Sectores KRITIS: clasificación y umbrales 2026

El KRITIS-Dachgesetz (Ley marco KRITIS) clasifica en 2026 diez sectores de infraestructura crítica. Quien alcanza los umbrales es registrado por el BBK, se inscribe en el portal de notificación y elabora un concepto de protección. Este texto entrega la lista sectorial, las cifras de la KritisV y los pasos operativos. No sustituye al asesoramiento jurídico. Sí sustituye la consulta de cinco fuentes distintas.

Sectores KRITIS según el Dachgesetz: panorama completo

El KRITIS-Dachgesetz nombra Energía, Agua, Alimentación, Tecnología de la Información y Telecomunicaciones, Salud, Finanzas y Seguros, Transporte, Gestión de Residuos Urbanos, Espacio y Administración Pública. Cada sector tiene su propio reglamento de categorías con umbrales numéricos (Bundestag-Drucksache 20/9262).

El sector Espacio se añadió con el borrador de 2024. Cubre estaciones terrestres, centros de control satelital e infraestructura de telemetría. Quien opera satélites o recibe datos de constelaciones revisa esta categoría primero, porque falta en panorámicas más antiguas.

Los residuos urbanos están reclasificados. Las plantas de tratamiento desde 500.000 equivalentes-habitante entran en el ámbito de aplicación. Incineradoras, tratamiento mecánico-biológico y plantas de clasificación de grandes asociaciones municipales están afectadas.

La asignación sectorial no es voluntaria. La Oficina Federal de Protección Civil y Ayuda en Catástrofes identifica a los operadores según los umbrales (BBK). Quien supera los umbrales es KRITIS, con independencia de si se autoinscribe.

La asignación múltiple es regla, no excepción. Las empresas municipales (Stadtwerke) operan Energía, Agua y a menudo Transporte (transporte público) en paralelo. Quedan sujetas a tres obligaciones sectoriales simultáneas, con tres categorías de instalaciones y tres cadenas de notificación. La visión detallada de los sectores KRITIS enumera las categorías por sector.

Umbrales: cuándo una empresa pasa a ser KRITIS

Los umbrales están en la BSI-KritisV, vinculantes y numéricos (gesetze-im-internet.de). Sector Energía: 3.700 GWh anuales de generación eléctrica, 420 MW de potencia instalada, 104 km de red de alta tensión desde 110 kV. Gas y derivados del petróleo tienen umbrales propios en el mismo reglamento.

Sector Agua: 22 millones de metros cúbicos de agua potable al año o 500.000 habitantes conectados. Aguas residuales sigue una métrica distinta en equivalentes-habitante. Quien alcanza uno de los valores queda registrado. Los demás pueden quedar por debajo.

Sector Salud: hospitales desde 30.000 casos estacionarios al año. Distribuidores de farmacias, laboratorios y fabricantes de medicamentos con receta tienen umbrales propios. Los detalles de las obligaciones clínicas están en el artículo sobre hospitales en el sector Salud.

Sector Transporte: aeropuertos con más de 20 millones de pasajeros al año, puertos con más de 8 millones de toneladas de carga, redes ferroviarias desde 300.000 tren-kilómetros diarios. Los centros logísticos quedan registrados por volumen de envíos y función de nodo.

Los valores se revisan cada dos años. Quien en 2024 estaba por debajo del umbral puede estar registrado en 2026. Causas: aumento de la potencia generada, crecimiento del número de pacientes o reducción del umbral. La autoevaluación pertenece al proceso de cierre anual.

Sector Energía: el grupo más grande, la mayor superficie de ataque

El sector Energía tiene la mayor longitud de perímetro vallado de todos los sectores. Subestaciones, centrales, parques eólicos, depósitos de gas y de combustibles suman varios miles de kilómetros de frontera exterior en Alemania. Cada una de estas instalaciones es un objetivo potencial.

Según el informe de situación del BBK, los incidentes de sabotaje en subestaciones se han cuadruplicado desde 2022 (Informe BBK 2024). Incendios provocados en galerías de cables, robo de cobre con daño colateral, sobrevuelos de drones con intención de reconocimiento están documentados. La amenaza no es abstracta.

Los avistamientos de drones sobre instalaciones energéticas son de notificación obligatoria según el § 11 del KRITIS-Dachgesetz. Quien no detecta tampoco puede notificar. La detección requiere LiDAR o sensores RF en el perímetro. QR-3 con LiDAR y detección de drones entrega ambas modalidades en una sola plataforma.

La amenaza híbrida exige defensa física y cibernética en paralelo. La Directiva NIS-2 aplica de forma acumulativa con el Dachgesetz. Quien sólo endurece el servidor y deja abierta la puerta ha fallado en ambas regulaciones.

Los tamaños habituales de instalación van de 80.000 a 400.000 metros cuadrados de perímetro por emplazamiento. De dos a cuatro unidades QR-2 sustituyen a la Streife clásica en esta superficie y entregan un track continuo en lugar de rondas puntuales.

Sector Salud: hospitales bajo doble regulación

Los hospitales desde 30.000 casos están sujetos a KRITIS. Las clínicas menores caen frecuentemente bajo NIS-2 como entidades esenciales. La doble regulación es estándar, porque los datos de pacientes, la seguridad asistencial y las cadenas de suministro críticas deben protegerse al mismo tiempo.

Las obligaciones físicas incluyen control de acceso 24/7 a urgencias, protección del suministro eléctrico de emergencia contra manipulación y almacenamiento seguro de estupefacientes y medicamentos de alto riesgo. Estos objetivos de protección figuran en la KritisV y en los estándares sectoriales de la DKG.

Los costes del servicio de seguridad en clínicas en 2026 oscilan entre 18.000 y 26.000 euros mensuales por Posten 24/7, según el Manteltarifvertrag y la región (BDSW Cifras, Datos, Hechos 2025). El desglose en comparativa de costes del servicio de seguridad muestra el rango.

QR-1 con detección de audio sirve para rondas internas en zonas no clínicas como plantas técnicas, párkings subterráneos y zonas de descarga. QR-2 protege accesos de proveedores, punto limpio y helipuerto. El contacto con el paciente lo realiza el personal, nunca el robot.

La dirección responde personalmente ante incumplimiento probado. El mecanismo corresponde a la responsabilidad del consejo conforme a los artículos 20 y 21 de NIS-2. Las pólizas D&O excluyen de forma regular el incumplimiento doloso, la responsabilidad alcanza al patrimonio privado.

Sector Transporte: puertos, aeropuertos, nodos logísticos

Las terminales de contenedores con más de 8 millones de toneladas de movimiento están registradas. Hamburgo, Bremerhaven y Wilhelmshaven están muy por encima del umbral; puertos especializados menores lo alcanzan vía graneles. El ámbito de aplicación cubre muelles, zonas de grúas y conexiones de hinterland.

Los perímetros de estas terminales superan con regularidad 1 millón de metros cuadrados. La Streife humana no es viable económicamente en esta superficie. Dos rondas por turno cubren menos del 20 por ciento del perímetro en una frecuencia útil. (Valor de referencia interno; documentación fuente disponible bajo petición.)

La detección térmica de personas de noche es función obligatoria. QR-2 entrega flujo FLIR-Boson directamente al SOC, con clasificación humano vs. animal vs. vehículo. Esta clasificación reduce la tasa de falsa alarma a un orden de magnitud que un despachador puede procesar.

En la red ferroviaria, los puestos de mando y los portales de túneles se consideran componentes críticos según el § 7 de la KritisV. Quien opera un puesto de mando que controla más de una carga de línea definida es KRITIS. El umbral no es la estación, sino la función.

Las auditorías de resiliencia serán obligatorias a partir de 2027. La prueba de las medidas físicas de protección se entrega al BBK, con documentación de instalación, cadenas de detección y tiempos de reacción. Quien usa robótica entrega estos datos automáticamente desde el registro operativo.

Asignación sectorial en la práctica: autoevaluación y notificación al BBK

Paso uno: contrastar los valores anuales con los umbrales de la KritisV. La fecha de referencia es el 31 de marzo del año siguiente. La potencia generada, el volumen de agua, los casos de pacientes y el tonelaje se extraen del cierre anual y de las estadísticas operativas. Un Excel con umbrales y valores reales pertenece a cada expediente de compliance.

