§64 BSIG

Recevoir une demande du BSI au titre du §64 BSIG

L'article 32 de NIS 2 confère aux autorités compétentes des pouvoirs de supervision. Le §64 BSIG est la transposition allemande. Cette page décrit le cadre procédural, et non la manière dont une demande particulière devrait être traitée.

Simon OrzelSimon Orzel·

Vue d'ensemble

L'article 32 de la directive NIS 2 habilite les autorités compétentes à superviser les entités essentielles. Le catalogue de pouvoirs comprend les inspections sur site, la supervision hors site, les audits de sécurité ciblés, les audits ad hoc, les analyses de sécurité, les demandes d'informations et les demandes de preuves de la mise en œuvre des mesures de gestion des risques de cybersécurité.

En Allemagne, le §64 BSIG transpose ce catalogue et confie le rôle de supervision au Bundesamt für Sicherheit in der Informationstechnik (BSI). Une demande au titre du §64 BSIG arrive généralement par écrit, identifie la base juridique, indique un délai et énumère les informations ou documents requis. La demande elle-même déclenche l'horloge procédurale.

Les entités destinataires d'une telle demande sont soumises à une obligation de coopération (Mitwirkungspflicht). L'obligation n'est pas illimitée : elle est bornée par ce qui a été demandé, par le délai fixé dans la demande, et par les protections juridiques générales qui s'appliquent dans les procédures administratives. La Verwaltungsverfahrensgesetz (VwVfG) régit le cadre de la procédure administrative autour de la demande.

Ancrage juridique
La couche de l'UE établit les pouvoirs de supervision. Le BSIG les transpose en droit national. La VwVfG fournit le cadre procédural général.

Directive 2022/2555 (NIS 2), article 32(2)

Les autorités compétentes disposent du pouvoir de soumettre les entités essentielles à des inspections sur site et à une supervision hors site, y compris des contrôles aléatoires ; à des audits de sécurité ciblés ; à des audits ad hoc ; à des analyses de sécurité ; à des demandes d'informations ; et à des demandes de fourniture de preuves de la mise en œuvre des politiques de cybersécurité.

L'article 32(2) énumère les mesures de supervision dont disposent les autorités compétentes à l'égard des entités essentielles. L'article 33 institue un régime comparable, mais allégé, pour les entités importantes. La directive ne fixe pas de délais ; ceux-ci sont fixés par l'autorité nationale dans chaque demande individuelle.

Règlement d'exécution (UE) 2024/2690

Le règlement d'exécution précise les exigences techniques et méthodologiques que les entités essentielles et importantes des secteurs numériques doivent respecter. Il ne régit pas la forme procédurale des demandes de supervision.

Le règlement d'exécution est pertinent quant au contenu de ce sur quoi les autorités peuvent interroger (les mesures énumérées dans son annexe). Le volet procédural de la manière dont une demande est signifiée et traitée demeure du droit national.

§64 BSIG (transposition allemande)

Le BSI peut demander des informations et des documents aux entités réglementées, mener des inspections sur site et exiger des examens techniques pour vérifier le respect des obligations au titre du BSIG. L'entité, ses représentants et ses salariés sont soumis à une obligation de coopération.

Le §64 BSIG opérationnalise l'article 32 de NIS 2 en Allemagne. Le §65 BSIG fournit la couche d'exécution (amendes administratives) en cas de manquement à l'obligation de coopération au titre du §64. La Verwaltungsverfahrensgesetz (VwVfG), en particulier le §28 sur le droit d'être entendu, s'applique en parallèle.

Ce que contient généralement une demande au titre du §64 BSIG
Les demandes sont écrites, structurées et assorties de délais. Le format varie peu d'un cas à l'autre.
Étape 1

La base juridique et le périmètre

Une demande au titre du §64 BSIG cite sa base juridique (typiquement le §64 BSIG, parfois en combinaison avec l'obligation spécifique au titre du §30 ou du §32 BSIG ayant déclenché l'enquête). Elle nomme l'entité destinataire, la question examinée et les catégories d'informations ou de documents requises. Une entité destinataire d'une telle demande peut établir le périmètre de la coopération en lisant attentivement la base juridique et le catalogue de questions.

Étape 2

Le délai et les preuves demandées

La demande fixe un délai (Frist), couramment de deux à quatre semaines pour les demandes de documents, plus court pour les enquêtes liées à un incident. Les preuves demandées sont généralement documentaires : politiques, entrées du registre des risques, rapports d'incident, contrats fournisseurs, registres de formation. Les entités enregistrent généralement le délai, le catalogue de questions et le responsable interne désigné avant de produire des éléments.

Étape 3

Réponse écrite, trace écrite

Les réponses à une demande au titre du §64 BSIG sont généralement faites par écrit, même lorsque le premier contact a lieu par téléphone. Une réponse écrite crée une trace vérifiable de ce qui a été divulgué, à quelle date, sur quelle base juridique. Les entités qui documentent la lettre d'accompagnement, l'index des pièces jointes et la date d'envoi conservent une piste probatoire claire pour toute procédure ultérieure.

Deux principes qui structurent toute réponse
L'obligation de coopération est réelle, mais elle a une limite. Les deux faces comptent.

Obligation de coopération au titre du §64 BSIG (Mitwirkungspflicht)

Le §64 BSIG impose une obligation active de coopération à l'entité réglementée, à ses représentants légaux et à ses salariés. L'obligation couvre la production des informations et documents demandés par le BSI, l'octroi de l'accès pour les inspections sur site et la tolérance des examens techniques dans le périmètre identifié. Le défaut de coopération peut déclencher des mesures d'exécution au titre du §65 BSIG, qui prévoit des amendes administratives.

Limite de l'obligation de coopération

L'obligation de coopération est bornée par ce qui a été effectivement demandé, par le délai fixé et par les protections juridiques générales qui s'appliquent dans les procédures administratives. Les communications avec un conseil externe sont protégées par le secret professionnel (§43a BRAO, §203 StGB). Le droit d'être entendu au titre du §28 VwVfG s'applique avant l'émission d'actes administratifs défavorables. Ces limites sont procédurales ; leur application concrète à un ensemble de documents particulier relève d'un conseil réglementaire.

Autorités nationales et cadre procédural
L'autorité de supervision et le cadre procédural diffèrent selon l'État membre. En Allemagne, le tableau est structuré.
DE

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Le BSI est l'autorité compétente pour la supervision de la cybersécurité au titre du BSIG. Il émet les demandes au titre du §64 BSIG, mène les inspections et propose les mesures d'exécution. Le BSI est une autorité fédérale (Bundesoberbehörde) relevant du ministère fédéral de l'Intérieur.

DE

Verwaltungsverfahrensgesetz (VwVfG)

La VwVfG est la loi générale sur la procédure administrative. Elle régit la manière dont les actes administratifs sont émis, le fonctionnement du droit d'être entendu (§28 VwVfG), le déroulement des recours et le calcul des délais. Une demande au titre du §64 BSIG s'inscrit dans ce cadre.

DE

Conseil réglementaire et secret professionnel

Le conseil juridique externe est tenu au secret professionnel au titre du §43a BRAO et du §203 StGB. Les communications produites aux fins du conseil juridique sont protégées. La protection est plus étroite que le concept d'attorney-client privilege utilisé dans certaines autres juridictions ; la portée précise dépend de l'affaire.

Trois pièges observés en pratique
Chaque piège a été observé dans des récits d'exécution publiés au sein de cadres de supervision comparables (DSGVO, BaFin, KRITIS).
  • Ignorer ou retarder discrètement la demande

    Manquer un délai au titre du §64 BSIG sans demande écrite de prolongation constitue en soi un manquement à l'obligation de coopération. Le §65 BSIG prévoit des amendes administratives pour défaut de coopération, indépendamment de toute lacune de conformité sous-jacente. Les entités destinataires d'une demande accusent généralement réception par écrit et demandent une prolongation si le délai ne peut être respecté.

  • Envoyer tout ce qui entre dans le périmètre, plus des extras

    Produire des éléments qui n'ont pas été demandés élargit le dossier probatoire et peut révéler des lacunes sans rapport. L'obligation de coopération au titre du §64 BSIG couvre ce qui a été demandé. Les entités cadrent généralement leur réponse sur le catalogue de questions et consignent ce qui a été produit.

  • Répondre par téléphone sans trace écrite

    Les appels téléphoniques ne laissent aucune trace écrite partagée de ce qui a été divulgué, quand et dans quel périmètre. Les entités font généralement suivre tout échange téléphonique d'un résumé écrit, à la fois pour confirmer la compréhension et pour maintenir une piste probatoire claire pour toute procédure ultérieure.

Point de vue du praticien

Une demande au titre du §64 BSIG n'est pas une amende, un ordre d'exécution ni un constat d'audit. C'est une étape procédurale par laquelle l'autorité compétente exerce un pouvoir de supervision conféré par l'article 32 de NIS 2. Le cadre procédural est fixé : demande écrite, base juridique nommée, délai défini, réponse écrite. L'évaluation au fond vient plus tard, dans un acte administratif distinct, avec le droit d'être entendu au titre du §28 VwVfG.

Cette page décrit uniquement le cadre procédural. Le traitement concret d'une demande du BSI, y compris le périmètre des documents à divulguer, la rédaction de la réponse et l'articulation avec l'exécution du §65 BSIG, requiert un conseil réglementaire. La plateforme documente l'état de conformité sous-jacent (politiques, registre des risques, dossiers d'incident, contrats fournisseurs) de sorte que, si une demande arrive, la base probatoire soit déjà en ordre.

Ce que la plateforme documente

La plateforme tient à jour le dossier sous-jacent que vise généralement un catalogue de questions au titre du §64 BSIG : le registre des obligations, le registre des risques, les dossiers d'incident avec horodatage, les dossiers fournisseurs avec la diligence raisonnable du §30 BSIG, les registres de formation au titre du §38 BSIG, et la piste d'audit de qui a validé quoi et quand. Chaque élément est horodaté et exportable.

La plateforme ne rédige pas les réponses aux demandes de supervision et ne remplace pas le conseil réglementaire. Elle tient à jour la base probatoire de sorte que la production de documents au titre du §64 BSIG soit une question d'export, pas de reconstitution.

Sources
  • Directive (UE) 2022/2555 (NIS 2), article 32 (mesures de supervision et d'exécution concernant les entités essentielles) et article 33 (entités importantes). EUR-Lex.
  • Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 relatif aux exigences techniques et méthodologiques. EUR-Lex.
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (pouvoirs de supervision et obligation de coopération) et §65 (amendes administratives). gesetze-im-internet.de.
  • Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
  • Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) et Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.
Vérifiez d'abord l'applicabilité
La question de savoir si le §64 BSIG s'applique tout court dépend du point de savoir si l'entité entre dans le champ du BSIG. La vérification d'applicabilité couvre le secteur, la taille et les dérogations indépendantes de la taille.