El art. 29 del ENS señala la utilidad de las Guías CCN-STIC. En concreto, dice: "ParaelmejorcumplimientodeloestablecidoenelEsquemaNacionaldeSeguridad,elCentroCriptológicoNacional,enelejerciciodesuscompetencias,elaboraráydifundirálascorrespondientesguíasdeseguridaddelastecnologíasdelainformaciónylascomunicaciones."
No se trata, por tanto, de normas imperativas, sino de la expresión de metodologías y recomendaciones para el adecuado cumplimiento de lo dispuesto en el ENS. Recomendaciones que tendrán especial significación para aquel organismo administrativo afectado por un incidente grave de seguridad, motivado por la inobservancia de las recomendaciones descritas.