Entre as funcións que o Real decreto 421/2004, do 12 de marzo, lle asigna ao Centro Criptolóxico Nacional (CCN) está a de "constituír o organismo de certificación do Esquema Nacional de Avaliación e Certificación da Seguridade das Tecnoloxías da Información, de aplicación a produtos e sistemas no seu ámbito".

Este organismo de certificación (OC), no relativo á certificación funcional da seguridade das TI, articulouse mediante o Regulamento de avaliación e certificación da seguridade das tecnoloxías da información, aprobado pola Orde PRE/2740/2007, do 19 de setembro, completado pola súa propia normativa interna adaptada aos requisitos necesarios para ser recoñecido tanto no eido nacional, segundo a norma UNE-NISO/IEC 17065, como no internacional, de acordo co Arranxo de recoñecemento de certificados de criterios comúns (CCRA), como entidade de certificación da seguridade das TIC.

Para a certificación criptolóxica e para a certificación TEMPEST, o organismo de certificación baséase en criterios e metodoloxías propias.