Aquellas organizaciones, públicas o privadas, gestoras y/o propietarias, cuyas instalaciones o sistemas sean catalogados como críticos por el Centro Nacional de Protección de Infraestructuras Críticas del Ministerio del Interior, CNPIC, deberán elaborar un Plan de Seguridad del Operador (PSO) y unos Planes de Protección Específicos (PPE) para cada una de sus infraestructuras críticas.
Dichos planes deberán contar con unos contenidos mínimos los cuales fueron publicados el pasado 23 de noviembre en el Boletín Oficial del Estado mediante la Resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, del Ministerio del Interior, conforme a lo establecido en el Art 22.4 y 25.5 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas que da desarrollo reglamentario a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Ante los numerosos riesgos y amenazas procedentes de muy diversos frentes, se hace necesario, tal y como recoge la Introducción de la citada Resolución, el diseño de una política de seguridad homogénea e
integral por parte de todas las organizaciones con infraestructuras críticas, en la cual se definan todas las medidas de seguridad que se van a implantar para la protección de las mismas (contra ataques
deliberados, sean físicos o a través de Internet) con el objetivo de impedir su destrucción, interrupción o perturbación, con el consiguiente perjuicio de la prestación de los servicios esenciales a la población; es decir, aquellos servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las
Instituciones del Estado y las Administraciones Públicas.
De este modo, el PSO que desarrolle cada uno de los operadores críticos deberá definir la política general de su organización para garantizar la seguridad integral del conjunto de instalaciones o sistemas de
su propiedad o gestión. Este documento, como instrumento de planificación y mejora continua, contendrá además una relación de los servicios esenciales prestados, una metodología de análisis de riesgos (con
identificación de las amenazas físicas y lógicas, considerando de forma especial aquellas de origen terrorista o intencionado) y unos criterios de aplicación de dichas medidas. En cuanto a los PPE que deberán elaborar los operadores, para cada una de las Infraestructuras Críticas de las que sean propietarios o gestores, tendrán que recoger las medidas concretas para garantizar la
seguridad integral (física y lógica) de dichas infraestructuras.