KRITIS Energía: deberes para suministradores 2026

Las empresas energéticas están en 2026 en el centro de dos olas regulatorias. La KRITIS-Dachgesetz aborda la resiliencia física, NIS-2 la ciberresiliencia, la KritisV define los umbrales. Este texto se dirige a responsables de seguridad y propietarios de activos en operadores de transporte, distribución y generación. Nombramos obligaciones, panorama de amenazas, costes y ruta de implementación con cifras concretas.

KRITIS Energía: qué deben proteger los suministradores en 2026

El sector energético según §2 KritisV abarca seis subsectores: generación eléctrica, transporte, distribución, gas, petróleo y calefacción urbana. Las topologías son heterogéneas. Un operador de transporte protege pocos nudos de alta tensión con criticidad alta. Un operador de distribución gestiona cientos de estaciones locales con menor criticidad individual, pero gran superficie de ataque.

El umbral para suministro eléctrico es de 3.700 GWh anuales o 500.000 personas abastecidas. La KritisV fija para el suministro eléctrico el umbral de 3.700 GWh anuales. Gas, petróleo y calefacción urbana tienen umbrales propios, definidos en el Anexo 1 del reglamento. Quien los supere queda sujeto a las obligaciones del operador según la BSI-Gesetz y, desde 2026, también a la Dachgesetz.

La KRITIS-Dachgesetz amplía las obligaciones a la resiliencia física. Hasta ahora el foco estaba en ciber. Ahora los suministradores deben integrar protección perimetral, control de accesos y detección física en un plan de resiliencia. Los objetivos primarios son subestaciones, casetas de maniobra, estaciones compresoras de gas y convertidoras de líneas HVDC.

Los casos de sabotaje en cables de fibra óptica y líneas eléctricas desde 2022 han redefinido el panorama de amenazas. El atentado contra los cables de datos de la red ferroviaria en octubre de 2022 y el sabotaje de Nord Stream demostraron que las infraestructuras lineales y los emplazamientos no atendidos son vulnerables. Una visión de los sectores afectados está en nuestra página Sectores KRITIS en panorámica.

Marco legal: Dachgesetz, NIS-2 y KritisV interactuando

Tres normativas se entrelazan. La KRITIS-Dachgesetz regula protección física y resiliencia. NIS-2 cubre ciberseguridad y riesgos de cadena de suministro. La KritisV define los umbrales a partir de los cuales una empresa cuenta como operador.

La KRITIS-Dachgesetz define obligaciones de resiliencia física para suministradores energéticos y plazos de notificación de incidentes. La obligación de registro ante el BBK como autoridad competente de registro y supervisión de operadores de infraestructuras críticas aplica en un plazo de tres meses tras superar el umbral. El plan de resiliencia contiene análisis de riesgos, medidas técnicas y organizativas, y procedimientos de notificación de incidentes en 24 horas.

La Directiva NIS-2 obliga a las empresas energéticas a gestión de riesgos y notificación de incidentes con responsabilidad del consejo. El artículo 21 enumera diez medidas mínimas, entre ellas la seguridad física de las instalaciones. El artículo 23 regula los plazos escalonados de notificación: 24 horas de alerta temprana, 72 horas de notificación del incidente, un mes para el informe final.

Las multas alcanzan 10 millones de euros o el 2 por ciento de la facturación anual mundial. Las direcciones responden personalmente por omisiones en medidas de protección y obligaciones de notificación. Las obligaciones están detalladas en nuestra panorámica sobre los Requisitos del KRITIS-Dachgesetz.

Panorama de amenazas 2026: sabotaje, drones, autores internos

Los sobrevuelos de drones sobre subestaciones en el espacio DACH están documentados en los informes de situación del BBK desde 2023. Los perfiles van desde el aficionado al vuelo de reconocimiento dirigido. Un dron de más de 250 gramos en una zona ED-R es de notificación obligatoria, el operador debe poder reaccionar.

El robo de cobre en puestas a tierra y embarrados causa daños de seis cifras por incidente. El valor del material es secundario, dominan los daños derivados por avería y reparación. Un operador de distribución notificó en 2024 un incidente con 480.000 euros de daños frente a un valor de material inferior a 8.000 euros.

Los ataques híbridos combinan sabotaje físico con componente cibernético. Un atacante manipula el sistema de control, en paralelo se activan o desactivan los detectores físicos. Estos escenarios figuran en el informe de situación de la Bundesnetzagentur desde 2023.

Los escenarios de autor interno afectan especialmente a emplazamientos descentralizados sin presencia de personal. Empresas de mantenimiento, subcontratistas y exempleados conocen llaves, códigos y puntos débiles. El tiempo de reacción de servicios de Wachschutz convencionales en emplazamientos no atendidos está entre 20 y 45 minutos, según ubicación y tráfico. En ese tiempo un atacante preparado puede desmontar una puesta a tierra o manipular tecnología de control.

Protección perimetral para subestaciones y plantas de generación

Vallado, videovigilancia y detectores de movimiento son estándar mínimo. Pero solo aportan detección, ninguna verificación y ninguna reacción. Quien asegura una subestación solo con videovigilancia tiene un problema en auditoría: la cadena de reacción termina en la central, no en el lugar del hecho.

Las cámaras térmicas detectan personas de noche, con niebla y vegetación a 200 metros. Son robustas frente a la intemperie, pero estáticas en perspectiva. Los ángulos muertos entre transformadores, instalaciones de maniobra y edificios permanecen.

Las patrullas autónomas cierran la brecha entre sensórica estática y reacción externa de Wachschutz. Un robot recorre el terreno, verifica alarmas in situ y entrega imágenes a la central. El tiempo de reacción cae de 20 a 45 minutos a menos de 90 segundos para detección y verificación.

La detección LiDAR localiza drones a menos de 30 metros de altura, donde los sistemas de radar son ciegos. El radar convencional está diseñado para mayores altitudes, los pequeños multicópteros en aproximación a una subestación vuelan por debajo. LiDAR llena ese hueco.

Un concepto multicapa de detección (sensórica), verificación (robótica) y escalado (central más policía) reduce las falsas alarmas en torno al 80 por ciento frente a la sensórica pura. El motivo: cada alarma se confirma por un segundo sistema antes del escalado.

Robótica en el perímetro energético: QR-2 y QR-3 en operación

El QR-2 patrulla 24/7 en exteriores con detección térmica y de personas en subestaciones. Supera caminos no pavimentados, grava y pendientes hasta el 20 por ciento. Temperatura de servicio de menos 10 a más 45 grados centígrados cubre el espacio DACH. Detalles en la página de producto QR-2 para patrulla 24/7 en exteriores.

El QR-3 está diseñado para emplazamientos de alta seguridad y plantas de generación. Combina LiDAR con detección de drones y mayor capacidad todoterreno. Estaciones convertidoras, recintos de centrales nucleares y puntos finales de HVDC son sus emplazamientos típicos. Especificación en la página QR-3 con LiDAR y detección de drones.

Las rutas de patrulla son configurables por turno, con ventanas temporales aleatorizadas contra reconocimiento de patrones. Un autor interno que conozca el tiempo fijo de ronda de un Wachschutz no tiene un corredor de ataque fiable con una ruta aleatorizada.

La conexión directa se realiza a la central y al SOC del suministrador por canal móvil cifrado con backup redundante. Las alarmas llegan al despachador en menos de dos segundos, incluyendo imágenes.

La robótica documenta cada patrulla con valor probatorio según los requisitos del plan de resiliencia. Marca temporal, posición GPS, datos de sensor e imágenes se almacenan a prueba de manipulación. En auditoría, esta es la forma de prueba que la autoridad de supervisión quiere ver.

Marco de costes: Wachschutz frente a patrulla robótica

Un puesto de Wachschutz 24/7 cuesta entre 15.000 y 25.000 euros mensuales con cobertura completa en tres turnos. La horquilla resulta de región tarifaria, cualificación (§34a, Werkschutz) y recargos por noche y fin de semana. La industria de seguridad muestra escasez de personal y costes salariales crecientes en protección de objetos 24/7, tendencia al alza.

El QR-2 como Robotics-as-a-Service cuesta 3.500 euros mensuales, sin CapEx, con 24 meses de plazo mínimo. Mantenimiento, actualizaciones de software y equipo de sustitución en caso de avería están incluidos. Más sobre el modelo en la página Modelo Robotics-as-a-Service.

En 12 emplazamientos descentralizados resulta una diferencia de más de 1,5 millones de euros anuales entre Wachschutz completo y patrulla robótica pura. La comparativa de costes completa está en nuestro Comparativo TCO Wachschutz.

La entrega se realiza 48 horas tras la firma del contrato, la puesta en marcha por técnicos de Quarero. Mapeo del terreno, definición de rutas y conexión a la central se completan en cinco días laborables.

Los modelos híbridos combinan presencia reducida de Wachschutz con patrulla autónoma. Un puesto en la sede principal, robots en los emplazamientos exteriores no atendidos. En la práctica este es el modelo más económico para operadores de distribución con topología repartida.

Lo que los robots no hacen: intervenciones con uso de fuerza, identificación legal, desescalado social en manifestaciones. Para estas tareas sigue siendo necesario personal humano. Los robots son instrumento de detección y verificación, no sustituyen toda función de vigilancia.

Implementación: plan de 14 semanas para suministradores energéticos

Semanas 1 a 2: inventario de emplazamientos. Todas las instalaciones se clasifican por criticidad, los umbrales de la KritisV se contrastan con el parque propio. Generación, transporte, distribución y gas se registran por separado.

Semanas 3 a 6: análisis de riesgos por emplazamiento. El análisis de brechas de sensórica recoge detección existente, detección ausente y tiempos de reacción. El borrador del plan de resiliencia se elabora en paralelo, coordinado con auditoría interna y asesoría jurídica.

Semanas 7 a 10: operación piloto. Un QR-2 o QR-3 se despliega en una subestación representativa, incluida integración con la central. Objetivo: datos medidos sobre tasas de detección, tasa de falsas alarmas y tiempo real de reacción.

Semanas 11 a 12: planificación de despliegue. Escalonamiento contractual sobre los emplazamientos, formación del personal de seguridad en procedimientos de operación y escalado, ajuste de instrucciones internas.

Semanas 13 a 14: registro ante el BBK, presentación del plan de resiliencia, validación por auditoría interna. La Checklist de 12 obligaciones del KRITIS-Dachgesetz estructura la revisión final antes de la presentación.

El plan funciona para suministradores con lista de activos clara. Con parques fuertemente fragmentados, por ejemplo tras fusiones, la fase 1 se alarga dos a cuatro semanas. Quien incorpore más de 50 emplazamientos en paralelo debería prever además un jefe de proyecto externo.

Responsabilidad del consejo y obligaciones de documentación

La dirección debe documentar las medidas de protección de forma verificable, no solo aprobarlas. Un acuerdo del consejo de vigilancia sin implementación operativa no es defensa en caso de siniestro.

Los protocolos de patrulla, cadenas de alarma y tiempos de reacción forman parte del informe anual de resiliencia. La supervisión no examina el concepto, sino la prueba de eficacia. Una patrulla sin protocolo equivale en auditoría a una patrulla no realizada.

Las aseguradoras exigen cada vez más prueba de detección automatizada para pólizas KRITIS. Quien solo documenta rondas manuales paga primas más altas o pierde la cobertura completa en la renovación. Varias aseguradoras D&O introdujeron en 2024 cláusulas que vinculan la responsabilidad del consejo a medidas técnicas de protección documentadas.

Ante un incidente sin medida de protección documentada se activa la responsabilidad personal según §43 GmbHG. El gerente de una GmbH responde por daños derivados de incumplimiento del deber de diligencia. La concreción en contexto KRITIS está desarrollada en nuestro artículo NIS-2 y responsabilidad del consejo.

La robótica entrega trazas de auditoría sin lagunas que los servicios manuales de Wachschutz estructuralmente no alcanzan. Cada ronda queda probada con marca temporal, traza GPS, datos de sensor e imágenes. No solo es cumplimiento, también es medio de prueba en regulación de siniestros y persecución penal.

El siguiente paso concreto para responsables de seguridad y propietarios de activos: contrastar los umbrales de las propias instalaciones con la KritisV y cotejar las obligaciones por subsector. Los Sectores KRITIS en panorámica enumeran umbrales, competencias administrativas y plazos por subsector del ámbito energético.