Centro logístico KRITIS: deberes y protección 2026
Centro logístico KRITIS: umbrales, registro BBK, protección perimetral y plan de 14 semanas para directores desde 100.000 m².
Un centro logístico de 100.000 m² o más no es un almacén. Es un nodo de abastecimiento. En cuanto la capacidad de manipulación supera los umbrales del KritisV, rigen los mismos deberes que para una subestación o una clínica. Este texto se dirige a directores de planta y responsables de seguridad que necesitan saber qué pruebas examinará el BBK en 2026 y cómo se compone un concepto de protección capaz de pasar una auditoría externa.
Centro logístico KRITIS: cuándo un emplazamiento entra en el Dachgesetz
El KRITIS-Dachgesetz (Ley marco KRITIS) se dirige a instalaciones cuyo fallo pone en peligro el abastecimiento de la población. Para logística hay dos disparadores. Primero: una capacidad de manipulación superior a 17 millones de toneladas anuales. Segundo: la función como componente crítico en cadenas de suministro de los sectores alimentación, salud o energía. Un almacén central que sostiene la distribución farmacéutica de una región queda bajo la ley incluso por debajo de 17 millones de toneladas. Lo decisivo es la importancia en la cadena, no el tonelaje aislado. La base jurídica está en el proyecto de la Bundestag-Drucksache 20/9262.
Para el sector KRITIS Transporte y Tráfico, la Ordenanza BSI-KritisV concreta las categorías de instalaciones. Los centros de transporte de mercancías con relevancia suprarregional están incluidos, así como los nodos con más de 50.000 envíos al día. Los hubs de cross-docking del sector CEP superan ese umbral con regularidad.
Quien es operador KRITIS queda en paralelo bajo NIS-2. Surgen así dos regímenes en un mismo emplazamiento: seguridad física según el Dachgesetz, ciberseguridad según NIS-2. Ambos exigen gestión de riesgos, vías de notificación y responsabilidad personal de la dirección. La Directiva NIS-2 lo regula en los artículos 20 y 21.
La obligación de registro ante el BBK rige dentro de los tres meses tras la entrada en vigor o tras superar el umbral. Quien no se registra arriesga multas de hasta 10 millones de euros o el 2 por ciento de la facturación del grupo según el borrador actual de la Bundestag-Drucksache 20/9262. El siguiente paso es una comprobación limpia de los umbrales: sectores KRITIS en resumen.
Panorama de amenazas 2026: qué afecta concretamente a los centros logísticos
Los centros logísticos tienen una superficie de ataque propia. Las rampas de carga son puertas abiertas con ventanas horarias definidas. Las áreas de cross-docking transportan mercancía sin almacenamiento intermedio, cualquier interrupción repercute de inmediato en el envío. Las cadenas de frío reaccionan a cortes de energía con pérdida total en cuestión de horas.
El robo de carga causa según los datos sectoriales del BDSW un daño documentado de 1.300 millones de euros anuales en Alemania. El sabotaje a instalaciones de refrigeración o a la técnica de clasificación de un centro de cross-docking actúa en cascada: un fallo de ocho horas en un hub farmacéutico central afecta a 1.200 farmacias al día siguiente.
Los sobrevuelos de drones para reconocimiento son la normalidad desde 2025. Se observan horarios de carga, rutas de camiones, cambios de turno y la posición del Werkschutz. Un dron por encima de 200 metros de altura no es detectable ópticamente, la detección RF es obligatoria.
Los autores internos con tarjeta de acceso responden, según el estudio del BDSW, del 38 por ciento de todos los incidentes registrados. En transportistas subcontratados y trabajadores temporales del área de picking la cuota es mayor. Los ataques híbridos combinan intrusión física con manipulación de IT en el Warehouse Management System. Un albarán falsificado y un código de puerta manipulado bastan para que un camión real abandone el recinto con mercancía no liberada.
Obligación de concepto de protección según KRITIS-Dachgesetz: contenidos mínimos
El Dachgesetz exige un enfoque de todas las amenazas. Se deben documentar eventos naturales, sabotaje, terrorismo, autores internos y ataques ciberfísicos. Un concepto de protección que solo aborda el robo no pasa la auditoría.
El perímetro se divide en tres zonas. Zona 1: valla exterior con alerta temprana. Zona 2: patio con rampas de carga, parking de trailers, estación de combustible. Zona 3: zona de alta seguridad con sala de control, sala de servidores y terminal WMS. Cada zona necesita detección propia, verificación propia, escalado propio.
El tiempo de detección a verificación debe estar por debajo de 90 segundos y demostrarse de forma medible. No es una promesa SLA, es objeto de auditoría. El auditor exige logs del VMS y del sistema de control.
Redundancia significa: ningún punto único de fallo. Corte de corriente, interferencia de radio, baja de personal: cada escenario necesita un fallback documentado. SAI para sistemas de detección, canales de radio alternativos, guardia localizada con dos personas independientes.
Las vías de notificación al BBK son vinculantes. Las incidencias significativas se notifican en 24 horas, un informe completo sigue en 72 horas. El concepto de protección debe revisarse cada dos años por un auditor independiente. Una revisión interna no basta.
Protección perimetral con robots de patrulla: arquitectura para más de 100.000 m²
Un emplazamiento de 100.000 m² tiene típicamente entre 1.400 y 1.800 metros de línea de valla. Una ronda de personal tarda entre 35 y 45 minutos. En ese tiempo, el 95 por ciento del perímetro queda sin observación. Los robots de patrulla cambian esta matemática.
El QR-2 perímetro exterior cubre la valla exterior. La imagen térmica detecta personas con niebla y oscuridad hasta 80 metros. El robot opera 24/7 en exteriores, dos unidades cubren una línea de 1.500 metros con detección a verificación por debajo de 60 segundos.
El QR-3 con detección de drones asegura la zona de puertas y rampas. El LiDAR reconoce personas, vehículos y aproximaciones no autorizadas a las rampas de carga. El reconocimiento de firma RF detecta drones en el espacio aéreo hasta 1,2 km de alcance. En un hub de cross-docking con 40 puertas, un QR-3 por lado de rampa es la dotación estándar.
El QR-1 cubre superficies interiores: naves de almacén, bloques de oficina, área de cross-docking. La cámara RGB más el reconocimiento de anomalías acústicas registra rotura de cristal, gritos, ruidos de máquina inusuales. El volumen de una clasificadora está en 78 dB, el sistema se calibra a esa carga base.
Los puntos de transición entre zonas necesitan una latencia definida por debajo de 5 segundos para el reenvío de datos al centro de control. La integración con el control de accesos existente y el VMS funciona vía ONVIF Profile S y T. Una solución aislada propietaria será objetada por el auditor.
Comparativa TCO: vigilante 24/7 frente a patrulla robótica
Un puesto de vigilancia clásico 24/7 cuesta entre 15.000 y 25.000 euros al mes. Incluye cargas sociales según Manteltarifvertrag, suplencia de vacaciones y recargos por turnos de noche, domingo y festivo. A esto se suman certificación §34a y Sachkundeprüfung. El límite inferior aplica en ubicaciones rurales con nivel salarial bajo, el superior en zonas metropolitanas.
Un QR-2 en el modelo Robotics-as-a-Service está en 3.500 euros al mes. Sin CapEx, plazo de entrega de 48 horas, duración mínima de 24 meses. Mantenimiento, actualizaciones de software y reemplazo de hardware están incluidos.
El modelo híbrido es la recomendación operativa. Un vigilante en la portería más tres robots en patrulla de ruta sustituyen entre seis y ocho puestos con cobertura comparable. El puesto en la portería se mantiene porque la entrada de camiones, el control de acceso y el escalado requieren decisión humana.
La escasez de personal en el sector de vigilancia es estructural. El BDSW declara un 22 por ciento de puestos sin cubrir, con tendencia al alza. Robots adicionales están operativos en 48 horas, una contratación con formación §34a tarda entre 8 y 14 semanas. Quien presenta el concepto de protección en febrero de 2026 e inicia el piloto en abril no tiene dos trimestres para reclutar.
Cálculo detallado en la comparativa TCO de costes de vigilancia.
Plan de 14 semanas: del registro a la auditoría
Semanas 1 a 2: preparar y presentar el registro BBK. Documentar la comprobación de umbrales. Nombrar por escrito al responsable KRITIS con suplencia. La designación es decisión del consejo, no tarea de recursos humanos.
Semanas 3 a 5: análisis de riesgos según enfoque de todas las amenazas. Dibujar el concepto de zonas, elaborar el análisis de brechas de las medidas existentes. El resultado es una lista de medidas priorizadas con cifras de inversión.
Semanas 6 a 8: piloto con dos QR-2 y un QR-3. Medir detección a verificación, conectar datos al centro de control, probar interfaces con WMS y sistema de accesos. La fase piloto produce los logs que el auditor quiere ver.
Semanas 9 a 11: despliegue a cobertura total. Formar al Werkschutz, distribuir matriz de escalado, realizar simulacro con cadena de notificación documentada. Un simulacro por trimestre es el mínimo.
Semanas 12 a 14: preparación de auditoría. Documentar el concepto de protección, encargar una pre-auditoría externa, presentar al BBK. Quien se retrasa aquí pierde la siguiente ventana de auditoría y con ella un año.
Una cronología diaria para las dos primeras semanas está en la checklist del Dachgesetz con plan de 14 semanas. La guía operativa para el alta inicial está en el registro BBK paso a paso.
Responsabilidad del consejo y del director de planta
La responsabilidad personal de los órganos de dirección no es una magnitud teórica en 2026. El artículo 20 de NIS-2 y el borrador del Dachgesetz se dirigen directamente a la dirección. Ante el incumplimiento del deber de cuidado responde la persona, no solo la empresa.
La decisión documentada del consejo sobre la arquitectura de seguridad es prueba obligatoria. Un acta con acuerdo sobre concepto de protección, presupuesto y responsabilidad debe constar en los archivos. Una aprobación verbal en el consejo no basta.
Los seguros D&O no cubren regularmente la culpa grave ante un concepto de protección ausente. La póliza debe revisarse en detalle antes de que el consejo confíe en la cobertura. Un mediador de seguros con experiencia KRITIS forma parte de la preparación.
El responsable de seguridad necesita un mandato escrito con responsabilidad presupuestaria. Sin ese mandato falta la prueba de una organización funcional. El auditor pregunta por el organigrama, la descripción del puesto y la partida presupuestaria.
La omisión de una notificación al BBK dentro de 24 horas es un tipo de multa propio. Quien advierte un incidente el viernes por la noche y lo notifica el lunes por la mañana ya ha incurrido en el tipo, con independencia del incidente. La cadena de notificación debe funcionar 24/7.
Siguiente paso
Un director de planta que a inicios de 2026 todavía no ha presentado un concepto de protección trabaja contra el reloj. La pregunta no es si el BBK examinará, sino cuándo. Un plan de 14 semanas es ambicioso pero factible si el piloto y la documentación de auditoría avanzan en paralelo.
Quien quiere una evaluación del propio emplazamiento con concepto de zonas, plan de dotación y cálculo TCO concierta una primera reunión técnica vía el formulario de contacto Quarero Robotics. Deben aportarse plano del recinto, longitud de valla, tonelaje y la asignación sectorial de los principales clientes.