Ley marco de KRITIS: ¿Qué más les espera a los operadores de infraestructuras críticas además de NIS2?

Mientras el mundo de la ciberseguridad mira hacia NIS2, el Ministerio Federal del Interior alemán trabaja simultáneamente en la ley marco de KRITIS – su contraparte física frente a la regulación cibernética. Por primera vez, se establecen legalmente a nivel federal estándares mínimos para la protección física de las infraestructuras críticas en Alemania. Los operadores se enfrentan a la doble exigencia de resiliencia digital y física.

En resumen

• La ley marco de KRITIS transpone la Directiva de la UE CER (Critical Entities Resilience)
• Por primera vez, estándares nacionales vinculantes para la protección física de los operadores de KRITIS
• Afecta a 11 sectores: energía, agua, sanidad, transporte, digital, entre otros
• Evaluaciones de riesgo, planes de resiliencia y obligaciones de notificación de incidentes físicos

NIS2 más la ley marco de KRITIS: la doble regulación

NIS2 regula la ciberseguridad; la ley marco de KRITIS, la protección física – pero los destinatarios coinciden ampliamente. Un proveedor de energía deberá cumplir ambas normativas en el futuro: gestión de riesgos cibernéticos según NIS2 Y planes de resiliencia física según la ley marco de KRITIS.

Para los operadores, esto significa: dos marcos de cumplimiento normativo, dos obligaciones de notificación y, potencialmente, dos autoridades supervisoras. El reto radica en integrar ambos requisitos en un sistema coherente de gestión de riesgos.

Qué exige concretamente la ley

Obligaciones centrales para los operadores de KRITIS: evaluaciones periódicas de riesgo (cada 4 años), planes de resiliencia con medidas concretas de protección, obligación de notificación ante incidentes que perturben gravemente el funcionamiento, controles de antecedentes para empleados en áreas sensibles y designación de una persona de contacto responsable ante la Oficina Federal de Protección Civil y Ayuda en Casos de Catástrofe (BBK).

Novedad es el enfoque All-Hazards: la evaluación de riesgos debe incluir no solo sabotaje y terrorismo, sino también catástrofes naturales, pandemias y fallos técnicos. Esto incorpora la adaptación al cambio climático como tema de seguridad.

Los 11 sectores afectados

Energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, administración pública, espacio y alimentos. La delimitación exacta de qué empresas dentro de estos sectores se consideran «instalaciones críticas» se define mediante umbrales cuantitativos.

Importante para las pymes: dichos umbrales se basan en la relevancia para el suministro, no en el tamaño de la empresa. Una pequeña planta municipal de suministro de agua puede verse afectada igual que una empresa del índice DAX.

Recomendación de implementación: integración en lugar de trabajo duplicado

Las empresas que ya están trabajando en el cumplimiento de NIS2 no deberían tratar la ley marco de KRITIS como un proyecto independiente. La recomendación es construir un sistema integrado de gestión de la resiliencia que abarque tanto los riesgos cibernéticos como los físicos.

La norma ISO 22301 (continuidad del negocio) ofrece un marco que integra ambas dimensiones. Quien tenga su sistema de gestión de continuidad empresarial (BCMS) certificado conforme a la norma 22301, cumple automáticamente gran parte de los requisitos de la ley marco de KRITIS.

Datos clave

Base europea: Directiva CER (Critical Entities Resilience), cuya transposición debe completarse antes de octubre de 2024

Sectores: 11 sectores con aproximadamente 2.000+ operadores afectados en Alemania

Obligación de notificación: 24 horas para interrupciones graves del funcionamiento

Preguntas frecuentes

¿También se aplica la ley marco de KRITIS a las empresas de TI?

Sí, el sector «infraestructura digital» incluye centros de datos, servicios DNS, registros de dominios de nivel superior (TLD) y puntos de interconexión (IXP). Los proveedores de servicios en la nube (cloud providers) y los proveedores gestionados de servicios (MSP) también pueden verse afectados, dependiendo de los umbrales definidos.

¿Cómo se relaciona esta ley con la actual Ley de Seguridad de la Información?

La Ley de Seguridad de la Información 2.0 regula la ciberseguridad para KRITIS (y será sustituida por la transposición de NIS2). La ley marco de KRITIS complementa dicha regulación con la dimensión física. Ambas leyes son aplicables de forma paralela.

¿Cuál es el coste de la implementación?

Depende del grado de madurez existente: las empresas que ya cuentan con un sistema de gestión de continuidad empresarial (BCM) conforme a la ISO 22301 tienen un esfuerzo adicional reducido. Sin estructuras previas: duración del proyecto de 6 a 12 meses y costes estimados entre 100.000 y 500.000 EUR para las pymes (consultoría, medidas, documentación).

Artículos relacionados

• Estudio de caso: Preparación para NIS2 en 6 meses – una planta municipal de suministro de agua muestra cómo hacerlo
• Tendencias de ciberseguridad 2026: Las 7 evoluciones que deben conocer los responsables de seguridad
• Lista de comprobación NIS2 2026: Qué deben implementar ya las empresas

Más contenido de la red MBF Media

• Cloud Magazin – Nube, SaaS e infraestructura TI
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico para directivos (C-Level)

Fuente de imagen: Pexels / Efe Burak Baydar

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow