Regístrate gratis
Operador crítico vs operador de servicios esenciales
Operador crítico (Ley 8/2011 PIC + RD 704/2011, planes PSO/PPE/PAO, coordinación CNPIC) vs operador de servicios esenciales OSE (RD-Ley 12/2018 + RD
Respuesta directa: el operador crítico y el operador de servicios esenciales (OSE) pertenecen a marcos normativos distintos pero con solapamientos. El operador crítico se regula en la Ley 8/2011 PIC y el RD 704/2011 Reglamento, dentro del Sistema PIC (Protección de Infraestructuras Críticas) coordinado por el CNPIC: es la persona física o jurídica responsable de la operación de una infraestructura crítica designada formalmente por la Secretaría de Estado de Seguridad. Sus obligaciones se traducen en los planes PSO (Plan de Seguridad del Operador), PPE (Plan de Protección Específico) y PAO (Plan de Apoyo Operativo). El OSE se regula en el RD-Ley 12/2018 y el RD 43/2021 (transposición de la Directiva NIS, hoy NIS 1) y se centra en la seguridad de las redes y sistemas de información que soportan servicios esenciales. La Directiva NIS 2 (UE) 2022/2555 sustituye a la NIS 1 con un nuevo marco que distingue entidades esenciales y entidades importantes. La Directiva CER (UE) 2022/2557 introduce el concepto de entidades críticas que sustituye en el plano UE al PIC.
Marco normativo: PIC + NIS 2 + CER + DORA
| Norma | Concepto |
|---|---|
| Ley 8/2011 de 28 abril PIC | Operador crítico: responsable de la operación de una infraestructura crítica |
| RD 704/2011 | Reglamento de desarrollo PIC: planes PSO, PPE, PAO |
| Acuerdo del Consejo Nacional de Protección de las Infraestructuras Críticas | Designación de operadores críticos |
| RD-Ley 12/2018 seguridad redes y sistemas de información | Operador de servicios esenciales (OSE): traspone Directiva NIS 1 |
| RD 43/2021 | Reglamento de aplicación del RD-Ley 12/2018 |
| Directiva (UE) 2022/2555 NIS 2 | Entidades esenciales y entidades importantes (nuevo marco) |
| Directiva (UE) 2022/2557 CER | Entidades críticas (sustituye al PIC en el marco UE) |
| Reglamento (UE) 2022/2554 DORA | Sector financiero: resiliencia operacional digital |
| CNPIC (Centro Nacional Protección Infraestructuras Críticas) | Órgano coordinador del Sistema PIC |
| CCN-CERT / INCIBE | Capacidades nacionales de respuesta a incidentes |
Fuente: Ley 8/2011 PIC, RD 704/2011, RD-Ley 12/2018, RD 43/2021.
Operador crítico vs operador esencial: tabla comparativa esencial
| Aspecto | OPERADOR CRÍTICO (PIC) | OPERADOR DE SERVICIOS ESENCIALES (NIS) |
|---|---|---|
| Norma | Ley 8/2011 + RD 704/2011 | RD-Ley 12/2018 + RD 43/2021 |
| Origen | Marco nacional español + UE Directiva 2008/114 | Directiva UE NIS 1/NIS 2 |
| Coordinación | CNPIC (Ministerio del Interior) | CCN-CERT / INCIBE-CERT |
| Enfoque | Protección INTEGRAL (física + ciber + interna) | Protección de redes y sistemas (CIBER) |
| Designación | Resolución Secretaría Estado Seguridad | Identificación por autoridad competente sectorial |
| Sectores | 12 sectores estratégicos del Anexo Ley 8/2011 | 7 sectores RD-Ley 12/2018 (energía, transporte, banca, mercados financieros, sanidad, agua, infraestructura digital) |
| Obligaciones específicas | Planes PSO, PPE, PAO | Medidas técnicas + notificación incidentes |
| Notificación incidentes | Vía CNPIC | Vía INCIBE-CERT / CCN-CERT |
Los 12 sectores estratégicos del Sistema PIC (Anexo Ley 8/2011)
| Nº | Sector |
|---|---|
| 1 | Administración |
| 2 | Espacio |
| 3 | Industria nuclear |
| 4 | Industria química |
| 5 | Instalaciones de investigación |
| 6 | Agua |
| 7 | Energía |
| 8 | Salud |
| 9 | TIC (Tecnologías de la Información y Comunicaciones) |
| 10 | Transporte |
| 11 | Alimentación |
| 12 | Financiero y tributario |
Los 7 sectores OSE (RD-Ley 12/2018, NIS 1)
| Nº | Sector |
|---|---|
| 1 | Energía (electricidad, gas, petróleo) |
| 2 | Transporte (aéreo, ferroviario, marítimo, carretera) |
| 3 | Banca |
| 4 | Mercados financieros |
| 5 | Sanidad |
| 6 | Agua |
| 7 | Infraestructura digital (IXP, DNS, TLD) |
La nueva clasificación NIS 2: entidades esenciales vs importantes
La Directiva (UE) 2022/2555 NIS 2 sustituye a la NIS 1 y amplía considerablemente los sectores. Distingue:
Entidades esenciales (Anexo I)
| Sector | Ejemplos |
|---|---|
| Energía | Electricidad, gas, calefacción urbana, petróleo, hidrógeno |
| Transporte | Aéreo, ferroviario, marítimo, carretera |
| Banca | Entidades de crédito |
| Mercados financieros | Plataformas de negociación, contrapartes |
| Sanidad | Hospitales, fabricantes medicamentos críticos |
| Agua potable | Suministro y distribución |
| Aguas residuales | Tratamiento |
| Infraestructura digital | IXP, DNS, TLD, proveedores de cloud, CDN |
| Administración Pública | AGE, CCAA (entidades específicas) |
| Espacio | |
| Gestión TIC inter-organizaciones | ISP, etc. |
Entidades importantes (Anexo II)
| Sector | Ejemplos |
|---|---|
| Servicios postales y de mensajería | Correos, paqueterías |
| Gestión de residuos | Tratamiento |
| Industria química | |
| Industria alimentaria | |
| Manufactura | Dispositivos médicos, electrónica, vehículos, equipos eléctricos |
| Proveedores de servicios digitales | Marketplaces, motores búsqueda, redes sociales |
| Investigación |
Las 3 obligaciones específicas del operador crítico: planes PSO, PPE, PAO
| Plan | Acrónimo | Contenido |
|---|---|---|
| Plan de Seguridad del Operador | PSO | Estrategia integral de seguridad del operador. Define política, organización, responsable de seguridad, sistemas |
| Plan de Protección Específico | PPE | Para CADA infraestructura crítica del operador. Identifica activos, amenazas, vulnerabilidades, contramedidas |
| Plan de Apoyo Operativo | PAO | Plan POLICIAL (no del operador). Lo elabora la Policía / Guardia Civil. Coordina respuesta ante incidentes |
Plazos (RD 704/2011):
- PSO: aprobado por el operador en 6 meses desde su designación
- PPE: 4 meses desde aprobación del PSO
- PAO: elaborado por las FCS
Obligaciones del OSE (RD-Ley 12/2018 + RD 43/2021)
| Obligación | Contenido |
|---|---|
| Medidas técnicas y organizativas | Adecuadas y proporcionadas al riesgo |
| Análisis de riesgos | Continuo y documentado |
| Notificación de incidentes | Al CSIRT / INCIBE-CERT / CCN-CERT |
| Designación de un Responsable de Seguridad de la Información (RSI) | Punto de contacto con la autoridad |
| Política de Seguridad de la Información | Documentada y aprobada |
| Auditorías de seguridad | Periódicas |
Notificación de incidentes: comparativa
| Régimen | Plazo |
|---|---|
| Operador crítico (PIC) | Notificación al CNPIC sin dilación indebida |
| OSE (NIS 1) | Notificación al CSIRT competente sin dilación indebida; criterio de impacto significativo |
| NIS 2 | 24 horas alerta temprana + 72 horas notificación detallada + 1 mes informe final |
| Brecha datos personales (RGPD) | 72 horas a la autoridad de protección de datos |
| DORA (sector financiero) | Régimen específico con plazos propios |
El CNPIC: órgano coordinador del Sistema PIC
| Aspecto | Régimen |
|---|---|
| Naturaleza | Centro Nacional de Protección de las Infraestructuras Críticas |
| Dependencia | Secretaría de Estado de Seguridad (Ministerio del Interior) |
| Funciones | Punto de contacto central, identificación operadores críticos, gestión Catálogo Nacional, supervisión planes PSO/PPE/PAO, coordinación con FCS y operadores |
| Designación operador | Resolución motivada del Secretario de Estado de Seguridad |
| Inscripción en Catálogo | Datos protegidos (Ley 9/1968 secretos oficiales + Ley 8/2011) |
Ejemplos reales de subsunción
| Caso | Categoría | Por qué |
|---|---|---|
| Iberdrola (subestación crítica) | Operador crítico PIC | Sector energía + designación CNPIC |
| Iberdrola (red TIC interna que soporta servicios) | OSE + NIS 2 | Servicios esenciales energía |
| Hospital universitario público | Operador crítico PIC (sanidad) y Entidad esencial NIS 2 | Doble régimen |
| Empresa de telecomunicaciones (operador telco) | Operador crítico PIC (TIC) y Entidad esencial NIS 2 | Doble régimen |
| Aeropuerto Madrid-Barajas (AENA) | Operador crítico PIC + Entidad esencial NIS 2 | Transporte |
| Banco Santander (entidad financiera) | Operador crítico PIC (financiero) + DORA + NIS 2 | Triple régimen |
| Empresa pequeña de software no esencial | NO operador crítico, NO entidad esencial NIS 2 (puede ser importante) | Volumen y sector |
| Marketplace online grande (Amazon) | Entidad importante NIS 2 | Sector servicios digitales |
| Empresa de aguas municipal | Operador crítico PIC + Entidad esencial NIS 2 | Sector agua |
| Planta nuclear (Almaraz, Cofrentes) | Operador crítico PIC (industria nuclear) | Sector estratégico |
| Ministerio del Interior (AGE) | Operador crítico PIC + Entidad esencial NIS 2 | Administración |
Diferencias con figuras vecinas
| Figura | Norma | Diferencia |
|---|---|---|
| Entidad crítica (Directiva CER UE) | Directiva (UE) 2022/2557 | Sustituye al concepto PIC en el plano UE; sin transposición plena en España aún |
| Proveedor de servicios digitales (DSP) NIS 1 | RD-Ley 12/2018 | Categoría específica NIS 1 (motores búsqueda, marketplaces, cloud) |
| Entidad financiera DORA | Reglamento (UE) 2022/2554 | Sector financiero; régimen específico de ciberresiliencia |
| Entidad obligada por ENS | RD 311/2022 Esquema Nacional Seguridad | AAPP y proveedores AAPP |
| Responsable de tratamiento RGPD | RGPD art. 4.7 | Responsabilidad por datos personales (no infraestructura) |
| Operador económico contratación | Ley 9/2017 | Definición de contratación pública, no de seguridad |
| Servicio público esencial laboral | Constitución + LOLS | Ámbito laboral (huelgas), no seguridad |
6 trampas frecuentes del examen / oposiciones
- "Operador crítico y operador de servicios esenciales son sinónimos" → FALSO: son figuras de marcos normativos distintos (Ley 8/2011 PIC vs RD-Ley 12/2018 NIS). Pueden coincidir en una misma empresa, pero las obligaciones, autoridades coordinadoras (CNPIC vs CCN-CERT/INCIBE) y enfoque (integral vs ciber) son diferentes.
- "El Sistema PIC solo cubre ciberseguridad" → FALSO: la Ley 8/2011 PIC adopta un enfoque INTEGRAL: protección física, ciberseguridad y operacional. La normativa NIS se centra principalmente en la dimensión ciber.
- "Los planes PSO, PPE y PAO se aplican a los operadores de servicios esenciales" → FALSO: los planes PSO, PPE y PAO son exclusivos del Sistema PIC (operadores críticos). El RD 704/2011 los regula. El PAO es además policial (no del operador). Los OSE tienen otras obligaciones (medidas técnicas, RSI, notificación al CSIRT).
- "Los sectores PIC y los sectores OSE son los mismos" → FALSO: el PIC tiene 12 sectores (más amplio, incluye administración, espacio, alimentación, industria química, investigación...); los OSE iniciales NIS 1 tenían 7 sectores. La NIS 2 amplía considerablemente los sectores y distingue entidades esenciales (11) y entidades importantes (7).
- "El plazo de notificación de incidentes NIS 2 es de 72 horas" → MATIZ: la NIS 2 (Directiva 2022/2555) introduce un régimen escalonado: (1) 24 horas para alerta temprana; (2) 72 horas para notificación detallada; (3) 1 mes para informe final. La NIS 1 sólo exigía notificación sin dilación indebida.
- "La Directiva CER es lo mismo que la NIS 2" → FALSO: la CER (Directiva (UE) 2022/2557) sustituye al PIC en el marco UE: identifica entidades críticas con enfoque integral. La NIS 2 (Directiva 2022/2555) se centra en ciberseguridad con entidades esenciales/importantes. Son complementarias: una misma empresa puede ser entidad crítica CER + entidad esencial NIS 2.
Reformas y reglas recientes a recordar
- Directiva (UE) 2022/2555 NIS 2: sustituye NIS 1; transposición pendiente en España (plazo octubre 2024 vencido).
- Directiva (UE) 2022/2557 CER: sustituye Directiva 2008/114; introduce concepto entidades críticas.
- Reglamento (UE) 2022/2554 DORA: sector financiero; resiliencia operacional digital.
- Ley 8/2011 PIC + RD 704/2011: marco vigente en España pendiente de adaptación a CER.
- RD-Ley 12/2018 + RD 43/2021: traspone NIS 1.
- RD 311/2022 ENS: refuerza Esquema Nacional de Seguridad para sector público.
- Reglamento (UE) 2024/1689 IA Act: aspectos relacionados con sistemas de IA en infraestructuras críticas.
Clave de examen
Primero memoriza la regla troncal y después las excepciones. En test, el fallo habitual no está en desconocer el tema, sino en confundir órgano, plazo, efecto jurídico o norma aplicable cuando el enunciado cambia una palabra.
Fuentes oficiales
- Ley 8/2011 PIC
- RD 704/2011 Reglamento PIC
- RD-Ley 12/2018 seguridad redes y sistemas
- RD 43/2021 Reglamento aplicación
- Directiva (UE) 2022/2555 NIS 2
- Directiva (UE) 2022/2557 CER
- Reglamento (UE) 2022/2554 DORA
- CNPIC — Ministerio del Interior
- INCIBE-CERT
Para repasar conectado
- PSO, PPE, PAO: planes de protección de infraestructuras críticas
- CNPIC: Centro Nacional Protección Infraestructuras Críticas
- Catálogo Nacional de Infraestructuras Críticas
- Brecha de seguridad de datos: plazo 72 horas RGPD
- Videocámaras policiales: uso por las FCS
- Director de seguridad y jefe de seguridad: diferencias
Fecha de revisión: 2026-05-27.
Preguntas frecuentes
¿Cuál es la diferencia entre operador crítico y operador de servicios esenciales?
Marcos normativos distintos con enfoques diferentes. El OPERADOR CRÍTICO se regula en la Ley 8/2011 PIC y el RD 704/2011, dentro del Sistema PIC coordinado por el CNPIC (Ministerio del Interior). Es la persona física o jurídica responsable de la operación de una infraestructura crítica designada por la Secretaría de Estado de Seguridad. Enfoque INTEGRAL: protección física, cibernética y operacional. Obligaciones: planes PSO, PPE y PAO. El OPERADOR DE SERVICIOS ESENCIALES (OSE) se regula en el RD-Ley 12/2018 y el RD 43/2021 (transposición NIS 1) con enfoque CIBER sobre redes y sistemas de información. Pueden coincidir en una misma entidad (banco, aeropuerto, telco), pero los regímenes y autoridades son distintos.
¿Cuáles son los 12 sectores estratégicos del Sistema PIC?
El Anexo de la Ley 8/2011 PIC enumera los 12 sectores estratégicos: (1) Administración; (2) Espacio; (3) Industria nuclear; (4) Industria química; (5) Instalaciones de investigación; (6) Agua; (7) Energía; (8) Salud; (9) TIC (Tecnologías de la Información y Comunicaciones); (10) Transporte; (11) Alimentación; (12) Financiero y tributario. En cada uno de estos sectores el CNPIC identifica las infraestructuras consideradas críticas y designa a sus operadores. La inscripción se realiza en el Catálogo Nacional de Infraestructuras Críticas y Estratégicas, cuyo contenido está protegido por la legislación de secretos oficiales (Ley 9/1968).
¿Qué son los planes PSO, PPE y PAO?
Las tres obligaciones específicas del operador crítico conforme al RD 704/2011 PIC. (1) PSO (Plan de Seguridad del Operador): estrategia integral de seguridad del operador. Define política, organización, responsable de seguridad, sistemas. Aprobado en 6 meses desde la designación. (2) PPE (Plan de Protección Específico): para CADA infraestructura crítica del operador. Identifica activos, amenazas, vulnerabilidades y contramedidas. Elaborado en 4 meses desde la aprobación del PSO. (3) PAO (Plan de Apoyo Operativo): plan POLICIAL elaborado por las FCS (no por el operador). Coordina la respuesta ante incidentes en coordinación con el operador. Es la dimensión externa del sistema.
¿Qué cambia con la Directiva NIS 2 respecto a la NIS 1?
La Directiva (UE) 2022/2555 NIS 2 sustituye a la NIS 1 con cambios profundos. (1) Amplía sectores: distingue ENTIDADES ESENCIALES (11 sectores incluye los OSE + nuevos: administración pública, espacio, gestión TIC, aguas residuales) y ENTIDADES IMPORTANTES (7 sectores: postales, residuos, química, alimentaria, manufactura, servicios digitales, investigación). (2) Régimen escalonado de notificación de incidentes: 24 horas alerta temprana + 72 horas notificación detallada + 1 mes informe final. (3) Sanciones más severas. (4) Obligaciones organizativas estrictas: análisis de riesgos, formación de directivos, gestión de la cadena de suministro. La transposición en España está pendiente (plazo octubre 2024 vencido).
¿Qué es la Directiva CER y cómo se relaciona con la PIC?
La Directiva (UE) 2022/2557 sobre Resiliencia de las Entidades Críticas (CER) sustituye a la Directiva 2008/114/CE en el marco UE. Introduce el concepto de ENTIDADES CRÍTICAS con enfoque INTEGRAL (no solo ciber). Coincide en filosofía con la Ley 8/2011 PIC nacional, pero amplía sectores (11), refuerza criterios cuantitativos de designación y armoniza obligaciones a nivel UE. Es complementaria con la NIS 2: una misma entidad puede ser entidad crítica CER (resiliencia integral) y entidad esencial NIS 2 (ciberseguridad). La transposición en España requerirá actualizar la Ley 8/2011 PIC y el RD 704/2011 (en tramitación).
¿Quién coordina cada régimen en España?
Tres autoridades principales con competencias diferenciadas. (1) CNPIC (Centro Nacional de Protección de las Infraestructuras Críticas), dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior: coordina el Sistema PIC (operadores críticos). (2) CCN-CERT (del Centro Criptológico Nacional, adscrito al CNI): equipo de respuesta a incidentes de ciberseguridad para el sector público y los operadores críticos. (3) INCIBE-CERT (del Instituto Nacional de Ciberseguridad, dependiente de Mineco): para el sector privado y la ciudadanía. Los OSE notifican al CSIRT competente según su naturaleza pública o privada. En el sector financiero opera DORA con sus propias autoridades (Banco de España, CNMV, supervisores europeos).
Regístrate y sigue repasando gratis
Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.
Crear cuenta gratis