¿Identificado como operador de una instalación crítica ? Le acompañamos con seguridad a través de la auditoría.
Desde el análisis de aplicabilidad hasta la definición del alcance, el análisis de brechas, la hoja de ruta y la implementación, hasta la auditoría de verificación §39 acompañada — impulsado por IA, en alemán y listo para auditoría. Bajo demanda, como servicio totalmente gestionado.
Ocho pasos. Un resultado.
Estructurado desde la aplicabilidad hasta superar la auditoría externa.
KRITIS en la práctica
Impresiones desde sectores regulados — situación legal actual, experiencia de auditoría y enfoque concreto.
KRITIS se apoya hoy en dos pilares — y ambos le afectan a la vez.
El antiguo panorama KRITIS se reorganizó de manera fundamental en 2025/2026. La ciberseguridad y la resiliencia física se regulan ahora mediante dos leyes independientes. Quien opera una instalación crítica suele caer bajo ambas.
Ciberseguridad y verificación
La ley de transposición NIS2 reformó el BSIG y está en vigor desde el 6 de diciembre de 2025 — sin periodo transitorio. Regula la gestión de riesgos, las obligaciones de notificación y el procedimiento de verificación §39.
- Los operadores de instalaciones críticas son automáticamente «entidad particularmente importante» (§28 BSIG).
- Verificación de las medidas ante el BSI cada tres años (§39 BSIG).
- Plazos de notificación 24 h / 72 h / informe final en caso de incidentes de seguridad.
- Registro ante el BSI a través del nuevo portal (§33/§34 BSIG).
Resiliencia física
La Ley marco KRITIS transpone la Directiva CER de la UE y aborda la seguridad física desde un enfoque todos los riesgos — aprobada por el Bundestag el 29.01.2026, en vigor en 2026.
- Registro de las instalaciones ante el BBK a través de la plataforma conjunta BBK/BSI.
- Análisis de riesgos, medidas de resiliencia y gestión de crisis (§13).
- Punto de contacto 24/7 y cadenas de notificación ante incidencias.
- El mapeo con ISO 27001 e ISO 22301 crea sinergias para la implementación.
¿Es realmente operador de una instalación crítica?
La pregunta más importante primero — y en 2026 se ha vuelto más compleja. Lo decisivo ya no es solo la instalación individual, sino la interacción entre BSI-KritisV, transposición NIS2 y Ley marco KRITIS. Evaluamos su aplicabilidad de forma sólida y con seguridad jurídica.
Comprobación de umbrales
¿Alcanza su instalación el umbral estándar de 500.000 personas abastecidas? Evaluamos criterios cuantitativos y cualitativos como cuota de mercado, alcance e interdependencias por sector.
Doble clasificación
Quien opera una instalación crítica es automáticamente entidad particularmente importante según §28 BSIG — eso significa obligaciones dobles, sin opción de elegir. Hacemos visible lo que le aplica.
Interfaz con el análisis NIS2
La aplicabilidad KRITIS se determina en paralelo con la aplicabilidad NIS2 y se entrelaza limpiamente — una base de datos consistente en lugar de dos evaluaciones paralelas.
→ A la consultoría NIS2Qué sectores quedan bajo KRITIS
Servicios críticos para el abastecimiento de la sociedad — en todos los sectores regulados. Los operadores de instalaciones críticas en estos ámbitos están sujetos a las obligaciones del BSIG y de la Ley marco KRITIS.
Energía
Electricidad, gas, combustibles y petróleo, calefacción urbana
Agua
Suministro de agua potable y saneamiento
Alimentación
Suministro alimentario y logística
TI y telecomunicaciones
Redes, centros de datos, servicios digitales
Salud
Hospitales, medicamentos, laboratorios
Finanzas y seguros
Pagos, bolsas, aseguradoras
Transporte y tráfico
Aire, ferrocarril, carretera, mar, logística
Residuos municipales
Eliminación y gestión de residuos
Complementado con espacio, administración pública y otros sectores según NIS2 — la asignación concreta se aclara en el análisis de aplicabilidad.
De la aplicabilidad a la verificación superada — en ocho pasos.
Una ruta continua y lista para auditoría. Cada paso es reservable por separado o como proceso totalmente gestionado — impulsado por IA con VamiGRC y acompañado por Lead Auditors experimentados.
Análisis de aplicabilidad KRITIS
Aclaramos con seguridad jurídica si y con qué instalaciones es usted operador de instalaciones críticas — en paralelo con la aplicabilidad NIS2 y limpiamente entrelazado. El resultado es una clasificación sólida incluyendo las obligaciones derivadas según BSIG y Ley marco KRITIS.
Interfaz: aplicabilidad NIS2Definición del alcance
Delimitación precisa de la instalación crítica dentro de la empresa — con los procesos, IT y OT asociados. Definimos el alcance y el plano de estructura de red de modo que la detección de ataques sea totalmente visible y las zonas no monitorizadas estén claramente marcadas — exactamente según los requisitos del procedimiento §39 (GAiN 2.2).
Análisis de brechas KRITIS
Comparación estructurada objetivo/real frente a la base de auditoría aplicable — B3S sectorial, requisitos transversales y especificidades KRITIS. Tenemos en cuenta ISO 27001 e ISO 22301 para reutilizar estructuras existentes y evitar trabajo duplicado.
Hoja de ruta y plan de acción detallado
A partir de las brechas creamos un plan de implementación priorizado y calendarizado, con responsabilidades, esfuerzos e hitos claros — alineado con la próxima verificación y los plazos del BSIG y la Ley marco.
Acompañamiento de la implementaciónvCISO / vISB opcional
Acompañamos la implementación operativamente — bajo demanda con un vCISO externo o responsable virtual de seguridad de la información (vISB) que cubre plenamente la función ISB desde el punto de vista regulatorio (BSIG, NIS2, ISO 27001). Pilotaje, reporting a la dirección y preparación de auditoría desde una única fuente.
Plataforma SGSIVamiGRC opcional
Bajo demanda implementamos y operamos su plataforma SGSI — bien su solución existente, bien nuestra propia plataforma impulsada por IA VamiGRC. Riesgos, controles, políticas, medidas y evidencias en una única base de datos lista para auditoría.
Descubrir VamiGRCAuditoría interna formal
Antes de la auditoría externa realizamos una auditoría interna formal según normas reconocidas — incluyendo lista de no conformidades, clasificación (mayor / menor) y plan concreto de remediación. Así afronta la verificación sin sorpresas.
Acompañamiento de la verificación externa
Coordinamos el organismo de auditoría externo, preparamos todos los documentos de evidencia y anexos (alcance, lista de no conformidades, base de auditoría) y le acompañamos durante todo el procedimiento §39 hasta la verificación exitosa ante el BSI.
La verificación no es un proyecto del final — es la referencia desde el primer día.
Los operadores de instalaciones críticas deben acreditar sus medidas ante el BSI cada tres años. El organismo y el equipo de auditoría deben ser externos y jurídica y económicamente independientes; un B3S por sí solo no basta. A partir del 01.01.2027 se aplican requisitos adicionales para el reconocimiento de certificados en la verificación. Pensamos en la verificación desde el primer paso — para que los requisitos no se conviertan en un cuello de botella.
KRITIS nunca está solo — lo conectamos con su panorama de compliance.
KRITIS, NIS2 y su sistema de gestión comparten riesgos, controles y evidencias. En lugar de proyectos aislados, creamos una base coherente y reutilizable.
Consultoría NIS2
Los operadores de instalaciones críticas son automáticamente entidad particularmente importante. Unificamos las obligaciones KRITIS y NIS2 de forma coherente — una aplicabilidad, un enfoque integrado.
A la consultoría NIS2 →VamiGRC
Nuestra plataforma SGSI y GRC impulsada por IA: riesgos, controles, políticas, medidas y evidencias sobre una base de datos lista para auditoría — monitorización continua incluida.
Descubrir VamiGRC →GRC as a Service
¿No quiere montar un equipo? Asumimos toda la operación KRITIS y GRC como pila externa — vCISO, plataforma y acompañamiento de auditoría, listos para auditoría desde el día 1.
GRC as a Service →«GRC as a Service» — su verificación KRITIS, totalmente gestionada.
Desde la aplicabilidad pasando por el mantenimiento continuo del SGSI hasta la verificación trienal: asumimos el ciclo completo como pila GRC externa — con vCISO/vISB dedicado, plataforma VamiGRC y coordinación del organismo auditor. Sin montar un departamento propio, sin vendor lock-in.
Todo lo que su programa KRITIS necesita
Preguntas frecuentes sobre consultoría KRITIS
¿Cómo sé si soy operador de una instalación crítica?
¿Cuál es la diferencia entre KRITIS, NIS2 y la Ley marco KRITIS?
¿Con qué frecuencia debe aportarse la verificación según §39 BSIG?
¿Necesitamos aun así un responsable interno de seguridad de la información?
¿Tenemos que usar la plataforma VamiGRC?
¿Podemos externalizar todo el cumplimiento KRITIS?
Confianza desde sectores regulados
Lo que dicen los clientes sobre trabajar con VamiSec.
«VamiSec realizó con nosotros un análisis de brechas NIS2 para un cliente KRITIS. Me llamaron especialmente la atención la competencia de todo el equipo y su profundo conocimiento. Recomendamos VamiSec al 100 %, sin reservas.»
«Trabajo desde hace varios años con el Sr. Milke. Ha desarrollado conceptos estratégicos, realizado auditorías técnicas e impartido talleres como formador. Su manera tranquila y segura lo convierte en un verdadero trusted advisor.»
Aclare su aplicabilidad KRITIS — en una consulta inicial gratuita.
Sin presentación comercial — una evaluación honesta de su situación y de los siguientes pasos razonables.
