El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde pueden producirse conflictos y agresiones, y donde existen ciberamenazas que podrían atentar contra la seguridad nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las Administraciones Públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al CNI el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez que confiere a su secretario de Estado director la responsabilidad de dirigir el Centro Criptológico Nacional (CCN) en su artículo 9.2.f).
Como desarrollo de esta Ley, y partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de riesgos emergentes, se creó en el año 2002 el CCN, regulado por el Real Decreto 421/2004, de 12 de marzo.
Desde su creación, su labor ha ido encaminada a reducir los riesgos y amenazas provenientes del ciberespacio, fomentar el uso de productos y sistemas seguros (constituye el Organismo de Certificación) en su ámbito, propiciar la formación, coordinación y comunicación entre todos los agentes implicados y actuar como estandarte de la defensa del ciberespacio (a través de su Capacidad de Respuesta a Incidentes CCN-CERT), preservando la información clasificada y sensible, evitando la interrupción de servicios y defendiendo el patrimonio tecnológico español.
Juega, además, un papel central en el desarrollo e implantación del Esquema Nacional de Seguridad (ENS) y de la Estrategia de Ciberseguridad Nacional.