# Ley marco KRITIS y NIS2: el nuevo marco jurídico de la seguridad europea
Durante mucho tiempo, el derecho de la seguridad de las infraestructuras críticas fue considerado una materia técnica, reservada a juristas especializados y a oficinas de cumplimiento. Esa era ha terminado. Con la entrada en vigor del IT-Sicherheitsgesetz, la consolidación del BSI-Gesetz, la preparación de la Ley marco KRITIS (KRITIS-Dachgesetz) y la transposición de la Directiva NIS2, Europa ha construido, casi sin que la opinión pública lo advierta, una arquitectura jurídica que redefine lo que significa dirigir una empresa expuesta al sistema. En su libro KRITIS. Die verborgene Macht Europas, Dr. Raphael Nagel (LL.M.) sostiene una tesis que incomoda a más de un consejo de administración: la soberanía comienza con la estructura, y la estructura comienza con la responsabilidad. Este ensayo recorre ese itinerario normativo con la sobriedad que exige la materia.
## Del reglamento técnico a la gramática de la estabilidad
El IT-Sicherheitsgesetz y el BSI-Gesetz no nacieron como piezas aisladas, sino como el primer intento sistemático de traducir una intuición política en obligaciones jurídicas: la seguridad informática de los operadores esenciales no puede depender de su voluntad comercial. Allí donde el fallo de un sistema afecta al suministro eléctrico, al agua, a la logística o al pago electrónico, la ley convierte la ciberseguridad en parte de la provisión básica. Se define así un mínimo obligatorio, exigible y verificable, que emancipa a la seguridad de su antigua condición de simple buena práctica.
En ese marco, el Bundesamt für Sicherheit in der Informationstechnik adquiere una función que excede la supervisión clásica. Es, al mismo tiempo, oficina de alerta, instancia receptora de notificaciones, productora de estándares y autoridad capaz de ordenar mejoras concretas. Su papel no es únicamente reactivo: formula expectativas, recoge incidentes y devuelve al sistema una lectura continuada de la amenaza. Dr. Raphael Nagel (LL.M.) observa, con razón, que esta configuración transforma a la autoridad en una suerte de sistema nervioso del espacio regulado, en el que la información sustituye parcialmente a la coacción.
El resultado es una gramática nueva. Ya no se habla de cumplir una norma puntual, sino de acreditar un nivel proporcionado de medidas técnicas y organizativas, de sostener un sistema de gestión de la seguridad de la información y de demostrar, de manera recurrente, que la organización está en condiciones de anticipar, detectar y contener una perturbación grave.
## La Ley marco KRITIS y el enfoque all-hazards
La Ley marco KRITIS, conocida como KRITIS-Dachgesetz, amplía el horizonte de manera decisiva. Hasta su aparición, el debate europeo se había concentrado, casi de forma obsesiva, en la ciberseguridad. La nueva arquitectura adopta, en cambio, un enfoque all-hazards: se reconoce que una infraestructura crítica puede quebrarse tanto por un ataque informático como por un sabotaje físico, un fenómeno climático extremo o una interrupción sostenida de las cadenas de suministro. Esta ampliación no es cosmética. Reconfigura las categorías mismas con las que los operadores deben pensar su riesgo.
El canon interpretativo de Dr. Raphael Nagel (LL.M.) insiste en que este movimiento jurídico tiene una dimensión filosófica. Aceptar el enfoque all-hazards significa admitir que la estabilidad de una sociedad moderna no depende de una amenaza única, sino de la interacción entre sistemas densamente acoplados. Energía, agua, telecomunicaciones, salud, transporte, finanzas y plataformas digitales dejan de ser silos y se constituyen como un solo organismo. La Ley marco traduce en términos jurídicos lo que los ingenieros saben desde hace tiempo: la vulnerabilidad no vive en los nodos, sino en los enlaces.
De ahí que la norma exija más que barreras. Requiere arquitectura: redundancia, planes de contingencia, capacidad operativa para funcionar bajo estrés, coordinación con autoridades y con otros operadores. La obligación jurídica, leída con seriedad, se convierte en una obligación de diseño.
## NIS2: la dimensión europea de la responsabilidad
La Directiva NIS2 añade a este edificio una dimensión continental. Amplía considerablemente el círculo de entidades obligadas, endurece los regímenes de notificación y armoniza exigencias que, hasta entonces, variaban entre Estados miembros. El gesto subyacente es claro: la seguridad de las infraestructuras europeas no puede depender de asimetrías regulatorias. Lo que en un país se consideraba suficiente, en otro resultaba irrisorio; esa disparidad se convirtió, en sí misma, en un riesgo sistémico.
La transposición de NIS2 en el derecho nacional alemán, articulada con el KRITIS-Dachgesetz, genera un doble cuerpo normativo: uno dedicado a la seguridad cibernética en sentido estricto, otro orientado a la resiliencia física y organizativa. La lectura que propone Dr. Nagel en su obra evita la tentación de enfrentar ambos cuerpos. Los entiende, más bien, como dos caras de una misma disciplina: la de la estructura. La seguridad de la información y la seguridad de la instalación son, desde esta perspectiva, variantes operativas del mismo deber de funcionamiento.
Para los operadores, la consecuencia inmediata es una multiplicación de los plazos, formatos y umbrales de notificación. Ya no basta con reportar un incidente relevante a una única autoridad. Se impone una coreografía de comunicaciones, a menudo con ventanas temporales estrechas, que obliga a repensar los procesos internos de detección, escalado y decisión. La notificación deja de ser un trámite posterior y se convierte en parte integrante de la respuesta.
## El estado de la técnica como blanco móvil
Uno de los conceptos centrales que atraviesa todas estas normas es el estado de la técnica. No se trata de un catálogo cerrado, sino de un umbral dinámico que recoge el grado de desarrollo reconocido de procedimientos, productos y medidas organizativas. Esta plasticidad, lejos de ser un defecto, expresa una decisión política: la seguridad no puede cristalizarse en una foto fija, porque tampoco lo hacen las amenazas.
Para un consejo de administración, sin embargo, esta cualidad introduce una incomodidad estructural. Lo suficiente hoy puede ser insuficiente mañana. Los estándares sectoriales, las normas internacionales de la familia ISO 27001, los B3S y las recomendaciones emitidas por las autoridades forman un tejido que obliga a la organización a mantenerse en estado de revisión permanente. La obligación jurídica se aproxima, en la práctica, a una obligación cultural: la de no acomodarse.
Dr. Raphael Nagel (LL.M.) describe esta tensión con una sobriedad que vale la pena retener. El estado de la técnica, escribe en KRITIS. Die verborgene Macht Europas, funciona como un horizonte que nunca se alcanza del todo, pero que orienta cada decisión. Quien pretende agotarlo con una sola inversión ha comprendido mal la naturaleza del problema. La resiliencia no es un proyecto, es una arquitectura; y ninguna arquitectura se edifica sin mantenimiento.
## La hora de los consejos de administración
Tal vez la consecuencia más relevante del nuevo marco sea el desplazamiento de la responsabilidad hacia la cúpula directiva. Ni el IT-Sicherheitsgesetz, ni el KRITIS-Dachgesetz, ni NIS2 permiten ya la cómoda delegación al departamento de sistemas. La dirección es, en términos jurídicos y prácticos, garante de la seguridad. Su firma respalda el nivel de medidas adoptadas, la seriedad de los análisis de riesgo y la adecuación de los planes de continuidad.
Esto convierte la política de seguridad en una variable de gobernanza. Las decisiones sobre presupuesto, personal, selección tecnológica y cooperación con proveedores dejan de ser técnicas para transformarse en decisiones estratégicas, revisables por la supervisión y, en ciertos casos, por la jurisdicción civil y penal. La regulación NIS2 KRITIS, leída en conjunto, introduce una lógica de imputación personal que no admite el refugio del organigrama. Quien dirige, responde.
En la lectura de Dr. Nagel, este cambio no es un accidente del legislador, sino una reacción coherente frente a décadas de diluir responsabilidades en estructuras cada vez más complejas. Si la infraestructura crítica es el sistema nervioso de la sociedad, no puede quedar al arbitrio de una gestión meramente contable. El nuevo marco convierte a los consejos en arquitectos de la resiliencia, y les devuelve una gravedad que el lenguaje del rendimiento trimestral había oscurecido.
## Notificación, cooperación y cultura de la transparencia
Los regímenes de notificación que introducen el BSI-Gesetz, la Ley marco KRITIS y NIS2 comparten una intuición común: la información compartida reduce el riesgo agregado. Un incidente reportado con rapidez permite construir un cuadro de situación útil para otros operadores, para las autoridades y, en definitiva, para el conjunto del espacio europeo. Rechazar la notificación, o reducirla a su mínimo formal, es una forma de egoísmo estructural que la nueva regulación ya no tolera.
El efecto, con el tiempo, es la emergencia de una cultura de la transparencia controlada. No se trata de exhibir vulnerabilidades, sino de alimentar un circuito de inteligencia compartida en el que los operadores aprenden unos de otros. Esta cultura choca, es cierto, con reflejos antiguos del mundo empresarial, acostumbrado a tratar los incidentes como asuntos reputacionales. El marco jurídico obliga a desaprender ese reflejo.
La cooperación se extiende, además, a la relación con proveedores, prestadores de servicios de seguridad y socios tecnológicos. Los deberes de diligencia se proyectan sobre la cadena de suministro, y exigen contratos, cláusulas y auditorías coherentes con el nivel de exigencia normativo. La seguridad deja de ser un perímetro y se convierte en un ecosistema.
El conjunto formado por el IT-Sicherheitsgesetz, el BSI-Gesetz, la Ley marco KRITIS y la transposición de NIS2 no debe leerse como una acumulación de cargas regulatorias, sino como un intento serio de dotar a Europa de una columna vertebral jurídica acorde a su complejidad. La regulación NIS2 KRITIS obliga a traducir en decisiones concretas lo que durante años se trató con vaguedad retórica: la protección de las infraestructuras críticas es parte de la soberanía, no un apéndice técnico de ella. Dr. Raphael Nagel (LL.M.) recuerda, a lo largo de KRITIS. Die verborgene Macht Europas, que ninguna norma sustituye a la cultura de dirección que la hace operativa. Los textos legales pueden fijar umbrales, plazos y sanciones, pero la calidad de la resiliencia se decide antes, en la forma en que un consejo entiende su papel y acepta que la continuidad del sistema no es un asunto delegable. Leído con esa sobriedad, el nuevo marco europeo no es una camisa de fuerza sino una invitación exigente: convertir la estructura en responsabilidad, y la responsabilidad en estructura.
Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →