Přijetí žádosti BSI podle §64 BSIG
Článek 32 NIS 2 dává příslušným orgánům dohledové pravomoci. §64 BSIG je německá transpozice. Tato stránka popisuje procesní rámec, nikoli to, jak by měla být vyřízena konkrétní žádost.
Přehled
Článek 32 směrnice NIS 2 zmocňuje příslušné orgány k dohledu nad základními subjekty. Katalog pravomocí zahrnuje inspekce na místě, dohled na dálku, cílené bezpečnostní audity, audity ad hoc, bezpečnostní skeny, žádosti o informace a žádosti o důkaz, že opatření k řízení kybernetického rizika byla zavedena.
V Německu §64 BSIG transponuje tento katalog a přiděluje dohledovou roli Spolkovému úřadu pro bezpečnost v informačních technologiích (Bundesamt für Sicherheit in der Informationstechnik, BSI). Žádost podle §64 BSIG obvykle přichází písemně, identifikuje právní základ, uvádí lhůtu a vyjmenovává požadované informace nebo dokumenty. Samotná žádost spouští procesní hodiny.
Subjekty, kterým je taková žádost doručena, podléhají povinnosti součinnosti (Mitwirkungspflicht). Povinnost není neomezená: je ohraničena tím, na co bylo dotázáno, lhůtou stanovenou v žádosti a obecnými právními ochranami, které platí ve správním řízení. Správní řízení kolem žádosti upravuje správní řád (Verwaltungsverfahrensgesetz, VwVfG).
Směrnice 2022/2555 (NIS 2), článek 32 odst. 2
Příslušné orgány mají pravomoc podrobit základní subjekty inspekcím na místě a dohledu na dálku, včetně namátkových kontrol; cíleným bezpečnostním auditům; auditům ad hoc; bezpečnostním skenům; žádostem o informace; a žádostem o předložení důkazu o zavedení zásad kybernetické bezpečnosti.
Článek 32 odst. 2 vyjmenovává dohledová opatření dostupná příslušným orgánům pro základní subjekty. Článek 33 stanoví srovnatelný, lehčí režim pro důležité subjekty. Směrnice nestanoví lhůty. Ty stanoví národní orgán v každé jednotlivé žádosti.
Prováděcí nařízení (EU) 2024/2690
Prováděcí nařízení specifikuje technické a metodologické požadavky, které musí splňovat základní a důležité subjekty v digitálních odvětvích. Neupravuje procesní podobu dohledových žádostí.
Prováděcí nařízení je relevantní pro obsah toho, na co se orgány mohou ptát (opatření uvedená v jeho příloze). Procesní stránka toho, jak je žádost doručena a zodpovězena, zůstává národním právem.
§64 BSIG (německá transpozice)
BSI může od regulovaných subjektů požadovat informace a dokumenty, provádět inspekce na místě a vyžadovat technické zkoušky k ověření shody s povinnostmi podle BSIG. Subjekt, jeho zástupci a jeho zaměstnanci mají povinnost součinnosti.
§64 BSIG uvádí do praxe článek 32 NIS 2 v Německu. §65 BSIG poskytuje vrstvu vymáhání (správní pokuty), pokud je povinnost součinnosti podle §64 porušena. Souběžně platí správní řád (Verwaltungsverfahrensgesetz, VwVfG), zejména §28 o právu být vyslechnut.
Právní základ a rozsah
Žádost podle §64 BSIG cituje svůj právní základ (typicky §64 BSIG, někdy v kombinaci s konkrétní povinností podle §30 nebo §32 BSIG, která dotaz vyvolala). Uvádí subjekt příjemce, věc, která je předmětem zkoumání, a kategorie požadovaných informací nebo dokumentů. Subjekt, kterému je taková žádost doručena, může stanovit hranice součinnosti pečlivým přečtením právního základu a katalogu otázek.
Lhůta a požadované důkazy
Žádost stanoví lhůtu (Frist), běžně dva až čtyři týdny u žádostí o dokumenty, kratší u dotazů souvisejících s incidentem. Požadované důkazy jsou obvykle dokumentární: zásady, položky registru rizik, hlášení incidentů, smlouvy s dodavateli, záznamy o školení. Subjekty si obvykle zaznamenají lhůtu, katalog otázek a odpovědného interního vlastníka, než materiál vytvoří.
Písemná odpověď, písemný záznam
Odpovědi na žádost podle §64 BSIG se obvykle podávají písemně, i když prvotní kontakt proběhne telefonicky. Písemná odpověď vytváří ověřitelný záznam o tom, co bylo zpřístupněno, k jakému datu a na jakém právním základě. Subjekty, které zdokumentují průvodní dopis, seznam příloh a datum odeslání, si v jakémkoli pozdějším řízení uchovají jasnou důkazní stopu.
Povinnost součinnosti podle §64 BSIG (Mitwirkungspflicht)
§64 BSIG ukládá aktivní povinnost součinnosti regulovanému subjektu, jeho právním zástupcům a jeho zaměstnancům. Povinnost pokrývá poskytnutí informací a dokumentů, které BSI požaduje, umožnění přístupu pro inspekce na místě a strpění technických zkoušek v identifikovaném rozsahu. Nesoučinnost může spustit vymáhání podle §65 BSIG, který stanoví správní pokuty.
Hranice povinnosti součinnosti
Povinnost součinnosti je ohraničena tím, na co bylo skutečně dotázáno, stanovenou lhůtou a obecnými právními ochranami, které platí ve správním řízení. Komunikace s externím právním zástupcem je chráněna profesní mlčenlivostí (§43a BRAO, §203 StGB). Právo být vyslechnut podle §28 VwVfG platí předtím, než jsou vydány nepříznivé správní akty. Tyto hranice jsou procesní. Jejich konkrétní uplatnění na konkrétní soubor dokumentů je věcí pro regulačního právního zástupce.
Spolkový úřad pro bezpečnost v informačních technologiích (BSI)
BSI je příslušným orgánem pro dohled nad kybernetickou bezpečností podle BSIG. Vydává žádosti podle §64 BSIG, provádí inspekce a navrhuje vymáhací opatření. BSI je spolkový úřad (Bundesoberbehörde) podřízený Spolkovému ministerstvu vnitra.
Správní řád (VwVfG)
VwVfG je obecný správní řád. Upravuje, jak se vydávají správní akty, jak funguje právo být vyslechnut (§28 VwVfG), jak fungují opravné prostředky a jak se počítají lhůty. Žádost podle §64 BSIG se nachází uvnitř tohoto rámce.
Regulační právní zástupce a profesní mlčenlivost
Externí právní zástupce je vázán profesní mlčenlivostí podle §43a BRAO a §203 StGB. Komunikace vytvořená za účelem právního poradenství je chráněna. Tato ochrana je užší než pojem advokátního privilegia používaný v některých jiných jurisdikcích. Přesný rozsah závisí na konkrétní věci.
Ignorovat nebo tiše odkládat žádost
Zmeškání lhůty podle §64 BSIG bez písemné žádosti o prodloužení je samo o sobě porušením povinnosti součinnosti. §65 BSIG stanoví správní pokuty za nesoučinnost, nezávisle na jakékoli podkladové mezeře ve shodě. Subjekty, kterým je žádost doručena, obvykle písemně potvrdí přijetí a požádají o prodloužení, pokud lhůtu nelze dodržet.
Poslat vše v rozsahu plus něco navíc
Vytvoření materiálu, na který nebylo dotázáno, rozšiřuje důkazní záznam a může odhalit nesouvisející mezery. Povinnost součinnosti podle §64 BSIG pokrývá to, na co bylo dotázáno. Subjekty obvykle omezují svou odpověď na katalog otázek a zaznamenávají, co bylo vytvořeno.
Odpovídat telefonicky bez písemného záznamu
Telefonní hovory nezanechávají žádný sdílený písemný záznam o tom, co bylo zpřístupněno, kdy a v jakém rozsahu. Subjekty obvykle navazují na jakoukoli telefonní výměnu písemným shrnutím, jak pro potvrzení porozumění, tak pro udržení jasné důkazní stopy pro jakékoli pozdější řízení.
Žádost podle §64 BSIG není pokuta, vymáhací příkaz ani auditní zjištění. Je to procesní krok, v němž příslušný orgán vykonává dohledovou pravomoc svěřenou článkem 32 NIS 2. Procesní rámec je daný: písemná žádost, jmenovaný právní základ, stanovená lhůta, písemná odpověď. Věcné hodnocení přichází později, v samostatném správním aktu, s právem být vyslechnut podle §28 VwVfG.
Tato stránka popisuje pouze procesní rámec. Konkrétní vyřízení žádosti BSI, včetně rozsahu dokumentů ke zpřístupnění, znění odpovědi a interakce s vymáháním podle §65 BSIG, vyžaduje regulačního právního zástupce. Platforma dokumentuje podkladový stav shody (zásady, registr rizik, záznamy o incidentech, smlouvy s dodavateli), takže pokud žádost přijde, je důkazní základ již v pořádku.
Platforma udržuje podkladový záznam, na který katalog otázek podle §64 BSIG obvykle míří: registr povinností, registr rizik, záznamy o incidentech s časovými razítky, záznamy o dodavatelích s náležitou péčí podle §30 BSIG, záznamy o školení podle §38 BSIG a auditní stopu o tom, kdo co a kdy schválil. Každá položka je opatřena časovým razítkem a je exportovatelná.
Platforma nesepisuje odpovědi na dohledové žádosti a nenahrazuje regulačního právního zástupce. Udržuje důkazní základ tak, aby vytvoření dokumentů podle §64 BSIG bylo otázkou exportu, nikoli rekonstrukce.
- Směrnice (EU) 2022/2555 (NIS 2), článek 32 (dohledová a vymáhací opatření ve vztahu k základním subjektům) a článek 33 (důležité subjekty). EUR-Lex.
- Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 o technických a metodologických požadavcích. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (dohledové pravomoci a povinnost součinnosti) a §65 (správní pokuty). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) a Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.