Prueba auditable de rondas para operadores KRITIS 2026

El auditor abre el libro de rondas y hojea. 14 entradas, tres firmas, ningún dato de sensor. En 2018 era aceptable; en 2026 cualquier instalación KRITIS suspende la prueba con eso. Este artículo describe qué requisitos rigen para una prueba auditable de rondas, qué fuentes jurídicas los sustentan y qué consecuencias operativas deben extraer los responsables de seguridad.

Prueba auditable de rondas: lo que esperan los auditores en 2026

Los auditores del BSI, BBK y los certificadores ISO-27001 exigen una línea temporal sin lagunas de cada ronda. Cada punto de control debe llevar coordenadas GPS, marca temporal y al menos un registro de sensor. Un reloj de fichar en el punto 7 no basta. El auditor quiere ver qué se percibió en el punto 7 entre las 02:14:33 y las 02:14:51.

El almacenamiento debe ser a prueba de manipulación. El estado de la técnica en 2026 es el encadenamiento por hash de cada registro con el anterior, conservado en almacenamiento WORM (Write Once Read Many) durante diez años. Quien modifique una línea rompe la cadena, y la manipulación queda visible.

Los datos brutos, la evaluación y la decisión de escalado deben llevarse por separado. Un sensor entrega una imagen térmica (dato bruto). Un algoritmo la clasifica como persona (evaluación). Un operador confirma y decide sobre la llamada a la policía (escalado). Estas tres capas no pueden fundirse en una sola entrada de registro, de lo contrario la cadena de prueba en vigilancia no es trazable en auditoría.

Cada evento debe poder atribuirse de forma inequívoca a un sensor, a un número de serie de robot y a un ID de operador. Las entradas anónimas no valen nada. Las pruebas escritas según §8a BSIG y el futuro KRITIS-Dachgesetz exigen explícitamente esta atribuibilidad.

Siguiente paso: lea los requisitos KRITIS para conocer la delimitación sectorial vigente.

Marco jurídico: BSIG, KRITIS-Dachgesetz, NIS-2

El §8a BSIG exige a los operadores KRITIS la prueba de medidas adecuadas cada dos años. La obligación rige desde 2017 y se endureció en 2021 con la Ley de Seguridad Informática 2.0. La KritisV define umbrales y obligaciones para los operadores de instalaciones críticas por sector.

El KRITIS-Dachgesetz amplía la obligación a partir de 2026 a las medidas de protección física. El proyecto recogido en la Bundestag-Drucksache 20/9262 exige por primera vez una prueba integrada de seguridad TI y física. La vigilancia perimetral, las rondas y el control de accesos quedan así explícitamente dentro del alcance de la auditoría.

NIS-2 complementa los requisitos a nivel europeo. La Directiva (UE) 2022/2555 exige la detección documentada de incidentes con tiempos de reacción definidos. Notificación inicial a la autoridad en 24 horas, informe completo en 72 horas (art. 23 apdo. 4 Directiva (UE) 2022/2555). Sin prueba automatizada de rondas, estos plazos no son sostenibles a nivel organizativo.

El registro ante el BBK como autoridad federal competente presupone una estructura de pruebas sólida. El BBK exige en el procedimiento de autoinformación pruebas concretas, no declaraciones de intenciones.

La responsabilidad personal de la dirección se activa ante documentación faltante o incompleta. §43 GmbHG y §93 AktG son claros, NIS-2 artículo 20 endurece la responsabilidad personal de los órganos de dirección. Detalles en Responsabilidad de la dirección bajo NIS-2.

Componentes de un expediente de rondas a prueba de auditoría

Un expediente de rondas a prueba de auditoría consta de cinco capas. Primero, el plan de rondas: ruta prevista, frecuencia por turno, justificación del riesgo por sector. Quien pasa a las 03:00 por la zona de tanques debe poder documentar por qué no a las 02:30 ni a las 03:30. El análisis de riesgos justifica la frecuencia.

Segundo, el track real: la ruta efectivamente recorrida con marcado de desviaciones. Cada desviación necesita una causa (obstáculo, alarma, mantenimiento). Las desviaciones sin justificación son un hallazgo crítico en auditoría.

Tercero, los datos brutos del sensor. Frames RGB para documentación visual, imágenes térmicas para fuentes de calor nocturnas, nubes de puntos LiDAR para geometría y aproximación, pistas de audio para rotura de vidrio y gritos. No todo punto de ronda necesita todos los sensores, pero el análisis de riesgos debe sostener la selección.

