Página web
Volver a la descripción general

KRITIS

KRITIS es la abreviatura de Kritische Infrastrukturen (infraestructuras críticas) y designa en Alemania las instalaciones y equipamientos cuyo fallo o deterioro podría provocar graves problemas de suministro o amenazas para la seguridad pública. Entre los sectores afectados se encuentran la energía, el agua, la alimentación, la salud, el transporte, las finanzas y las tecnologías de la información y la comunicación. La base jurídica la constituye la Ley del BSI en combinación con el Reglamento KRITIS, que define umbrales concretos a partir de los cuales un operador es clasificado como relevante para KRITIS. Con la entrada en vigor de la Ley de implementación de NIS2 a finales de 2025 y la Ley Marco KRITIS a principios de 2026, el marco regulatorio en Alemania se amplió y endureció considerablemente.

Los operadores KRITIS están sujetos a obligaciones concretas de ciberseguridad que van mucho más allá de las recomendaciones generales. Deben registrarse en el BSI, implementar medidas de seguridad técnicas y organizativas, notificar incidentes de seguridad y demostrar periódicamente sus medidas de protección. Con la Ley Marco KRITIS, desde 2026 se añaden además obligaciones de protección física de instalaciones críticas, para las que se requiere un registro separado ante la Oficina Federal de Protección Civil y Asistencia en Catástrofes. Los operadores KRITIS asumen así en la práctica una doble obligación de registro y acreditación ante dos autoridades.

En la práctica, KRITIS no afecta únicamente a grandes corporaciones. Las empresas municipales de servicios públicos, los hospitales de titularidad municipal o los abastecedores regionales de agua pueden caer igualmente bajo los umbrales KRITIS que las empresas de ámbito nacional. Para los responsables de TI en estas organizaciones, esto significa que los sistemas y dispositivos utilizados deben cumplir requisitos elevados de seguridad, documentación y trazabilidad, que van mucho más allá de lo habitual en empresas no reguladas.

La diferencia esencial entre KRITIS y NIS2 reside en el ámbito de aplicación. Mientras NIS2 abarca un amplio círculo de empresas e instituciones, KRITIS designa en sentido estricto únicamente a los aproximadamente 1.800 operadores de instalaciones críticas que superan un umbral de suministro definido y están sujetos por tanto a los requisitos más estrictos. En el debate público, ambos términos se utilizan con frecuencia como sinónimos, lo que puede llevar a una evaluación errónea de la propia situación regulatoria.

Para los operadores KRITIS, la protección integral y la documentación de todos los dispositivos utilizados es un componente central de las medidas de protección exigidas por ley. Cómo puede implementarse esto con una gestión de dispositivos conforme con el RGPD y a prueba de auditorías queda ilustrado con un vistazo a las posibilidades correspondientes.