Concepto de protección KRITIS: plantilla con nueve capítulos obligatorios

El concepto de protección KRITIS es la obligación central de prueba documental para cada operador según la KRITIS-Dachgesetz (Ley Marco KRITIS). Este artículo entrega una plantilla de trabajo con nueve capítulos obligatorios, metodología de análisis de riesgos, catálogo de medidas y estructura de auditoría. Va dirigido a responsables de seguridad y de cumplimiento. Deben presentar un documento auditable ante el BBK a más tardar diez meses tras la entrada en vigor.

Concepto de protección KRITIS: marco legal y contenido obligatorio

El §11 del borrador de la KRITIS-Dachgesetz obliga a cada operador a elaborar un concepto de protección en cuanto se superen los umbrales de la KritisV. El borrador identifica medidas físicas y organizativas como contenido mínimo (Bundestag-Drucksache 20/9262). El documento se gestiona por separado del concepto de seguridad TI según §8a BSIG, pero lo complementa con niveles de protección física e híbrida.

La autoridad supervisora es el Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), no el BSI. Esta separación es operativamente relevante: las vías de notificación, los intervalos de prueba y los puntos de contacto difieren. La presentación inicial debe estar disponible a más tardar diez meses tras la entrada en vigor de la KRITIS-Dachgesetz (Bundestag-Drucksache 20/9262). Conceptos faltantes o incompletos activan multas de hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial (el valor que sea mayor) (Bundestag-Drucksache 20/9262).

En la práctica: quien en marzo de 2026 aún no tenga un esqueleto, ya trabaja contra el plazo. Próximo paso: Lista de control KRITIS-Dachgesetz 2026.

Los nueve capítulos obligatorios de la plantilla

La plantilla se estructura en nueve capítulos. Cada capítulo tiene un resultado verificable, no una descripción meramente narrativa.

Capítulo 1: Descripción de la instalación. Asignación sectorial según KritisV, todas las ubicaciones con coordenadas, cálculo de umbrales como tabla reproducible. La KritisV define los umbrales por sector (gesetze-im-internet.de/bsi-kritisv).

Capítulo 2: Objetivos de protección. Derivados directamente del mandato de suministro, formulados de forma medible. Ejemplo: "Detección de acceso no autorizado al perímetro en menos de 30 segundos, verificación en menos de 60 segundos." Sin formulaciones del tipo "protección suficiente" o "medidas adecuadas".

Capítulo 3: Análisis de riesgos. Enfoque todo-peligros, incluyendo sabotaje, drones, amenazas híbridas, riesgos naturales, insider.

Capítulo 4: Medidas. Técnicas, organizativas, de personal. Cada medida vinculada a uno o varios objetivos de protección.

Capítulo 5: Cadenas de detección y reacción. Desde el evento del sensor hasta la intervención, tiempos de escalado en minutos.

Capítulo 6: Personal, ejercicios, cadena de suministro, recuperación. Sachkundeprüfung según §34a GewO para personal propio, plan de ejercicios con frecuencia, resiliencia de proveedores, tiempos de recuperación.

Capítulo 7: Interfaces con NIS-2 y seguridad TI. Separación clara, transiciones documentadas.

Capítulo 8: Estructura de prueba documental. Control de documentos, versionado, actas de revisión.

Capítulo 9: Plan de madurez y mejora. Estado actual, estado objetivo, medidas con cronograma.

Análisis de riesgos: metodología y profundidad

La guía del BBK exige un análisis basado en escenarios con al menos cinco clases de amenaza: sabotaje, atentado, insider, fallo técnico, suceso natural (Guía BBK Conceptos de protección). La amenaza de drones es escenario obligatorio desde 2024 para los sectores energía, agua y transporte (BBK). La convergencia ciber-física, es decir, un ataque TI con impacto físico o al revés, debe abordarse explícitamente.

La evaluación se hace en dos ejes: probabilidad de ocurrencia y magnitud del daño. Ambos valores se justifican, no solo se fijan. Un dron sobre una subestación en 2026 no recibe baja probabilidad de ocurrencia, eso no sería plausible.

Las metodologías aceptadas son ISO 31000 y BSI-Standard 200-3. Formas mixtas son admisibles mientras la justificación esté documentada. Quien viene del entorno ISMS suele elegir 200-3 por su compatibilidad con el IT-Grundschutz. Quien viene del Enterprise Risk Management se mantiene en ISO 31000.

La amenaza interna se subestima a menudo. Un análisis serio considera accesos privilegiados, accesos de proveedores y personal de limpieza con poder de llave. Detalle en Requisitos KRITIS en detalle.

Catálogo de medidas: técnicas, organizativas, de personal

El catálogo es el núcleo y, a la vez, lo primero que se examina en auditoría. Requisitos concretos:

• Protección perimetral: Detección en menos de 30 segundos desde la aproximación al límite exterior. Tecnología aceptada: detección en valla, radar, LiDAR, cámara térmica con analítica.
• Control de acceso: Autenticación multifactor en nodos críticos (sala de control, subestación, estación de bombeo). Tarjeta más PIN es mínimo, tarjeta más biometría es estándar.
• Videovigilancia: Grabación de 30 días, evaluación en directo 24/7 (Guía BBK Conceptos de protección). La grabación sin evaluación no cumple el objetivo de protección "detección".
• Patrulla autónoma: Como complemento a sensores estacionarios, documentada con protocolo de ruta y cobertura sensorial. Cierra puntos ciegos entre sensores fijos.
• Tiempo de intervención: Por debajo de 15 minutos desde la verificación de la alarma hasta la llegada al lugar, acordado contractualmente con el proveedor de Wachschutz y demostrado mediante ejercicios (Guía BBK Conceptos de protección).

Organizativo: turno con cobertura continua de la sala de control, principio de cuatro ojos en accesos a zonas clave, regulación de visitas con obligación de acompañamiento.

Personal: Sachkundeprüfung §34a para personal propio, formación anual con justificante, verificación de antecedentes al contratar para funciones críticas.

La comparación entre costes de personal y detección técnica corresponde al análisis económico: TCO Wachschutz vs. robótica.

Estructura de prueba documental y capacidad de auditoría

Un concepto de protección sin estructura de prueba limpia suspende la auditoría, aunque las medidas sean técnicamente correctas. La plantilla obliga por ello, por cada medida:

• ID inequívoca (p. ej. M-4.3.2)
• responsable nombrado (rol, no persona)
• intervalo de revisión en meses
• prueba de efectividad (acta de ejercicio, logfile, test de penetración)
• última fecha de revisión

Los tests de penetración externos no son obligatorios, pero sí recomendados para medidas críticas como perímetro y acceso. Aportan la prueba de efectividad más sólida.

La inspección del BBK se realiza basada en riesgo. El preaviso es de cuatro semanas, en inspección por incidente notablemente más corto (BBK). Las pruebas in situ por muestreo incluyen tests físicos: intento de escalada en valla, test de puerta, test de reacción de sala de control con alarma activada.

El control documental sigue ISO 9001 o estándar comparable. Versionado completo, historial de cambios trazable, aprobaciones con fecha y firma. Quien gestione el concepto en SharePoint sin control de versiones acumulará defectos. Para la presentación formal ante el BBK: Guía de registro BBK.

Integración con NIS-2 y protección ciber-física

NIS-2 exige en el Art. 21 explícitamente medidas de seguridad física como parte de la gestión de riesgos para sistemas de red e información (EUR-Lex Directiva 2022/2555). El concepto de protección KRITIS y el plan de medidas NIS-2 se solapan, por tanto, deliberadamente en el nivel físico.

En la práctica: el control de acceso a la sala de servidores aparece en ambos documentos. La doble documentación es admisible, pero las inconsistencias se objetan en auditoría. Si el concepto KRITIS prescribe autenticación multifactor y el plan NIS-2 solo exige una tarjeta, al menos uno de los documentos está mal.

Práctica recomendada: una tabla maestra de medidas desde la que ambos documentos referencian. Los cambios se hacen en un solo punto. Las interfaces se nombran explícitamente en el capítulo 7 del concepto de protección.

La responsabilidad del consejo según NIS-2 se extiende a incidentes físicos con impacto TI. Un acto de sabotaje al cable de fibra óptica que afecta la disponibilidad de un servicio es ambas cosas: incidente físico (BBK) y ciberincidente (BSI). Las vías de notificación son separadas. En cuanto al plazo, rige para ambos un aviso temprano de 24 horas. Detalles sobre responsabilidad: NIS-2 y responsabilidad del consejo.

Papel de la robótica de patrulla autónoma en el concepto de protección

Los robots de patrulla autónoma cumplen el objetivo de protección "detección continua" con exposición de personal reducida. En el catálogo de medidas se anclan bajo el capítulo 4.3 (detección técnica), no bajo personal. Esta clasificación es relevante para auditoría.

Concretamente: QR-3 con detección de drones cubre dos escenarios obligatorios simultáneamente. La detección terrestre basada en LiDAR cubre perímetro y patrulla interna. La sensórica acústica y de radiofrecuencia cubre el escenario obligatorio de amenaza aérea, fijado desde 2024 para energía, agua y transporte.

Documentación relevante para la prueba:

• planes de ruta con frecuencia y cobertura
• mapa de cobertura sensorial (radios de detección por sensor)
• protocolo de escalado desde el evento del robot hasta la verificación humana
• registros de mantenimiento y disponibilidad

El modelo Robotics-as-a-Service alivia el presupuesto de inversión. La puesta en marcha se realiza típicamente en 48 horas desde la liberación del emplazamiento. Lo que funciona: complemento de sensórica estacionaria, reducción de puntos ciegos, cadenas de detección documentadas. Lo que no funciona: sustitución completa de fuerzas de intervención que deben dar respuesta in situ.

Defectos frecuentes en la inspección inicial y contramedidas

De más de 40 inspecciones iniciales acompañadas en 2024 y 2025 se repiten cinco defectos. [Análisis interno Quarero Robotics 2025] Quien los evite supera la inspección inicial, por regla general, sin requerimientos adicionales.

Defecto 1: objetivos de protección formulados de forma vaga. Formulaciones como "protección eficaz de la instalación" no son verificables. Contramedida: cada objetivo con indicador medible y valor temporal.

Defecto 2: el análisis de riesgos ignora drones e insider. Ambos escenarios faltan con frecuencia o se descartan con baja probabilidad de forma generalizada. Contramedida: descripción de escenario separada con situación de amenaza actual, referencia al cuadro de situación del BBK.

Defecto 3: medidas sin responsable e intervalo de revisión. Tablas de listado de medidas sin columnas "Responsable" y "Próxima revisión". Contramedida: columnas mínimas ID, descripción, objetivo de protección, responsable, intervalo, último justificante.

Defecto 4: actas de ejercicio faltan o son de más de 12 meses. Sin ejercicio no hay prueba de efectividad. Contramedida: ejercicio completo anual, ejercicios parciales semestrales, acta con fecha, participantes, hallazgos, medidas de seguimiento.

Defecto 5: la interfaz NIS-2 no es identificable. El capítulo 7 falta o referencia de forma genérica. Las inconsistencias en vías de notificación se descubren en auditoría. Contramedida: tabla explícita de interfaces con IDs de medidas en ambos documentos.

Quien quiera revisar concretamente una plantilla auditable y la integración de patrulla autónoma en el concepto de protección encontrará el punto de entrada en Consultoría KRITIS Quarero Robotics. La tabla maestra de medidas y la estructura de prueba documental se entregan como documento de trabajo.