Ley marco KRITIS en vigor: qué deben implementar los operadores de instalaciones críticas hasta julio de 2026

⏱ 12 min de lectura

Con la aprobación del Bundesrat el 6 de marzo de 2026, la Ley marco KRITIS ha entrado definitivamente en vigor. Para aproximadamente 2.000 operadores de infraestructuras críticas en Alemania comienza ahora la cuenta atrás: hasta el 17 de julio de 2026 deben registrarse ante la Oficina Federal de Protección Civil y Ayuda en Casos de Catástrofe (BBK) y demostrar algo mucho más amplio que simplemente seguridad informática. La ley exige por primera vez medidas de protección física y organizativa transversales al sector, que van mucho más allá de los requisitos previos de NIS2.

En resumen

• La Ley marco KRITIS fue aprobada por el Bundesrat el 6 de marzo de 2026 y entrará en vigor progresivamente; primer plazo de registro obligatorio el 17 de julio de 2026
• Aproximadamente 2.000 operadores de instalaciones críticas en 11 sectores están afectados, desde energía hasta salud y transporte
• Por primera vez, medidas de protección física, gestión de continuidad del negocio y obligaciones de notificación están legalmente prescritas de forma transversal al sector
• La Ley marco KRITIS complementa NIS2: mientras que NIS2 regula la ciberseguridad digital, la ley marco aborda la resiliencia física y organizativa
• Los operadores deberían comenzar ahora con un análisis de brechas y preparar el registro obligatorio; quien incumpla los plazos arriesga multas de hasta 10 millones de euros

Qué regula la Ley marco KRITIS y por qué entra ahora en vigor

La Directiva de la UE sobre resiliencia de instalaciones críticas (Directiva CER, 2022/2557) obliga a todos los Estados miembros a crear regulaciones nacionales para la protección física de infraestructuras críticas. Alemania implementa este requisito mediante la Ley marco KRITIS, la primera ley federal que hace vinculantes de forma transversal al sector la seguridad física y la resiliencia organizativa.

Hasta ahora, en Alemania, la protección de infraestructuras críticas se centraba principalmente en la regulación del BSI en el ámbito digital (Ley de Seguridad Informática, ahora NIS2). Los riesgos físicos como sabotaje, catástrofes naturales o interrupciones del suministro estaban regulados de forma sectorial o incluso no regulados en absoluto. Los ataques contra los gasoductos Nord Stream en 2022, actos de sabotaje contra la infraestructura ferroviaria y la creciente amenaza híbrida han aumentado enormemente la presión política.

El resultado: una ley que agrupa en un solo marco normativo la seguridad física, la protección del personal, la gestión de crisis y las obligaciones de notificación, yendo deliberadamente más allá del ámbito de la mera seguridad informática.

«Las infraestructuras críticas son la columna vertebral de nuestra sociedad. Su protección es una tarea de Estado que debe integrar la resiliencia física y digital.»Ministerio Federal del Interior, con motivo de la aprobación de la Ley marco KRITIS

Los 11 sectores KRITIS en resumen

La Ley marco KRITIS define once sectores considerados infraestructura crítica. Para cada sector, la BBK establece umbrales específicos a partir de los cuales un operador queda sujeto a la regulación:

● Energía: Electricidad, gas, petróleo, calefacción urbana; producción, transporte y distribución. Además de las grandes empresas suministradoras, también están afectadas las empresas municipales y operadores de red que superen los umbrales.

● Transporte y tráfico: Aeropuertos, puertos, infraestructura ferroviaria y tráfico por carretera. Los actos de sabotaje contra Deutsche Bahn han demostrado lo vulnerable que es este sector.

● Banca y infraestructura de mercado financiero: Bancos sistémicamente relevantes e infraestructura bursátil. Aquí existen importantes superposiciones con DORA.

● Salud: Hospitales, laboratorios, empresas farmacéuticas y fabricantes de dispositivos médicos que superen los umbrales.

● Agua potable y aguas residuales: Abastecimiento de agua y tratamiento de aguas residuales; un sector especialmente dependiente de la seguridad física.

● Infraestructura digital: Centros de datos, servicios DNS, IXPs; fuertemente superpuesto con NIS2, aquí la Ley marco KRITIS actúa complementariamente en el nivel físico.

