Registro BBK KRITIS: guía para 2026

La fecha límite es el 17.07.2026. Hasta entonces, cada instalación crítica debe estar inscrita en el portal del BBK. Tres bloques de datos completos y una firma a nivel de consejo son obligatorios (BBK, Infraestructuras críticas). Este texto recorre los campos que exige el portal, la lógica de las firmas y los errores que hemos visto de forma recurrente en los primeros 100 registros acompañados.

Qué debe lograr el registro BBK 2026

El registro del BBK es la base central de todas las instalaciones críticas en Alemania. Antes, la identificación recaía en las autoridades sectoriales, a menudo de forma fragmentada. A partir de 2026, la base de datos es el fundamento de las obligaciones de supervisión, auditoría y notificación según el KRITIS-Dachgesetz (Bundestag-Drucksache 20/9262).

El registro está enlazado con el NIS-2 Notification Register. Quien figure como operador KRITIS se registra automáticamente como entidad esencial NIS-2, siempre que el sector sea idéntico. No se prevén inscripciones dobles, pero las inconsistencias de datos son un riesgo conocido: los datos maestros y de instalación deben mantenerse sincronizados en ambos sistemas.

No hay protección de confianza para los rezagados. Quien se registre después del 17.07.2026 no se considera conforme a tiempo. El BBK está legalmente obligado a remitir las entradas tardías a la unidad de sanciones competente. Un "estábamos en fase de aclaración" no ha prosperado hasta ahora en las audiencias.

Siguiente paso: quien aún no tenga visión del catálogo completo de obligaciones empieza con la Lista de verificación KRITIS-Dachgesetz con las 12 obligaciones.

Quién debe registrarse

Están obligados al registro los operadores de instalaciones por encima de los umbrales de la BSI-KritisV (gesetze-im-internet.de, KritisV). La KritisV sigue siendo la norma de umbrales aplicable a pesar de la nueva ley marco. Una sustitución está anunciada para 2027, pero aún no está vigente.

Se cubren diez sectores: energía, agua, alimentación, TI/telecomunicaciones, salud, finanzas, transporte, residuos urbanos, espacio y administración pública. Cada sector tiene su propia tabla de umbrales en el anexo de la KritisV. Los subsectores están numerados, por ejemplo Anexo 1 Parte 3 Núm. 1.2.1 para instalaciones de generación eléctrica. Esta posición del anexo es campo obligatorio en el portal.

La autoclasificación es obligatoria. No existe una resolución administrativa que libere al operador de la clasificación. Quien espera una resolución del BBK incurre en la fecha límite. El BBK confirma las entradas, revisa por muestreo y solo dicta resoluciones en caso de conflicto.

El nivel de grupo y el nivel de instalación responden por separado. Una holding con tres operadores de red eléctrica tiene cuatro registros, no uno. Cada instalación tiene datos maestros propios, asignación de umbral propia y firma de consejo propia. Si la holding misma presta servicios críticos, se registra adicionalmente.

Tres bloques de datos que exige el portal

El portal BBK KRITIS estructura la entrada en tres bloques. Cada bloque tiene sus campos obligatorios y sus fuentes de evidencia.

Bloque 1: datos maestros del operador. Datos obligatorios: razón social en la grafía del registro mercantil, número de registro con tribunal registral, NIF intracomunitario, sede, dirección de notificaciones y representación del consejo con nombre, fecha de nacimiento y función. En AG, todos los miembros del consejo con poder de representación. En GmbH, todos los gerentes con representación individual o conjunta. Las inconsistencias entre el asiento registral y los datos del portal son marcadas automáticamente por el BBK.

Bloque 2: clase de instalación. Sector, subsector, posición en el anexo de la KritisV (anexo/parte/número), tipo de instalación en texto claro, ubicación geográfica (dirección más geocoordenadas), fecha de puesta en marcha. La clase de instalación determina qué autoridad de supervisión es competente y qué obligaciones sectoriales se aplican. Una clasificación demasiado estrecha es el error más frecuente (véase la sección 6).

Bloque 3: justificación del umbral. Aquí se acredita el grado de suministro. Campos obligatorios: servicio prestado en la unidad de medida de la KritisV (kWh, m³, número de asegurados), período de referencia (por regla general el último año natural) y método de cálculo con fórmula. A ello se suma la fuente de los datos de entrada: facturación interna de consumo, notificación a la BNetzA o estadística de la Bundesnetzagentur. Sin fuente trazable, la justificación no se sostiene en auditoría.

Consejo práctico: recomendamos un documento PDF de evidencia por instalación con los tres bloques más los datos brutos como anexo. El portal acepta cargas de PDF de hasta 20 MB por instalación. Este documento se solicita en la primera auditoría del BBK (habitualmente 12 a 18 meses tras el registro).

Quién firma y quién responde

El registro lo firma personalmente un miembro del consejo con poder de representación. Personalmente significa: firma electrónica cualificada (QES) o envío por De-Mail con firma confirmada por el remitente. Una firma escaneada bajo un PDF no basta.

En caso de firma colectiva debe coordinarse el segundo firmante. El portal acepta dos firmas de forma secuencial, ambas deben producirse en un plazo de 14 días, de lo contrario el procedimiento caduca. En grupos con consejos distribuidos, el cuello de botella es la planificación de citas, no la recogida de datos.

La delegación en la dirección de seguridad no es admisible. El KRITIS-Dachgesetz asigna el registro explícitamente al órgano de dirección, en paralelo a la construcción del artículo 20 de NIS-2. Procura y poder general no bastan. La dirección de seguridad prepara, el consejo firma.

La responsabilidad permanece en el miembro del consejo firmante. Las declaraciones falsas en el bloque 3 (justificación de umbral demasiado baja para evitar el registro) se persiguen como infracción administrativa, en casos graves como declaración falsa punible ante autoridades (KRITIS-Dachgesetz § 62, Gesetze im Internet). La lógica de responsabilidad sigue la línea conocida de Responsabilidad del consejo NIS-2 en detalle: personal, no asegurable, sujeta a documentación.

Tras el registro: obligaciones permanentes

La confirmación de entrada del BBK llega por De-Mail o mensaje del portal, por regla general en un plazo de 72 horas (BBK, Infraestructuras críticas). Esta confirmación se exige en la primera auditoría. Pertenece sin alteraciones al archivo de cumplimiento, con sello temporal y número de expediente.

Las notificaciones de cambio deben presentarse en un plazo de cuatro semanas (KRITIS-Dachgesetz § 34, Gesetze im Internet), tan pronto como cambien la clase de instalación, los umbrales o los responsables. Detonantes: ampliación de instalación (nueva subestación, centro de datos adicional), superación del umbral, cambio en el consejo, traslado de sede o cambio de denominación. Recomendamos un cotejo interno trimestral, los disparadores automáticos rara vez son fiables.

Anualmente vence una autoconfirmación de los datos, en la fecha de aniversario del registro inicial. El portal envía un recordatorio. El trámite dura 30 minutos por instalación con datos actualizados. Sin confirmación, el asiento se considera vencido tras 90 días, lo que activa una señal de supervisión (BBK, Infraestructuras críticas).

El registro se vincula con la obligación de plan de protección del KRITIS-Dachgesetz. Quien esté registrado debe presentar en 24 meses un plan de protección (KRITIS-Dachgesetz § 38, Gesetze im Internet) que cubra medidas físicas y cibernéticas. Para la protección perimetral y de terreno se incluye un procedimiento de detección demostrable. Una opción es Protección perimetral con patrulla autónoma, que entrega los logs de patrulla como evidencia de auditoría.

Errores frecuentes en los primeros 100 registros

Error 1: cálculo de umbral sin fuente trazable. La objeción más habitual. El grado de suministro figura en el portal, el cálculo está en un Excel en la unidad de la dirección de seguridad, los datos brutos no están versionados. En la auditoría el BBK pregunta por la fuente de datos a la fecha de corte. Quien entonces reconstruye, pierde. Corrección: documento PDF de evidencia por instalación, firmado, con sello de fecha y fuente.

Error 2: clase de instalación delimitada demasiado estrecha. Un operador notifica una subestación como "transmisión eléctrica" pero pasa por alto la distribución de media tensión conectada en el mismo recinto. La segunda instalación queda sin registrar, se descubre en auditoría, se considera registro omitido con su propio marco sancionador (KRITIS-Dachgesetz § 62, Gesetze im Internet). Corrección: inventario de instalaciones antes de iniciar el registro, con recorrido físico y cotejo contra el anexo de la KritisV.

Error 3: representación del consejo poco clara en estructuras de grupo de varios niveles. La sociedad operadora tiene dos gerentes con representación individual, la holding un consejo con representación conjunta. ¿Quién firma por la instalación? Respuesta: los representantes con poder de la sociedad operadora, no de la holding. Asunción errónea frecuente: el consejo de la holding podría "imponerse". Eso funciona solo si la holding misma es operadora en el sentido de la KritisV.

Error 4: confirmación de entrada fuera del archivo de cumplimiento. La confirmación llega por De-Mail, la imprime la secretaría, se archiva, se olvida. En la cita con el auditor 14 meses después no se encuentra. El BBK puede emitir un extracto a petición, eso dura de cuatro a seis semanas y se considera una señal procesal. Corrección: De-Mail directamente al DMS, con regla de conservación de diez años.

Quien quiera considerar el servicio de guardia y los logs de patrulla integrados como evidencia de auditoría encuentra la estructura de costes en Coste del servicio de guardia 2026 TCO. El Modelo Robotics-as-a-Service traslada la documentación de patrulla a una partida OpEx alquilable, lo que en auditorías ayuda mediante logs a prueba de revisión.

Para la aclaración individual de la estructura de grupo, asignación sectorial y cuestión de firma puede contactar a Marcus Köhnlein, Sales Lead Suiza o directamente la página de asesoría KRITIS. Una cita de 30 minutos suele bastar para esbozar la ruta de registro de las instalaciones respectivas.