Estándares sectoriales B3S: obligación, práctica, realidad de auditoría

B3S no es BSI-Grundschutz y no es ISO 27001. B3S son estándares de seguridad sectoriales, exclusivos para operadores KRITIS, reconocidos por el BSI, vinculantes por sector. Quien confunde estos tres estándares fracasa en la auditoría. Este texto los separa con claridad y muestra qué deben acreditar los responsables de seguridad.

Estándares sectoriales B3S: definición y base jurídica

B3S son estándares de seguridad sectoriales conforme al § 8a Abs. 2 BSIG. Se reconocen por el BSI según la BSI-Kritisverordnung y aplican por sector: energía, agua, salud, finanzas, TIC, transporte, alimentación, residuos urbanos. Ocho sectores, ocho universos normativos propios.

El reconocimiento del BSI vale normalmente dos años (§ 8a Abs. 2 BSIG). Después sigue una reevaluación frente al estado actual del arte. Lo reconocido en 2023 no está automáticamente conforme en 2025.

Un B3S no sustituye la obligación de prueba bianual ante el BSI según § 8a Abs. 3 BSIG. La estructura. El operador puede aplicar el B3S o documentar una arquitectura de seguridad propia. La carga de la prueba es idéntica.

Delimitación: BSI-Grundschutz es genérico y no vinculado a KRITIS. ISO 27001 es marco internacional de SGSI, certificable de forma voluntaria, no sectorial. B3S es específico de KRITIS, dirigido por sector y anclado legalmente en Alemania. Quien presenta ISO 27001 no ha cumplido con ello un B3S.

Continuación concreta en la sección Requisitos KRITIS en resumen.

Qué B3S existen y quién los publica

Los hospitales trabajan con el B3S de la Deutsche Krankenhausgesellschaft (DKG), versión actual 1.2. Aplicable a partir del umbral de 30.000 casos hospitalarios completos por año (BSI-KritisV Anexo 5).

Abastecimiento de agua y saneamiento siguen los B3S de DVGW y BDEW. Energía usa el BDEW-Whitepaper Informationssicherheit como estándar de facto, complementado por B3S sectoriales para operadores de red y productores.

Alimentación: B3S de la BVE para producción alimentaria a partir de un umbral de 434.500 toneladas por año (BSI-KritisV Anexo 8). Por debajo no es KRITIS y no es B3S-obligado. Los umbrales exactos están en la lista de sectores y umbrales.

Importante: los editores son asociaciones sectoriales, no el BSI. El BSI revisa el borrador y reconoce o rechaza. La asociación escribe, el BSI sella. Esta separación explica por qué los B3S se basan en la práctica del sector y no en teoría abstracta.

Seguridad física en el B3S: qué se exige en concreto

Cada B3S contiene un capítulo de seguridad física. Los requisitos centrales son comparables entre sectores.

Vigilancia perimetral 24/7 con umbral de detección y tiempo de reacción documentados. No: cámaras presentes. Sino: detección desde la distancia X en Y segundos, alarma a Z, intervención en T.

Zonificación en cuatro niveles: público, controlado, protegido, altamente protegido. Entre cada zona hacen falta controles técnicos de transición. Mantrap, sistema de esclusa individual, control de acceso biométrico. Una puerta con llave no es un límite de zona en el sentido del B3S.

Redundancia de la vigilancia: ningún Single Point of Failure en cámara, sensórica o personal. Si falla un sensor, asume un segundo. Si falla un Posten, hay procedimientos de backup con tiempo de activación documentado.

Registro de todos los eventos de detección con marca temporal, a prueba de revisión durante al menos 90 días [según B3S sectorial, p. ej. DKG B3S v1.2, capítulo seguridad física]. Algunos sectores exigen 12 o 24 meses. A prueba de revisión significa: almacenamiento WORM o logs firmados criptográficamente, no un archivo Excel en el portátil del libro de guardia.

Prueba de eficacia mediante tests documentados, no mediante datos del fabricante. Quien especifica una cámara con alcance de 200 metros debe demostrar que detecta una persona a 150 metros con niebla y de noche. La ficha técnica no basta en la auditoría.

Robótica autónoma como solución perimetral conforme con B3S

La vigilancia clásica cumple los requisitos B3S. Con esfuerzo de personal considerable. La robótica autónoma puede asumir partes y mejorar al mismo tiempo la calidad probatoria.

El QR-3 con LiDAR y detección de drones cumple los requisitos de detección de la zona altamente protegida. LiDAR aporta clasificación de objetos independiente de las condiciones de luz, el módulo de drones detecta UAV pequeños en un radio que las cámaras fijas no cubren. Norma de referencia para sistemas móviles autónomos es EN ISO 13482.

El registro continuo de patrullas genera logs a prueba de revisión para la auditoría del BSI. Cada movimiento, cada detección, cada valor de sensor con GPS y marca temporal. Los auditores reciben datos, no recuerdos de Wachgänger individuales.

La sensórica térmica del QR-2 detecta personas con visibilidad cero y de noche sin dependencia de iluminación. Esto cierra una brecha conocida de la videovigilancia clásica: focos averiados ya no son punto ciego.

Aclaración: la robótica no sustituye al servicio de seguridad. Elimina los Posten estáticos de vigilancia. Las fuerzas de intervención con cualificación §34a-Sachkunde siguen siendo necesarias. Quien afirma en auditoría que un robot sustituye al Posten por completo no superará las preguntas sobre la cadena de intervención.

Comercialmente: el modelo Robotics-as-a-Service entrega el QR-3 por 3.800 euros al mes. Sin CapEx, entrega en 48 horas, contrato de 24 meses. Actualizaciones de software, mantenimiento y versiones de firmware relevantes para el reconocimiento están incluidas.

B3S y KRITIS-Dachgesetz: qué cambia en 2026

La KRITIS-Dachgesetz según Bundestag-Drucksache 20/9262 exige por primera vez prueba integrada para seguridad física y ciberseguridad. Hasta ahora eran dos vías con dos documentaciones. A partir de 2026 es una.

Los B3S deben documentar explícitamente a partir de 2026 medidas de protección física para instalaciones y perímetro. Las asociaciones revisan sus estándares. Quien aplica el B3S actual debe conocer la planificación de revisión de los editores. Esa planificación pertenece al propio ciclo de reevaluación.

La persona responsable según la Dachgesetz responde personalmente por la conformidad con B3S. Multas en caso de incumplimiento hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial Bundestag-Drucksache 20/9262, Art. X. La consistencia con el artículo 21 NIS-2 es deliberada: NIS-2 exige medidas técnicas y organizativas incluida la seguridad física de las instalaciones.

Los plazos transitorios se sitúan entre 12 y 24 meses según sector y tamaño del operador. Energía y agua primero, sectores menores después.

El BBK asume el registro, el BSI mantiene el reconocimiento B3S. Dos autoridades, una prueba. La ejecución operativa del registro se describe en el registro BBK paso a paso.

Realidad de auditoría: qué quieren ver realmente los auditores del BSI

Las auditorías no son examen teórico. Lo que cae en auditoría no cae por falta de documentos. Cae por falta de evidencia de práctica vivida.

Los auditores toman muestras aleatorias de los protocolos de detección de los últimos 24 meses. No solo documentos del día clave. Quien introduce un sistema nuevo tres semanas antes de la auditoría no tiene historial y debe acreditar el sistema anterior.

Prueba de la cadena de reacción: detección, alarma, intervención, documentación. Cuatro eslabones. Cada eslabón con marca temporal, cada eslabón con responsabilidad nombrada. Una detección sin alarma documentada es un hallazgo en auditoría.

Acreditación de formación para personal con acceso a zonas críticas, trazable individualmente. Firmas colectivas en una lista de asistencia no bastan. Los auditores quieren por persona la fecha, el tema, el formador, el resultado de evaluación.

Operatividad de la redundancia: tests de fallo con resultado documentado. Como mínimo anual. Quien afirma que un sistema de backup está listo debe mostrar cuándo se activó por última vez y cuánto duró la conmutación.

Acreditaciones de proveedor para la tecnología de seguridad empleada incluyendo conformidad CE y referencia a norma. En robótica autónoma significa: declaración de conformidad y referencia a la norma EN ISO 13482. Se añade evaluación de riesgos según Directiva de Máquinas y evaluación de impacto en protección de datos.

Comparación de costes: vigilancia conforme con B3S clásica frente a híbrida

Una vigilancia clásica 24/7 de un Posten cuesta entre 15.000 y 25.000 euros al mes según la estructura tarifaria BDSW. El rango se explica por región tarifaria, cualificación (§34a frente a Sachkundeprüfung) y recargos por noche, domingo, festivo.

Tres Posten para una instalación media: 540.000 a 900.000 euros al año solo en costes de personal (estructura tarifaria BDSW). Sin tecnología, sin rotación, sin gasto de formación.

Modelo híbrido con dos QR-2 más un Posten de intervención: unos 22.000 euros al mes. Igual cobertura superficial, mayor densidad de sensores, registro continuo.

Ahorro del 60 al 70 por ciento sin reducción del rendimiento de detección B3S [datos piloto internos Quarero, disponibles bajo solicitud]. Al contrario: la calidad de detección sube, porque la sensórica no se cansa y los logs son legibles por máquina.

Contablemente, OpEx en RaaS es ventajoso frente a CapEx en tecnología de seguridad con amortización de cinco a ocho años. No hay activación ni corrección de valor en caso de cambio tecnológico. Los costes son íntegramente deducibles fiscalmente en el año de gasto.

Profundización en la comparación de costes vigilancia frente a robótica.

Hoja de ruta de implementación para responsables de seguridad

Una hoja de ruta de 15 semanas hacia una estructura perimetral conforme con B3S. Pragmática, secuencial, auditable.

Semanas 1 a 2: aclarar ámbito de aplicación, identificar B3S aplicable, iniciar análisis de brechas. ¿Qué instalaciones caen bajo KRITIS? ¿Qué umbral? ¿Qué B3S sectorial? ¿Qué versión?

Semanas 3 a 6: auditoría perimetral con proveedores, mapeo de cobertura sensorial frente al requisito B3S. Nombrar brechas, valorar opciones técnicas, preparar decisión de inversión.

Semanas 7 a 10: piloto con robótica en la zona más crítica. Revisar logs de detección frente a requisito. Medir tasa de falsa alarma, ensayar cadena de reacción.

Semanas 11 a 14: preparar documentación para prueba ante BSI, ejecutar formación interna, consolidar acreditaciones de proveedor. Test de redundancia con protocolo.

Semana 15 y siguientes: escalado a más zonas, establecer verificación continua de eficacia. Revisión trimestral de la estadística de detección, tests de fallo anuales.

Planificación de detalle complementaria en la checklist KRITIS-Dachgesetz con plan a 14 semanas.

Quien aún no ha definido de forma concluyente el ámbito de su B3S empieza con el panorama completo de los Requisitos KRITIS en resumen. Allí se indica qué umbral aplica en qué sector y qué B3S es aplicable.