Robot de seguridad certificado IA: obligaciones 2026
Robot de seguridad certificado IA: qué acreditaciones exigen EU AI Act, Reglamento de Máquinas 2023/1230, EN ISO 13482 y NIS-2 a los operadores KRITIS desde 2026.
Un robot de seguridad sin expediente de certificación completo es un riesgo de cumplimiento para el operador en 2026, no solo para el fabricante. Cuatro marcos normativos se aplican en paralelo. La responsabilidad se distribuye a lo largo de la cadena de suministro. Las autoridades de vigilancia del mercado disponen de marcos sancionadores que comienzan en seis cifras. [Cita de fuente requerida] Este artículo ordena las obligaciones por responsabilidad y plazo.
Robot de seguridad certificado IA: qué acreditaciones son obligatorias en 2026
Cuatro marcos normativos se aplican en paralelo. El Reglamento de Máquinas 2023/1230 sustituye a la antigua Directiva de Máquinas a partir del 20 de enero de 2027. El EU AI Act regula los componentes de IA. La EN ISO 13482 cubre la seguridad operativa de las máquinas. La Directiva NIS-2 obliga a los operadores KRITIS a proteger los sistemas en red.
El marcado CE sigue siendo el requisito mínimo. No cubre, sin embargo, los riesgos específicos de IA que el AI Act aborda explícitamente. Los robots de seguridad con reconocimiento autónomo de personas pueden clasificarse como sistemas de alto riesgo bajo el AI Act, dependiendo del contexto de uso. La aplicación plena de las obligaciones de alto riesgo entra en vigor en agosto de 2026. [Enlace de fuente EU AI Act Art. X requerido]
La evaluación de conformidad para sistemas de alto riesgo y para componentes de seguridad con comportamiento de autoaprendizaje la realizan organismos notificados, no la declaración propia del fabricante. Para el operador: quien utilice un sistema no conforme en instalaciones KRITIS responde solidariamente. La obligación de selección está sujeta a documentación. Las infracciones pueden desencadenar sanciones simultáneas conforme al KRITIS-Dachgesetz, NIS-2 y la legislación de responsabilidad por productos.
Paso siguiente: Lista de verificación KRITIS-Dachgesetz 2026.
Reglamento de Máquinas 2023/1230: qué cambia respecto a la antigua directiva
La Directiva de Máquinas 2006/42/CE queda derogada el 20 de enero de 2027 (Reglamento 2023/1230, Art. 52). El período transitorio concluye sin prórroga. Las máquinas comercializadas tras esa fecha requieren conformidad con el nuevo reglamento.
Por primera vez, los robots móviles autónomos y las funciones de seguridad asistidas por IA quedan explícitamente incluidos. La antigua directiva no contemplaba estas categorías. Los componentes de seguridad con comportamiento de autoaprendizaje necesitan ahora una evaluación por un organismo notificado. La declaración propia del fabricante no es suficiente en este caso.
La documentación técnica debe revelar datos de entrenamiento, límites del modelo y procesos de actualización. Esto es nuevo y exigente para muchos fabricantes. Los operadores deben verificar, con cada actualización de software, si la evaluación de conformidad debe iniciarse de nuevo. Una actualización de modelo que modifique la lógica de reconocimiento puede considerarse una modificación sustancial. En ese caso, la evaluación comienza desde el principio.
Relevancia práctica: quien adquiera un robot en 2026 debe obtener confirmación escrita del fabricante de que la conformidad con 2023/1230 ya se ha alcanzado. De lo contrario, deberá aportarse como máximo en la fecha límite. Sin ello, a partir de enero de 2027 el dispositivo podría estar sujeto a prohibición de operación.
Comparativa económica detallada: Comparativa TCO frente a vigilancia humana clásica.
EU AI Act: clasificación de alto riesgo para robots de seguridad
El Anexo III del AI Act enumera las aplicaciones de alto riesgo. La identificación biométrica y el análisis de comportamiento para la categorización de personas figuran en esa lista. Un robot de seguridad que identifica personas mediante características biométricas o clasifica comportamientos entra en esta categoría.
Distinción relevante: la detección pura de anomalías sin identificación de personas puede quedar fuera de la clasificación de alto riesgo. Un robot que solo informa "movimiento en zona B fuera del horario operativo" no trata datos biométricos ni identifica a ninguna persona. El contexto de uso decide. Las afirmaciones genéricas de que "todos los robots con IA son de alto riesgo" son jurídicamente imprecisas y conducen a inversiones erróneas en cumplimiento.
