Co je BSI?
Spolkový vyšší úřad podřízený Spolkovému ministerstvu vnitra, zřízený podle § 1 BSIG. Podle NIS 2 je příslušným orgánem, jednotným kontaktním místem pro ohlašování a provozovatelem národního CSIRT.
Co to je
Každý, kdo v Německu poprvé přemýšlí o NIS 2, skončí u BSI. Spolkový úřad pro bezpečnost informací sídlí v Bonnu, existuje od roku 1991 a podle § 1 BSIG je spolkovým úřadem pro kybernetickou bezpečnost. V praxi to znamená: cokoli musíte podle NIS 2 ohlásit, zaregistrovat nebo doložit, nakonec prochází přes BSI.
Co mnoho čtenářů při prvním kontaktu mate: podle NIS 2 nemá BSI jednu roli, ale čtyři. Je příslušným orgánem podle čl. 8 NIS 2, jediným místem, kterému ohlašujete významné incidenty podle § 32 BSIG, orgánem, u kterého se registrujete podle § 33 BSIG, a provozovatelem národního CSIRT (CERT-Bund) ve smyslu čl. 10 NIS 2. Čtyři rozhraní, jeden úřad.
V praxi se s BSI setkáte na třech styčných bodech: registrace, ohlašování incidentů a dohled. Co BSI nedělá: právní poradenství k jednotlivým případům, certifikaci ISO 27001 ani implementační poradenství. Implementační práce zůstává na vás, interně nebo s externí pomocí.
§ 1 BSIG (zřízení)
Spolek vede jako spolkový vyšší úřad v působnosti Spolkového ministerstva vnitra, pro výstavbu a vlast Spolkový úřad pro bezpečnost informací.
Nezávislý spolkový vyšší úřad znamená, že BSI je organizačně samostatný, avšak podléhá odbornému a služebnímu dohledu Spolkového ministerstva vnitra. Nejedná jako ministerstvo ani jako soud.
§ 3 BSIG (úkoly)
Spolkový úřad podporuje bezpečnost informací. Za tím účelem plní následující úkoly: obranu proti hrozbám pro bezpečnost spolkové informační techniky, shromažďování a vyhodnocování informací o bezpečnostních rizicích, poradenství a varování, stanovování minimálních standardů.
Katalog v § 3 BSIG je široký. Pro NIS 2 jsou nejrelevantnějšími úkoly poradenství a varování, stanovování minimálních standardů a podpora příslušných orgánů při vyšetřování bezpečnostních incidentů.
Čl. 8 NIS 2 (příslušné orgány) + § 32, § 33 BSIG
Členské státy určí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost. Zajistí, aby tyto příslušné orgány monitorovaly uplatňování této směrnice na vnitrostátní úrovni.
Německo určilo BSI jako příslušný orgán podle čl. 8 NIS 2. Ohlašování probíhá podle § 32 BSIG a registrace podle § 33 BSIG.
Registrační orgán
Registrujete se přes portál BSI podle § 33 BSIG. Tři měsíce od okamžiku, kdy poprvé spadnete do působnosti NIS 2. Povinné údaje: základní údaje, sektor, kontaktní osoba, rozsah činnosti, velikostní třída.
Jednotné kontaktní místo pro ohlašování
Významné incidenty ohlašujete podle § 32 BSIG přes jednotné kontaktní místo BSI. Včasné varování do 24 hodin, následné hlášení do 72 hodin, závěrečnou zprávu do jednoho měsíce. Obě lhůty běží od okamžiku, kdy se o incidentu dozvíte.
Národní CSIRT (CERT-Bund)
CERT-Bund je německý národní CSIRT ve smyslu čl. 10 NIS 2. Přijímá hlášení incidentů, koordinuje reakci a vyměňuje si informace s ostatními členskými státy v síti CSIRT EU.
Dohled
Dohled nad subjekty NIS 2 je ukotven v BSIG. BSI může vyžadovat informace, nařídit audity a vydávat pokyny. Pokuty se ukládají podle § 65 BSIG.
Informační a výstražné centrum
Situační zprávy, bezpečnostní varování, technické minimální standardy: BSI publikuje průběžně. Aliance pro kybernetickou bezpečnost a UP KRITIS k tomu přidávají praktické pokyny.
Není zdrojem individuálního právního poradenství
Obecné pokyny a minimální standardy: ano. Právní posouzení vašich konkrétních skutečností: ne. K tomu potřebujete advokáta.
Není certifikačním orgánem pro ISO 27001
BSI nevydává certifikáty ISO 27001. BSI provozuje vlastní certifikační schémata, například IT-Grundschutz a Common Criteria. Ta jsou na ISO nezávislá.
Není implementačním konzultantem
BSI kontroluje a dohlíží, nezavádí opatření za vás. Provozní práce na NIS 2 probíhá uvnitř vašeho subjektu, s vašimi lidmi nebo s externím poradenstvím.
V rozhovorech s vedeními, která se k NIS 2 dostávají poprvé, se objevují dvě otázky: co musím ohlásit, co musím zaregistrovat. Odpovědi jsou v § 32 a § 33 BSIG. Obojí prochází přes portál BSI, obojí vyžaduje organizační certifikát ELSTER jako přístupový údaj.
Ústředním informačním centrem zůstává bsi.bund.de. Samotný ohlašovací portál má vlastní adresu a je odtud odkazován. Čtenáři při prvním kontaktu mají tendenci si tyto dva zaměňovat.
- Zákon o Spolkovém úřadu pro bezpečnost informací (BSIG), zejména §§ 1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Směrnice (EU) 2022/2555 (NIS 2), čl. 8, 10, 23, 27, www.eur-lex.europa.eu
- Web BSI: www.bsi.bund.de
- Zákon o provedení NIS-2 a posílení kybernetické bezpečnosti (NIS2UmsuCG)
Tato stránka poskytuje strukturované vodítko založené na veřejně dostupných zdrojích (směrnice NIS 2, BSIG, publikace BSI). Nepředstavuje právní poradenství ve smyslu § 2 RDG. V konkrétních případech se obraťte na advokáta. Stav k 2026-06-04.