Ley marco KRITIS: Cuando la resiliencia se convierte en una obligación del CISO
7 Min. de lectura
Desde el 17 de marzo de 2026 está en vigor la KRITIS-Dachgesetz. Por primera vez se aplican estándares mínimos federales para la protección física de instalaciones críticas, paralelamente al régimen cibernético de la BSI-Gesetz. Para los CISOs esto supone un cambio: la resiliencia ya no se puede dividir en una columna de TI y una columna de edificio.
Lo más importante en resumen
- Nuevo marco legal desde marzo 2026: La KRITIS-Dachgesetz implementa la directiva europea 2022/2557 (CER) y obliga a los operadores en diez sectores a la resiliencia física, desde el análisis de riesgos hasta la notificación de incidentes.
- Dos pilares, un modelo de riesgo: Ciberseguridad según la BSI-Gesetz y protección física según la KRITIS-Dachgesetz se entrelazan. Quien gestiona ambos por separado pasa por alto los ataques que se producen justo en la unión.
- El umbral es controvertido: El umbral regulador de 500.000 habitantes abastecidos por instalación se considera demasiado alto en muchos países. Quien está ligeramente por debajo lo evalúa igualmente, ya que la criticidad también puede determinarse independientemente del umbral.
Relacionado:Zero Trust en el proveedor de energía / DORA y NIS2 en auditoría doble
Qué exige la KRITIS-Dachgesetz a los operadores
¿Qué es la KRITIS-Dachgesetz? La KRITIS-Dachgesetz es el primer marco legal federado para la protección física de infraestructuras críticas en Alemania. Implementa la directiva europea CER 2022/2557 y obliga a los operadores en diez sectores, entre ellos energía, agua, salud, suministro de alimentos y transporte, a estándares mínimos uniformes para la resiliencia de sus instalaciones.
Concretamente, esto significa: los operadores afectados deben registrarse ante la autoridad competente, realizar periódicamente un análisis de riesgos y una evaluación de riesgos, implementar medidas de resiliencia técnicas y organizativas y notificar interrupciones significativas. La definición exacta de los procedimientos individuales se concretará mediante reglamentos posteriores. El criterio principal para la clasificación es un umbral regulador de 500.000 habitantes abastecidos por instalación. Sin embargo, la criticidad también puede determinarse por debajo de este umbral si la interrupción pondría en riesgo un servicio crítico.
El proceso parlamentario fue breve y conciso. El Bundestag aprobó la ley el 29 de enero de 2026, el Bundesrat la ratificó el 6 de marzo, y la publicación en el Bundesgesetzblatt se realizó el 16 de marzo. Por lo tanto, los operadores disponen de menos tiempo de anticipación del que la discusión de varios años había supuesto.
Dos pilares que se complementan
Para los responsables de seguridad, la verdadera novedad no es el marco regulador físico en sí mismo, sino su vinculación con el régimen cibernético existente. Alemania, como gran país de la UE, está desarrollando ambos pilares en paralelo. Ambos se centran en la misma instalación.
| Dimensión | Ley BSI (cibernético) | Ley marco KRITIS (físico) |
|---|---|---|
| Objeto de protección | Sistemas y redes de TI | Edificios, instalaciones y operaciones |
| Base de la UE | Directiva NIS2 | Directiva CER 2022/2557 |
| Obbligación principal | Gestión de riesgos cibernéticos, obligación de notificación | Resiliencia física, análisis de riesgos, obligación de notificación |
| Responsabilidad típica | BSI | BBK |
Un atacante que quiera inutilizar una subestación no pregunta si la vulnerabilidad está en el firewall o en la cerradura. Exactamente por eso, la nueva ley exige una imagen común de la situación. El análisis de riesgos según la ley marco y la gestión de riesgos según la ley BSI deberían acceder al mismo modelo de amenazas, en lugar de llevarse a cabo por separado en dos departamentos.
Dónde la ley sigue siendo vulnerable
El marco regulador también merece una mirada crítica. El umbral de 500.000 habitantes abastecidos fue criticado en el procedimiento porque deja en la incertidumbre la clasificación de proveedores más pequeños pero regionalmente indispensables. Varios países consideraron que era demasiado alto. Como la criticidad también puede establecerse por debajo del umbral habitual, se crea una zona gris para algunos proveedores más pequeños, en la que deben evaluar y documentar su propia afectación de manera fiable.
Además, se plantea la cuestión de la competencia. Los expertos y las voces del proceso parlamentario critican que la división de tareas entre el BBK para la protección física, el BSI para la ciberseguridad y el Ministerio Federal del Interior no esté regulada de manera clara en todas partes. Para los operadores, esto significa que deben aclarar tempranamente qué autoridad es su interlocutor en caso de incidente.
Qué deben abordar los responsables de seguridad en los próximos 90 días
De la lógica de la ley se deriva un punto de partida ajustado que se puede implementar sin un gran presupuesto y que establece las directrices correctas.
Este enfoque mantiene el esfuerzo manejable y convierte la obligación en un plan sólido. Quien integre ambos regímenes ahora tendrá un canal de notificación claro y una imagen de situación común en caso de incidente notificado.
Preguntas frecuentes
¿Cuál es la diferencia entre NIS2 y la ley paraguas KRITIS?
NIS2 y su implementación alemana en la ley BSI regulan la ciberseguridad de las instalaciones críticas. La ley paraguas KRITIS implementa la directiva CER y regula la protección física y la resiliencia general de las mismas instalaciones. Ambas se aplican en paralelo y se entrelazan en muchos operadores.
¿Desde cuándo se aplica la ley paraguas KRITIS?
La ley se publicó en el Boletín Oficial Federal el 16 de marzo de 2026 y entró en vigor el 17 de marzo de 2026. El Bundestag la aprobó el 29 de enero de 2026 y el Bundesrat dio su consentimiento el 6 de marzo de 2026.
¿Qué sectores están afectados?
La ley abarca diez sectores con infraestructuras críticas, incluidos energía, agua, salud, suministro de alimentos, transporte y tráfico. El criterio es que una instalación proporcione un servicio crítico para el suministro de la población.
¿Qué significa el umbral de 500.000 habitantes?
Como regla general, se considera que una instalación abastece al menos a 500.000 personas. Las instalaciones por encima de este umbral suelen estar sujetas a la ley. Sin embargo, la criticidad también puede establecerse por debajo de este umbral, por lo que los operadores más pequeños también deben verificar su clasificación.
¿Quién es responsable de la implementación?
Para la protección física, el Oficina Federal para la Protección de la Población y la Gestión de Emergencias suele ser la responsable, y para la ciberseguridad, la BSI. La delimitación exacta entre las autoridades es objeto de debate en la comunidad especializada, por lo que los operadores deben aclarar su interlocutor concreto desde el principio.
¿Qué sanciones se prevén en caso de infracciones?
La ley prevé multas por infracciones de obligaciones, como la falta de registro o la omisión de notificación. La cuantía concreta depende del caso concreto y del tipo de infracción, por lo que los operadores deben tomar en serio las obligaciones de prueba desde el principio.
Consejos de lectura de la redacción
- El plan de emergencia que nadie ha probado
- RSA Conference 2026: las tareas pendientes para los CISOs de DACH
- Oracle PeopleSoft: brecha activamente explotada
Más del network de MBF Media
Fuente de la imagen: Generada por IA (junio 2026)
