Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Todos los artículos
KRITIS · Ley Marco · NIS-2

KRITIS Bundesnetzagentur: supervisión y pruebas

KRITIS Bundesnetzagentur: supervisión sectorial de energía y TC, prueba según §11 EnWG, §165 TKG y Dachgesetz. Guía operativa para responsables.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Inversor y autor · Founding Partner
Seguir en LinkedIn

La Bundesnetzagentur (BNetzA) es, para los responsables de seguridad en energía y telecomunicaciones, la autoridad supervisora más relevante junto al BSI. Con el KRITIS-Dachgesetz, su alcance de control crece de forma considerable. Este texto separa los mandatos, lista las obligaciones y describe un plan de 14 semanas hacia la conformidad.

KRITIS Bundesnetzagentur: competencia y mandato de supervisión

La BNetzA es la autoridad sectorial competente para energía, telecomunicaciones, correos y ferrocarril. Los umbrales se derivan de la BSI-Kritisverordnung, la obligación operativa de EnWG, TKG y Postgesetz. Se examinan las pruebas según §11 EnWG para energía y §165 TKG para telecomunicaciones. Este examen corre en paralelo a la obligación de notificación ante el BSI según §8b BSIG, no la sustituye.

Con el KRITIS-Dachgesetz, la BNetzA asume también la verificación de la resiliencia física para operadores de electricidad y gas. Sanciones: multas de hasta 10 millones EUR o el 2 por ciento de la facturación del grupo, según sector y supuesto (§14 del proyecto de KRITIS-Dachgesetz, BT-Drs. 20/9262). La línea de reporte está dividida en dos. La BNetzA examina las exigencias sectoriales según EnWG y TKG, el BBK examina la protección física según el Dachgesetz. Los responsables de seguridad que no separen esto con claridad duplican informes o pierden plazos.

Quien busque el marco completo empieza por la visión general de obligaciones KRITIS.

Qué sectores regula directamente la BNetzA

En el sector energético: operadores de redes de transporte sin umbral, redes de distribución a partir de 100.000 clientes conectados (anexo 1 BSI-KritisV), gasoductos de larga distancia e instalaciones de almacenamiento por encima de los umbrales de KritisV. En el sector TC entran las redes públicas de telecomunicaciones a partir del umbral según §109 TKG, así como centros de datos con función de operador. Correos y ferrocarril abarcan centros de clasificación, puestos de enclavamiento e instalaciones de conmutación críticas.

Los umbrales se revisan cada dos años. La tendencia es clara: bajan. Los operadores que hoy están justo por debajo del límite planifican 2026 ya con el estatus KRITIS. A partir de 2026, los operadores por debajo del umbral de KritisV deberán además acreditar una protección básica según el Dachgesetz en cuanto sean clasificados como "entidades especialmente importantes".

Detalles por sector: desglose sectorial KRITIS.

Obligaciones de prueba según §11 EnWG y §165 TKG

La prueba vence cada dos años. La elabora un organismo de evaluación acreditado y se presenta ante la BNetzA. Contenido: estado del arte en protección física, control de acceso, vigilancia perimetral, detección y cadenas de respuesta documentadas.

El catálogo de seguridad de la BNetzA exige explícitamente medidas detectoras. Una valla disuade, no es una prueba. Una cámara fija cubre un eje de visión, no una situación de 360 grados. La BNetzA exige detección verificable sobre toda la superficie perimetral, con marca de tiempo, registro del sensor y vía de escalado.

Las deficiencias derivan en un requerimiento con plazo de 6 meses. Si se incumple el plazo, siguen multa y publicación. La publicación afecta más a los operadores energéticos cotizados que la propia multa. La BNetzA acepta patrullas robóticas como prueba del estado del arte, siempre que la cobertura 24/7 esté plenamente documentada e integrada en el centro de control.

Resiliencia física: qué examina la BNetzA desde el Dachgesetz

Cinco puntos están en el foco de las inspecciones in situ desde la entrada en vigor del Dachgesetz:

  1. Integridad perimetral. Detección sin lagunas a lo largo de todo el cerramiento. Los meros ejes de visión de cámara no bastan porque generan ángulos muertos.
  2. Tiempo de reacción. Cadena de intervención documentada por debajo de 15 minutos desde la primera alarma hasta la llegada de una patrulla o de la policía (catálogo de seguridad BNetzA electricidad/gas, versión 2023).
  3. Defensa frente a drones. Detección en el espacio aéreo hasta 500 m de radio en subestaciones, estaciones reguladoras de gas y centros de datos KRITIS (catálogo de seguridad BNetzA electricidad/gas, versión 2023).
  4. Redundancia. Dos capas de detección independientes en componentes críticos de la instalación, por ejemplo nave de transformadores, celda de maniobra, refrigeración.
  5. Prueba de simulacro. Test de estrés anual con evaluación documentada y ciclo de corrección.

Estas exigencias son operativas. Una estrategia de seguridad en PowerPoint no resiste la inspección. Los inspectores quieren ver registros de sensores, cadenas de alarma y protocolos de simulacro.

La patrulla robótica como bloque de prueba

La robótica no es una medida universal. Es el bloque detector que exige el §11 EnWG y aporta el material de registro que el organismo acreditado pide.

QR-2 realiza patrulla térmica 24/7 con reconocimiento de personas hasta 80 m de noche (ficha técnica QR-2 de Quarero Robotics, 2025). Cada patrulla genera un archivo de registro a prueba de auditoría con marca de tiempo, traza GPS, anomalías térmicas y eventos de escalado. QR-3 añade volumetría LiDAR y detección de drones y cumple los requisitos para subestaciones y centros de datos KRITIS según el Dachgesetz. Detalles en QR-3 para energía y centros de datos.

La robótica no sustituye al centro de control. Aporta el elemento detector. Las alarmas entran en el centro de control existente, la respuesta llega de la patrulla o de la policía. Fase piloto de 4 semanas, integración completa en un centro de control existente en 48 horas de plazo de entrega.

Quien haya visto una vez los archivos de registro entiende la diferencia: un inspector no marca casillas de diapositivas, lee datos de sensores.

Rentabilidad: conformidad BNetzA sin CapEx

Un puesto de vigilancia clásico 24/7 cuesta entre 15.000 y 25.000 EUR al mes por posición (informe sectorial BDSW 2024). Tres turnos, vacaciones, bajas e incrementos según Manteltarifvertrag incluidos.

QR-2 en modelo RaaS se sitúa en 3.500 EUR al mes (lista de precios RaaS de Quarero Robotics, Q1 2026). Sin inversión, sin vínculo de personal, sin cuello de botella §34a. La duración mínima de 24 meses cubre exactamente un ciclo de prueba ante la BNetzA. Unidades adicionales pueden estacionarse en 48 horas para preparar auditorías o atender situaciones de crisis.

En el mercado energético regulado, el modelo OpEx se puede repercutir directamente en las tarifas de red. Una inversión CapEx, en cambio, exige amortización plurianual. Cifras comparativas: comparación de costes del servicio de vigilancia. Descripción del modelo: modelo Robotics-as-a-Service.

Lo que no funciona: la robótica sola sin centro de control. Lo que sí funciona: la robótica como capa de detección, integrada en un centro de control existente con cadena de escalado clara hacia la policía o la vigilancia interna.

Coordinar la interfaz BNetzA, BSI y BBK

Las tres autoridades tienen mandatos separados que confluyen en un incidente.

  • BSI es responsable de la notificación cibernética según §8b BSIG. Plazo: sin demora ante incidentes significativos.
  • BNetzA examina las exigencias sectoriales según EnWG y TKG, incluida la protección física según el catálogo de seguridad.
  • BBK coordina la resiliencia física según el Dachgesetz y lleva el registro de operadores KRITIS.

Un asalto a una subestación con manipulación de la técnica de control activa tres notificaciones paralelas. Sin una documentación uniforme del incidente surgen contradicciones que pesan en la inspección.

La Directiva NIS-2 obliga a los Estados miembros a una supervisión sectorial con multas de hasta 10 millones EUR o el 2 por ciento de la facturación del grupo (art. 34 Directiva NIS-2 2022/2555). La transposición de NIS-2 desplaza umbrales y amplía notablemente el círculo de destinatarios. La dirección responde personalmente por las notificaciones omitidas (§13 anteproyecto NIS2UmsuCG, BMI, marzo de 2025). Más al respecto en NIS-2 y responsabilidad de la dirección.

Recomendación práctica: un esquema integrado de incidentes que sirva a las tres autoridades. Una clase de incidente, tres plantillas de informe, una matriz de contactos. El registro ante el BBK es la base organizativa. Instrucción paso a paso: registro BBK paso a paso.

Plan de 14 semanas hacia la conformidad BNetzA

El siguiente plan está diseñado para un ciclo completo de prueba y ha sido validado varias veces en empresas energéticas.

Semanas 1 a 2: análisis de brechas. Contraste del estado actual frente al catálogo de seguridad vigente de la BNetzA. Documentación de todas las lagunas de detección, registros de sensor ausentes y cadenas de reacción no documentadas. Resultado: lista de deficiencias con prioridad A, B, C.

Semanas 3 a 4: selección de medidas. Elección de medidas detectoras para las deficiencias A. Acuerdo de piloto robótico con criterios de aceptación definidos: frecuencia de patrulla, reconocimiento de personas de noche, formato de registro, interfaz con el centro de control.

Semanas 5 a 8: estacionamiento. Entrega de QR-2 o QR-3, conexión al centro de control, formación de los operadores, prueba de la cadena de escalado con policía y vigilancia interna. Documentación de cada patrulla desde el día uno, ya que esos registros forman parte de la prueba.

Semanas 9 a 12: test de estrés. Auditoría interna contra el catálogo de seguridad, intento de intrusión simulado, sobrevuelo de dron simulado, tiempo de reacción documentado. Ciclo de corrección para las debilidades encontradas, por ejemplo huecos en ejes de visión o retardos en la cadena de alarma.

Semanas 13 a 14: aceptación del informe. Visita del organismo acreditado, aceptación de la capa de detección, elaboración del informe, presentación en plazo ante la BNetzA.

Quien inicie este plan empieza por el análisis de brechas. El hardware solo resuelve los problemas descritos con precisión en ese análisis. Para una primera conversación sobre el análisis de brechas: solicitud directa de cita.

Traducciones

Más de este clúster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →