PSO, PPE y PAO del Sistema PIC: plazos y diferencias
PSO, PPE y PAO en el Sistema PIC: quién los elabora, plazos exactos (6 meses PSO, 4 meses PPE/PAO), órgano que aprueba, los 12 sectores estratégicos del
Respuesta directa: PSO, PPE y PAO son los tres planes obligatorios del Sistema PIC español, regulados por la Ley 8/2011 de Protección de Infraestructuras Críticas y el RD 704/2011 que la desarrolla. Se diferencian por quién los elabora, a qué nivel se aplican y qué plazo tienen: el PSO (Plan de Seguridad del Operador) lo redacta el operador crítico con visión estratégica corporativa; el PPE (Plan de Protección Específico) baja a cada infraestructura concreta; y el PAO (Plan de Apoyo Operativo) lo elaboran las Fuerzas y Cuerpos de Seguridad para coordinar la respuesta pública.
Marco normativo: Ley 8/2011 + RD 704/2011
| Norma | Función |
|---|---|
| Ley 8/2011 de 28 de abril | Ley de Protección de Infraestructuras Críticas. Traspone la Directiva 2008/114/CE. Define operador crítico, infraestructura crítica/estratégica, designaciones, sanciones |
| RD 704/2011 de 20 de mayo | Reglamento PIC. Desarrolla los planes PSO, PPE y PAO (arts. 24-29), procedimientos de designación y régimen de protección |
| Orden INT/3373/2011 | Crea el Catálogo Nacional de Infraestructuras Estratégicas |
| Directiva CER (UE) 2022/2557 | Critical Entities Resilience — sustituye a la 2008/114/CE. Plazo de trasposición: 17 octubre 2024. España está adaptando el marco PIC vía nuevo proyecto de Ley de Resiliencia |
Fuentes: Ley 8/2011 · RD 704/2011 · Directiva CER 2022/2557.
Tabla comparativa real PSO / PPE / PAO
| Plan | Artículo RD 704/2011 | Quién lo elabora | Nivel | Plazo de presentación | Aprueba | Revisión |
|---|---|---|---|---|---|---|
| PSO Plan de Seguridad del Operador | Art. 24 | El operador crítico (con un Responsable de Seguridad y Enlace designado) | Estratégico-corporativo: política general de seguridad del operador para todas sus infraestructuras | 6 meses desde designación como operador crítico | Secretaría de Estado de Seguridad vía CNPIC | Bianual o por cambio sustancial |
| PPE Plan de Protección Específico | Art. 25-26 | El operador crítico, uno por cada infraestructura crítica designada | Operacional: medidas concretas (físicas, organizativas, de personal, TIC) para una infraestructura | 4 meses desde aprobación del PSO | Delegado del Gobierno del territorio + CNPIC | Bianual + auditorías |
| PAO Plan de Apoyo Operativo | Art. 27 | Las Fuerzas y Cuerpos de Seguridad del Estado (CNP/GC) territorialmente competentes | Respuesta pública: coordinación de medios policiales de protección y apoyo en caso de amenaza/incidente | 4 meses desde aprobación del PPE | Secretaría de Estado de Seguridad vía CNPIC | Por cambio de amenaza |
El actor central: el CNPIC
El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) —antes Centro Nacional de Protección de Infraestructuras Críticas— depende de la Secretaría de Estado de Seguridad del Ministerio del Interior y es el órgano:
- Que designa los operadores críticos y sus infraestructuras (art. 13 Ley 8/2011).
- Que gestiona el Catálogo Nacional de Infraestructuras Estratégicas (Orden INT/3373/2011) con clasificación de seguridad reservada.
- Que valida los PSO y PAO y propone su aprobación a la Secretaría de Estado.
- Que activa los niveles de seguridad NSA (1 a 5) según la situación de amenaza.
Los 12 sectores estratégicos del Catálogo PIC
Conforme al Anexo de la Ley 8/2011 y el Catálogo Nacional:
- Administración
- Espacio
- Industria nuclear
- Industria química
- Instalaciones de investigación
- Agua
- Energía (electricidad, gas, petróleo)
- Salud
- Tecnologías de la información y comunicaciones (TIC)
- Transporte (carretera, ferroviario, aéreo, marítimo)
- Alimentación
- Sistema financiero y tributario
Ejemplos reales de subsunción
| Caso de examen | Plan correcto | Por qué |
|---|---|---|
| Iberdrola, designada operador crítico, redacta su política general de seguridad para todas sus centrales | PSO | Visión global del operador, sin bajar a una instalación concreta |
| La central nuclear de Almaraz redacta su plan de seguridad físico-organizativo específico | PPE | Plan operacional por una infraestructura concreta |
| La Guardia Civil del territorio elabora el plan de coordinación de patrullas y reacción ante amenaza terrorista a la central Almaraz | PAO | Lo elabora FCSE, no el operador. Es la respuesta pública |
| El sector financiero define sus políticas de continuidad ante un ciberataque masivo | PSE (Plan Sectorial Estratégico) | OJO trampa: el PSE es distinto de los tres planes operacionales. Lo elabora el CNPIC por sector |
Diferencias con figuras vecinas (trampas habituales)
| Plan | NO confundir con | Diferencia clave |
|---|---|---|
| PSO | PSE Plan Sectorial Estratégico | PSE es por sector (energía, agua, TIC...) y lo elabora CNPIC; PSO es por operador y lo elabora el propio operador |
| PSO | PEN Plan Estratégico Nacional | PEN tiene visión nacional global (sistema completo); PSO es solo del operador |
| PPE | Plan de Autoprotección RD 393/2007 | El PA es para riesgos genéricos (incendio, evacuación); el PPE es para amenazas deliberadas contra infraestructura crítica |
| PAO | PSO | El PSO lo hace el operador; el PAO lo hacen FCSE (CNP/GC) en respuesta |
| PAO | Planes territoriales 1/1985 | Los planes territoriales coordinan emergencias civiles; el PAO es operativo policial PIC |
6 trampas frecuentes del examen CNP / FCSE / CC.AA.
- "El PSO lo aprueba el operador" → FALSO: el operador lo elabora, pero lo aprueba la Secretaría de Estado de Seguridad previo informe del CNPIC.
- "El PAO lo redacta el operador crítico" → FALSO: lo redactan las FCSE territorialmente competentes. Es lo que más se confunde.
- "PSO y PPE tienen el mismo plazo" → FALSO: PSO en 6 meses desde designación; PPE en 4 meses desde aprobación del PSO.
- "El Catálogo PIC es público" → FALSO: tiene clasificación de seguridad reservada (Orden INT/3373/2011 + Ley 9/1968 secretos oficiales).
- "Solo hay PSO para infraestructuras críticas" → FALSO: también para infraestructuras estratégicas designadas, aunque el régimen difiere.
- "La Directiva CER 2022/2557 ya está plenamente vigente en España" → MATIZ: el plazo de trasposición venció en octubre 2024, pero la trasposición española está en proceso (proyecto de Ley de Resiliencia de Entidades Críticas, que actualizará el marco PIC).
Niveles de Seguridad NSA (Nivel de Seguridad Antiterrorista)
El CNPIC activa el PSNS (Plan de Seguridad Nacional de Seguridad) con 5 niveles de alerta antiterrorista. Cuando el nivel sube, los PAO se activan con medios reforzados:
| NSA | Significado | Activación |
|---|---|---|
| 1 | Bajo | Vigilancia ordinaria |
| 2 | Moderado | Vigilancia incrementada |
| 3 | Medio | Apoyo policial periódico (España actualmente en NSA 4 desde junio 2015) |
| 4 | Alto | Apoyo policial reforzado y permanente |
| 5 | Muy alto | Protección física armada permanente |
La nueva Directiva CER 2022/2557
La Directiva (UE) 2022/2557 sobre la resiliencia de las entidades críticas sustituye a la Directiva 2008/114/CE que dio origen a la Ley 8/2011. Cambios clave:
- Amplía de 2 sectores (energía, transporte) a 11 sectores (parecidos al PIC español pero con matices).
- Cambia el enfoque: ya no solo "protección" sino "resiliencia" (capacidad de absorber, recuperarse y adaptarse).
- Obliga a Evaluaciones de Riesgo periódicas a nivel UE y nacional.
- Plazo de trasposición: 17 octubre 2024 (España en proceso de Ley de Resiliencia).
La nueva ley española integrará y actualizará el marco PIC actual, pero la estructura PSO/PPE/PAO se mantendrá con ajustes.
Fuentes oficiales
- Ley 8/2011 de 28 de abril, de Protección de Infraestructuras Críticas
- RD 704/2011 de 20 de mayo, Reglamento PIC
- Orden INT/3373/2011 de 30 de noviembre — Catálogo Nacional de Infraestructuras Estratégicas (acceso restringido)
- Directiva (UE) 2022/2557 CER
- CNPIC — Centro Nacional de Protección de Infraestructuras y Ciberseguridad
Para repasar conectado
- Criterios horizontales de criticidad: los 4 parámetros
- Plan Nacional de Protección de Infraestructuras Críticas (PNPIC)
- Operador crítico y operador esencial: diferencias
- CNPIC: Centro Nacional de Protección de Infraestructuras
Fecha de revisión: 2026-05-27.
Preguntas frecuentes
¿Quién elabora y quién aprueba cada uno de los 3 planes PIC?
PSO (Plan de Seguridad del Operador): lo elabora el operador crítico, lo aprueba la Secretaría de Estado de Seguridad previo informe del CNPIC. PPE (Plan de Protección Específico): también lo elabora el operador crítico, uno por cada infraestructura concreta, lo aprueba el Delegado del Gobierno del territorio + CNPIC. PAO (Plan de Apoyo Operativo): lo elaboran las FCSE territorialmente competentes (no el operador), lo aprueba la Secretaría de Estado de Seguridad. Es la confusión más típica de examen: el PAO NO lo redacta el operador, lo hacen Policía Nacional o Guardia Civil según territorio.
¿Qué plazos exactos tienen el PSO, PPE y PAO?
Según el RD 704/2011: PSO se presenta en 6 meses desde la designación como operador crítico (art. 24.3). PPE se presenta en 4 meses desde la aprobación del PSO (art. 26). PAO se elabora en 4 meses desde la aprobación del PPE (art. 27). Revisión: PSO y PPE son bianuales o por cambio sustancial; PAO se actualiza por cambio del nivel de amenaza. España está actualmente en nivel NSA 4 (Alto) desde junio 2015, lo que obliga a apoyo policial reforzado permanente en los PAO activos.
¿Cuáles son los 12 sectores estratégicos del Catálogo Nacional PIC?
Según el Anexo de la Ley 8/2011 y la Orden INT/3373/2011: 1) Administración, 2) Espacio, 3) Industria nuclear, 4) Industria química, 5) Instalaciones de investigación, 6) Agua, 7) Energía (electricidad, gas, petróleo), 8) Salud, 9) Tecnologías de la información y comunicaciones (TIC), 10) Transporte (carretera, ferroviario, aéreo, marítimo), 11) Alimentación, 12) Sistema financiero y tributario. El Catálogo tiene clasificación de seguridad reservada (Ley 9/1968 secretos oficiales), por lo que la lista concreta de infraestructuras NO es pública.
¿Qué diferencia hay entre PPE y Plan de Autoprotección del RD 393/2007?
El Plan de Protección Específico (PPE) y el Plan de Autoprotección (PA) del RD 393/2007 son cosas distintas. El PA cubre riesgos genéricos no deliberados (incendio, evacuación, accidentes industriales) y se aplica a edificios y actividades en general. El PPE cubre exclusivamente amenazas deliberadas (terrorismo, sabotaje, ciberataques dirigidos) contra infraestructuras críticas previamente designadas. Un mismo edificio puede tener PA (obligatorio por su actividad) y PPE (obligatorio si es infraestructura crítica) simultáneamente, son complementarios pero no intercambiables.
¿Cómo afecta la Directiva CER 2022/2557 al marco PIC español?
La Directiva (UE) 2022/2557 sobre la resiliencia de las entidades críticas sustituye a la Directiva 2008/114/CE que originó la Ley 8/2011. Cambios principales: amplía de 2 a 11 sectores afectados (alineado con el ámbito PIC español), cambia el enfoque de "protección" a "resiliencia" (capacidad de absorber, recuperarse y adaptarse), obliga a evaluaciones de riesgo periódicas a nivel UE y nacional. Plazo de trasposición: 17 octubre 2024. España está adaptando el marco PIC vía el proyecto de Ley de Resiliencia de Entidades Críticas. La estructura PSO/PPE/PAO se mantendrá con ajustes - no desaparece.
¿Qué es el CNPIC y qué papel juega?
El CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) depende de la Secretaría de Estado de Seguridad del Ministerio del Interior. Funciones clave: designar a los operadores críticos y sus infraestructuras (art. 13 Ley 8/2011), gestionar el Catálogo Nacional de Infraestructuras Estratégicas (clasificación de seguridad reservada), validar los PSO y PAO y proponer su aprobación, activar los niveles de seguridad NSA (1-5) según la amenaza. Es el órgano de gobernanza central del Sistema PIC y la pieza clave para entender cualquier pregunta de examen sobre infraestructuras críticas.
Regístrate y sigue repasando gratis
Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.
Crear cuenta gratis