Paso dos: registro en el portal del BBK dentro de los tres meses siguientes a alcanzar el umbral. La registro ante el BBK paso a paso explica el procedimiento con formularios y campos obligatorios. El registro tardío es un supuesto sancionador autónomo.

Paso tres: designación de un responsable KRITIS con suplente. Sin doble función con el responsable de seguridad TI, porque los objetivos físicos y digitales pueden generar prioridades en conflicto. Responsable y suplente se notifican al BBK nominalmente.

Paso cuatro: elaborar el concepto de protección, físico y digital, con análisis de riesgo, catálogo de medidas y prueba de eficacia. Actualización cada dos años o de inmediato ante cambio sustancial de la situación. La Checklist KRITIS-Dachgesetz con plan de 14 semanas entrega el índice.

Paso cinco: notificaciones de incidentes a través del portal único de notificación. Plazo para perturbaciones relevantes: 24 horas tras tener conocimiento. Comunicación de seguimiento con informe detallado en 72 horas. Quien detecta el incidente con retraso documenta el momento del conocimiento; el portal lo acepta como inicio del plazo.

Sanciones por no notificación sectorial o incumplimiento

Las multas alcanzan hasta 10 millones de euros o el 2 por ciento de la facturación mundial del grupo (KRITIS-Dachgesetz RefE, § 62). La cuantía deriva de la transposición de NIS-2 y se ancla en paralelo en el Dachgesetz. Rige el valor más alto, lo que en grupos consolidados rápidamente significa cifras de dos dígitos en millones.

La dirección responde personalmente en caso de incumplimiento. La asegurabilidad es limitada, porque el dolo y la culpa grave quedan habitualmente excluidos de las pólizas D&O. El gerente que pasa por alto la notificación KRITIS arriesga su patrimonio privado.

Las órdenes de prohibición son posibles ante incumplimientos reiterados. El cierre operativo es la ultima ratio. En el suministro de energía y agua prácticamente no entra en consideración. En logística y salud es regulatoriamente concebible. Se preparan soluciones de operador sustituto.

El BBK puede ordenar auditorías y desplegar auditores externos a costa del operador. El honorario está en el rango de seis cifras, a lo que se suman costes de acompañamiento y subsanación. (Valor empírico de la práctica sectorial; sin fuente oficial disponible.) Una auditoría ordenada es regularmente más cara que evitarla con compliance ordenado.

El daño reputacional ante incumplimientos públicos suele superar la cuantía de la multa. Quien aparece en prensa como un fracaso KRITIS pierde clientes, condiciones de crédito y confianza del personal. El efecto financiero supera regularmente a la multa. Es difícil de cuantificar, pero regularmente mayor que la propia sanción.

La robótica como respuesta operativa a las obligaciones KRITIS

La documentación sin lagunas es el requisito operativo. Cada patrulla entrega marca de tiempo, track GPS y datos de sensores. Estos datos son aptos para auditoría y se archivan sin esfuerzo adicional. Ante una auditoría del BBK, un clic entrega el historial de rondas de los últimos 24 meses.

El modelo Robotics-as-a-Service evita CapEx y encaja con el ciclo bienal del concepto de protección. Cuota mensual de servicio en lugar de inversión, duración contractual sincronizada con la actualización del concepto de protección. Quien pierde la obligación KRITIS cancela el servicio. Quien escala añade unidades.

El plazo de entrega de 48 horas desde el pedido permite reaccionar ante una amenaza aguda sin demoras de licitación. La compra de inversión clásica en grupos dura de tres a nueve meses. Ese plazo no encaja con un aumento de sabotaje en el trimestre en curso.

Escalado como valor empírico: un QR-2 por cada 200.000 metros cuadrados de superficie exterior en perímetros industriales DACH. En edificación densa o vegetación alta el valor baja, en superficies abiertas sube. La cifra exacta la entrega el Site Survey.

Arranque piloto con una unidad, ampliación tras evaluación de 90 días. Quien ha verificado su sector en la visión detallada de los sectores KRITIS inicia con la solicitud de piloto a Marcus Köhnlein. El Site Survey y la verificación de umbrales forman parte de la conversación inicial.