Incidente robot de seguridad: protocolo KRITIS

Un incidente de seguridad en el perímetro de un emplazamiento KRITIS no es un detalle técnico. Es un proceso de documentación obligatoria con plazos, campos exigidos y responsabilidad personal del jefe de seguridad. Este artículo describe el protocolo que Quarero Robotics ha establecido en 18 meses de operación DACH con empresas energéticas, logísticas y parques industriales. Las cifras, plazos e interfaces están documentadas de forma que resisten ante el consejo, el BBK y la aseguradora.

Incidente robot de seguridad: qué debe lograr el protocolo

Un incidente, según este protocolo, es cualquier desviación de sensor por encima del umbral definido, cualquier escalado manual del operador y cualquier contacto con terceros en el perímetro. Esta definición es amplia de forma deliberada, porque la auditoría y la persecución penal solo pueden reconstruir después lo que se haya registrado.

El protocolo separa tres niveles con claridad: prealarma es un evento puramente sensorial sin evaluación humana. Alarma verificada existe cuando un operador confirma el evento. Incidente notificable según KritisV §8b es un subconjunto de las alarmas verificadas, definido por sector y umbral (BSI-Kritisverordnung).

Se generan cuatro artefactos obligatorios por incidente: marca temporal en UTC, coordenadas GPS del robot y del lugar del evento, datos brutos del sensor (RGB, térmico, opcionalmente LiDAR) y la decisión del operador con texto justificativo. Si falta uno de los cuatro campos, el incidente no se puede cerrar en el sistema.

El plazo de conservación es de 24 meses para sectores KRITIS y 12 meses para industria sin asignación sectorial. El registro de auditoría es de solo lectura y está encadenado mediante hash SHA-256. Ni el operador ni Quarero pueden editar un asiento a posteriori. Las correcciones se realizan únicamente añadiendo una nueva entrada firmada.

Siguiente paso para la clasificación jurídica: Checklist KRITIS-Dachgesetz 2026.

La cadena de escalado: robot, central, vigilancia, policía

El escalado transcurre en cuatro etapas con ventanas temporales definidas.

Etapa 1: el QR-2 o QR-3 detecta un evento y envía la prealarma a la central Quarero en 800 milisegundos. La transmisión de datos se realiza por enlaces LTE redundantes con respaldo en 5G.

Etapa 2: el operador verifica en 60 segundos a través de la señal RGB y térmica combinada. Decide escalado o descarte. Esta decisión es el punto crítico: aquí un evento técnico se convierte en un incidente documentado.

Etapa 3: la vigilancia in situ recibe las coordenadas, el material de vídeo de los últimos 30 segundos y una ruta de aproximación propuesta a través de la app de Quarero. La vigilancia confirma la recepción y notifica la llegada al punto del evento.

Etapa 4: la policía se alerta a través de la interfaz estándar de la central, no directamente por el robot. Este punto no es negociable. Un sistema autónomo no puede activar en Alemania una alarma policial directa, porque la valoración jurídica de un incidente requiere una decisión humana.

Cada etapa genera su propia marca temporal. Vacíos superiores a 90 segundos entre dos etapas activan una revisión automática por el jefe de turno. Esto impide que los escalados se pierdan en el cambio de turno.

Conservación forense en el punto de patrulla autónoma

La conservación forense KRITIS sigue un esquema fijo acordado con la LKA Baden-Württemberg y una sociedad de auditoría.

Los datos brutos del sensor se almacenan localmente en el robot (memoria cifrada) y en paralelo en el centro de datos de Quarero en Fráncfort. El almacenamiento paralelo protege contra sabotaje en el propio robot. Ambas copias llevan hashes idénticos.

La secuencia de vídeo desde T-30 segundos hasta T+300 segundos se asegura de forma inmutable y se sella con SHA-256. El intervalo previo de 30 segundos es decisivo desde el punto de vista forense, porque documenta la construcción del evento, no solo el momento álgido.

Las nubes de puntos LiDAR del QR-3 permiten la reconstrucción métrica de la escena. Así se pueden acreditar distancias, número de personas y direcciones de movimiento de forma admisible ante tribunales. Esto ha sido reconocido judicialmente en dos procedimientos penales en curso.

