KRITIS Aeropuerto: perímetro y antidron 2026

Los operadores aeroportuarios se enfrentan en 2026 a dos marcos normativos paralelos: NIS-2 para ciberseguridad y la KRITIS-Dachgesetz para resiliencia física. Ambos recaen sobre el mismo responsable de seguridad, ambos exigen conceptos de protección documentados. Este texto describe la ejecución operativa en el perímetro: desde la verificación de umbrales hasta la aceptación por parte del BBK.

KRITIS aeropuerto: qué implican los umbrales para operadores de Transporte

Los aeropuertos de tráfico con más de 20 millones de pasajeros al año caen bajo el sector Transporte del marco KRITIS (BSI-KritisV, Anexo 1, categoría aviación). Los umbrales para aeropuertos de tráfico están fijados en la BSI-Kritisverordnung, el §7 regula el ámbito de la aviación. Para aeropuertos medianos con 8 a 20 millones de pasajeros se aplican umbrales adicionales sobre volumen de carga y número de slots.

La KRITIS-Dachgesetz amplía las obligaciones a la resiliencia física, no solo a la seguridad TI. La Bundestag-Drucksache 20/9262 define en los §5 y §11 los requisitos para el sector Transporte y menciona explícitamente protección contra sabotaje, control de accesos y enfoque all-hazards. Los operadores deben presentar un concepto de protección que trate por separado perímetro, airside y landside.

La obligación de registro ante el BBK rige desde el momento de la identificación como instalación crítica. Quien incumpla el plazo se expone a multas de hasta 10 millones EUR o el 2 por ciento de la facturación mundial anual, lo que sea mayor (KRITIS-Dachgesetz-E §42, BT-Drs. 20/9262). La supervisión no comprueba solo la notificación formal, sino la eficacia de las medidas.

Siguiente paso: contrastar el propio concepto de protección con los requisitos de la KRITIS-Dachgesetz para operadores de Transporte.

Arquitectura perimetral en aeropuertos: tres zonas, tres lógicas de sensor

Un aeropuerto no tiene un perímetro homogéneo. Tres zonas exigen tres lógicas de sensor.

Vallado exterior. La detección térmica y la detección de aproximación deben funcionar en cualquier condición de visibilidad: niebla, lluvia, nieve, contraluz. Las cámaras fijas proporcionan vigilancia continua de la línea, las plataformas móviles verifican alarmas in situ. Trepa, excavación y corte deben detectarse por separado.

Plataforma y airside. Las runway incursions son los incidentes de seguridad más costosos. La patrulla persistente reduce la probabilidad de que personas o vehículos entren sin detección en zonas de rodaje. Las soluciones CCTV clásicas fallan por distancia y por objetos móviles en el plano.

Zonas de carga. Aquí se combina control de accesos con verificación fuera del campo de visión de la cámara. Contenedores, camiones y muelles de carga generan ángulos muertos. La sensórica móvil cierra estos huecos.

La arquitectura híbrida funciona: cámaras fijas cubren líneas, los robots cierran ángulos muertos y verifican. Lo decisivo es la latencia entre la alarma y la verificación. Por encima de 90 segundos: el intruso desaparece antes de que llegue la patrulla. Por debajo de 90 segundos sigue siendo posible una reacción operativa.

Siguiente paso: mapeo de sensores por zona, documentado en la lista de comprobación Dachgesetz 2026.

Antidron como elemento obligatorio según KRITIS-Dachgesetz

Los drones son la causa más frecuente de runway closures en Europa. La KRITIS-Dachgesetz menciona la detección de drones de forma implícita vía enfoque all-hazards, la LuftSiG completa los requisitos.

QR-3 con detección de drones capta objetos por LiDAR y sensórica RF en un radio de 400 metros (ficha técnica QR-3, Rev. 2025-Q4). La detección es obligación del operador. La neutralización activa, es decir, inhibidores o defensa cinética, sigue siendo competencia exclusiva de la Bundespolizei. Esta separación es jurídicamente vinculante. Un operador privado que interfiera activamente vulnera la legislación de telecomunicaciones y la ley de aviación.

Las coordenadas geográficas del dron detectado se transfieren a la sala de control en menos de 5 segundos (ficha técnica QR-3, Rev. 2025-Q4). La integración en el centro de mando existente se realiza vía API estándar, sin sustituir el software de sala de control. Los incidentes se registran de forma conforme a BSI. La obligación de notificación en 24 horas también se aplica a sobrevuelos de dron intentados, no solo a intrusiones consumadas (LuftSiG §16b en relación con KRITIS-Dachgesetz-E §11).

Importante para la documentación frente al BBK: la matriz de escalado debe nombrar explícitamente la transferencia a la Bundespolizei. De lo contrario surge la apariencia de que el operador excede sus competencias.

Siguiente paso: cotejar el radio de detección de drones con los corredores de aproximación y marcar los sectores ciegos.

Comparativa TCO: puesto fijo de vigilancia frente a patrulla autónoma

Un puesto de vigilancia 24/7 en un aeropuerto cuesta entre 15.000 y 25.000 EUR al mes (Bundesverband der Sicherheitswirtschaft BDSW, encuesta salarial 2024). La horquilla resulta del convenio aplicable, los recargos por turnos nocturnos y festivos y el nivel de cualificación según §34a GewO o Sachkundeprüfung ampliada de seguridad aérea.

QR-3 con detección de drones cuesta en modelo RaaS sin CapEx 3.800 EUR al mes (lista de precios Quarero Robotics 2026, bajo solicitud). Tres puestos de vigilancia en el vallado exterior se pueden sustituir por dos QR-3 más una función centralizada de sala de control. El personal pasa al rol de verificación y escalado. Allí se le necesita de todos modos según LuftSiG.

El umbral de ROI se alcanza en aeropuertos medianos en un plazo de 7 meses (cálculo TCO interno de Quarero Robotics, base: tres puestos a 18.000 EUR/mes). La entrega se realiza en 48 horas, plazo mínimo de contrato 24 meses, la formación del personal operativo queda por debajo de 4 horas.

Honestidad sobre el trade-off: los robots sustituyen patrullas en el vallado y en pasillos de carga. No sustituyen al controlador en filtros de pasajeros, ni al Bundespolizist, ni al jefe de turno. Quien vende automatización total vende un problema jurídico.

Siguiente paso: comparativa detallada de costes de Wachschutz según el tamaño del propio emplazamiento.

Concepto de protección para KRITIS aeropuerto: qué comprueba la supervisión

El BBK comprueba la eficacia, no solo la existencia de medidas de protección. Un concepto de protección que enumera sensores pero no documenta tiempos de reacción no supera la revisión.

El enfoque all-hazards exige considerar sabotaje, sobrevuelo de drones, evento natural y amenaza híbrida. Híbrido significa aquí: ataque coordinado con dron como distracción y penetración terrestre en el tramo de vallado opuesto. Tales escenarios deben estar cubiertos en ejercicios.

La redundancia a nivel de sensor es obligatoria: como mínimo dos vías de detección independientes por zona. Un fallo de cámara no puede generar una brecha de protección. Cámara térmica más LiDAR sobre plataforma móvil cumple este requisito, doble CCTV con la misma alimentación eléctrica no.

Ejercicios al menos una vez al año, documentados con tiempos de reacción y lessons learned. La supervisión pregunta por marcas de tiempo concretas: alarma a las 14:32:17, verificación a las 14:33:09, escalado a las 14:33:45. Quien no tiene marcas de tiempo no tiene ejercicio documentado.

El responsable ante las autoridades se designa nominalmente, la suplencia está regulada y también documentada. En caso de incidente, la accesibilidad debe estar garantizada en un plazo de 60 minutos.

Siguiente paso: contrastar el concepto de protección con el registro BBK paso a paso.

Protección de datos y cogestión en el uso de robots airside

Los robots de seguridad captan datos de imagen. Esto activa obligaciones RGPD, también cuando el uso se produce airside y por tanto fuera de áreas de acceso público.

La detección de personas se realiza anonimizada. Sin identificación biométrica, sin cotejo facial, sin enlace con expedientes de personal. El robot detecta persona, vehículo, dron como clases de objeto, no como identidades.

Una evaluación de impacto RGPD es obligatoria antes de la puesta en servicio, documentada según el art. 35 RGPD. El delegado de protección de datos firma; en aeropuertos grandes se recomienda concertación con la autoridad de control competente del Land.

Hay que implicar al comité de empresa en cuanto los robots patrullen zonas de trabajadores, no solo airside en pasillos de personal, sino también en zonas de descanso o en vías de plataforma que utiliza el personal de tierra. El §87 BetrVG se aplica a instalaciones técnicas de vigilancia.

La grabación se limita a 72 horas (práctica recomendada según la orientación DSK sobre videovigilancia, edición 2023). Almacenamiento más largo solo en caso de incidente documentado con número de expediente. Los carteles informativos según §4 BDSG deben colocarse de forma visible en todas las zonas de patrulla, en varios idiomas en aeropuertos internacionales.

La norma de referencia para robots en entorno con personas es la EN ISO 13482. Regula los requisitos de seguridad para robots de servicio autónomos y es condición previa para el marcado CE.

Siguiente paso: agendar la evaluación de impacto RGPD con el comité de empresa y el delegado de protección de datos, antes del inicio del piloto.

Integración en la organización de seguridad aérea y Bundespolizei

Los robots complementan al personal humano. En situaciones de escalado no lo sustituyen. Este límite debe constar con claridad en el concepto de protección. Si falta, surgen cuestiones de responsabilidad.

La interfaz con la sala de control de la Bundespolizei se acuerda según LuftSiG. ¿Qué eventos se transmiten automáticamente, cuáles filtra previamente la sala de control del operador? En caso de alarma de dron rige: transferencia inmediata, en paralelo a la verificación interna.

La matriz de escalado sigue cuatro pasos. Detección por sensor o robot. Verificación por el operador en sala de control. Notificación a la jefatura de turno interna y, según la situación, a la Bundespolizei. Transferencia de la dirección operativa a la llegada de las fuerzas policiales. Cada paso se registra con marca de tiempo.

Los relevos de turno se documentan. El estado del robot, es decir, nivel de batería, avisos de mantenimiento, ruta de patrulla actual, forma parte del briefing de situación. Quien lo deja al operador sin responsabilidad clara arriesga huecos en el cambio de turno.

El manejo del robot se transmite en 4 horas: parada de emergencia, control manual y consultas estándar en el puesto de control. La configuración más compleja queda en el soporte del fabricante.

NIS-2 complementa, en paralelo a la KRITIS-Dachgesetz, los requisitos cíber para operadores de Transporte. Las interfaces entre robots y sala de control caen bajo el art. 21 NIS-2 como parte de los sistemas de red e información. Cifrado, registro de accesos y gestión de parches deben acreditarse.

Siguiente paso: acordar y firmar la matriz de escalado con la Bundespolizei.

Ejecución: 14 semanas del audit a la patrulla operativa

La ejecución en un aeropuerto mediano sigue un calendario realista, siempre que las coordinaciones internas arranquen a tiempo.

Semanas 1 a 3. Análisis de riesgos según KRITIS-Dachgesetz, zonificación del perímetro en vallado exterior, airside, carga, landside. Mapeo de sensores por zona, incluidas condiciones de iluminación, sombras de radio e infraestructura existente.

Semanas 4 a 6. Concepto de protección redactado, acordado internamente con dirección, protección de datos, comité de empresa. Coordinación externa con Bundespolizei y BBK. Incorporar los primeros retornos.

Semanas 7 a 10. Piloto con dos QR-3 en la zona de carga. Esta zona es adecuada: abarcable, reglas de acceso claras, menor sensibilidad RGPD que las áreas de pasajeros. Recogida de datos sobre falsos positivos, alcance de detección, latencias.

Semanas 11 a 12. Extensión al vallado exterior. Conexión de la sala de control vía API, prueba de la transferencia a la interfaz de la Bundespolizei. Documentación de los tiempos de reacción.

Semanas 13 a 14. Aceptación, formación final del personal, registro BBK finalizado. Paso a operación con KPIs definidos: tasa de detección, tasa de falsos positivos, tiempo medio de verificación.

Qué puede salir mal. El retraso en la audiencia del comité de empresa cuesta típicamente 4 a 6 semanas (valor empírico de proyectos piloto de Quarero 2024–2025). La implicación temprana lo evita. Las sombras de radio en paredes de hangar exigen repetidores adicionales, mejor identificadas en la semana 3 que en la semana 11.

La especificación técnica y las modalidades del piloto están disponibles en QR-3 con detección de drones.