Cuarto, los eventos de detección. Cada evento recibe una clasificación (persona, vehículo, animal, desconocido), un valor de confianza (0,00 a 1,00) y la confirmación del operador con ID y marca temporal. Sin confirmación, el evento se considera no procesado.

Quinto, el protocolo de escalado con todas las marcas temporales desde la alarma hasta la entrega a policía o servicio de planta. NIS-2 exige expresamente esta cadena temporal.

Siguiente paso: Lista de control KRITIS-Dachgesetz 2026 para el análisis de brechas de su sistema actual.

Por qué los libros de rondas manuales ya no bastan en 2026

Las entradas manuscritas son modificables a posteriori. Existe el Tipp-Ex, las páginas pueden sustituirse, las firmas reproducirse. Forensemente, un libro en papel sin sello notarial no vale nada. Aseguradoras y fiscales lo saben.

Los relojes de fichar en puntos de control prueban presencia, no percepción. Es el punto que los auditores internos pasan por alto regularmente. Un vigilante que a las 02:14 escanea el chip NFC en el punto 7 estuvo en el punto 7. Pero no ha documentado nada sobre el estado del punto 7. ¿Estaba la puerta cerrada? ¿Había alguien tumbado en los arbustos? ¿Funcionaba un generador irregularmente? La prueba de presencia sin prueba de percepción no resiste ninguna demanda de indemnización.

La falta de pruebas de sensor hace que las reclamaciones frente a las aseguradoras sean atacables. Ante un incendio provocado o un robo, la aseguradora pregunta: ¿qué percepción tuvo su ronda en el momento X? Quien solo aporte marcas temporales paga el siniestro de su bolsillo.

La volatilidad del personal agrava el problema. Las cifras del BDSW acreditan en torno al 17 por ciento de rotación anual en vigilancia. Fuente: BDSW Informe anual 2023. Un nuevo Posten no conoce la instalación en las primeras semanas, pasa por alto anomalías y documenta de forma poco homogénea. La coherencia durante 24 meses, como exige la auditoría, no es representable organizativamente con esta rotación.

Los auditores exigen cada vez más registros legibles por máquina en lugar de carpetas. JSON, CSV o PDFs estructurados con valores hash. Quien en 2026 siga presentando archivadores, le señala al auditor falta de madurez.

Cómo los robots Quarero generan la prueba de forma automatizada

Cada recorrido de ronda de un robot Quarero genera un expediente JSON firmado. Este expediente contiene el ID del plan de rondas, el track real en formato GPX y todos los flujos de sensores con marca temporal. Los eventos de detección y las confirmaciones del operador también están incluidos. El expediente se firma con la clave privada del robot y, al cargarse, se contrafirma con la clave de la nube.

QR-2 para rondas exteriores 24/7 documenta anomalías térmicas con prueba gráfica y marca temporal. Una fuente de calor 4 grados Kelvin por encima de la temperatura ambiente en la pared de un tanque de almacenamiento a las 03:42 es un evento documentado, no una intuición de un Posten cansado.

QR-3 con LiDAR y detección de drones añade para nivel KRITIS nubes de puntos LiDAR y detección acústica de drones hasta 400 metros. Ambos son relevantes desde que en 2024 la Bundeswehr y el BSI documentan cada vez más sobrevuelos de drones en infraestructura energética.

Los datos llegan cifrados a una nube WORM alemana con separación por cliente. Ubicación del almacenamiento en Frankfurt o Berlín, cifrado AES-256, separación de clientes a nivel de base de datos. Quarero no tiene acceso de lectura a los datos del cliente sin autorización explícita.

La exportación para auditores se realiza como PDF/A para la versión legible más los datos brutos legibles por máquina (JSON, GPX, MP4) en menos de diez minutos. Un auditor puede sacar una muestra por la mañana y revisar las pruebas por la tarde.

Siguiente paso: modelo Robotics-as-a-Service para la estructura comercial.

Conservación, plazos de borrado y conflictos con el RGPD

Los registros relevantes para la seguridad deben conservarse diez años. Esto se deriva del §257 HGB para documentos mercantiles y de las exigencias KRITIS para las pruebas según §8a BSIG. Quien en 2026 no pueda presentar un expediente de rondas de 2018 incumple la obligación de conservación.

Los datos de imagen con referencia personal siguen otra lógica. El borrado regular tras 72 horas sin incidente es la práctica acordada con las autoridades de supervisión. Un almacenamiento más prolongado necesita base jurídica.

