Certificación KRITIS: selección de organismo auditor, auditoría y obligación de prueba

La elección del organismo auditor decide el éxito del procedimiento de acreditación. Un auditor inadecuado prolonga el proceso varios meses y genera informes de defectos que el consejo de administración debe aprobar por escrito. Este artículo resume los requisitos del §8a BSIG, la próxima KRITIS-Dachgesetz y la práctica de auditoría 2024 y 2025. Destinatarios son responsables de seguridad y de compliance que en el ciclo 2026 deben aportar la prueba por primera vez o nuevamente.

Certificación KRITIS organismo auditor: marco legal

El §8a apdo. 3 BSIG obliga a los operadores a demostrar cada dos años ante el BSI la adopción de medidas adecuadas. La prueba se realiza mediante auditorías de seguridad, exámenes o certificaciones por parte de un organismo auditor cualificado. La BSI-Kritisverordnung regula los umbrales y la forma de prueba.

La KRITIS-Dachgesetz amplía a partir de 2026 la obligación a la resiliencia física, no solo TI. La Bundestag-Drucksache 20/9262 introduce el enfoque all-hazards: peligros naturales, fallos técnicos, amenazas híbridas y sabotaje se consideran al mismo nivel.

Los organismos auditores deben demostrar competencia sectorial específica, por ejemplo en energía, agua, salud o transporte. La acreditación no la otorga el BSI mismo, sino una evaluación técnica de idoneidad mediante DAkkS o asociaciones sectoriales. El BSI mantiene una lista de organismos reconocidos, pero la inscripción formal no garantiza idoneidad sectorial.

Próximo paso concreto: revisar los requisitos KRITIS en visión general antes de contactar a un organismo auditor.

Requisitos de acreditación para organismos auditores

Los auditores necesitan al menos tres años de experiencia profesional en seguridad de la información o protección física. Es obligatoria la prueba de cualificación como ISO 27001 Lead Auditor, asesor BSI IT-Grundschutz o equivalente. Para la auditoría bajo Dachgesetz se añaden cualificaciones en protección física: técnico de seguridad, Werkschutzmeister o Sachkundeprüfung §34a en combinación con experiencia documentada en auditoría.

Los organismos auditores deben documentar independencia frente al operador. Ninguna prestación de consultoría en los últimos 24 meses. Quien haya construido el ISMS no puede auditarlo. Esta separación se exige expresamente en los informes de auditoría y el BSI la verifica por muestreo.

El estándar sectorial de seguridad (B3S) debe ser dominado por el auditor y referenciado en los informes. Para energía rige el BDEW-Whitepaper, para hospitales el B3S de la Deutsche Krankenhausgesellschaft, para agua el estándar DVGW. Un auditor sin experiencia sectorial en B3S genera defectos formales en el procedimiento BSI.

Es requisito acreditar seguro de responsabilidad civil patrimonial para el reconocimiento por el BSI. Las sumas de cobertura habituales se sitúan entre 5 y 10 millones de euros por siniestro.

Criterios de selección para operadores

Revisar la lista de referencias en el propio sector KRITIS. Al menos cinco auditorías comparables en los últimos tres años deben estar documentadas. Quien como operador de agua contrata a un auditor con referencias exclusivamente de energía arriesga discusiones sobre aplicación del estándar y riesgos sectoriales.

Situar la franja de honorarios de forma realista: de 35.000 a 90.000 euros por ciclo de auditoría, según tamaño de la instalación. La BDSW ofrece cifras comparativas para servicios de seguridad adyacentes. Ofertas por debajo de 30.000 euros para instalaciones medianas indican alcance reducido, que el BSI detecta posteriormente como incompleto.

Duración de auditoría in situ: típica de 5 a 12 días, ciclos más largos para operadores multilocalización. Aclarar si el organismo audita también la seguridad física y el perímetro o solo componentes TI. Esta cuestión decide si será necesaria una segunda auditoría para los requisitos de la Dachgesetz.

Definir cláusula contractual sobre el plazo de subsanación de defectos. Habituales son 90 días hasta la reauditoría, con honorario adicional del 15 al 25 por ciento del precio base.

Próximo paso concreto: usar la checklist Dachgesetz con plan de 14 semanas como base de preparación.

Alcance de auditoría: TI y resiliencia física

Aquí radica el error más frecuente en la práctica. Un ISMS según ISO 27001 o B3S cubre solo el nivel organizativo y de TI. Quien acude al procedimiento Dachgesetz con un certificado ISO 27001 no cumple la prueba.

Las medidas físicas como protección perimetral, control de accesos y sistemas de detección son auditables bajo Dachgesetz. El BBK es responsable de la identificación y registro de instalaciones críticas en el ámbito físico y codefine qué clases de protección aplican a qué tipos de instalación.

Los sistemas autónomos de patrulla son reconocidos en auditoría como medida compensatoria para la vigilancia 24/7 si cumplen requisitos definidos: cobertura de rondas sin lagunas, registro sensórico, transmisión de alarma a centro de control atendido. No sustituyen un ISMS ni la seguridad organizativa. Cierran una brecha física concreta.

Obligación de documentar cada incidencia sensórica: marca temporal, clasificación, ruta de escalado, tiempo de reacción. Los auditores exigen registros de al menos 12 meses, almacenamiento con capacidad de retención es requisito. Sistemas sin archivado forense de logs generan un defecto, independientemente de su capacidad técnica.

Próximo paso concreto: evaluar el QR-3 con LiDAR y detección de drones frente a la vigilancia estática.

Defectos frecuentes en la prueba

Análisis de riesgos ausente u obsoleto, especialmente sin considerar amenazas híbridas. Un análisis de riesgos de 2021 que no aborda drones, ataques ciberfísicos y actores estatales se considera no actualizado en 2026.

Lagunas en la protección 24/7: vigilancia estática con ventanas de pausa se valora como hallazgo crítico. Si el puesto queda sin cubrir entre las 02:00 y las 02:30 porque el único vigilante hace pausa, se incumple el requisito. Los auditores lo verifican mediante turnos y partes de ronda.

Detección de drones insuficiente en operadores con amenazas aéreas. Instalaciones energéticas, plantas de agua y nodos de transporte sin concepto de detección documentado reciben observaciones, en casos individuales defectos.

Sin tiempo de reacción documentado entre detección e intervención. Valor objetivo por debajo de 4 minutos para la primera respuesta. Quien acredita detección sin cadena de intervención posterior tiene una laguna formal.

Falta de pruebas de ejercicios: planes de emergencia sin ejercicio anual de estado mayor se categorizan como defecto. Un ejercicio por ciclo de dos años es el mínimo, anual es estándar.

Calendario y ciclos de auditoría

Auditoría inicial dentro de los 6 meses tras la clasificación KRITIS por el BBK. Quien sea identificado en enero de 2026 como instalación KRITIS debe aportar la prueba inicial hasta julio de 2026.

Pruebas de seguimiento cada dos años, plazo de documentación ante el BSI máximo 4 semanas tras el cierre de auditoría. La entrega tardía genera procedimiento administrativo, normalmente con audiencia y fijación de plazo.

Pruebas intermedias son necesarias en cambios sustanciales de la instalación o de la situación de amenaza. Ejemplos: ampliación con una nueva subinstalación, cambio de prestador de seguridad, intento de sabotaje documentado.

Reacción ante constatación de defecto: plan de medidas en 30 días, prueba de ejecución en 90 días. Quien no cumple estos plazos pierde la eficacia de la auditoría.

Riesgo de sanción por prueba tardía: hasta 20 millones de euros o 2 por ciento de la facturación del grupo bajo NIS-2. La Directiva NIS-2 prevé para entidades esenciales sanciones de hasta 10 millones de euros o 2 por ciento de la facturación anual mundial, leyes alemanas de transposición van en parte más allá.

Próximo paso concreto: revisar el registro BBK paso a paso antes de iniciar el ciclo de auditoría.

Estructura de costes y TCO

Los costes de auditoría se sitúan entre 35.000 y 90.000 euros. A ello se suman costes internos de preparación de en promedio 80 días-persona, repartidos entre dirección de seguridad, TI, Werkschutz y equipo de documentación. Con una tarifa media de 75 euros por hora equivale a otros 48.000 euros.

La subsanación de defectos provoca típicamente un esfuerzo de 5 a 10 veces el coste puro de auditoría. Una auditoría de 60.000 euros que detecte cinco defectos críticos puede desencadenar inversiones consecuentes de 300.000 a 600.000 euros. Este orden de magnitud debe planificarse en el presupuesto de Capex.

La vigilancia estática 24/7 cuesta entre 15.000 y 25.000 euros mensuales por puesto, a menudo tres a cinco puestos por emplazamiento. Coste anual para un emplazamiento medio: de 540.000 a 1.500.000 euros.

Una patrulla QR-3 con LiDAR y detección de drones se sitúa en 3.800 euros mensuales y cubre los requisitos de auditoría KRITIS en el plano de detección física. No sustituye al último puesto atendido, necesario para la intervención. Sustituye rondas 24/7 y reduce necesidades de personal cerrando lagunas simultáneamente.

Un modelo híbrido de vigilancia reducida más robótica baja los costes anuales de protección típicamente entre 40 y 60 por ciento. Condición previa: la auditabilidad del sistema robótico está aclarada y documentada de antemano.

Próximo paso concreto: comparar el coste del servicio de vigilancia y el modelo Robotics-as-a-Service uno frente a otro.

Preparación para la auditoría

Plan de preparación de 14 semanas: actualizar análisis de riesgos, consolidar catálogo de medidas, finalizar documentación, ejecutar preauditoría interna. Quien acorta el plazo arriesga producir defectos evitables en la auditoría principal.

Una preauditoría por tercero independiente reduce la tasa de defectos en la auditoría principal en promedio un 60 por ciento. Los costes se sitúan entre 8.000 y 18.000 euros y son económicamente justificados en casi todos los casos, medidos frente a los costes consecuentes de defectos no detectados.

El consejo de administración debe encargar formalmente la prueba y aprobar por escrito el resultado de auditoría. La responsabilidad del consejo bajo NIS-2 traslada la responsabilidad personal claramente hacia arriba. Una mera delegación a la dirección de seguridad ya no protege a la dirección general.

El responsable de seguridad coordina la interfaz con TI, Werkschutz, recursos humanos y organismo auditor externo. Un expediente central de auditoría con versionado claro evita contradicciones entre datos de departamentos.

Socios de la cadena de suministro con acceso a la instalación crítica se incluyen en el alcance de auditoría. Revisar previamente contratos con servicios de limpieza, empresas de mantenimiento y prestadores externos de seguridad. Deben existir cláusulas sobre regulación de acceso, verificación de antecedentes y obligaciones de notificación.

Próximo paso

La selección del organismo auditor es una decisión estratégica con eco bianual. Quien tenga claros el auditor, el alcance de la auditoría y las medidas compensatorias antes de la primera reunión acorta el procedimiento en semanas y evita costes consecuentes de seis cifras. La base operativa la ofrece la visión general de los requisitos KRITIS en visión general. Guía a través de la asignación sectorial, los umbrales y la separación entre prueba TI y verificación física bajo la Dachgesetz.