Cuando se confirma el alto riesgo, se aplican obligaciones vinculantes: sistema de gestión de riesgos durante todo el ciclo de vida, gobernanza de datos documentada y supervisión humana con capacidad de intervención. La trazabilidad completa de todas las decisiones es igualmente obligatoria. Antes de la comercialización, el registro en la base de datos de la UE para sistemas de IA de alto riesgo es preceptivo.
Marco sancionador por infracciones en sistemas de alto riesgo: hasta 15 millones de euros o el tres por ciento de la facturación anual mundial, la cifra mayor de las dos (EU AI Act, Art. 99). Para prácticas de IA prohibidas, el marco sube hasta 35 millones de euros o el siete por ciento.
EN ISO 13482: la norma operativa de seguridad para robots de asistencia personal
La EN ISO 13482 se desarrolló originalmente para robots de servicio y asistencia personal en entornos de uso mixto con personas. En la práctica, también se aplica a robots de seguridad que operan en zonas donde hay presencia humana. Es la norma operativamente más relevante para la seguridad de máquinas de robots autónomos.
La norma define requisitos de prevención de colisiones, parada de emergencia y limitación segura de velocidad. La evaluación de riesgos debe documentar todos los usos indebidos previsibles. "Previsible" debe interpretarse en sentido amplio. Esto incluye manipulaciones intencionales por terceros, como el bloqueo de sensores.
La patrulla exterior QR-2 y la QR-3 con LiDAR y detección de drones cumplen la norma para entornos exteriores mixtos con tráfico de planta. El certificado de un organismo notificado está documentado. Para el operador, esto reduce considerablemente el riesgo de responsabilidad, ya que en caso de siniestro es más sencillo acreditar la adquisición conforme.
Un certificado según ISO 13482 no sustituye la conformidad CE ni las obligaciones del AI Act. Las complementa. Quien como operador solo verifica uno de los tres niveles tiene lagunas en el expediente.
NIS-2 y ciberseguridad de los sistemas robóticos
Los robots de seguridad son sistemas en red. Se comunican con centros de control, transmiten datos de sensores y reciben comandos. Por ello quedan sujetos a los requisitos de cadena de suministro de NIS-2.
El operador debe acreditar protección criptográfica de las comunicaciones. Los paquetes de actualización deben estar firmados. Una función de actualización OTA no protegida no es aceptable bajo NIS-2 y genera observaciones en las auditorías. Las pruebas de penetración son obligatorias con periodicidad anual. Las vulnerabilidades que puedan tener impacto significativo deben notificarse al BSI en un plazo de 24 horas (Directiva NIS-2, Art. 23).
La responsabilidad del consejo de administración se aplica expresamente también a la selección de proveedores de robótica conformes. Quien adquiera un robot sin verificar formalmente el nivel de seguridad del proveedor incumple su deber de diligencia. Los contratos RaaS de Quarero incluyen SLA con ciclos de parches inferiores a siete días para vulnerabilidades críticas (conforme a la descripción contractual de prestaciones). Esto no es marketing, sino objeto del contrato.
Para más información: Requisitos de cumplimiento NIS-2 y Responsabilidad del consejo bajo NIS-2.
Evaluación de conformidad en la práctica: proceso y plazos
Paso uno: análisis de riesgos conforme al Reglamento de Máquinas y al AI Act, realizados en paralelo. Los análisis se solapan pero no cubren lo mismo. Los riesgos de máquina afectan a colisión, aplastamiento y seguridad eléctrica. Los riesgos de IA afectan a clasificación errónea, sesgo y vulnerabilidad del modelo a la manipulación.
Paso dos: documentación técnica que incluye conjuntos de datos de entrenamiento y protocolos de validación. El fabricante debe acreditar cómo se entrenó el modelo y qué datos se utilizaron. También deben documentarse las métricas de rendimiento alcanzadas. Las lagunas en este punto llevan al rechazo por parte del organismo notificado.
Paso tres: revisión por el organismo notificado. Duración típica de ocho a dieciséis semanas [indicar fuente o valor de experiencia]. Con componentes de IA complejos, el plazo puede alargarse. Quien quiera adquirir un robot en abril debe iniciar la evaluación en enero.
Paso cuatro: declaración de conformidad UE del fabricante, marcado CE en el dispositivo. La declaración debe estar fechada, firmada y referida al lote de número de serie concreto.
