Recibir una solicitud del BSI conforme al §64 BSIG
El artículo 32 de NIS2 confiere a las autoridades competentes facultades de supervisión. El §64 BSIG es la transposición alemana. Esta página describe el marco procedimental, no cómo debería tratarse una solicitud concreta.
Visión general
El artículo 32 de la Directiva NIS2 faculta a las autoridades competentes para supervisar a las entidades esenciales. El catálogo de facultades incluye inspecciones in situ, supervisión a distancia, auditorías de seguridad específicas, auditorías ad hoc, análisis de seguridad, solicitudes de información y solicitudes de prueba de que se han implementado las medidas de gestión de riesgos de ciberseguridad.
En Alemania, el §64 BSIG transpone este catálogo y asigna el papel de supervisión a la Bundesamt für Sicherheit in der Informationstechnik (BSI). Una solicitud conforme al §64 BSIG suele llegar por escrito, identifica la base jurídica, nombra un plazo y enumera la información o los documentos requeridos. La propia solicitud pone en marcha el reloj procedimental.
Las entidades a las que se notifica tal solicitud están sujetas a un deber de cooperación (Mitwirkungspflicht). El deber no es ilimitado: está acotado por lo solicitado, por el plazo fijado en la solicitud y por las protecciones jurídicas generales que se aplican en los procedimientos administrativos. La Verwaltungsverfahrensgesetz (VwVfG) rige el marco del procedimiento administrativo en torno a la solicitud.
Directiva 2022/2555 (NIS2), artículo 32(2)
Las autoridades competentes estarán facultadas para someter a las entidades esenciales a inspecciones in situ y a supervisión a distancia, incluidos controles aleatorios; auditorías de seguridad específicas; auditorías ad hoc; análisis de seguridad; solicitudes de información; y solicitudes de prueba de la implementación de las políticas de ciberseguridad.
El artículo 32(2) enumera las medidas de supervisión disponibles para las autoridades competentes respecto de las entidades esenciales. El artículo 33 fija un régimen comparable y más ligero para las entidades importantes. La Directiva no fija plazos; los fija la autoridad nacional en cada solicitud individual.
Reglamento de Ejecución (UE) 2024/2690
El Reglamento de Ejecución especifica los requisitos técnicos y metodológicos que deben cumplir las entidades esenciales e importantes de los sectores digitales. No regula la forma procedimental de las solicitudes de supervisión.
El Reglamento de Ejecución es relevante para el contenido sobre el que las autoridades pueden preguntar (las medidas enumeradas en su anexo). El lado procedimental de cómo se notifica y se responde una solicitud sigue siendo Derecho nacional.
§64 BSIG (transposición alemana)
El BSI podrá solicitar información y documentos a las entidades reguladas, realizar inspecciones in situ y exigir exámenes técnicos para verificar el cumplimiento de las obligaciones del BSIG. La entidad, sus representantes y sus empleados están sujetos a un deber de cooperación.
El §64 BSIG operacionaliza el artículo 32 de NIS2 en Alemania. El §65 BSIG proporciona la capa de ejecución (multas administrativas) si se incumple el deber de cooperación del §64. La Verwaltungsverfahrensgesetz (VwVfG), en particular su §28 sobre el derecho a ser oído, se aplica en paralelo.
La base jurídica y el alcance
Una solicitud conforme al §64 BSIG cita su base jurídica (normalmente el §64 BSIG, a veces en combinación con la obligación específica del §30 o §32 BSIG que motivó la indagación). Nombra a la entidad destinataria, el asunto sometido a examen y las categorías de información o documentos requeridos. Una entidad a la que se notifica tal solicitud puede establecer el perímetro de la cooperación leyendo con atención la base jurídica y el catálogo de preguntas.
El plazo y la prueba solicitada
La solicitud fija un plazo (Frist), comúnmente de entre dos y cuatro semanas para las solicitudes de documentos, más corto para las indagaciones relacionadas con incidentes. La prueba solicitada suele ser documental: políticas, entradas del registro de riesgos, informes de incidentes, contratos con proveedores, registros de formación. Las entidades suelen registrar el plazo, el catálogo de preguntas y el responsable interno antes de producir el material.
Respuesta escrita, registro escrito
Las respuestas a una solicitud conforme al §64 BSIG suelen darse por escrito, incluso cuando el primer contacto se produce por teléfono. Una respuesta escrita crea un registro verificable de qué se divulgó, en qué fecha y bajo qué base jurídica. Las entidades que documentan la carta de presentación, el índice de anexos y la fecha de envío conservan un rastro probatorio claro en cualquier procedimiento posterior.
Deber de cooperación conforme al §64 BSIG (Mitwirkungspflicht)
El §64 BSIG impone un deber activo de cooperación a la entidad regulada, a sus representantes legales y a sus empleados. El deber abarca la producción de la información y los documentos que el BSI solicite, la concesión de acceso para inspecciones in situ y la tolerancia de exámenes técnicos dentro del alcance identificado. La no cooperación puede activar la ejecución conforme al §65 BSIG, que prevé multas administrativas.
Límite del deber de cooperación
El deber de cooperación está acotado por lo que realmente se solicitó, por el plazo fijado y por las protecciones jurídicas generales que se aplican en los procedimientos administrativos. Las comunicaciones con asesoría externa están protegidas por el secreto profesional (§43a BRAO, §203 StGB). El derecho a ser oído conforme al §28 VwVfG se aplica antes de que se dicten actos administrativos desfavorables. Estos límites son procedimentales; su aplicación concreta a un conjunto específico de documentos es competencia de la asesoría regulatoria.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
El BSI es la autoridad competente para la supervisión de la ciberseguridad conforme al BSIG. Emite solicitudes conforme al §64 BSIG, realiza inspecciones y propone medidas de ejecución. El BSI es una autoridad federal (Bundesoberbehörde) bajo el Ministerio Federal del Interior.
Verwaltungsverfahrensgesetz (VwVfG)
La VwVfG es la ley general de procedimiento administrativo. Rige cómo se dictan los actos administrativos, cómo opera el derecho a ser oído (§28 VwVfG), cómo funcionan los recursos y cómo se calculan los plazos. Una solicitud conforme al §64 BSIG se sitúa dentro de este marco.
Asesoría regulatoria y secreto profesional
La asesoría jurídica externa está vinculada por el secreto profesional conforme al §43a BRAO y al §203 StGB. Las comunicaciones producidas con el fin de obtener asesoramiento jurídico están protegidas. La protección es más estrecha que el concepto de attorney-client privilege utilizado en algunas otras jurisdicciones; el alcance preciso depende del asunto.
Ignorar o demorar discretamente la solicitud
Incumplir un plazo del §64 BSIG sin una solicitud de prórroga por escrito es en sí mismo una infracción del deber de cooperación. El §65 BSIG prevé multas administrativas por no cooperación, con independencia de cualquier brecha de cumplimiento subyacente. Las entidades a las que se notifica una solicitud suelen acusar recibo por escrito y solicitar una prórroga si no puede cumplirse el plazo.
Enviar todo lo que está dentro del alcance más extras
Producir material que no se solicitó amplía el registro probatorio y puede revelar brechas no relacionadas. El deber de cooperación del §64 BSIG abarca lo que se solicitó. Las entidades suelen ceñir su respuesta al catálogo de preguntas y registran lo que se produjo.
Responder por teléfono sin un registro escrito
Las llamadas telefónicas no dejan ningún registro escrito compartido de qué se divulgó, cuándo y bajo qué alcance. Las entidades suelen dar seguimiento a cualquier intercambio telefónico con un resumen escrito, tanto para confirmar el entendimiento como para mantener un rastro probatorio claro para cualquier procedimiento posterior.
Una solicitud conforme al §64 BSIG no es una multa, una orden de ejecución ni un hallazgo de auditoría. Es un paso procedimental en el que la autoridad competente ejerce una facultad de supervisión conferida por el artículo 32 de NIS2. El marco procedimental está fijado: solicitud escrita, base jurídica nombrada, plazo definido, respuesta escrita. La evaluación sustantiva llega después, en un acto administrativo separado, con el derecho a ser oído conforme al §28 VwVfG.
Esta página describe únicamente el marco procedimental. El tratamiento concreto de una solicitud del BSI, incluido el alcance de los documentos a divulgar, la redacción de la respuesta y la interacción con la ejecución del §65 BSIG, requiere asesoría regulatoria. La plataforma documenta el estado de cumplimiento subyacente (políticas, registro de riesgos, registros de incidentes, contratos con proveedores) de modo que, si llega una solicitud, la base probatoria ya esté en orden.
La plataforma mantiene el registro subyacente al que suele apuntar un catálogo de preguntas del §64 BSIG: el registro de obligaciones, el registro de riesgos, los registros de incidentes con marcas de tiempo, los registros de proveedores con la diligencia debida del §30 BSIG, los registros de formación conforme al §38 BSIG y el registro de auditoría de quién aprobó qué y cuándo. Cada elemento lleva marca de tiempo y es exportable.
La plataforma no redacta respuestas a solicitudes de supervisión y no sustituye a la asesoría regulatoria. Mantiene la base probatoria de modo que la producción de documentos conforme al §64 BSIG sea una cuestión de exportación, no de reconstrucción.
- Directiva (UE) 2022/2555 (NIS2), artículo 32 (medidas de supervisión y ejecución respecto de las entidades esenciales) y artículo 33 (entidades importantes). EUR-Lex.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, sobre los requisitos técnicos y metodológicos. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (facultades de supervisión y deber de cooperación) y §65 (multas administrativas). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) y Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.