Entre les funcions que el Reial decret 421/2004, de 12 de març, assigna al Centre Criptològic Nacional (CCN), està la de "constituir l'organisme de certificació de l'Esquema Nacional d'Avaluació i Certificació de la Seguretat de les Tecnologies de la Informació, d'aplicació a productes i sistemes en el seu àmbit".
Aquest Organisme de Certificació (OC), pel que fa a la certificació funcional de la seguretat de les TI, es va articular mitjançant el Reglament d'Avaluació i Certificació de la Seguretat de les Tecnologies de la Informació, aprovat per Ordre PRE/2740/2007, de 19 de setembre, i completat per la seva pròpia normativa interna adaptada als requisits necessaris per ser reconegut tant nacionalment, segons la norma UNE-EN ISO/IEC 17065, com en l’àmbit internacional, d'acord amb l’ «Arranjament de Reconeixement de Certificats de Criteris Comuns» (CCRA), com a entitat de certificació de la seguretat de les TIC.
Per a la certificació criptològica i per a la certificació TEMPEST, l'Organisme de Certificació es basa en criteris i metodologies pròpies.
