Infraestructuras Críticas

PSO, PPE y PAO del Sistema PIC: plazos y diferencias

PSO, PPE y PAO en el Sistema PIC: quién los elabora, plazos exactos (6 meses PSO, 4 meses PPE/PAO), órgano que aprueba, los 12 sectores estratégicos del

Respuesta directa: PSO, PPE y PAO son los tres planes obligatorios del Sistema PIC español, regulados por la Ley 8/2011 de Protección de Infraestructuras Críticas y el RD 704/2011 que la desarrolla. Se diferencian por quién los elabora, a qué nivel se aplican y qué plazo tienen: el PSO (Plan de Seguridad del Operador) lo redacta el operador crítico con visión estratégica corporativa; el PPE (Plan de Protección Específico) baja a cada infraestructura concreta; y el PAO (Plan de Apoyo Operativo) lo elaboran las Fuerzas y Cuerpos de Seguridad para coordinar la respuesta pública.

Marco normativo: Ley 8/2011 + RD 704/2011

Norma Función
Ley 8/2011 de 28 de abril Ley de Protección de Infraestructuras Críticas. Traspone la Directiva 2008/114/CE. Define operador crítico, infraestructura crítica/estratégica, designaciones, sanciones
RD 704/2011 de 20 de mayo Reglamento PIC. Desarrolla los planes PSO, PPE y PAO (arts. 24-29), procedimientos de designación y régimen de protección
Orden INT/3373/2011 Crea el Catálogo Nacional de Infraestructuras Estratégicas
Directiva CER (UE) 2022/2557 Critical Entities Resilience — sustituye a la 2008/114/CE. Plazo de trasposición: 17 octubre 2024. España está adaptando el marco PIC vía nuevo proyecto de Ley de Resiliencia

Fuentes: Ley 8/2011 · RD 704/2011 · Directiva CER 2022/2557.

Tabla comparativa real PSO / PPE / PAO

Plan Artículo RD 704/2011 Quién lo elabora Nivel Plazo de presentación Aprueba Revisión
PSO Plan de Seguridad del Operador Art. 24 El operador crítico (con un Responsable de Seguridad y Enlace designado) Estratégico-corporativo: política general de seguridad del operador para todas sus infraestructuras 6 meses desde designación como operador crítico Secretaría de Estado de Seguridad vía CNPIC Bianual o por cambio sustancial
PPE Plan de Protección Específico Art. 25-26 El operador crítico, uno por cada infraestructura crítica designada Operacional: medidas concretas (físicas, organizativas, de personal, TIC) para una infraestructura 4 meses desde aprobación del PSO Delegado del Gobierno del territorio + CNPIC Bianual + auditorías
PAO Plan de Apoyo Operativo Art. 27 Las Fuerzas y Cuerpos de Seguridad del Estado (CNP/GC) territorialmente competentes Respuesta pública: coordinación de medios policiales de protección y apoyo en caso de amenaza/incidente 4 meses desde aprobación del PPE Secretaría de Estado de Seguridad vía CNPIC Por cambio de amenaza

El actor central: el CNPIC

El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) —antes Centro Nacional de Protección de Infraestructuras Críticas— depende de la Secretaría de Estado de Seguridad del Ministerio del Interior y es el órgano:

  • Que designa los operadores críticos y sus infraestructuras (art. 13 Ley 8/2011).
  • Que gestiona el Catálogo Nacional de Infraestructuras Estratégicas (Orden INT/3373/2011) con clasificación de seguridad reservada.
  • Que valida los PSO y PAO y propone su aprobación a la Secretaría de Estado.
  • Que activa los niveles de seguridad NSA (1 a 5) según la situación de amenaza.

Los 12 sectores estratégicos del Catálogo PIC

Conforme al Anexo de la Ley 8/2011 y el Catálogo Nacional:

  1. Administración
  2. Espacio
  3. Industria nuclear
  4. Industria química
  5. Instalaciones de investigación
  6. Agua
  7. Energía (electricidad, gas, petróleo)
  8. Salud
  9. Tecnologías de la información y comunicaciones (TIC)
  10. Transporte (carretera, ferroviario, aéreo, marítimo)
  11. Alimentación
  12. Sistema financiero y tributario

Ejemplos reales de subsunción

Caso de examen Plan correcto Por qué
Iberdrola, designada operador crítico, redacta su política general de seguridad para todas sus centrales PSO Visión global del operador, sin bajar a una instalación concreta
La central nuclear de Almaraz redacta su plan de seguridad físico-organizativo específico PPE Plan operacional por una infraestructura concreta
La Guardia Civil del territorio elabora el plan de coordinación de patrullas y reacción ante amenaza terrorista a la central Almaraz PAO Lo elabora FCSE, no el operador. Es la respuesta pública
El sector financiero define sus políticas de continuidad ante un ciberataque masivo PSE (Plan Sectorial Estratégico) OJO trampa: el PSE es distinto de los tres planes operacionales. Lo elabora el CNPIC por sector

Diferencias con figuras vecinas (trampas habituales)

Plan NO confundir con Diferencia clave
PSO PSE Plan Sectorial Estratégico PSE es por sector (energía, agua, TIC...) y lo elabora CNPIC; PSO es por operador y lo elabora el propio operador
PSO PEN Plan Estratégico Nacional PEN tiene visión nacional global (sistema completo); PSO es solo del operador
PPE Plan de Autoprotección RD 393/2007 El PA es para riesgos genéricos (incendio, evacuación); el PPE es para amenazas deliberadas contra infraestructura crítica
PAO PSO El PSO lo hace el operador; el PAO lo hacen FCSE (CNP/GC) en respuesta
PAO Planes territoriales 1/1985 Los planes territoriales coordinan emergencias civiles; el PAO es operativo policial PIC

6 trampas frecuentes del examen CNP / FCSE / CC.AA.

  1. "El PSO lo aprueba el operador"FALSO: el operador lo elabora, pero lo aprueba la Secretaría de Estado de Seguridad previo informe del CNPIC.
  2. "El PAO lo redacta el operador crítico"FALSO: lo redactan las FCSE territorialmente competentes. Es lo que más se confunde.
  3. "PSO y PPE tienen el mismo plazo"FALSO: PSO en 6 meses desde designación; PPE en 4 meses desde aprobación del PSO.
  4. "El Catálogo PIC es público"FALSO: tiene clasificación de seguridad reservada (Orden INT/3373/2011 + Ley 9/1968 secretos oficiales).
  5. "Solo hay PSO para infraestructuras críticas"FALSO: también para infraestructuras estratégicas designadas, aunque el régimen difiere.
  6. "La Directiva CER 2022/2557 ya está plenamente vigente en España"MATIZ: el plazo de trasposición venció en octubre 2024, pero la trasposición española está en proceso (proyecto de Ley de Resiliencia de Entidades Críticas, que actualizará el marco PIC).

Niveles de Seguridad NSA (Nivel de Seguridad Antiterrorista)

El CNPIC activa el PSNS (Plan de Seguridad Nacional de Seguridad) con 5 niveles de alerta antiterrorista. Cuando el nivel sube, los PAO se activan con medios reforzados:

NSA Significado Activación
1 Bajo Vigilancia ordinaria
2 Moderado Vigilancia incrementada
3 Medio Apoyo policial periódico (España actualmente en NSA 4 desde junio 2015)
4 Alto Apoyo policial reforzado y permanente
5 Muy alto Protección física armada permanente

La nueva Directiva CER 2022/2557

La Directiva (UE) 2022/2557 sobre la resiliencia de las entidades críticas sustituye a la Directiva 2008/114/CE que dio origen a la Ley 8/2011. Cambios clave:

  • Amplía de 2 sectores (energía, transporte) a 11 sectores (parecidos al PIC español pero con matices).
  • Cambia el enfoque: ya no solo "protección" sino "resiliencia" (capacidad de absorber, recuperarse y adaptarse).
  • Obliga a Evaluaciones de Riesgo periódicas a nivel UE y nacional.
  • Plazo de trasposición: 17 octubre 2024 (España en proceso de Ley de Resiliencia).

La nueva ley española integrará y actualizará el marco PIC actual, pero la estructura PSO/PPE/PAO se mantendrá con ajustes.

Fuentes oficiales

Para repasar conectado

Fecha de revisión: 2026-05-27.

Preguntas frecuentes

¿Quién elabora y quién aprueba cada uno de los 3 planes PIC?

PSO (Plan de Seguridad del Operador): lo elabora el operador crítico, lo aprueba la Secretaría de Estado de Seguridad previo informe del CNPIC. PPE (Plan de Protección Específico): también lo elabora el operador crítico, uno por cada infraestructura concreta, lo aprueba el Delegado del Gobierno del territorio + CNPIC. PAO (Plan de Apoyo Operativo): lo elaboran las FCSE territorialmente competentes (no el operador), lo aprueba la Secretaría de Estado de Seguridad. Es la confusión más típica de examen: el PAO NO lo redacta el operador, lo hacen Policía Nacional o Guardia Civil según territorio.

¿Qué plazos exactos tienen el PSO, PPE y PAO?

Según el RD 704/2011: PSO se presenta en 6 meses desde la designación como operador crítico (art. 24.3). PPE se presenta en 4 meses desde la aprobación del PSO (art. 26). PAO se elabora en 4 meses desde la aprobación del PPE (art. 27). Revisión: PSO y PPE son bianuales o por cambio sustancial; PAO se actualiza por cambio del nivel de amenaza. España está actualmente en nivel NSA 4 (Alto) desde junio 2015, lo que obliga a apoyo policial reforzado permanente en los PAO activos.

¿Cuáles son los 12 sectores estratégicos del Catálogo Nacional PIC?

Según el Anexo de la Ley 8/2011 y la Orden INT/3373/2011: 1) Administración, 2) Espacio, 3) Industria nuclear, 4) Industria química, 5) Instalaciones de investigación, 6) Agua, 7) Energía (electricidad, gas, petróleo), 8) Salud, 9) Tecnologías de la información y comunicaciones (TIC), 10) Transporte (carretera, ferroviario, aéreo, marítimo), 11) Alimentación, 12) Sistema financiero y tributario. El Catálogo tiene clasificación de seguridad reservada (Ley 9/1968 secretos oficiales), por lo que la lista concreta de infraestructuras NO es pública.

¿Qué diferencia hay entre PPE y Plan de Autoprotección del RD 393/2007?

El Plan de Protección Específico (PPE) y el Plan de Autoprotección (PA) del RD 393/2007 son cosas distintas. El PA cubre riesgos genéricos no deliberados (incendio, evacuación, accidentes industriales) y se aplica a edificios y actividades en general. El PPE cubre exclusivamente amenazas deliberadas (terrorismo, sabotaje, ciberataques dirigidos) contra infraestructuras críticas previamente designadas. Un mismo edificio puede tener PA (obligatorio por su actividad) y PPE (obligatorio si es infraestructura crítica) simultáneamente, son complementarios pero no intercambiables.

¿Cómo afecta la Directiva CER 2022/2557 al marco PIC español?

La Directiva (UE) 2022/2557 sobre la resiliencia de las entidades críticas sustituye a la Directiva 2008/114/CE que originó la Ley 8/2011. Cambios principales: amplía de 2 a 11 sectores afectados (alineado con el ámbito PIC español), cambia el enfoque de "protección" a "resiliencia" (capacidad de absorber, recuperarse y adaptarse), obliga a evaluaciones de riesgo periódicas a nivel UE y nacional. Plazo de trasposición: 17 octubre 2024. España está adaptando el marco PIC vía el proyecto de Ley de Resiliencia de Entidades Críticas. La estructura PSO/PPE/PAO se mantendrá con ajustes - no desaparece.

¿Qué es el CNPIC y qué papel juega?

El CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) depende de la Secretaría de Estado de Seguridad del Ministerio del Interior. Funciones clave: designar a los operadores críticos y sus infraestructuras (art. 13 Ley 8/2011), gestionar el Catálogo Nacional de Infraestructuras Estratégicas (clasificación de seguridad reservada), validar los PSO y PAO y proponer su aprobación, activar los niveles de seguridad NSA (1-5) según la amenaza. Es el órgano de gobernanza central del Sistema PIC y la pieza clave para entender cualquier pregunta de examen sobre infraestructuras críticas.

También te conviene repasar

Ver todas las guías de Infraestructuras Críticas →
RD 704/2011: el Reglamento PIC artículo a artículo

El RD 704/2011 explicado para test: estructura del Reglamento PIC, los planes PSO, PPE y PAO y los detalles que más se preguntan en examen.

Operador crítico vs operador de servicios esenciales

Operador crítico (Ley 8/2011 PIC + RD 704/2011, planes PSO/PPE/PAO, coordinación CNPIC) vs operador de servicios esenciales OSE (RD-Ley 12/2018 + RD

PSO, PPE y PAO: los 3 planes operativos del Sistema PIC

PSO, PPE y PAO explicados para test: qué es cada plan del Sistema PIC, quién lo elabora y los plazos 6+4+4 que siempre caen en examen.

CNPIC (art. 7 Ley 8/2011): funciones y estructura

El CNPIC explicado para test: qué es, funciones del art. 7 Ley 8/2011 y en qué se diferencia de CCN-CERT e INCIBE. Con las trampas que caen en examen.

Catálogo Nacional de Infraestructuras Estratégicas 2026

Qué es el Catálogo Nacional de Infraestructuras Estratégicas: infraestructuras críticas, CNPIC, secreto, actualización anual y 12 sectores de la Ley

Criterios horizontales de criticidad: art. 2.h Ley 8/2011

Los 4 criterios horizontales de criticidad del art. 2.h Ley 8/2011 explicados para test, con ejemplos y las confusiones típicas de examen.

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro