BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82405

III. OTRAS DISPOSICIONES

MINISTERIO DEL INTERIOR

10060

Resolucin de 8 de septiembre de 2015, de la Secretara de Estado de

Seguridad, por la que se aprueban los nuevos contenidos mnimos de los
Planes de Seguridad del Operador y de los Planes de Proteccin Especficos.

El Reglamento de proteccin de infraestructuras crticas aprobado por el Real Decreto

704/2011, de 20 de mayo, por el que se desarrolla la Ley 8/2011, de 28 de abril, en la que
se establecen medidas para la proteccin de las infraestructuras crticas, dispone en los
artculos 22.4 y 25.5 que la Secretara de Estado de Seguridad establecer,
respectivamente, los contenidos mnimos de los Planes de Seguridad del Operador y de
los Planes de Proteccin Especficos comprendidos en el artculo 14 de la Ley.
Dichos contenidos mnimos fueron recogidos en la Resolucin de la Secretara de
Estado de Seguridad, de 15 de noviembre de 2011, resolucin a su vez modificada por
otra, de 29 de noviembre de 2011, que adverta y correga determinados errores en la
primera.
La constante evolucin de la amenaza, la implantacin de nuevas regulaciones,
estrategias y herramientas de planificacin, as como la experiencia adquirida en los
ltimos cuatro aos, en buena parte, merced a las aportaciones efectuadas por los propios
operadores crticos, hacen aconsejable la actualizacin de tales contenidos mnimos, con
el fin de adecuar el nivel de planificacin y respuesta a las exigencias requeridas para una
eficaz proteccin de las infraestructuras crticas nacionales.
En virtud de ello, y conforme a lo preceptuado en el artculo 7, apartado e), del Real
Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Proteccin de
las Infraestructuras Crticas, resuelvo aprobar y ordenar la publicacin en el Boletn
Oficial del Estado de los nuevos contenidos mnimos de los Planes de Seguridad del
Operador y de los Planes de Proteccin Especficos que se insertan como anexo I y anexo II,
respectivamente, de esta resolucin.
La presente resolucin deroga la precedente en esta misma materia, de la Secretara
de Estado de Seguridad, de 15 de noviembre de 2011, por la que se establecan los
contenidos mnimos de los Planes de Seguridad del Operador y de los Planes de
Proteccin Especficos, as como tambin la de 29 de noviembre de 2011, que modificaba
la anterior.
Madrid, 8 de septiembre de 2015.El Secretario de Estado de Seguridad, Francisco
Martnez Vzquez.
ANEXO I
Gua Contenidos Mnimos

ndice
1.Introduccin.
1.1
1.2
1.3
1.4
1.5

Base Legal.
Objetivo de este Documento.
Finalidad y Contenido del PSO.
Mtodo de Revisin y Actualizacin.
Proteccin y Gestin de la Informacin y Documentacin.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Plan de Seguridad del Operador (PSO)

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82406

2. Poltica General de Seguridad del Operador y Marco de Gobierno.

2.1 Poltica General de Seguridad del Operador Crtico.
2.2 Marco de Gobierno de Seguridad.
2.2.1
2.2.2
2.2.3
2.2.4

Organizacin de la Seguridad y Comunicacin.

Formacin y Concienciacin.
Modelo de Gestin Aplicado.
Comunicacin.

3. Relacin de Servicios Esenciales prestados por el Operador Crtico.

3.1 Identificacin de los Servicios Esenciales.
3.2 Mantenimiento del Inventario de Servicios Esenciales.
3.3 Estudio de las Consecuencias de la Interrupcin del Servicio Esencial.
3.4Interdependencias
4. Metodologa de Anlisis de Riesgos.
4.1
4.2
4.3
4.4

Descripcin de la Metodologa de Anlisis.

Tipologas de Activos que Soportan los Servicios Esenciales.
Identificacin y Evaluacin de Amenazas.
Valoracin y Gestin de Riesgos.

5. Criterios de aplicacin de medidas de seguridad integral.

6. Documentacin complementaria.
6.1 Normativa, Buenas Prcticas y Regulatoria.
6.2 Coordinacin con Otros Planes.
1.Introduccin.

El normal funcionamiento de los servicios esenciales que se prestan a la ciudadana

descansa sobre una serie de infraestructuras de gestin tanto pblica como privada, cuyo
funcionamiento es indispensable y no permite soluciones alternativas: las denominadas
infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de seguridad
homognea e integral en el seno de las organizaciones que est especficamente dirigida
al mbito de las infraestructuras crticas, en la cual se definan los subsistemas de
seguridad que se van a implantar para la proteccin de las mismas con el objetivo de
impedir su destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la
prestacin de los servicios esenciales a la poblacin.
Este es precisamente el espritu de la Ley 8/2011 de 28 de abril, por la que se
establecen medidas para la proteccin de las infraestructuras crticas, que tiene como
objeto el establecer las estrategias y las estructuras organizativas adecuadas que permitan
dirigir y coordinar las actuaciones de los distintos rganos de las administraciones pblicas
en materia de proteccin de infraestructuras crticas, previa identificacin y designacin de
las mismas, impulsando la colaboracin e implicacin de los organismos y/o empresas
gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar
el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos, que
puedan afectar a la prestacin de los servicios esenciales.
Dicha Ley tiene su desarrollo a travs del Real Decreto 704/2011 de 20 de mayo, por
el que se aprueba el Reglamento de proteccin de las infraestructuras crticas.
El artculo 13 de la Ley explicita una serie de compromisos para los operadores crticos
pblicos y privados, entre los que se encuentra la necesidad de elaboracin de un Plan de
Seguridad del operador (en adelante, PSO) y de los Planes de Proteccin Especficos que
se determinen (en adelante, PPE).

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

1.1 Base legal.

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82407

Por su parte, el artculo 22.4 del Real Decreto 704/2011 responsabiliza a la Secretara
de Estado de Seguridad (rgano superior responsable del Sistema de Proteccin de
Infraestructuras Crticas Nacionales, conforme al artculo 6 de la Ley 8/2011), a travs del
CNPIC, del establecimiento y puesta a disposicin de los operadores crticos de los
contenidos mnimos con los que deben contar los PSO, as como el modelo en el que
basar la elaboracin de los mismos.
1.2 Objetivo de este Documento.
Con el presente documento se pretende dar cumplimiento a las instrucciones
emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los
que se debe de apoyar un operador crtico a la hora del diseo y elaboracin de su PSO.
A su vez, se establecen algunos puntos explicativos sobre aspectos recogidos en la
normativa de referencia.
Igualmente, se pretende orientar a aquellos operadores que hayan sido o vayan a ser
designados como crticos en el diseo y elaboracin de su respectivo Plan, con el fin de
que estos puedan definir el contenido de su poltica general y el marco organizativo de
seguridad, que encontrar su desarrollo especfico en los PPE de cada una de sus
infraestructuras crticas.
1.3 Finalidad y contenido del PSO.
El PSO definir la poltica general del operador para garantizar la seguridad integral
del conjunto de instalaciones o sistemas de su propiedad o gestin.
El PSO, como instrumento de planificacin del Sistema de Proteccin de
Infraestructuras Crticas, contendr, adems de un ndice referenciado sobre los
contenidos del Plan, informacin sobre:
Poltica general de seguridad del operador y marco de gobierno.
Relacin de Servicios Esenciales prestados por el operador crtico.
Metodologa de anlisis de riesgo (amenazas fsicas y de ciberseguridad).
Criterios de aplicacin de Medidas de Seguridad Integral.
1.4 Mtodo de revisin y actualizacin
Conforme al artculo 24 del Real Decreto 704/2011 de 20 de mayo, por el que se
aprueba el Reglamento de proteccin de las infraestructuras crticas, entre las obligaciones
del operador, adems de la elaboracin y presentacin del PSO al Centro Nacional para la
Proteccin de las Infraestructuras Crticas (en adelante CNPIC), se incluye su revisin y
actualizacin peridica:
Revisin: Bienal.
Actualizacin: Cuando se produzca algn tipo de modificacin en los datos incluidos
en el PSO. En este caso, el PSO quedar actualizado cuando dichas modificaciones
hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa
sectorial especfica.
Independientemente de todo ello, en el caso de que varen algunas de las
circunstancias indicadas en el PSO (modificacin de datos, identificacin de nuevas
infraestructuras crticas, baja de infraestructuras crticas, cese de condiciones para ser
considerado operador crtico, etc), el operador deber trasladar la informacin oportuna
al CNPIC, a travs de los canales habilitados al efecto (Sistema HERMES/PoC oficial), en
el plazo mximo de diez das a partir de las circunstancias variadas.
1.5 Proteccin y Gestin de la informacin y documentacin.
La informacin es un valor estratgico para cualquier organizacin, siendo sta de
carcter sensible, por lo que en este sentido, el operador debe definir sus procedimientos
de gestin y tratamiento, as como los estndares de seguridad precisos para prestar una

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82408

adecuada y eficaz proteccin de esa informacin, independientemente del formato en el

que sta se encuentre.
Adems, los operadores designados como crticos, debern tratar los documentos que
se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real
Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de
las infraestructuras crticas, segn el grado de clasificacin que se derive de las citadas
normas.
En virtud de la disposicin adicional segunda de la ley 08/2011, la clasificacin del
PSO constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento
de los PSO deber estar regido conforme a las orientaciones publicadas por la Autoridad
Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de
Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado
de Difusin Limitada.
Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:
Seguridad documental.
OR-ASIP-04-01.04 Orientaciones para el Manejo de Informacin Clasificada con
Grado de Difusin Limitada.
Seguridad en el Personal.
OR-ASIP-04-02.02 Instruccin de Seguridad del Personal para acceso a Informacin
Clasificada.
Seguridad Fsica.
OR-ASIP-01-01.03 Orientaciones para el Plan de Proteccin de una Zona de Acceso
Restringido.
OR-ASIP-01-02.03Orientaciones para la Constitucin de Zonas de Acceso
Restringido.
Seguridad de los Sistemas de Informacin y Comunicaciones.
OR-ASIP-03-01.04 Orientaciones para la Acreditacin de Sistemas de Informacin y
Comunicaciones para el manejo de Informacin Clasificada.
2. Poltica General de Seguridad del Operador y Marco de seguridad.
2.1 Poltica General de Seguridad del Operador Crtico.

Objeto: La meta que pretende conseguir la Organizacin con la poltica y su posterior

desarrollo y aplicacin.
mbito o Alcance de Aplicacin: Una poltica puede estar limitada a determinados
campos o aspectos o, por el contrario, ser de aplicacin a toda la Organizacin. El operador
deber reflejar sobre qu partes de su Organizacin es aplicable la Poltica de Seguridad
de proteccin de infraestructuras crticas, sin perder de vista que la misma ha de tener un
carcter integral, considerando tanto la seguridad fsica como la ciberseguridad.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

El objetivo de una Poltica de Seguridad es dirigir y dar soporte a la gestin de la

seguridad. En ella, la Direccin de la Organizacin debe establecer claramente cules son
sus lneas de actuacin y manifestar su apoyo y compromiso con la seguridad.
Por tanto, en este apartado, el operador deber reflejar el contenido de su Poltica de
Seguridad de una forma homognea e integral que est especficamente dirigido al mbito
de las infraestructuras crticas y que sirva de marco de referencia para la proteccin de las
mismas, con el objetivo de impedir su perturbacin o destruccin.
Los aspectos mnimos que debe recoger la Poltica de Seguridad son:

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82409

Compromiso de la Alta Direccin: El operador debe garantizar que a la seguridad

debe drsele la misma importancia que a otros factores de la produccin o negocio de la
organizacin.
Por ello, el compromiso de la Organizacin con la Poltica de Seguridad y lo que de
ella se desarrolle deber quedar plasmado mediante la aprobacin, sancin y apoyo de la
misma por el rgano (Consejo de Administracin, Consejo de Direccin, etc.) o la persona
(Presidente, Consejero Delegado, etc.) de gobierno o direccin de la misma con capacidad
suficiente para implantarla en la organizacin, as como su firme y explcito compromiso
con la proteccin de los servicios esenciales prestados, compromiso que se debe ver
reflejado en el propio plan.
Carcter Integral de la Seguridad: La seguridad fsica y la ciberseguridad son reas
que deben ser abordadas de forma interrelacionada y con una perspectiva holstica de la
seguridad. Esto redundar en una visin global de la seguridad, posibilitando el diseo de
una estrategia corporativa nica, y optimizando el conocimiento, los recursos y los equipos.
Por ello, el operador deber remarcar el carcter integral de la seguridad aplicada a sus
infraestructuras crticas, indicando en todo caso el procedimiento por el que se pretende
alcanzar dicha seguridad integral: aspectos concretos de la organizacin, estructuras,
procedimientos, etctera. En este sentido, una respuesta integral a las diferentes
amenazas existentes requiere la aplicacin coordinada de medidas de seguridad fsica y
ciberseguridad.
Actualizacin de la Poltica General de Seguridad del Operador: Al ser la poltica de
seguridad un documento de alto nivel, no suele requerir cambios significativos a lo largo
del tiempo. No obstante, el operador deber asegurarse de que sta se mantenga
actualizada y refleje aquellos cambios requeridos por variaciones en los activos a proteger,
del entorno que les pueda afectar (amenazas, vulnerabilidades, impactos, salvaguardas),
o en la reglamentacin aplicable. En este apartado, el operador deber recoger el proceso
a seguir para la actualizacin y mantenimiento de su Poltica de Seguridad, incluyendo la
periodicidad y el responsable de llevar a cabo estas acciones.
2.2

Marco de Gobierno de Seguridad.

El operador crtico debe designar a un Responsable de Seguridad y Enlace y a los

Delegados de Seguridad en cada una de las infraestructuras crticas identificadas, as
como a los sustitutos de ambos, de acuerdo a los requisitos establecidos en la Ley 8/2011.
Deber, por tanto, asegurar que se encuentren en un nivel jerrquico suficiente dentro de
su estructura organizativa, de tal forma que los designados puedan garantizar el
cumplimiento y la aplicacin de la Poltica y de los requisitos establecidos para la proteccin
de las infraestructuras crticas bajo su responsabilidad.
Asimismo, deber asegurar la presencia fsica del delegado de seguridad en la
infraestructura en un tiempo prudencial, en caso de que ello sea necesario.
En este apartado, el operador crtico deber describir su organigrama de seguridad
(comprendiendo tanto la Seguridad Fsica como la Ciberseguridad), con indicacin de las
figuras recogidas en la Ley, as como los niveles jerrquicos que les correspondan en su
estructura organizativa.
Dicho organigrama debe incluir la ubicacin fsica, estructura, jerarqua, rgano de
gobierno e interrelacin de todas las reas de la organizacin con responsabilidad en cada
uno de los mbitos de la seguridad corporativa. Adems, deber dejar constancia de que
los designados tienen capacidad suficiente para llevar a cabo todas aquellas acciones que
se deriven de la aplicacin de la Ley y el Real Decreto. En este sentido, el operador crtico
deber presentar:
Un organigrama general, donde se identifique la estructura de seguridad corporativa.
Un organigrama especfico de la estructura de seguridad que integre la informacin
sobre las distintas funciones que desempea en la organizacin.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

2.2.1 Organizacin de la Seguridad y Comunicacin.

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82410

En su caso, el operador crtico deber sealar los comits u rganos de decisin

existentes en materia de seguridad, as como las funciones de cada uno de ellos.
Igualmente, se reflejarn los procedimientos de gestin y mantenimiento de la
seguridad, haciendo constar si stos son de carcter propio o son subcontratados. En este
ltimo caso, ser necesario relacionar la empresa o empresas subcontratadas, las
certificaciones en materia de seguridad con las que cuentan aqullas, la sede desde la que
se ejercen dichos servicios contratados, as como los servicios y compromisos acordados
entre ambos. De igual forma, se definir la metodologa mediante la cual se lleva a cabo la
comprobacin del cumplimiento por parte de la empresa contratada, con los protocolos de
seguridad implementados en su caso por el operador.
En el campo de la ciberseguridad, y en lo relacionado con la proteccin de
infraestructuras crticas, el CERT de Seguridad e Industria (en adelante CERTSI) es el
responsable de la resolucin de incidencias cibernticas que puedan afectar a la prestacin
de los servicios esenciales gestionados por los
El CERTSI, en aplicacin del Acuerdo Marco suscrito entre la Secretara de Estado de
Seguridad y la Secretara de Estado de Telecomunicaciones y para la Sociedad de la
Informacin, da apoyo directo al CNPIC en todo lo relativo a la prevencin y reaccin ante
incidentes que puedan afectar a las redes y sistemas de los operadores de infraestructuras
crticas y a la disponibilidad de los servicios que stos prestan.
Para todo ello, y previa suscripcin de un acuerdo de confidencialidad entre las partes
(operador crtico CNPIC CERTSI), dicho CERT podr proporcionar servicios de
prevencin, deteccin, alerta temprana y respuesta a incidentes en apoyo a los
departamentos encargados de esta labor en el seno de cada organizacin.
2.2.1.1 El Responsable de Seguridad y Enlace.
Conforme al artculo 16.2 de la Ley, el operador crtico deber nombrar, en el plazo de
tres meses desde su designacin como tal, al Responsable de Seguridad y Enlace de la
organizacin, que deber estar habilitado por el Ministerio del Interior como Director de
Seguridad, en virtud de lo dispuesto en el Real Decreto 2364/1994, de 9 de diciembre, en
el que se aprueba el Reglamento de Seguridad Privada, o tener una habilitacin
equivalente, segn su normativa sectorial especfica. Tal nombramiento deber ser
comunicado a la Secretara de Estado de Seguridad, a travs del CNPIC.
El operador crtico deber hacer constar en este apartado el nombre y datos de
contacto (direccin, telfonos y email) de la persona que fue designado como Responsable
de Seguridad y Enlace as como de su sustituto, con idnticas condiciones, en ausencia
del titular. Sus funciones en relacin con el artculo 34.2 del Real Decreto 704/2011 son las
siguientes:
Representar al operador crtico ante la Secretaria de Estado de Seguridad:
En materias relativas a la seguridad de sus infraestructuras.
En lo relativo a los diferentes planes especificados en el Real Decreto.
Canalizar las necesidades operativas e informativas que surjan entre el operador
crtico y el CNPIC.
2.2.1.2 El Delegado de Seguridad de la Infraestructura Crtica.
Conforme al artculo 17 de la Ley, el operador crtico con infraestructuras designadas
como crticas o crticas europeas comunicar a las Delegaciones del Gobierno o, en su
caso, al rgano competente de la Comunidad Autnoma con competencias
estatutariamente reconocidas para la proteccin de personas y bienes y para el
mantenimiento del orden pblico donde aqullas se ubiquen, la persona designada como
Delegado de Seguridad y su sustituto. Esta comunicacin deber realizarse tambin al
CNPIC, en el plazo de tres meses desde la notificacin oficial de que es propietario o
gestor de al menos una infraestructura crtica o crtica europea.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82411

El operador crtico deber hacer constar en este apartado el nombre y datos de contacto
(direccin, telfonos y email) de la persona designada como Delegado de Seguridad, as
como de su sustituto, con idnticas condiciones, cumpliendo los plazos establecidos desde
su designacin como operador crtico, as como su participacin a las Autoridades
correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.
Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores
de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de
seguridad de la entidad en cuestin.
Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las
siguientes:
Ser el enlace operativo y el canal de informacin con las autoridades competentes
en materias relativas a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan, a nivel
infraestructura, entre el operador y las autoridades competentes.
2.2.2 Formacin y Concienciacin.
El operador crtico deber colaborar con los programas o ejercicios que puedan
derivarse del Plan Estratgico Sectorial, as como en su momento de los Planes de Apoyo
Operativo.
El operador crtico reflejar en este apartado el Plan de Formacin previsto para el
personal relacionado con la proteccin de las infraestructuras crticas, indicando la
duracin, objetivos que se pretende conseguir, mecanismos de evaluacin que se
contemplan para el mismo y periodos de actualizacin. As mismo, se incluir el
responsable del plan y la capacitacin del mismo.
En el caso de que disponga de un Plan de Formacin General, especificar la parte
relacionada con la proteccin de las infraestructuras crticas, y la incluir en este punto.
El operador crtico deber reflejar en este apartado su participacin en ejercicios de
simulacin en incidentes de seguridad (fsicos y cibernticos), y la periodicidad programada
para tales ejercicios.
El personal implicado directamente en la proteccin de los servicios esenciales e
infraestructuras crticas deber ser formado para alcanzar conocimientos, a nivel bsico:
Sobre seguridad integral (seguridad fsica y ciberseguridad).
Sobre autoproteccin.
Sobre seguridad del medio ambiente.
Sobre habilidades organizativas y de comunicacin.
Sobre sus responsabilidades/actuaciones en caso de materializarse un incidente, o
en el caso de que se active un nivel de amenaza 4 5 del Plan de Prevencin y Proteccin
Antiterrorista y/o del Plan Nacional de Proteccin de las Infraestructuras Crticas.
El personal no directamente implicado deber ser concienciado mediante la aplicacin
de las polticas de formacin y operacionales activas en la organizacin.
2.2.3 Modelo de Gestin aplicado.
La seguridad integral depende de un proceso de gestin que debe aportar el control
organizativo y tcnico necesario para determinar en todo momento el nivel de exposicin
a las amenazas y el nivel de proteccin y respuesta que es capaz de proporcionar la
organizacin para la proteccin y seguridad de sus servicios esenciales e Infraestructuras
Crticas.
Por tanto, de acuerdo con la Poltica de Seguridad marcada, el operador crtico deber
recoger dentro del PSO su modelo de gestin elegido, que deber contemplar como
mnimo:
Una implementacin de controles de seguridad alineada con las prioridades y
necesidades evaluadas.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82412

Una evaluacin y monitorizacin contina de la seguridad, con identificacin de

procesos y periodos.
En el supuesto de que el operador crtico haya diseado un sistema de gestin y/o
la evaluacin de la seguridad de las tecnologas de la informacin, de acuerdo a algn
estndar de referencia internacional se debe indicar ste, as como las certificaciones que
posee dicho sistema y el organismo certificador.
2.2.4 Comunicacin.
El operador crtico deber recoger explcitamente en este apartado los procedimientos
establecidos para la comunicacin e intercambio de informacin relativa a la proteccin de
infraestructuras crticas, de la siguiente manera:
Comunicacin al CNPIC:
De aquellos incidentes o situaciones que puedan poner en riesgo o comprometer la
seguridad de alguna de las infraestructuras de la que el operador es gestor y/o propietario,
conforme al protocolo de comunicacin de incidentes PIC elaborado por este Centro y
puesto a disposicin de los operadores crticos.
De aquellas variaciones de carcter organizativo, de planificacin o estructural que
se produzcan en el seno del propio operador y que afecten de alguna manera a las
infraestructuras crticas objeto de proteccin (por ejemplo, ajuste de cartera de servicios,
fusiones, adquisiciones o ventas de activos, cambios tcnicos, modificacin de
infraestructuras, cambio de instalaciones, etc.).
Comunicacin al CERTSI:
A travs de la Oficina de Coordinacin Ciberntica del Ministerio del Interior (OCC),
de los incidentes que puedan comprometer la seguridad ciberntica de los sistemas y
redes del operador crtico y la disponibilidad de los servicios que presta. Todo ello,
conforme al protocolo de comunicacin de incidentes PIC elaborado por el CNPIC y puesto
a disposicin de los operadores crticos.
3. Relacin de Servicios esenciales prestados por el Operador Crtico.
El PSO deber incluir, a modo de introduccin, la informacin de contexto suficiente
para describir los siguientes aspectos:
Presentacin general del operador crtico y sector/subsector principal/es de su
actividad. En caso de grupos empresariales, se identificar claramente, con nombre y CIF,
cul de las empresas es el operador crtico.
Estructura organizativa y societaria de todo el Grupo (en el caso de grupos
empresariales).
Presencia geogrfica en los mbitos nacional e internacional, con un resumen de las
Comunidades Autnomas donde presten sus servicios esenciales, as como de aquellos
pases donde presten servicios similares.
Principales lneas de actividad con la tipologa general de servicios/productos que
ofrecen.

El PSO deber identificar aquellos servicios esenciales para la ciudadana prestados

por el operador a travs del conjunto de sus infraestructuras estratgicas ubicadas en el
territorio nacional, en relacin al concepto de servicio esencial recogido en el artculo 2. a)
de la Ley:
Servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud,
la seguridad, el bienestar social y econmico de los ciudadanos.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

3.1 Identificacin de los Servicios esenciales.

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82413

Eficaz funcionamiento de las Instituciones del Estado y las Administraciones

Pblicas.
3.2 Mantenimiento del inventario de servicios esenciales.
Peridicamente, al menos bienalmente, el operador crtico deber revisar la relacin
de servicios esenciales que figuran en su PSO, como consecuencia de la evolucin normal
que cualquier empresa experimenta respecto a los servicios que ofrece.
As, en este mantenimiento deber incorporar aquellos cambio/s que se produzcan:
Por causas endgenas (por ejemplo, ajuste de cartera de servicios, fusiones,
adquisiciones o ventas de activos, cambios tcnicos, modificacin de infraestructuras,
cambio de instalaciones, etc.).
Como consecuencia de la adecuacin a los perodos establecidos en el Plan
conforme al punto 1.4 de esta gua.
3.3 Estudio de las consecuencias de la interrupcin del servicio esencial.
El operador crtico deber llevar a cabo un estudio de las consecuencias que supondra
la interrupcin y no disponibilidad del servicio esencial que presta a la sociedad, motivado
por:
Alteracin o interrupcin temporal del servicio prestado.
Destruccin parcial o total de la infraestructura que gestiona el servicio.
Adicionalmente, deber identificar claramente, para cada uno de los casos anteriores,
la siguiente informacin:
Extensin geogrfica y nmero de personas que pueden verse afectadas.
Efecto sobre operadores y servicios esenciales dependientes.
Existencia de alternativas de prestacin del servicio esencial o mecanismos de
contingencia proporcionados por el propio operador y nivel de degradacin que conllevan.
3.4Interdependencias.
En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley,
pueden existir efectos y repercusiones que afecten los servicios esenciales y las
infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector
como en otros sectores diferentes. Estas interdependencias debern ser en todo caso
consideradas en el anlisis de riesgos que realicen los operadores en el marco global de
su organizacin.
El operador crtico deber hacer referencia a las interdependencias que identifique,
explicando en lneas generales el motivo que origina dichas dependencias:
Entre sus propias instalaciones o servicios.
Con operadores del mismo sector.
Con operadores de distintos sectores.
Con operadores de otros pases, del mismo sector o no.
Con sus proveedores de servicio dentro de la cadena de suministros.
Con los proveedores de servicios TIC contratados, tales como: proveedor(es) de
telecomunicaciones, Centros de Proceso de Datos, servicios de seguridad (Centro de
Operaciones de Seguridad, CERT privado, etctera) y cualesquiera otros que se considere,
especificando para cada uno de ellos el nombre del proveedor, los servicios contratados,
acuerdos de nivel de servicio (SLA) y cumplimiento del servicio provisto con la poltica
general de seguridad del operador.
4. Metodologa del Anlisis de Riesgos.
En virtud de lo establecido en el artculo 22.3 del Real Decreto 704/2011, en el PSO se
plasmar la metodologa o metodologas de anlisis de riesgos empleadas por el operador

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82414

crtico. Dichas metodologas debern estar internacionalmente reconocidas, garantizar la

continuidad de los servicios proporcionados por dicho operador y contemplar, de una manera
global, tanto las amenazas fsicas como lgicas existentes contra la totalidad de sus activos
crticos. Todo ello, con independencia de las medidas mnimas que se puedan establecer
para los Planes de Proteccin Especficos conforme a lo establecido por el artculo 25.
4.1 Descripcin de la metodologa de anlisis.
Se describir de forma genrica la metodologa empleada por la Organizacin para la
realizacin de los anlisis de riesgos de los diferentes Planes de Proteccin Especficos
(PPE) que se deriven tras la designacin de sus infraestructuras crticas. Al menos, se
aportar la siguiente informacin:
Etapas esenciales.
Algoritmos de clculo empleados.
Mtodo empleado para la valoracin de los impactos.
Mtricas de medicin de riesgos aceptables, residuales, etc.
En particular, se harn constar las relaciones entre los anlisis de riesgos realizados
a distintos niveles: A nivel de corporacin, a nivel de servicios y el ms concreto, a nivel de
infraestructuras crticas.
4.2 Tipologas de activos que soportan los servicios esenciales.
Se denominan activos los recursos necesarios para que la Organizacin funcione
correctamente y alcance los objetivos propuestos por su Direccin.
Sobre la base de los servicios identificados en el apartado 3.1 anterior, se incluirn en
este apartado, para cada servicio esencial, los tipos de activos que los soportan,
diferenciando aqullos que son crticos de los que no lo son.
Las tipologas de activos a considerar sern, al menos:
Las instalaciones necesarias para la prestacin del servicio esencial.
Los sistemas informticos necesarios para dar soporte a los servicios esenciales
(hardware y software).
Las redes de comunicaciones necesarias para la prestacin del servicio esencial.
Las personas que explotan u operan todos los elementos anteriormente citados.
El objeto de esta seccin es la identificacin genrica de tipologas de activos
asociadas a los servicios esenciales prestados por dicho operador, y sobre los que se
focalizar el anlisis de riesgos que efecte el operador. El nivel de detalle ser aquel que
permita una comprensin del funcionamiento de los servicios, as como las interrelaciones
entre activos y servicios.
Los activos no sern necesariamente espacios fsicos concretos, pudiendo por ejemplo
considerarse como activos sistemas distribuidos, tales como una red de datos.
4.3 Identificacin y evaluacin de amenazas.
En el marco de la normativa de proteccin de infraestructuras crticas y de cara a
garantizar la adecuada proteccin de aquellas infraestructuras que prestan servicios
esenciales, el operador crtico deber tener como referencia el rbol de amenazas
proporcionado por el CNPIC, considerando de forma especial aquellas amenazas de
origen terrorista o intencionado. El operador deber indicar expresamente las amenazas
que ha considerado para la realizacin de los anlisis de riesgos, plasmando al menos:
Las intencionadas, de tipo tanto fsico como lgico, que puedan afectar al conjunto
de sus infraestructuras, las cuales debern identificarse de forma especfica en sus
respectivos PPE, en su caso.
Las procedentes de interdependencias, que puedan afectar directamente a los
servicios esenciales, sean estas deliberadas o no.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82415

4.4 Valoracin y Gestin de Riesgos.

Los PSO recogern la estrategia de gestin de riesgos implementada por el operador
en cuanto a:
Criterios utilizados para la valoracin de las categoras de clasificacin de los riesgos.
Metodologa de seleccin de estrategia (reduccin, eliminacin, transferencia, etc.).
Plazos para la implantacin de medidas, en el caso de elegir una estrategia de
minimizacin del riesgo con indicacin, si existe, de mecanismos de priorizacin de
acciones.
Tratamiento dado a las amenazas de ataques deliberados y, en particular, a aquellas
que tengan una baja probabilidad pero un alto impacto debido a las consecuencias por su
destruccin o interrupcin en la continuidad de los servicios esenciales.
Mecanismos de seguimiento y actualizacin peridicos de niveles de riesgo.
5. Criterios de aplicacin de medidas de seguridad integral.
Dentro del mbito de la seguridad integral, el operador definir a grandes rasgos los
criterios utilizados en su organizacin para la aplicacin y administracin de la seguridad.
En este sentido, incluir de forma genrica las medidas de seguridad implantadas en el
conjunto de activos y recursos sobre los que se apoyan los servicios esenciales y que se
recogern en sus respectivos PPE, al objeto de hacer frente a las amenazas fsicas y
lgicas identificadas en los oportunos anlisis de riesgos efectuados sobre cada una de las
tipologas de sus activos.
6. Documentacin complementaria.
6.1 Normativa, buenas prcticas y regulatoria.
El operador recoger en una breve referencia motivada toda la normativa de aplicacin
y aquellas buenas prcticas que regulen el buen funcionamiento de los servicios esenciales
prestados por todas y cada una de sus infraestructuras.
La normativa a incluir comprender la normativa general y sectorial, tanto de rango
nacional, autonmico, europeo e internacional, relativas a:
Seguridad Fsica.
Ciberseguridad.
Seguridad de la Informacin.
Seguridad Personal.
Seguridad Ambiental.
Autoproteccin y Prevencin de Riesgos Laborales.
6.2 Coordinacin con otros Planes.
Se identificarn todos aquellos Planes diseados por el operador relativos a otros
aspectos (continuidad de negocio, gestin del riesgo, respuesta, ciberseguridad,
autoproteccin, emergencias, etc.) que puedan coordinarse con el Plan de Seguridad del
operador y los respectivos Planes de Proteccin Especficos que sern activados en el
caso de que las medidas preventivas fallen y se produzca un incidente. As mismo, debe
dejarse constancia de la coordinacin existente con el Plan Nacional para la Proteccin de
las Infraestructuras Crticas.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82416

ANEXO II
Gua de contenidos mnimos
Plan de Proteccin Especfico (PPE)
ndice
1.Introduccin.
1.1
1.2
1.3
1.4
1.5

Base Legal.
Objetivo de este Documento.
Finalidad y Contenido del PPE.
Mtodo de Revisin y Actualizacin.
Proteccin y Gestin de la Informacin y Documentacin.

2. Aspectos Organizativos.
2.1
2.2
2.3
2.4

Organigrama de Seguridad.
Delegados de Seguridad de las Infraestructuras Crticas.
Mecanismos de Coordinacin.
Mecanismos y Responsables de Aprobacin.

3. Descripcin de la Infraestructura Crtica.

3.1 Datos Generales de la infraestructura crtica.
3.2 Activos/Elementos de la infraestructura crtica.
3.3Interdependencias.
4. Resultados del Anlisis de Riesgos.
4.1 Amenazas Consideradas.
4.2 Medidas de Seguridad Integral existentes.
4.2.1 Organizativas o de Gestin.
4.2.2 Operacionales o Procedimentales.
4.2.3 De Proteccin o Tcnicas.
4.3 Valoracin de Riesgos.
5. Plan de Accin propuesto (por activo).
6. Documentacin complementaria.
1.Introduccin.

Segn establece la Ley 8/2011, de 28 de abril, por la que se establecen medidas para
la proteccin de las infraestructuras crticas, el operador designado como crtico, ya sea
ste perteneciente al sector pblico o al privado, se integrar como agente del sistema de
proteccin de infraestructuras crticas, debiendo cumplir con una serie de responsabilidades
recogidas en su artculo 13.
De acuerdo con en el punto 1, letra d, del citado artculo, el operador deber elaborar
un Plan de Proteccin Especfico (en adelante, PPE) por cada una de las infraestructuras
crticas de las que sea propietario o gestor.
El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas, a travs del cual se da desarrollo reglamentario
a la Ley 8/2011, establece, en su captulo IV del Ttulo III sobre los Instrumentos de
Planificacin, aquellos aspectos relativos a la elaboracin, finalidad y contenido de dichos
planes, adems de su aprobacin o modificacin, registro, clasificacin y formas de
revisin y actualizacin, as como las autoridades encargadas de su aplicacin y
seguimiento, y la compatibilidad con otros planes ya existentes.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

1.1 Base legal.

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82417

En este sentido, y conforme al artculo 25.5 de dicho real decreto, se asigna a la

Secretara de Estado de Seguridad, a travs del Centro Nacional para la Proteccin de las
Infraestructuras Crticas (en adelante, CNPIC), la responsabilidad de establecer los
contenidos mnimos de los PPE, as como el modelo en el que fundamentar su estructura
y complecin, sobre la base de las directrices y criterios marcados por el Plan de Seguridad
del Operador (en adelante, PSO).
En el PPE, el operador crtico aplicar los siguientes aspectos y criterios incluidos en
su PSO, que afecten de manera especfica a esa instalacin:
Aspectos relativos a su poltica general de seguridad.
Desarrollo de la metodologa de anlisis de riesgos que garantice la continuidad de
los servicios proporcionados por dicho operador a travs de esa infraestructura crtica.
Desarrollo de los criterios de aplicacin de las diferentes medidas de seguridad que
se implanten para hacer frente a las amenazas, tanto fsicas como aquellas que afectan a
la ciberseguridad, identificadas en relacin con cada una de las tipologas de los activos
existentes en esa infraestructura.
1.2 Objetivo de este documento.
Con el presente documento se pretende dar cumplimiento a las instrucciones
emanadas del Real Decreto 704/2011, estableciendo los contenidos mnimos sobre los
que se debe apoyar el operador crtico a la hora de elaborar su respectivo PPE en las
instalaciones catalogadas como crticas. A su vez, se establecen algunos puntos
explicativos sobre aspectos recogidos en la Ley 8/2011 y el Real Decreto 704/2011.
1.3 Finalidad y contenido del PPE.
Los PPE son los documentos operativos donde se definen las medidas concretas a
poner en marcha por los operadores crticos para garantizar la seguridad integral
(seguridad fsica y ciberseguridad) de sus infraestructuras crticas.
Adems de un ndice referenciado a los contenidos del Plan, los PPE debern
contener, al menos, la siguiente informacin especfica sobre la infraestructura a proteger:
Organizacin de la seguridad.
Descripcin de la infraestructura.
Resultado del anlisis de riesgos:
Medidas de seguridad integral (tanto las existentes como las que sea necesario
implementar) permanentes, temporales y graduales para las diferentes tipologas de
activos a proteger y segn los distintos niveles de amenaza declarados a nivel nacional de
acuerdo con lo establecido por el Plan de Prevencin y Proteccin Antiterrorista y por el
Plan Nacional de Proteccin de Infraestructuras Crticas.
Plan de accin propuesto (por cada activo evaluado en el anlisis de riesgos).
Los PPE debern estar alineados con las pautas establecidas en la Poltica General
de Seguridad del operador reflejada en el PSO. As mismo, los anlisis de riesgos,
vulnerabilidades y amenazas que se lleven a cabo, estarn sujetos a las pautas
metodolgicas descritas en el PSO.
1.4 Mtodo de Revisin y Actualizacin.
Conforme al artculo 27 del Real Decreto por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas, entre las obligaciones del operador crtico,
adems de la elaboracin y presentacin del PPE al CNPIC, se incluye su revisin y
actualizacin peridica:
Revisin: Bienal, que deber ser aprobada por las Delegaciones del Gobierno en
las CC.AA. y las Ciudades con Estatuto de Autonoma o, en su caso, por el rgano

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82418

competente de las Comunidades Autnomas con competencias estatutariamente

reconocidas para la proteccin de personas y bienes y para el mantenimiento del orden
pblico, adems de por parte del CNPIC.
Actualizacin: Cuando se produzca una modificacin en los datos incluidos dentro
del PPE. En este caso, el PPE quedar actualizado cuando dichas modificaciones hayan
sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial
especfica.
Independientemente de todo ello, en el caso de que varen algunas de las
circunstancias indicadas en el PPE (organizacin de la seguridad, datos de descripcin de
la infraestructura, medidas de seguridad, etc), el operador deber trasladar la informacin
oportuna al CNPIC, a travs de los canales habilitados al efecto (Sistema HERMES/PoC
oficial), en el plazo mximo de diez das a partir de las circunstancias variadas.
1.5 Proteccin y Gestin de la Informacin y Documentacin.
La informacin asociada con los PPE y aqulla relativa a los anlisis de riesgos y las
medidas de seguridad implantadas sobre las infraestructuras crticas a las que hacen
referencia es de carcter sensible, por lo que, en este sentido, el operador deber definir
sus procedimientos de tratamiento de dicha informacin, as como los estndares de
seguridad precisos para prestar una adecuada y eficaz proteccin de la informacin
utilizados, independientemente del formato en el que sta se encuentre.
Adems, los operadores designados como crticos, debern tratar los documentos que
se deriven de la aplicacin de la Ley 8/2011 y su desarrollo normativo a travs del Real
Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de
las infraestructuras, segn el grado de clasificacin que se derive de las citadas normas.
En virtud de la disposicin adicional segunda de la Ley 08/2011, la clasificacin del
PPE constar de forma expresa en el instrumento de su aprobacin. A tal fin, el tratamiento
de los PPE deber estar regido conforme a las orientaciones publicadas por la Autoridad
Nacional para la Proteccin de la Informacin Clasificada del Centro Nacional de
Inteligencia en lo que se refiere al manejo y custodia de informacin clasificada con grado
de Difusin Limitada.
Las orientaciones de referencia se encuentran recogidas en los siguientes documentos:
Seguridad documental.
OR-ASIP-04-01.04.Orientaciones para el Manejo de Informacin Clasificada con
Grado de Difusin Limitada.
Seguridad en el personal.
OR-ASIP-04-02.02 Instruccin de Seguridad del Personal para acceso a Informacin
Clasificada.
Seguridad fsica.

Seguridad de los Sistemas de Informacin y Comunicaciones.

OR-ASIP-03-01.04.Orientaciones para la Acreditacin de Sistemas de Informacin y
Comunicaciones para el manejo de Informacin Clasificada.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

OR-ASIP-01-01.03.Orientaciones para el Plan de Proteccin de una Zona de Acceso

Restringido.
OR-ASIP-01-02.03.Orientaciones para la Constitucin de Zonas de Acceso
Restringido.

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82419

2. Aspectos organizativos.
2.1 Organigrama de seguridad.
El operador crtico debe presentar grficamente la estructura organizativa funcional
que en materia de seguridad integral existe en la infraestructura crtica, con indicacin de
todos los actores que participan en aquella, su rol de responsabilidad y su jerarqua en el
proceso de toma de decisiones. Del mismo modo, se debe establecer la dependencia de
esta estructura con aquella definida en el correspondiente Plan de Seguridad del Operador.
2.2 Delegados de Seguridad de las Infraestructuras Crticas.
Conforme al artculo 17 de la Ley 8/2011, el operador crtico con infraestructuras
designadas como crticas o criticas europeas comunicar a las Delegaciones del Gobierno
en las CC.AA. y en las Ciudades con Estatuto de Autonoma o, en su caso, al rgano
competente de la Comunidad Autnoma con competencias estatutariamente reconocidas
para la proteccin de personas y bienes y para el mantenimiento del orden pblico donde
aquellas se ubiquen, la persona designada como Delegado de Seguridad y su sustituto.
Esta comunicacin deber realizarse tambin al CNPIC, en el plazo de tres meses desde
la designacin de una infraestructura como crtica.
El operador crtico deber hacer constar en este apartado el nombre y datos de
contacto (direccin, telfonos y email) de la persona designada como Delegado de
Seguridad as como de su sustituto, con idnticas condiciones, cumpliendo los plazos
establecidos desde su designacin, as como su participacin a las Autoridades
correspondientes, segn lo establecido en el artculo 35.1 del Real Decreto 704/2011.
Es aconsejable que tanto el Delegado de Seguridad como su sustituto sean poseedores
de titulacin relativa a la rama de seguridad, adems de pertenecer al departamento de
seguridad de la entidad en cuestin.
Sus funciones en relacin con el artculo 35.2 del Real Decreto 704/2011, son las
siguientes:
Ser el enlace operativo y el canal de informacin con las autoridades competentes
en materia relativa a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan.
El operador crtico deber reflejar en este apartado los cursos o formacin que el
Delegado de Seguridad haya recibido, relacionados con las habilidades necesarias para el
desempeo del puesto, de acuerdo con el Plan de Formacin previsto en el PSO.
2.3 Mecanismos de Coordinacin.
El operador crtico deber reflejar dentro de su PPE los mecanismos existentes de
coordinacin:
Entre el Delegado de Seguridad de la infraestructura crtica con otros Delegados de
otras infraestructuras crticas y con el Responsable de Seguridad y Enlace del propio
operador.
Con autoridades y terceros (Fuerzas y Cuerpos de Seguridad del Estado/Cuerpos
Policiales autonmicos y locales/CNPIC/otros).
Con otros planes existentes del operador (planes de continuidad de negocio, planes
de evacuacin, etc.).
Con el CERT de Seguridad e Industria (CERTSI) identificando los puntos de contacto
del operador en los 3 niveles requeridos: el institucional, y el directivo y el tcnico, todos
ellos referidos a en la gestin de incidentes.
Con los proveedores crticos que se especifiquen a tenor del desarrollo de lo
establecido en el punto 3.2.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82420

2.4 Mecanismos y responsables de aprobacin.

El operador deber incluir dentro del PPE los siguientes aspectos relativos a su
aprobacin y revisin interna:
Responsables de su aprobacin.
Procedimiento que se sigue para su aprobacin.
Fecha en la que se produjo su ltima aprobacin.
Responsable de su revisin y actualizacin.
Aspectos objeto de revisin, en su caso.
Registros generados por el procedimiento de revisin que permitan comprobar que
el PPE ha sido revisado (reuniones, acta del Comit correspondiente, estudios y anlisis
realizados, actualizaciones de los anlisis de riesgos, etc.).
3. Descripcin de la Infraestructura Crtica.
3.1 Datos generales de la infraestructura crtica.
El operador crtico deber incluir los siguientes datos e informacin sobre la
infraestructura a proteger:
Generales, relativos a la denominacin y tipo de instalacin, propiedad y gestin de
la misma.
Sobre localizacin fsica y estructura (localizacin, planos generales, fotografas,
componentes, etc.)
Sobre los sistemas TIC que gestionan la infraestructura crtica y su arquitectura.
Datos estratgicos:
Descripcin del servicio esencial que proporciona y el mbito geogrfico o poblacional
del mismo.
Relacin con otras posibles infraestructuras necesarias para la prestacin de ese
servicio esencial.
Descripcin de sus funciones y de su relacin con los servicios esenciales soportados.
3.2 Activos/elementos de la infraestructura crticas.
Se incluirn en este apartado todos los activos que soportan la infraestructura crtica,
diferenciando aquellos que son vitales de los que no lo son. En concreto se detallarn:
Las instalaciones o componentes de la infraestructura crtica que son necesarios y
por lo tanto vitales para la prestacin del servicio esencial.
Los sistemas informticos (hardware y software) utilizados, con especificacin de los
fabricantes, modelos y, versiones, etctera.
Las redes de comunicaciones que permiten intercambiar datos y que se utilicen para
dicha infraestructura crtica:
Arquitectura de red, rangos de IP pblicas y, dominios.
Esquema(s) de red completo y detallado, de tipo grfico y con descripcin literaria,
donde se recojan los flujos de intercambio de informacin que se realizan en las redes, as
como sus permetros electrnicos.
Descripcin de componentes de la red (servidores, terminales, hubs, switches, nodos,
routers, firewalls,) as como su ubicacin fsica.
Las personas o grupos de personas que explotan u operan todos los elementos
anteriormente citados, indicando y detallando de forma particular si existe algn proceso
externalizado a terceros.
Los proveedores crticos que en general son necesarios para el funcionamiento de
dicha infraestructura crtica, y especficamente:
De suministro elctrico.
De comunicaciones (telefona, internet, etc. ).

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82421

De tratamiento y almacenamiento de informacin (CPDs, etc.).

De ciberseguridad (CERTs privados, SOCs, etc.).
Sobre los proveedores nombrados por el operador, se especificarn los distintos
Acuerdos de Nivel de Servicios que se tienen contratados y que son considerados esenciales.
Del mismo modo, se especificarn las interdependencias existentes entre los diferentes
activos que soportan o componen la infraestructura crtica. La informacin anterior deber
ser la suficiente para recoger de manera explcita el alcance de la infraestructura a proteger
y con el mismo nivel de detalle que se haya establecido dentro del PSO.
3.3Interdependencias.
En relacin con el concepto de interdependencias recogido en el artculo 2. j) de la Ley,
pueden existir efectos y repercusiones que afecten los servicios esenciales y las
infraestructuras crticas propias y/o de otros operadores, tanto dentro del mismo sector
como en mbitos diferentes. Estas interdependencias debern ser en todo caso
consideradas en el anlisis de riesgos que realicen los operadores para la infraestructura
crtica de que se trate, en el marco del PPE.
El operador crtico deber hacer referencia dentro de sus diferentes PPE a las
interdependencias que, en su caso, identifique, explicando brevemente el motivo que las
origina:
Con otras infraestructuras crticas del propio operador.
Con otras infraestructuras estratgicas del propio operador que soportan el servicio
esencial.
Entre sus propias instalaciones o servicios.
Con sus proveedores dentro de la cadena de suministro.
Con los proveedores de servicios TIC contratados para esa infraestructura, tales
como: proveedor(es) de telecomunicaciones, Centros de Proceso de Datos, servicios de
seguridad (Centro de Operaciones de Seguridad, CERT privado, etctera) y cualesquiera
otros que se considere, especificando para cada uno de ellos el nombre del proveedor, los
servicios contratados, acuerdos de nivel de servicio (SLA) y cumplimiento del servicio
provisto con la poltica general de seguridad del operador.
Con los proveedores de servicios de seguridad fsica, indicando los servicios
prestados y el personal y medios empleados.
4. Resultados del Anlisis de Riesgos.
El operador crtico deber reflejar en su PPE los resultados del anlisis de riesgos
integral realizado sobre la infraestructura crtica. Dicho anlisis de riesgos deber seguir
las pautas metodolgicas recogidas en su PSO.
A continuacin se reflejan los contenidos mnimos relativos al anlisis de riesgos
realizado que el operador deber incluir dentro del PPE.
4.1 Amenazas consideradas.
En el marco de la normativa de proteccin de infraestructuras crticas, y de cara a
garantizar la adecuada proteccin de las infraestructuras crticas, el operador crtico
deber tener como referencia el rbol de amenazas proporcionado por el CNPIC,
considerando de forma especial aquellas amenazas de origen terrorista o intencionado. El
operador deber indicar expresamente las amenazas que ha considerado para la
realizacin de los anlisis de riesgos, plasmando al menos:
Las amenazas intencionadas, tanto de tipo fsico como a la ciberseguridad, que
afecten de forma especfica a alguno de los activos que soportan la infraestructura crtica.
Las amenazas que puedan afectar directamente a la infraestructura procedente de
las interdependencias identificadas, sean stas deliberadas o no.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82422

Las dirigidas al entorno cercano o elementos interdependientes tanto del antepermetro fsico como lgico que puedan afectar a la infraestructura.
Las amenazas que afecten a los sistemas de informacin que den soporte a la
operacin de la infraestructura crtica y todos los que estn conectados a dichos sistemas
sin contar con las adecuadas medidas de segmentacin.
Las amenazas que afecten a los sistemas y servicios que soportan la seguridad
integral.
4.2 Medidas de seguridad integral existentes.
El operador deber describir las medidas de seguridad integral (medidas de proteccin
de las instalaciones, equipos, datos, software de base y aplicativos, personal y
documentacin) implantadas en la actualidad, con las que se ha contado para la realizacin
del anlisis de riesgos. Deber distinguir entre las medidas de carcter permanente, y
aquellas temporales y graduales.
Por medidas permanentes se entienden aquellas medidas concretas ya adoptadas por
el operador crtico, as como aquellas que considere necesarias instalar en funcin del
resultado del anlisis de riesgo realizado respecto de los riesgos, amenazas y
consecuencias/impacto sobre sus activos, dirigidas todas ellas a garantizar la seguridad
integral de su instalacin catalogada como crtica de manera continua.
Por medidas temporales y graduales se entienden aquellas medidas de seguridad de
carcter extraordinario que reforzarn a las permanentes y que se debern implementar
de forma ascendente a raz de la activacin de alguno de los niveles de seguridad
establecidos respectivamente en el Plan Nacional de Proteccin de las Infraestructuras
Crticas (artculo 16.3 del RD 704/2011), en coordinacin con el Plan de Prevencin y
Proteccin Antiterrorista, principalmente para los niveles 4 y 5, o bien como consecuencia
de las comunicaciones que las autoridades competentes puedan efectuar al operador
crtico en relacin con una amenaza concreta y temporal sobre la instalacin por l
gestionada.
Dichas medidas debern permanecer activas durante el tiempo que est establecido
el nivel de alarma, modificndose gradualmente en funcin de dicho nivel.
Para su mejor comprensin, se recomienda una aproximacin por capas para cada
nivel, siendo la escala de niveles del 1 al 5 (nivel 1: riesgo bajo; nivel 2: riesgo moderado;
nivel 3 riesgo medio; nivel 4: riesgo alto; nivel 5: riesgo muy alto), especificando para cada
nivel las medidas de prevencin y proteccin, el tiempo de respuesta y el tiempo de
recuperacin.
En concreto, el operador deber describir las medidas concretas de que dispone
relativas a:
4.2.1 Organizativas o de Gestin.
El operador deber indicar si dispone de al menos de las siguientes medidas
organizativas o de gestin, y el alcance de cada una de ellas:
Anlisis de Riesgos: Evaluacin y valoracin de las amenazas, impactos y
probabilidades para obtener un nivel de riesgo.
Definicin de roles y responsabilidades: Asignacin de responsabilidades en materia
de seguridad.
Cuerpo normativo definido: Polticas, procedimientos y estndares de seguridad.
Normas y/o regulaciones de aplicacin a la infraestructura crtica, as como
identificacin de su nivel de cumplimiento.
Certificacin, acreditacin y evaluacin de seguridad obtenidas para la infraestructura
crtica.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Nm. 224

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82423

4.2.2 Operacionales o Procedimentales.

El operador deber indicar si dispone de al menos las siguientes medidas operacionales
o procedimentales, y el alcance de cada una de ellas.
Procedimientos para la realizacin, gestin y mantenimiento de activos crticos (ciclo
de vida):
Identificacin.
Adquisicin.
Catalogacin.
Alta.
Actualizacin.
Baja.
Procedimientos de formacin, concienciacin y capacitacin (tanto general como
especfica) para:
Empleados/Operarios.
Personal de seguridad.
Personal contratado.
Etc.
Procedimientos de Contingencia/Recuperacin, en funcin de los escenarios de
contingencia que hayan sido definidos. Se deben detallar adems los mtodos y polticas
de copias de respaldo (backup).
Procedimientos operativos para la monitorizacin, supervisin y evaluacin/auditora
de:
Activos Fsicos de la infraestructura (Alcance/Operacin/Seguimiento).
Activos Lgicos o de sistemas de operacin (Alcance/Operacin/Seguimiento).
Procedimientos de seguridad.
Procedimientos para la gestin de acceso:
Gestin de usuarios: Altas, bajas y modificaciones, procesos de seleccin, rgimen
interno, procedimientos de cese.
Control de accesos temporales:
De personas, vehculos, etc. al recinto general o a recintos restringidos.
Identificadores de usuario temporal de los sistemas (mantenimiento).
Control de entradas y salidas:

Procedimientos operacionales del personal de seguridad (funciones, horarios,

dotaciones, etc.).
Procedimientos de gestin y respuesta ante amenazas e incidentes.
Procedimientos de comunicacin e intercambio de informacin relativos a la
proteccin de infraestructuras crticas (a travs del protocolo de incidentes proporcionado
por el CNPIC al efecto):
Con el CNPIC:
Sobre incidentes o situaciones que puedan poner en riesgo o comprometer la
seguridad de la infraestructura.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Paquetera, correspondencia, etc.

Soportes, equipos e informacin (medidas y tecnologas de prevencin de fuga de
informacin).

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82424

Sobre variacin de datos sobre la organizacin y medidas de seguridad, datos de

descripcin de la infraestructura, etc.
Con el CERTSI:
A travs de la Oficina de Coordinacin Ciberntica del Ministerio del Interior (OCC), de
los incidentes que puedan comprometer la seguridad ciberntica de los sistemas y redes
de la infraestructura y la disponibilidad de los servicios por ella prestada.
4.2.3 De Proteccin o Tcnicas.
Medidas de Prevencin y Deteccin:
Medidas y elementos de seguridad fsica y electrnica para la proteccin del permetro
y control de accesos:
Vallas, zonas de seguridad, detectores de intrusos, cmaras de video vigilancia/CCTV,
puertas y esclusas, cerraduras, lectores de matrculas, arcos de seguridad, tornos,
scanners, tarjetas activas, lectores de tarjetas, etc.
Medidas y elementos de ciberseguridad:
Firewalls, DMZ, IPSs, IDSs, segmentacin y aislamiento de redes, cifrado, VPNs,
elementos y medidas de control de acceso de usuarios (tokens, controles biomtricos,
etc.), medidas de instalacin y configuracin segura de elementos tcnicos, correladores
de eventos y logs, proteccin frente Malware, etc.
Redundancia de sistemas (hardware y software).
Otros.
Medidas de Coordinacin y Monitorizacin:
Centro de Control de Seguridad (control de alarmas, recepcin y visionado de
imgenes, etc.).
Equipos de vigilancia (turnos, rondas, volumen, etc.).
Sistemas de comunicacin.
Otros.
4.3 Valoracin de riesgos.
En este apartado se describirn las principales conclusiones obtenidas en el anlisis
de riesgos. Para cada par activo/amenaza se deber especificar la valoracin efectuada,
sobre la base de los criterios especificados en la metodologa de anlisis de riesgos
detallada en el PSO. Dentro de este apartado deber incluirse, para cada par activo/
amenaza, la siguiente informacin:

En particular, debern detallarse los riesgos asumidos en activos con niveles de impacto
elevado y baja probabilidad de ocurrencia, que debern ser validados por el CNPIC.

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Quin ha evaluado/aprobado el riesgo y la estrategia de tratamiento asociada.

Criterios de valoracin de riesgos adoptados.
Fecha del ltimo anlisis llevado a cabo.
Resultado/conclusin sobre el nivel de riesgo soportado.
Evolucin en el tiempo de la evaluacin del par activo/amenaza

BOLETN OFICIAL DEL ESTADO

Nm. 224

Viernes 18 de septiembre de 2015

Sec. III. Pg. 82425

5. Plan de accin propuesto (por activo).

En caso de ser pertinente y preverse la disposicin de medidas complementarias a las
existentes a implementar en los prximos tres aos, se deber describir, como parte
integrante del PPE:
Listado de las medidas complementarias a disponer (fsicas o de ciberseguridad).
Una explicacin de la operativa resultante para cada tipo de proteccin (fsico y
lgico).
El operador deber especificar el conjunto detallado de medidas a aplicar para proteger
el activo como consecuencia de los resultados obtenidos en el anlisis de riesgos. En
concreto, deber incluir la siguiente informacin:
Activo de aplicacin.
Accin propuesta, con detalle de su mbito (alcance) de aplicacin.
Responsables de su implantacin, plazos, mecanismos de coordinacin y
seguimiento, etc.
Carcter de la medida, permanente, temporal o gradual.
6. Documentacin complementaria.
El operador crtico incorporar como anexo la planimetra general de la instalacin o
sistema y de sus sistemas de informacin, as como aquellos otros planos que incorporen
la ubicacin de las medidas de seguridad implementadas. A su vez, se podr adjuntar
aquella otra informacin que se pueda generar de los diferentes apartados de este
documento.
Se har una breve referencia a todos aquellos planes de diferente tipo (emergencia,
autoproteccin, ciberseguridad, etc.), que afecten a la instalacin o sistema con el fin de
establecer una adecuada coordinacin entre ellos, as como toda aquella normativa y
buenas prcticas que regulen el buen funcionamiento del servicio esencial prestado por
esa infraestructura y los motivos por los cuales le son de aplicacin.
La normativa a incluir comprender la normativa general y sectorial, tanto de rango
nacional, autonmico, europeo e internacional, relativas a:

cve: BOE-A-2015-10060
Verificable en http://www.boe.es

Seguridad Fsica.
Ciberseguridad.
Seguridad de la Informacin.
Seguridad Personal.
Seguridad Ambiental.
Autoproteccin y Prevencin de Riesgos Laborales.

http://www.boe.es

BOLETNOFICIALDELESTADO

D.L.:M-1/1958-ISSN:0212-033X