos del CCN, organismo hermano de INCIBE en el ecosistema español.
• Qué es un CVE: los advisories que INCIBE-CERT publica sobre vulnerabilidades en productos usados en España.
• Qué es un CISO: rol que típicamente gestiona la relación con INCIBE en empresa mediana o grande.
• ENS para pymes: marco donde el CCN actúa, complementario a INCIBE.

Relación con INCIBE en proyectos Secra

En Secra integramos servicios y advisories de INCIBE-CERT en el flujo defensivo de los clientes que apoyamos: suscripción a feeds, derivación de incidentes cuando aplica, coordinación con la autoridad competente cuando hay NIS2 o RGPD activos, aprovechamiento de Kit Digital para pymes que entran en alcance. Si tu empresa va a empezar a moverse en el ecosistema NIS2 o quiere aprovechar los servicios públicos españoles antes de invertir en proveedor comercial, escríbenos a través de contacto o consulta nuestros servicios de consultoría GRC.