● Administración pública: Autoridades a nivel federal y estatal, cuando presten servicios críticos.

● Espacio: Infraestructura de satélites e instalaciones terrestres; un sector que solo fue incluido explícitamente a través de la Directiva CER.

● Alimentos: Producción, procesamiento y distribución de alimentos a gran escala.

● Producción: Fabricación de bienes críticos, como dispositivos médicos, electrónica o productos químicos.

● Investigación: Centros de investigación relevantes para la seguridad pública o el suministro.

Ley marco KRITIS frente a NIS2: qué regula cada una

La distinción entre la Ley marco KRITIS y NIS2 es la pregunta central que los operadores deben comprender. Ambas leyes afectan parcialmente a las mismas empresas, pero regulan diferentes ámbitos de riesgo.

NIS2 (implementada en Alemania mediante la Ley de Implementación de NIS2 y Fortalecimiento de la Ciberseguridad) regula la ciberseguridad digital: seguridad de redes, respuesta a incidentes, gestión de vulnerabilidades, cadenas de suministro seguras en el ámbito IT. La Ley marco KRITIS aborda, por el contrario, la resiliencia física y organizativa: protección perimetral, controles de acceso, verificación del personal, gestión de continuidad del negocio (BCM) y comunicación en crisis.

En la práctica, esto significa que un proveedor de energía debe demostrar tanto seguridad informática conforme con NIS2 como cumplir con los requisitos de protección física de la Ley marco KRITIS. La buena noticia: quien ya opera un ISMS funcional según ISO 27001 tiene una base sólida. La mala noticia: la seguridad física, el BCM y la verificación del personal no están en muchos casos al nivel que exige ahora la ley.

Un resumen completo de los requisitos de NIS2 lo ofrece nuestro artículo NIS2 en Alemania: qué deben saber y aplicar ahora las empresas.

Las cinco obligaciones principales de la Ley marco KRITIS

La ley define cinco áreas clave de obligaciones que todo operador afectado debe cumplir:

1. Registro obligatorio ante la BBK

Hasta el 17 de julio de 2026, todos los operadores de instalaciones críticas deben registrarse ante la Oficina Federal de Protección Civil y Ayuda en Casos de Catástrofe. El registro incluye datos sobre las instalaciones operadas, los servicios críticos prestados y las medidas de protección existentes. Sobre la base de este registro, la BBK creará una visión general nacional de todos los operadores KRITIS, por primera vez con esta exhaustividad.

2. Evaluación de riesgos y planificación de resiliencia

Los operadores deben realizar una evaluación de riesgos exhaustiva que cubra no solo riesgos cibernéticos, sino también amenazas físicas: catástrofes naturales, sabotaje, terrorismo, pandemias e interrupciones del suministro. Sobre la base de esta evaluación, debe elaborarse un plan de resiliencia que defina medidas de protección concretas.

3. Medidas de protección física

La ley exige medidas técnicas, organizativas y personales para la protección física: seguridad perimetral, sistemas de control de acceso, vigilancia por video, sistemas de detección y medidas de protección constructivas. El alcance depende de la criticidad de la instalación y del resultado de la evaluación de riesgos.

4. Gestión de continuidad del negocio (BCM)

Los operadores deben establecer un sistema BCM que garantice la prestación de servicios críticos incluso en caso de interrupciones o fallos. Esto incluye análisis de impacto en el negocio, planes de emergencia, procedimientos de reinicio y ejercicios periódicos. La norma BCM ISO 22301 sirve aquí como referencia.

5. Obligaciones de notificación

Los incidentes de seguridad que afecten o puedan afectar la prestación de servicios críticos deben notificarse a la BBK. La notificación inicial debe realizarse en un plazo de 24 horas, un informe detallado en un plazo de 72 horas. Aquí existen paralelismos con las obligaciones de notificación de NIS2 ante el BSI, aunque con sistemas de notificación y contactos diferentes.

Verificación del personal: el esfuerzo subestimado

Un área que muchos operadores aún no tienen en el radar es la verificación del personal. La Ley marco KRITIS prevé que los empleados en áreas de seguridad relevante deban someterse a una verificación de fiabilidad. Esto afecta no solo al personal propio, sino también a proveedores de servicios y subcontratistas con acceso a instalaciones críticas.