Cadena de custodia: cada acceso a datos se registra, incluyendo identificación del operador, propósito del acceso y duración. El operador recibe mensualmente un resumen de todos los accesos a los datos de su emplazamiento.

La entrega a la persecución penal se produce únicamente bajo requerimiento escrito con número de expediente. El protocolo de entrega se espeja simultáneamente al operador. El jefe de seguridad sabe así de forma automática qué datos de su emplazamiento han ido a qué autoridad. La base metodológica de la valoración del riesgo es EN ISO 13482.

Detalles técnicos de la plataforma: QR-3 con LiDAR y detección de drones.

Deberes de notificación según KRITIS-Dachgesetz y NIS-2

El KRITIS-Dachgesetz define plazos de notificación y obligaciones para operadores de infraestructuras críticas ante incidentes de seguridad física (Bundestag-Drucksache 20/9262). El jefe de seguridad debe conocer tres plazos.

Notificación inicial al BBK en un plazo de 24 horas ante alteración significativa de la seguridad física. El BBK es la oficina central de notificación para alteraciones significativas en sectores KRITIS y fija el formato y contenido de la notificación de incidente (BBK).

Notificación intermedia tras 72 horas con análisis técnico de causas. El informe final vence al mes y contiene valoración de daños, catálogo de medidas y comprobación de eficacia.

NIS-2 también cubre incidentes en el lado TI del robot: manipulación del enlace inalámbrico, firmware comprometido, acceso no autorizado al canal del operador. Las multas alcanzan los 10 millones de euros o el 2 por ciento de la facturación mundial (directiva NIS-2).

El jefe de seguridad asume responsabilidad personal por la notificación en plazo. El consejo responde ante fallos sistemáticos de los procesos de notificación. Esta cascada de responsabilidad está expresamente regulada en la transposición de NIS-2.

Quarero entrega una plantilla de notificación precargada con todos los campos técnicos obligatorios en un plazo de cuatro horas tras el incidente. El jefe de seguridad revisa, completa los campos sectoriales y transmite. Lo que no funciona: una notificación BBK totalmente automática. La autoridad exige una validación nominal por parte del responsable.

Profundización sobre la responsabilidad: NIS-2 y responsabilidad del consejo.

Clases de incidentes típicas en 18 meses de operación DACH

La siguiente distribución procede de datos agregados de 23 emplazamientos en Alemania, Austria y Suiza, periodo de noviembre de 2024 a abril de 2026.

Penetración perimetral por una persona: 41 por ciento de todos los incidentes verificados. Tiempo medio de reacción desde la prealarma hasta la llegada de la vigilancia: 3:20 minutos. El rango va de 1:40 (planta urbana) a 6:50 (gran área logística).

Sobrevuelo de dron detectado por QR-3: 12 por ciento, principalmente en emplazamientos energéticos y logísticos. La detección se produce por firmas acústicas y LiDAR. El escalado se desarrolla de forma diferente a las intrusiones terrestres, porque no es posible una intervención directa en el espacio aéreo. Documentación y reconocimiento de patrones son aquí el valor añadido.

Intrusión de vehículo en zona industrial cerrada: 23 por ciento. En aproximadamente tres de cada cuatro casos se trata de errores de navegación de subcontratistas. Pese a ello, la documentación es obligatoria, porque el incidente era potencialmente relevante para la seguridad.

Detección temprana de incendios por cámara térmica: 8 por ciento. En dos casos el robot detectó el fuego antes del disparo de los detectores fijos. No sustituye al sistema de detección de incendios, pero supone una ventaja temporal documentada.

Intento de sabotaje contra el propio robot: 4 por ciento. Todos los casos se documentaron y se entregaron a la LKA competente. En tres casos se iniciaron procedimientos de investigación.

El 12 por ciento restante: movimiento animal, artefactos meteorológicos (lluvia intensa, niebla), personal de mantenimiento sin registro correcto en el sistema.

Interfaz con la central y la vigilancia existentes

Ningún operador KRITIS sustituye su central existente. El protocolo de incidentes robot de vigilancia debe integrarse.

Protocolos estándar: OPC UA para conexión a máquinas e instalaciones, MQTT sobre TLS 1.3 para mensajes de evento, opcionalmente ONVIF Profile T para la integración de vídeo en sistemas VMS existentes. La elección depende de la infraestructura existente.

La integración en sistemas PSIM (Genetec Security Center, Milestone XProtect, Nedap AEOS) se produce sin ruptura de medio. Los eventos aparecen en la pantalla habitual del operador de la central, con el flujo de datos Quarero como capa adicional.

La app de vigilancia dispone de una caché offline. Funciona incluso con infraestructura WLAN caída, porque las últimas 24 horas se conservan localmente. La sincronización se produce automáticamente al restablecer la conexión.

Los protocolos diarios de entrega en el cambio de turno se generan automáticamente a partir de la lista de incidentes. El jefe de turno revisa, añade anotaciones manuscritas mediante la app y firma digitalmente.

Formación de la vigilancia sobre el protocolo: dos días inicial, refresco semestral de medio día. No es opcional. La ausencia de documentación de formación es un hallazgo en la auditoría conforme al §34a de la Gewerbeordnung y al KRITIS-Dachgesetz.

Lo que cuesta el protocolo y lo que ahorra

La cuestión de los costes es la pregunta más frecuente del CFO. Las cifras sólidas:

QR-2 con protocolo de incidentes completo: 3.500 euros mensuales en modelo RaaS. El registro de auditoría, el encadenamiento por hash y la conservación forense están incluidos. No hay recargo por la conservación de pruebas.

Comparación con un Posten 24/7 convencional: 15.000 a 25.000 euros mensuales, según región, Manteltarifvertrag y modelo de turnos. La documentación de incidentes allí suele ser en papel o mediante software de libro de guardia básico, sin sellado forense. Comparación detallada: Coste del servicio de vigilancia comparado.

Riesgo de multa según NIS-2 por notificación incompleta o tardía: hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial. Se aplica el valor más alto. Para una empresa con 800 millones de euros de facturación son 16 millones de euros por incidente.

La prima de seguro baja, según la experiencia de 14 pólizas cerradas, entre el 8 y el 14 por ciento con un protocolo de incidentes digital sin lagunas. Las aseguradoras valoran de forma concreta el encadenamiento por hash y la conservación a 24 meses, porque hacen más sólidas las reclamaciones por repetición.

El ROI del protocolo, solo por multas evitadas y reducción de prima, se sitúa típicamente por debajo de 11 meses. El cálculo es conservador y no incluye los ahorros operativos en plantilla.

Descripción del modelo: modelo Robotics-as-a-Service.

Pilotaje: del primer incidente al proceso sólido

El camino desde el contrato hasta un protocolo de incidentes sólido dura 12 semanas.

La entrega del QR-2 o QR-3 se produce en 48 horas tras la firma del contrato. La puesta en servicio, incluida la conexión a la central, dura dos días laborables. El robot está listo para patrullar el tercer día, el protocolo activo el cuarto.

Primeras cuatro semanas: revisiones diarias de incidentes con el operador Quarero y la dirección de vigilancia. Aquí se calibran umbrales, rutas y reglas de escalado. Es trabajo manual y no sustituye a la algoritmia.

Los umbrales se ajustan por emplazamiento. Tras cuatro semanas es típica una reducción de falsas alarmas del 60 al 80 por ciento frente a los valores de fábrica. Un emplazamiento logístico con movimiento animal frecuente necesita valores distintos a una subestación.

Cierre de la fase piloto a las 12 semanas con entrega de tres documentos: manual del protocolo (específico por sector), certificados de formación de la vigilancia, informe de auditoría con prueba de eficacia. Estos tres documentos son los justificantes centrales en la auditoría conforme al KRITIS-Dachgesetz.

La transición a operación regular se produce sin ajuste contractual. El modelo RaaS continúa sin cambios. Para el registro BBK como requisito de la cadena de notificación KRITIS: registro BBK paso a paso. Para la especificación de perímetro exterior: QR-2 para perímetro exterior 24/7.

Los jefes de seguridad que quieran consolidar su protocolo de incidentes antes de la próxima auditoría o antes de la primera inspección NIS-2 pueden concertar una primera conversación técnica a través de nuestra página de contacto. La conversación dura 45 minutos y aporta una valoración del análisis de brechas frente al KRITIS-Dachgesetz y NIS-2, con independencia de una contratación posterior.