Análisis de riesgos KRITIS: plantilla y método 2026
Análisis de riesgos KRITIS según el Dachgesetz: método, plantilla con 12 campos obligatorios, escenarios de amenaza y plan a 14 semanas para operadores.
El análisis de riesgos KRITIS es a partir de 2026 la prueba central de que un operador protege su servicio crítico frente a todas las amenazas relevantes. No es un anexo al concepto de protección, sino un documento obligatorio independiente. Este texto entrega el método, la estructura de plantilla con doce campos obligatorios y un plan a 14 semanas con el que el análisis queda apto para auditoría.
Análisis de riesgos KRITIS: marco legal 2026
El KRITIS-Dachgesetz obliga a los operadores a realizar un análisis all-hazards documentado. Este debe llevarse separado del análisis cibernético NIS-2 y cubre amenazas físicas, híbridas y naturales. La Bundestag-Drucksache 20/9262 fija el marco sancionador hasta 10 millones EUR o el 2 por ciento de la facturación mundial del grupo (Bundestag-Drucksache 20/9262). La dirección responde personalmente.
El § 8a BSIG y la KritisV definen los umbrales sectoriales. Energía, agua, alimentación, TI, salud, finanzas, transporte y gestión municipal de residuos tienen cada uno sus propias categorías de instalación y tamaños mínimos de suministro (BSI-KritisV). El análisis de riesgos se actualiza cada 24 meses y se deposita en el BBK.
Delimitación clave: el análisis de riesgos KRITIS no es la evaluación de riesgos laborales según ArbSchG. La evaluación laboral protege a los empleados en su puesto. El análisis KRITIS protege a la población frente al fallo del suministro. Ambos existen en paralelo, con responsables propios y documentos propios. Quien mezcle ambos en un solo documento fracasa en la primera inspección.
El ámbito de aplicación incluye, tras los incidentes del Báltico de 2024, ataques con drones y sabotaje por parte de personal interno. Amenazas naturales como inundaciones, tormentas y olas de calor pertenecen al ámbito, igual que los efectos en cascada de redes aguas arriba. Quien aún no haya trabajado el marco de las 12 obligaciones, empieza por la KRITIS-Dachgesetz Checkliste con 12 obligaciones.
Método: del activo protegido al escenario
Paso 1 es el inventario del servicio crítico. ¿Qué instalaciones deben funcionar para que el servicio opere? Subestación, estación de bombeo, sala de control, suministro de emergencia. Las instalaciones sin impacto sobre el servicio no entran en el análisis.
Paso 2 clasifica los activos por tiempo de restauración (RTO). Las instalaciones con RTO superior a 72 horas son altamente críticas y reciben en la plantilla una marca propia. Las instalaciones con RTO inferior a 4 horas se priorizan menos, pero no se excluyen.
Paso 3 construye escenarios según la matriz 5x5 de probabilidad de ocurrencia y magnitud del daño, derivada del método BBK de análisis de riesgos (BBK). Para cada escenario rige: descripción concreta, no genérica. "Sabotaje en la subestación Norte, intervención en el armario de control C-12" es utilizable. "Sabotaje" a secas, no.
Paso 4 deriva medidas, separadas por prevención (valla, control de acceso), detección (sensórica, Streife), reacción (fuerza de intervención, central) y reanudación (almacén de repuestos, reserva de personal). Esta separación evita que un único Posten se use como respuesta polivalente.
Paso 5 documenta el riesgo residual por escrito. La dirección lo acepta con fecha y firma. Sin esa firma el análisis se considera no cerrado. El método queda establecido. Sigue la plantilla.
Plantilla: los doce campos obligatorios por escenario
Cada escenario de la plantilla de análisis de riesgos KRITIS contiene doce campos. Esta estructura reproduce la rejilla de inspección del BBK y es apta para auditoría.
| Campo | Contenido |
|---|---|
| 1 | ID de escenario (numeración correlativa, p. ej. KRIT-2026-014) |
| 2 | Denominación (breve, precisa, localizada) |
| 3 | Instalación afectada y ubicación |
| 4 | Servicio crítico |
| 5 | Categoría de amenaza (física, cibernética, natural, híbrida) |
| 6 | Probabilidad de ocurrencia 1 a 5 con fuente |
| 7 | Magnitud del daño en suministro 1 a 5 |
| 8 | Magnitud del daño en personas, medio ambiente, reputación 1 a 5 |
| 9 | Índice de riesgo (producto, codificado por color) |
| 10 | Medidas con responsable, plazo, presupuesto |
| 11 | Indicador de eficacia (medible, trimestral) |
| 12 | Referencia al plan de mantenimiento y simulacros |
La probabilidad de ocurrencia necesita una fuente. Son admisibles estadística sectorial, historial documentado de incidentes o estimación experta fundamentada con acta. Una valoración sin fuente la rechaza el BBK.
El índice de riesgo es el producto de probabilidad y magnitud máxima de daño. A partir del índice 12 una medida es obligatoria. Índices de 6 a 11 requieren una decisión motivada. Valores por debajo de 6 se documentan y se vigilan.
El campo 11 decide la aptitud para auditoría. "Detección y reacción inicial por debajo de 4 minutos, medido trimestralmente mediante test de red team" es un indicador. "Wachschutz disponible" no lo es. El campo 12 exige la prueba del simulacro. Sin simulacro documentado, la medida se considera no implementada.
Escenarios de amenaza: qué pertenece en 2026 a todo análisis
Cinco escenarios pertenecen en 2026 a todo análisis de riesgos KRITIS, con independencia del sector.
Sobrevuelo de drones con intención de reconocimiento o lanzamiento: desde 2024 documentado en 11 Länder. Afectados todos los sectores con instalaciones exteriores, desde subestaciones hasta plantas de agua. La detección requiere LiDAR o sensórica RF, los sistemas ópticos por sí solos no alcanzan de noche.
Sabotaje por agentes externos en el perímetro: el corte de cables y fibras ópticas es el patrón más frecuente. La restauración media es de 36 horas. Las medidas combinan endurecimiento mecánico con detección temprana en la valla exterior.
Insider-Threat con acceso físico: según datos sectoriales de la BDSW, los casos internos representan una parte considerable de los incidentes graves (BDSW Zahlen, Daten, Fakten). Frecuente en combinación con componente cibernético, lo que genera un escenario híbrido en el sentido de la plantilla.
Inundaciones y lluvias torrenciales: relevantes según la proyección climática BBK 2030 para una parte importante de los emplazamientos KRITIS. El análisis debe considerar niveles de agua, áreas de retención y suministro de emergencia en planta elevada.
Corte de la red eléctrica de nivel superior por más de 24 horas: escenario obligatorio desde la reforma de la KritisV de 2025. Comprueba cuánto tiempo se mantiene el propio servicio sin energía externa y si los respaldos diésel, batería o FV están documentados y probados. El análisis cibernético NIS-2 corre en paralelo y completa estos escenarios físicos con vectores de ataque sobre OT y TI (Directiva NIS-2).
Una lista completa de los escenarios mínimos por sector se encuentra en los requisitos para operadores KRITIS.
Medidas físicas: perímetro, detección, intervención
El perímetro mecánico es requisito básico. Valla según DIN EN 1722, tornos en accesos peatonales, bolardos en accesos de vehículos. La mecánica por sí sola no detecta nada. Retrasa.
La detección sensorial mediante cámaras térmicas y LiDAR identifica intentos de intrusión de noche, con niebla y lluvia. Las instalaciones estáticas tienen zonas ciegas, sobre todo en esquinas, detrás de edificios de transformadores y en taludes. Estas brechas deben documentarse en la plantilla, no ocultarse.
La patrulla autónoma cierra esas brechas. QR-2 cubre perímetro exterior 24/7 con térmica y reconocimiento de personas. QR-3 con LiDAR y detección de drones añade vigilancia del espacio aéreo en proximidad. Los detalles de aplicación en superficies industriales los entrega el resumen Perimeterschutz para parques industriales.
El tiempo de intervención policial en zonas rurales es de 12 a 18 minutos. Toda medida de la plantilla debe cubrir esa brecha mediante reacción inicial propia, mecánica, sensorial o personal. Una comparación TCO de las opciones se encuentra en Costes de Wachschutz en comparación TCO.
La eficacia de las medidas se verifica trimestralmente mediante tests de red team. Las autodeclaraciones sin test se consideran no acreditadas en la inspección.
Documentación e inspección por el BBK
El análisis de riesgos se gestiona como documento independiente, no como anexo al concepto de protección. La extensión típica está entre 40 y 80 páginas, según el número de instalaciones y el sector.
Componentes obligatorios: descripción del método, catálogo de escenarios, matriz de medidas, declaración de riesgo residual de la dirección, plan de simulacros e historial de revisión. Si falta alguna de estas partes, el documento no es apto para inspección.
El BBK puede anunciar inspecciones por muestreo con 14 días de antelación. La documentación completa debe estar en lengua alemana. Se toleran anexos en inglés, no el cuerpo principal. La aptitud para auditoría exige que cada afirmación esté respaldada por evidencia: log de sensor, acreditación de formación, protocolo de mantenimiento, informe de simulacro.
Recomendación: gestión digital con control de versiones. Un PDF aislado lleva a inconsistencias en cuanto más de dos personas introducen cambios. Los cambios deben ser trazables con fecha, autor y motivo. El depósito formal ante el BBK está descrito en Registro BBK paso a paso.
Errores típicos y cómo evitarlos
Error 1: adopción de plantillas genéricas sin referencia al emplazamiento. El BBK reconoce textos boilerplate por fragmentos prefabricados y exige retrabajo. Toda plantilla es punto de partida, no producto final.
Error 2: probabilidad basada en incidentes internos del grupo en lugar de estadística sectorial. Quien solo evalúa datos propios subestima sistemáticamente sucesos raros pero catastróficos. Hay que recurrir a datos sectoriales externos de BBK, BDSW y asociaciones de sector.
Error 3: medidas sin indicador. "Wachschutz disponible" no es prueba. "Detección e intervención por debajo de 4 minutos, medido trimestralmente" sí. Cada campo de medida necesita una magnitud medible, comprobable trimestralmente.
Error 4: separación de análisis cibernético y físico sin interfaz. Escenarios híbridos como el acceso manipulado mediante credenciales comprometidas se escapan de la malla. La plantilla debe llevar una columna "componente híbrido".
Error 5: la dirección firma sin haber leído el catálogo de medidas. En un caso de responsabilidad, la fiscalía lo valora como dolo, no como negligencia. Las consecuencias se describen en detalle en Responsabilidad del Vorstand bajo NIS-2.
Del documento a la implementación: plan a 14 semanas
Semanas 1 a 3: inventario de activos e investigación sectorial. Workshop con operación, TI, Werkschutz y consultoría externa. Resultado: lista completa de instalaciones con clasificación RTO y benchmark sectorial.
Semanas 4 a 7: construcción y valoración de escenarios en sesiones moderadas. En paralelo, recorrido de todos los emplazamientos críticos con documentación fotográfica y de situación. Resultado: catálogo de escenarios con índices de riesgo.
Semanas 8 a 10: derivación de medidas con presupuesto y proveedores. Instalación piloto de sensórica o robótica. El plazo de entrega de Quarero es de 48 horas tras confirmación del pedido para QR-2 y QR-3. Resultado: matriz de medidas con responsables y plazos.
Semanas 11 a 12: formación del personal, simulacro tabletop con participación de central y dirección, primeros tests de red team en el perímetro. Resultado: acreditaciones de simulacro e indicadores de eficacia.
Semanas 13 a 14: finalización del documento, declaración de riesgo residual, firma de la dirección, depósito ante el BBK. Resultado: análisis de riesgos depositado con confirmación de entrada.
Ciclo de seguimiento: revisión trimestral de indicadores, simulacro tabletop anual, actualización completa cada 24 meses. Actualización ad hoc en caso de incidentes, modificaciones constructivas o nuevos escenarios de amenaza.
Quien aún no haya iniciado el análisis de riesgos KRITIS o quiera verificar la aptitud de auditoría de uno existente, concierta una cita técnica de 30 minutos a través del formulario de contacto. Entregamos la estructura de plantilla y la sensórica en un único proceso.