Ante un incidente se aplica la conservación probatoria conforme al art. 6 apdo. 1 lit. f RGPD (interés legítimo). Si existe obligación de denuncia, también entra en consideración el art. 6 apdo. 1 lit. c como base jurídica. La propia decisión de conservación probatoria debe documentarse: quién, cuándo, sobre qué base.

Los derechos de los afectados deben implementarse técnicamente mediante una función de pixelado antes de la entrega al auditor. Los rostros de terceros en segundo plano se pixelan antes de la exportación, y el algoritmo registra el pixelado. Así el expediente de auditoría queda completo y los derechos de la personalidad intactos.

El registro de actividades de tratamiento según art. 30 RGPD debe enumerar los tipos de sensores (RGB, térmico, LiDAR, audio), las ubicaciones de almacenamiento (centro de datos, región, proveedor) y los destinatarios (autoridades, aseguradoras, auditores externos). Un registro genérico no resiste la inspección.

Preparación de auditoría: lista de control para responsables de seguridad

Primero: revisar los expedientes de rondas de los últimos 24 meses por muestreo en cuanto a integridad. Método: seleccionar diez fechas aleatorias, extraer una ronda de cada una, comprobar si están presentes el plan, el track, los datos brutos de sensor, los eventos de detección y el protocolo de escalado. Las capas faltantes son hallazgos que deben cerrarse antes de la auditoría externa.

Segundo: hacer verificar externamente el encadenamiento de hashes, no por el mismo proveedor que genera los expedientes. Un tercero independiente (auditor con competencia en forense IT o una entidad de inspección certificada) toma una muestra y recalcula los hashes. Esto cuesta entre 2.000 y 5.000 euros por inspección (valor orientativo según ofertas de forense IT habituales del mercado, estado 2025) y entrega un certificado de verificación independiente.

Tercero: cotejar los tiempos de escalado con los KPI internos y las exigencias NIS-2. Tiempo medio de alarma a confirmación del operador, tiempo medio hasta la llamada a la policía, tiempo medio hasta la notificación a la autoridad. Valores superiores a 30 minutos para los dos primeros niveles son críticos en contexto KRITIS.

Cuarto: adjuntar pruebas de formación de los operadores, incluyendo fecha y contenido. La Sachkundeprüfung según §34a por sí sola no basta, el auditor quiere ver instrucción específica a la instalación. Una actualización anual con lista de asistentes es el estándar mínimo.

Quinto: documentar la interfaz con el SGSI, con referencias a los controles ISO 27001 A.7 (seguridad del personal) y A.8 (gestión de activos). Las pruebas de rondas son un activo en el sentido de la norma.

Marco de costes y contratación

QR-2 está disponible desde 3.500 euros mensuales, incluido sistema de prueba, almacenamiento y mantenimiento. El precio incluye el almacenamiento WORM durante el plazo completo de conservación y la exportación para auditoría.

Un Posten 24/7 cuesta, según Manteltarifvertrag y región, entre 15.000 y 25.000 euros mensuales (valor orientativo según BDSW resumen salarial 2025). Esta suma cubre salario, costes salariales accesorios, sustituciones por vacaciones y bajas, pero no la prueba automática. Cifras comparativas en Costes del servicio de vigilancia comparados.

El modelo RaaS traslada la inversión a gasto corriente. Sin adquisición, sin amortización a cinco años, plenamente deducible en el ejercicio. Para operadores KRITIS con ciclo presupuestario anual, es la estructura operativamente más sencilla.

Entrega y puesta en marcha en 48 horas desde la firma del contrato. La duración mínima es de 24 meses. Esta duración cubre un ciclo completo de auditoría según §8a BSIG y permite presentar una pista de prueba cerrada en la primera auditoría de seguimiento.

Una operación piloto de 90 días entrega el primer expediente de prueba apto para auditoría. En ese periodo se calibran los planes de rondas y se ajustan los parámetros de sensor. Los workflows del operador se cotejan en paralelo con el SGSI interno. Quien arranque en abril dispondrá en julio de un expediente auditable y en octubre de tres trimestres completos.

Para el siguiente paso, acuerde una inspección inicial mediante reservar inspección inicial KRITIS. Acudimos con un auditor de nuestra red a la inspección inicial, revisamos su estructura de pruebas existente y nombramos las brechas concretas antes de la firma del contrato.