Los detalles de la verificación se regularán en una ordenanza legal separada. Pero ya está claro: los operadores deben establecer procesos que garanticen que solo el personal verificado tenga acceso a áreas de seguridad relevantes. En sectores con alta rotación de personal o muchos proveedores externos, como logística o salud, esto supone un esfuerzo organizativo considerable.

La hoja de ruta: qué debe hacerse y cuándo

La implementación de la Ley marco KRITIS sigue un calendario escalonado. Aquí los hitos clave:

● Marzo 2026 – Inmediatamente: Verificar si la propia empresa entra en la definición de KRITIS. Los umbrales se definen en la ordenanza legal de la ley; ya existen borradores.

● Abril-mayo 2026: Realizar un análisis de brechas. ¿Qué de las cinco obligaciones principales ya están cubiertas (por ejemplo, mediante ISO 27001, ISO 22301 o regulaciones sectoriales)? ¿Dónde existen lagunas?

● Junio 2026: Preparar los documentos de registro. El registro ante la BBK requiere datos detallados sobre instalaciones, servicios y medidas de protección; no es un formulario que pueda completarse en una hora.

● 17 de julio de 2026: Fecha límite para el registro obligatorio. A partir de esta fecha, todos los operadores afectados deben estar registrados ante la BBK.

● T3-T4 2026: Elaborar la evaluación de riesgos y el plan de resiliencia. La BBK proporcionará guías y plantillas, pero la implementación operativa corresponde al operador.

● 2027: Primeras inspecciones por parte de la BBK. La oficina federal puede realizar auditorías y exigir correcciones en caso de deficiencias.

Aprovechar sinergias con estándares existentes

La buena noticia para las empresas ya reguladas o que trabajan voluntariamente según estándares reconocidos: muchos requisitos de la Ley marco KRITIS pueden cubrirse mediante sistemas de gestión existentes.

● ISO 27001 (ISMS): Cubre evaluación de riesgos, controles de acceso y gestión de incidentes, aunque principalmente para seguridad de la información. La seguridad física solo está cubierta parcialmente (Anexo A.7 y A.11).

● ISO 22301 (BCM): Directamente aplicable a los requisitos de BCM de la Ley marco KRITIS. El análisis de impacto en el negocio, estrategias de recuperación y ejercicios ya están definidos aquí.

● BSI-Grundschutz: El compendio del BSI contiene módulos para seguridad física (módulos INF) y gestión de emergencias que pueden mapearse directamente a los requisitos KRITIS.

● Estándares sectoriales: EnWG (energía), IT-SRRL (telecomunicaciones) o KHG (hospitales) ya incluyen requisitos de protección específicos del sector que pueden servir como base.

Quien utilice estos estándares de forma coherente podrá reducir considerablemente el esfuerzo de implementación de la Ley marco KRITIS. La clave está en la integración: un sistema de gestión unificado que reúna seguridad física, seguridad informática y BCM bajo un mismo techo, en lugar de ejecutar tres proyectos de cumplimiento paralelos.

Multas y responsabilidad: qué ocurre en caso de incumplimiento

La Ley marco KRITIS prevé sanciones severas. Los operadores que no se registren, no realicen evaluaciones de riesgos o incumplan las obligaciones de notificación arriesgan multas de hasta 10 millones de euros. Esto está en la misma magnitud que NIS2 y pretende subrayar la seriedad de la regulación.

Además, la dirección empresarial es personalmente responsable del cumplimiento de las disposiciones. Los directores y consejeros pueden ser responsabilizados en caso de incumplimiento. Esta responsabilidad personal es un fuerte incentivo para no delegar el tema en un departamento técnico y olvidarlo.

Cómo pueden protegerse las empresas contra las consecuencias financieras de incidentes de seguridad se analiza en nuestro artículo Seguro cibernético 2026: qué deben saber las empresas.

Recomendaciones prácticas para los operadores

¿Qué deben hacer ahora concretamente las empresas afectadas? Aquí un plan de acción pragmático:

● Iniciar inmediatamente el análisis de afectación: Verifique según las definiciones sectoriales y umbrales si su empresa entra bajo la ley. En caso de duda, consulte a la BBK; mejor preguntar una vez de más que perderse el plazo de registro.

● Definir responsabilidades: La Ley marco KRITIS exige un responsable de resiliencia designado. Aclare ahora quién asumirá este rol y qué autoridades y recursos tendrá la persona.

● Realizar análisis de brechas frente a las cinco obligaciones principales: Tome los cinco ámbitos de obligación como lista de verificación y evalúe honestamente dónde se encuentra su empresa. Especialmente la seguridad física y la verificación del personal están poco desarrolladas en muchas empresas.

● Aprovechar sinergias con NIS2: Si ya está trabajando en la implementación de NIS2, integre los requisitos KRITIS en el mismo marco de proyecto. Se puede evitar trabajo duplicado si la estructura de gobernanza es adecuada.

● Involucrar a proveedores y servicios externos: La seguridad física no termina en la puerta de la fábrica. Verifique qué proveedores externos tienen acceso a instalaciones críticas y comience con las verificaciones del personal.

● Asegurar presupuesto con antelación: La creación de BCM, medidas de protección física y verificaciones del personal cuestan dinero. Quien comience el proceso presupuestario solo en junio de 2026 no cumplirá con el plazo de julio.

Perspectivas: la protección KRITIS como factor competitivo

La Ley marco KRITIS es algo más que una obligación de cumplimiento adicional. Obliga a las empresas a abordar sistemáticamente su resiliencia, y lo hace en un momento en que amenazas híbridas, tensiones geopolíticas y fenómenos climáticos demuestran diariamente la vulnerabilidad de las infraestructuras críticas.

Las empresas que aprovechen esta ley como una oportunidad para elevar su seguridad física y organizativa a un nivel profesional no solo serán cumplidoras. También estarán mejor posicionadas en licitaciones, primas de seguros y confianza del cliente frente a competidores que solo cumplan lo mínimo.

El plazo está fijado: 17 de julio de 2026. Son cuatro meses. Quien no comience ahora, no terminará a tiempo. Qué otras tendencias de ciberseguridad marcarán el año 2026, lea en nuestro resumen Tendencias de ciberseguridad 2026: siete desarrollos.

Preguntas frecuentes

¿Quién está afectado por la Ley marco KRITIS?

Operadores de instalaciones críticas en once sectores que superen ciertos umbrales: energía, transporte, banca, infraestructura de mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio, alimentos, producción e investigación. En total, alrededor de 2.000 operadores en Alemania están afectados.

¿Cuál es la diferencia entre la Ley marco KRITIS y NIS2?

NIS2 regula la ciberseguridad digital (redes, sistemas IT, respuesta a incidentes). La Ley marco KRITIS aborda la resiliencia física y organizativa (protección perimetral, BCM, verificación del personal, comunicación en crisis). Ambas leyes pueden afectar a la misma empresa y se complementan mutuamente.

¿Qué plazos concretos rigen?

El registro obligatorio ante la BBK debe realizarse hasta el 17 de julio de 2026. Las evaluaciones de riesgos y planes de resiliencia deben crearse posteriormente; las primeras inspecciones por parte de la BBK están previstas a partir de 2027. Los plazos exactos para medidas individuales se establecerán en la ordenanza legal de la ley.

¿Qué ocurre en caso de incumplimiento de la Ley marco KRITIS?

Son posibles multas de hasta 10 millones de euros. Además, la dirección empresarial es personalmente responsable del cumplimiento de las disposiciones. La BBK puede realizar auditorías y ordenar correcciones en caso de deficiencias.

¿Cómo se relacionan la Ley marco KRITIS y DORA?

DORA (Ley de Resiliencia Operacional Digital) actúa como lex specialis para el sector financiero y aborda la resiliencia operacional digital. La Ley marco KRITIS puede aplicarse adicionalmente si un instituto financiero es clasificado como operador KRITIS, por ejemplo bancos sistémicamente relevantes o infraestructura bursátil. En este caso, ambos marcos normativos deben cumplirse simultáneamente.

Fuente de imagen: Pexels / Markus Spiske

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow