Lista KRITIS-Dachgesetz: 12 deberes hasta julio 2026

El plazo corre. El 17.07.2026 todo operador de instalaciones críticas debe estar registrado en el Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Esta lista KRITIS-Dachgesetz resume los doce deberes operativos, indica el marco sancionador y entrega un plan de 14 semanas. No sustituye un dictamen jurídico. Es la base de trabajo para dirección general y responsable de seguridad, con la que nosotros, Raphael Nagel y Marcus Köhnlein, hemos escrito el manual práctico KRITIS (ESBN 978-3-912703-01-6) y con la que los operadores entran hoy en la fase de implementación.

Qué exige realmente el KRITIS-Dachgesetz 2026

La ley aborda diez sectores: energía, agua, alimentación, TI y telecomunicaciones, salud, finanzas y seguros, transporte y tráfico, medios y cultura, Estado y administración, y gestión de residuos urbanos. Los umbrales se actualizan vía KritisV. Quien en 2024 quedó justo por debajo, debe revisar de nuevo en 2026. Decide el grado de suministro y la clase de instalación, no la facturación.

La diferencia central frente al BSIG anterior: la resiliencia física es un deber autónomo. Antes, la protección del objeto era un capítulo lateral en el plan de ciberseguridad. Ahora el legislador exige análisis de amenazas separado, plan de protección separado y prueba de auditoría separada para el nivel físico. Drones, sabotaje en el perímetro, autores internos, eventos naturales: cada uno es capítulo propio. El proyecto de ley en Bundestag-Drucksache 20/9262 lo deja explícito en § 9 y § 10.

Fecha clave del registro BBK es el 17.07.2026 según el Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Quien no esté registrado, incurre en infracción desde el día uno. Los procedimientos sancionadores avanzan con independencia de si se ha producido un incidente.

Relación con NIS-2: la mayoría de operadores KRITIS están simultáneamente sujetos al NIS2UmsuCG. Los deberes ciber según NIS-2 y los físicos según KRITIS-Dachgesetz se entrelazan, pero se documentan por separado. La duplicación es la regla, no la excepción.

Los 12 deberes en visión operativa

1. Risk-Assessment con análisis de amenazas y plan de protección. Por escrito, fechado, actualizado al menos anualmente. Escenarios de amenaza según metodología BBK.
2. Estado de la técnica en seguridad física y ciber. El legado del § 8a BSIG sigue vigente. Nuevo: componentes físicos como detección perimetral, control de accesos, sensórica. El estado de la técnica se mide en soluciones disponibles en el mercado, no en el deseo de compras.
3. Obligación de notificar incidentes relevantes en 24 horas al BBK y al BSI. Notificación inicial sin forma, informe detallado en 72 horas.
4. Verificación de fiabilidad del personal para roles relevantes en seguridad. Personal de vigilancia conforme §34a GewO sigue siendo el mínimo, pero no basta para posiciones clave.
5. Prueba de patrulla apta para auditoría. Marca temporal, posición, registro de sensor. Los libros de guardia escritos a mano dejan de ser conformes a auditoría a partir de 2026.
6. Planes de emergencia con deber documentado de ejercicios. Al menos un ejercicio completo al año, ejercicios parciales por trimestre.
7. Estructura de gestión de crisis con responsables nombrados. Regla de suplencia obligatoria, disponibilidad 24/7 obligatoria.
8. Gestión de riesgos de proveedores. Empresas de seguridad, proveedores TI, mantenedores pasan a formar parte del perímetro de riesgo.
9. Formación de empleados y concienciación. Obligación de prueba sobre contenido, asistentes, fecha.
10. Deberes de documentación y conservación. Diez años para registros relevantes en seguridad.
11. Colaboración con autoridades. Deber de información, concesión de acceso a inspectores del BBK.
12. Auditoría externa cada dos años. Entidad acreditada, informe al BBK.

Estos doce deberes no son negociables. Su implementación, sí. Quien hoy documenta patrullas con libro en papel, tiene un problema de fondo en el deber 5. Quien no lleva registro de proveedores, no tiene respuesta para el deber 8. La comparación de costes de las vías de implementación la describimos en detalle en Wachschutz Kosten 2026 (comparativa TCO).

Registro BBK paso a paso

El portal BBK exige tres bloques de datos. Primero, datos maestros del operador: razón social, dirección, número de registro mercantil, persona con representación. Segundo, clase de instalación: sector, subsector, categoría de instalación según anexo KritisV. Tercero, ocupación del umbral: grado de suministro concreto con base de cálculo, fecha de corte, fuente.

Firma un miembro del consejo con poder de representación. Personalmente. No está prevista delegación al responsable de seguridad. Quien consta en el registro mercantil con firma colectiva, coordina con el segundo firmante.

Tras el registro llega una confirmación de entrada mediante resolución cualificada. Con eso empieza el deber de actualización continua: cambios en la clase de instalación, en los umbrales, en los responsables deben notificarse en cuatro semanas.

El plazo 17.07.2026 es duro. No hay prórroga. No hay protección de confianza para operadores que reconozcan sus umbrales más tarde. Quien en agosto de 2026 constate que era crítico, ya tendrá un procedimiento sancionador en curso. Siguiente paso: Protección perimetral con patrulla autónoma como prueba constructiva para los deberes 2 y 5.

Marco sancionador y responsabilidad personal de la dirección

El marco sancionador llega hasta 10 millones de euros o el 2 por ciento de la facturación mundial del grupo, el importe que resulte mayor. La cuantía exacta se escalona según infracción. Registro omitido, falta de notificación de incidentes relevantes e infracción sistemática del estado de la técnica llevan al tramo superior.

La responsabilidad personal de la dirección se traslada al derecho alemán de transposición por aplicación análoga del artículo 34 de la Directiva NIS-2 UE 2022/2555. Los directivos responden con patrimonio privado por infracciones que conocían o debían conocer. Los detalles los hemos elaborado en Responsabilidad del consejo según NIS-2.

La prohibición de actividad es la ultima ratio. En reincidencia, la autoridad supervisora puede prohibir al directivo responsable el ejercicio de la dirección. La prohibición puede durar hasta cinco años y se extiende a todas las sociedades en las que la persona ejerza función directiva.

Hay riesgos penales en caso de infracción dolosa del deber de notificación. Quien oculte un incidente notificable para evitar daño reputacional, se expone a persecución penal por infracción del KRITIS-Dachgesetz en concurso con los tipos generales de administración desleal, si la empresa sufre daño.

Dónde la robótica aporta la prueba

El deber 5 es el cuello de botella operativo. Prueba de patrulla apta para auditoría significa: cada patrulla debe poder acreditarse con marca temporal, posición y captura de sensor. Un libro de guardia escrito a mano no cumple. Un libro se puede completar a posteriori, alisar, embellecer. Quien escriba a las 03:14 "ronda realizada, sin incidencias", no puede demostrar que la ronda realmente ocurrió.

La patrulla autónoma cierra esa brecha. El robot de seguridad QR-2 con imagen térmica registra cada movimiento con posición GPS, marca temporal y datos de sensor. El registro es a prueba de manipulación, exportable, conforme al BBK. La imagen térmica documenta alerta temprana en noche y niebla de forma automática, sin que un vigilante tenga que improvisar control visual entre nieve densa.

Patrulla perimetral 24/7 sin huecos de turno significa también: se acabaron los apuntes embellecidos. En cada inspección de auditoría que hemos acompañado, aparecieron en el libro de guardia rondas que, según el sistema de control de accesos, no pudieron haberse realizado. Con robótica desaparece esa discrepancia.

Lo que la robótica no sustituye hay que nombrarlo con honestidad: intervención física, control de personas en la puerta, entrega de llaves, escalado frente a no autorizados. Esas partes siguen siendo humanas y deben cubrirse con personal de vigilancia cualificado conforme §34a GewO. El modelo Robotics-as-a-Service combina ambos niveles: robot para rutina y prueba, humano para intervención y decisión.

Lista operativa para las próximas 14 semanas

El plan presupone que la dirección general aprueba en la semana 1 y libera presupuesto hasta el umbral del plan de protección.

Semanas 1 a 2: cerrar internamente la revisión de sector y umbral. Cartografiar instalaciones, calcular grado de suministro, contrastar con anexo KritisV. Resultado: constatación escrita de si la empresa es crítica, con qué instalaciones, en qué clase de instalación.

Semanas 3 a 6: contrastar el borrador del plan de protección contra el estado de la técnica. Documentar medidas existentes, espejearlas contra las directrices BBK, nombrar las brechas. Al final de la semana 6, el borrador debe estar en una versión que un auditor externo pueda leer.

Semanas 7 a 10: análisis de brechas y decisión de inversión. Cada brecha con marco de coste, plazo de implementación, referencia al deber. Decisión de la dirección al final de la semana 10. Sin esa decisión, el cronograma no alcanza el plazo.

Semanas 11 a 13: implementación de las brechas identificadas. Instalar componentes físicos, poner robótica en servicio, activar el registro de auditoría. Programar formaciones, fijar ejercicio de emergencia.

Semana 14: enviar el registro BBK y archivar la confirmación. Datos maestros, clase de instalación, ocupación del umbral. Confirmación de entrada al archivo de compliance. Con eso, el primer deber está cumplido. Los once restantes corren como deber continuo desde el día del registro.

El cronograma ajustado solo funciona si la dirección decide en la semana 1 quién lidera internamente y qué socio externo entrega. Para operadores suizos y del sur de Alemania, Marcus Köhnlein, Sales Lead Suiza coordina la revisión técnica preliminar en los primeros 14 días.

Quien arranca hoy, cumple el plazo. Quien arranca en junio de 2026, no lo cumple. Para concertar una conversación preliminar estructurada sobre revisión de umbral y borrador de plan de protección, escriba a /es/contact. Traiga la lista de instalaciones. Nosotros entregamos el análisis de brechas.