§1 BSIG + Art. 8 NIS 2

Co je BSI?

Spolkový vyšší úřad podřízený Spolkovému ministerstvu vnitra, zřízený podle § 1 BSIG. Podle NIS 2 je příslušným orgánem, jednotným kontaktním místem pro ohlašování a provozovatelem národního CSIRT.

Simon OrzelSimon Orzel·

Co to je

Každý, kdo v Německu poprvé přemýšlí o NIS 2, skončí u BSI. Spolkový úřad pro bezpečnost informací sídlí v Bonnu, existuje od roku 1991 a podle § 1 BSIG je spolkovým úřadem pro kybernetickou bezpečnost. V praxi to znamená: cokoli musíte podle NIS 2 ohlásit, zaregistrovat nebo doložit, nakonec prochází přes BSI.

Co mnoho čtenářů při prvním kontaktu mate: podle NIS 2 nemá BSI jednu roli, ale čtyři. Je příslušným orgánem podle čl. 8 NIS 2, jediným místem, kterému ohlašujete významné incidenty podle § 32 BSIG, orgánem, u kterého se registrujete podle § 33 BSIG, a provozovatelem národního CSIRT (CERT-Bund) ve smyslu čl. 10 NIS 2. Čtyři rozhraní, jeden úřad.

V praxi se s BSI setkáte na třech styčných bodech: registrace, ohlašování incidentů a dohled. Co BSI nedělá: právní poradenství k jednotlivým případům, certifikaci ISO 27001 ani implementační poradenství. Implementační práce zůstává na vás, interně nebo s externí pomocí.

Právní základ
Zřízení a úkoly BSI jsou stanoveny v BSIG. Jeho pravomoci podle NIS 2 strukturuje zákon o provedení NIS-2 a posílení kybernetické bezpečnosti.

§ 1 BSIG (zřízení)

Spolek vede jako spolkový vyšší úřad v působnosti Spolkového ministerstva vnitra, pro výstavbu a vlast Spolkový úřad pro bezpečnost informací.

Nezávislý spolkový vyšší úřad znamená, že BSI je organizačně samostatný, avšak podléhá odbornému a služebnímu dohledu Spolkového ministerstva vnitra. Nejedná jako ministerstvo ani jako soud.

§ 3 BSIG (úkoly)

Spolkový úřad podporuje bezpečnost informací. Za tím účelem plní následující úkoly: obranu proti hrozbám pro bezpečnost spolkové informační techniky, shromažďování a vyhodnocování informací o bezpečnostních rizicích, poradenství a varování, stanovování minimálních standardů.

Katalog v § 3 BSIG je široký. Pro NIS 2 jsou nejrelevantnějšími úkoly poradenství a varování, stanovování minimálních standardů a podpora příslušných orgánů při vyšetřování bezpečnostních incidentů.

Čl. 8 NIS 2 (příslušné orgány) + § 32, § 33 BSIG

Členské státy určí jeden nebo více příslušných orgánů odpovědných za kybernetickou bezpečnost. Zajistí, aby tyto příslušné orgány monitorovaly uplatňování této směrnice na vnitrostátní úrovni.

Německo určilo BSI jako příslušný orgán podle čl. 8 NIS 2. Ohlašování probíhá podle § 32 BSIG a registrace podle § 33 BSIG.

Co BSI podle NIS 2 konkrétně dělá
Pět rolí, které se přímo nebo nepřímo dotýkají každého subjektu.

Registrační orgán

Registrujete se přes portál BSI podle § 33 BSIG. Tři měsíce od okamžiku, kdy poprvé spadnete do působnosti NIS 2. Povinné údaje: základní údaje, sektor, kontaktní osoba, rozsah činnosti, velikostní třída.

Jednotné kontaktní místo pro ohlašování

Významné incidenty ohlašujete podle § 32 BSIG přes jednotné kontaktní místo BSI. Včasné varování do 24 hodin, následné hlášení do 72 hodin, závěrečnou zprávu do jednoho měsíce. Obě lhůty běží od okamžiku, kdy se o incidentu dozvíte.

Národní CSIRT (CERT-Bund)

CERT-Bund je německý národní CSIRT ve smyslu čl. 10 NIS 2. Přijímá hlášení incidentů, koordinuje reakci a vyměňuje si informace s ostatními členskými státy v síti CSIRT EU.

Dohled

Dohled nad subjekty NIS 2 je ukotven v BSIG. BSI může vyžadovat informace, nařídit audity a vydávat pokyny. Pokuty se ukládají podle § 65 BSIG.

Informační a výstražné centrum

Situační zprávy, bezpečnostní varování, technické minimální standardy: BSI publikuje průběžně. Aliance pro kybernetickou bezpečnost a UP KRITIS k tomu přidávají praktické pokyny.

Čím BSI není
Tři běžná nedorozumění při prvním kontaktu.

Není zdrojem individuálního právního poradenství

Obecné pokyny a minimální standardy: ano. Právní posouzení vašich konkrétních skutečností: ne. K tomu potřebujete advokáta.

Není certifikačním orgánem pro ISO 27001

BSI nevydává certifikáty ISO 27001. BSI provozuje vlastní certifikační schémata, například IT-Grundschutz a Common Criteria. Ta jsou na ISO nezávislá.

Není implementačním konzultantem

BSI kontroluje a dohlíží, nezavádí opatření za vás. Provozní práce na NIS 2 probíhá uvnitř vašeho subjektu, s vašimi lidmi nebo s externím poradenstvím.

Poznámka z praxe

V rozhovorech s vedeními, která se k NIS 2 dostávají poprvé, se objevují dvě otázky: co musím ohlásit, co musím zaregistrovat. Odpovědi jsou v § 32 a § 33 BSIG. Obojí prochází přes portál BSI, obojí vyžaduje organizační certifikát ELSTER jako přístupový údaj.

Ústředním informačním centrem zůstává bsi.bund.de. Samotný ohlašovací portál má vlastní adresu a je odtud odkazován. Čtenáři při prvním kontaktu mají tendenci si tyto dva zaměňovat.

Zdroje
  • Zákon o Spolkovém úřadu pro bezpečnost informací (BSIG), zejména §§ 1, 3, 32, 33, 65, www.gesetze-im-internet.de
  • Směrnice (EU) 2022/2555 (NIS 2), čl. 8, 10, 23, 27, www.eur-lex.europa.eu
  • Web BSI: www.bsi.bund.de
  • Zákon o provedení NIS-2 a posílení kybernetické bezpečnosti (NIS2UmsuCG)

Tato stránka poskytuje strukturované vodítko založené na veřejně dostupných zdrojích (směrnice NIS 2, BSIG, publikace BSI). Nepředstavuje právní poradenství ve smyslu § 2 RDG. V konkrétních případech se obraťte na advokáta. Stav k 2026-06-04.

Jste nezbytný, nebo důležitý subjekt?
Bezplatná kontrola působnosti během několika minut objasní, zda se na vás NIS 2 vztahuje a jaké povinnosti vůči BSI máte.