Paso cinco: inscripción en la base de datos UE de alto riesgo, cuando proceda. La vigilancia del mercado en Alemania corresponde a la BNetzA y a las autoridades competentes de cada Land. Las autoridades pueden solicitar documentación en cualquier momento.
Lista de verificación para operadores: qué debe constar antes del funcionamiento piloto
Antes del primer despliegue de un robot de seguridad en instalaciones KRITIS, los siguientes documentos deben estar completos en el archivo del operador:
- Declaración de conformidad UE del fabricante del robot, fechada y firmada, con referencia al número de serie concreto del dispositivo.
- Certificado del organismo notificado para la clase de máquina correspondiente, incluida la fecha de validez.
- Acreditación de la inscripción en la base de datos UE, cuando se trate de un sistema de IA de alto riesgo conforme al Anexo III del AI Act.
- Evaluación de impacto en la protección de datos conforme al artículo 35 del RGPD, en cuanto tenga lugar reconocimiento de personas o tratamiento biométrico.
- Instrucciones de operación con roles, procedimientos de emergencia y cadena de escalado en español (o en el idioma oficial del país de operación). Los manuales del fabricante en inglés no son suficientes para la operación.
- Acreditación de seguro del proveedor por un mínimo de cinco millones de euros de responsabilidad civil de explotación, con cobertura de los riesgos específicos de IA [cita de fuente del requisito mínimo requerida].
Con carácter complementario, según la ubicación: autorización de la autoridad local cuando se opere en espacios de acceso público, coordinación con el comité de empresa cuando haya reconocimiento de personas en planta, adaptación de las instrucciones de servicio de vigilancia existentes conforme a §34a GewO en operaciones mixtas con Posten humanos.
El modelo Robotics-as-a-Service descarga al operador en la obtención de la documentación del fabricante, porque el proveedor asume contractualmente la actualización de los justificantes de conformidad. La obligación de la evaluación de impacto y de las instrucciones de operación permanece, no obstante, en el operador.
Consecuencias por ausencia de certificados
Las consecuencias se distribuyen en cuatro niveles.
Primero: las autoridades de vigilancia del mercado pueden ordenar la paralización del sistema. El plazo es por regla general de 48 horas desde la notificación de la resolución [cita de fuente sobre la base procedimental requerida]. No cabe esperar efecto suspensivo en procedimiento de urgencia.
Segundo: multas para operadores bajo el AI Act de hasta 35 millones de euros o el siete por ciento del volumen de negocios del grupo por prácticas prohibidas, y de hasta 15 millones de euros o el tres por ciento por infracciones de las obligaciones de alto riesgo. Estas sanciones afectan también a los meros operadores, no solo a los fabricantes.
Tercero: la cobertura del seguro queda extinguida en caso de siniestro si un sistema no conforme fue la causa. Los daños personales causados por un robot sin certificado válido no están asegurados. El operador responde íntegramente con su patrimonio. En personas jurídicas, la responsabilidad personal del consejo de administración se añade de forma complementaria.
Cuarto: los operadores KRITIS asumen adicionalmente el riesgo de sanciones conforme al KRITIS-Dachgesetz y a NIS-2. La determinación del concepto de instalación KRITIS se rige por la KritisV. Los marcos sancionadores son acumulables. Un único incidente puede desencadenar sanciones simultáneas del AI Act, NIS-2 y el KRITIS-Dachgesetz.
Los miembros del consejo de administración responden personalmente si el proceso de selección no está documentado. La carga de la prueba recae en caso de litigio sobre el consejo. Quien no pueda presentar documentación no la ha verificado, a ojos de la autoridad.
Paso siguiente
La complejidad de los cuatro marcos normativos es manejable cuando fabricantes y operadores separan con claridad sus roles. Los fabricantes aportan la evaluación de conformidad y los certificados. Los operadores documentan el proceso de selección, la evaluación de impacto, las instrucciones de operación y la formación. Quien deje incompleto uno de los dos bloques pierde la cobertura del seguro y expone al consejo de administración a responsabilidad personal.
Para una revisión del estado actual de sus certificados y de los puntos pendientes antes de un funcionamiento piloto en instalaciones KRITIS, solicite una reunión a través del formulario de consulta para operadores KRITIS. Aportamos el expediente del modelo de robot concreto y lo revisamos punto por punto.