§64 BSIG

Ricevere una richiesta del BSI ai sensi del §64 BSIG

L'articolo 32 NIS 2 conferisce alle autorità competenti poteri di vigilanza. Il §64 BSIG è il recepimento tedesco. Questa pagina descrive il quadro procedurale, non come una specifica richiesta debba essere gestita.

Simon OrzelSimon Orzel·

Panoramica

L'articolo 32 della direttiva NIS 2 conferisce alle autorità competenti il potere di vigilare sui soggetti essenziali. Il catalogo dei poteri comprende ispezioni in loco, vigilanza fuori sede, audit di sicurezza mirati, audit ad hoc, scansioni di sicurezza, richieste di informazioni e richieste di prova dell'attuazione delle misure di gestione del rischio di cibersicurezza.

In Germania, il §64 BSIG recepisce questo catalogo e assegna il ruolo di vigilanza al Bundesamt für Sicherheit in der Informationstechnik (BSI). Una richiesta ai sensi del §64 BSIG arriva tipicamente per iscritto, indica la base giuridica, fissa un termine ed elenca le informazioni o i documenti richiesti. La richiesta stessa avvia l'orologio procedurale.

I soggetti a cui viene notificata una tale richiesta sono soggetti a un obbligo di cooperazione (Mitwirkungspflicht). L'obbligo non è illimitato: è circoscritto da ciò che è stato richiesto, dal termine fissato nella richiesta e dalle protezioni giuridiche generali che si applicano nei procedimenti amministrativi. Il Verwaltungsverfahrensgesetz (VwVfG) disciplina il quadro del procedimento amministrativo attorno alla richiesta.

Ancoraggio giuridico
Il livello UE stabilisce i poteri di vigilanza. Il BSIG li recepisce nel diritto nazionale. Il VwVfG fornisce il quadro procedurale generale.

Direttiva 2022/2555 (NIS 2), articolo 32(2)

Le autorità competenti hanno il potere di sottoporre i soggetti essenziali a ispezioni in loco e a vigilanza fuori sede, compresi controlli casuali; audit di sicurezza mirati; audit ad hoc; scansioni di sicurezza; richieste di informazioni; e richieste di fornire prova dell'attuazione delle politiche di cibersicurezza.

L'articolo 32(2) elenca le misure di vigilanza a disposizione delle autorità competenti per i soggetti essenziali. L'articolo 33 stabilisce un regime comparabile, più leggero, per i soggetti importanti. La direttiva non fissa termini; questi sono fissati dall'autorità nazionale in ogni singola richiesta.

Regolamento di esecuzione (UE) 2024/2690

Il regolamento di esecuzione specifica i requisiti tecnici e metodologici che i soggetti essenziali e importanti nei settori digitali devono soddisfare. Non disciplina la forma procedurale delle richieste di vigilanza.

Il regolamento di esecuzione è rilevante per il contenuto di ciò su cui le autorità possono indagare (le misure elencate nel suo allegato). Il lato procedurale di come una richiesta viene notificata e a cui si risponde resta diritto nazionale.

§64 BSIG (recepimento tedesco)

Il BSI può richiedere informazioni e documenti ai soggetti regolamentati, condurre ispezioni in loco e disporre esami tecnici per verificare la conformità agli obblighi previsti dal BSIG. Il soggetto, i suoi rappresentanti e i suoi dipendenti sono tenuti a cooperare.

Il §64 BSIG rende operativo l'articolo 32 NIS 2 in Germania. Il §65 BSIG fornisce il livello di applicazione (sanzioni amministrative pecuniarie) se l'obbligo di cooperazione ai sensi del §64 viene violato. Il Verwaltungsverfahrensgesetz (VwVfG), in particolare il §28 sul diritto di essere sentiti, si applica in parallelo.

Cosa contiene tipicamente una richiesta ai sensi del §64 BSIG
Le richieste sono scritte, strutturate e a tempo determinato. Il formato non varia molto da caso a caso.
Passo 1

La base giuridica e l'ambito

Una richiesta ai sensi del §64 BSIG cita la sua base giuridica (tipicamente il §64 BSIG, talvolta in combinazione con lo specifico obbligo del §30 o §32 BSIG che ha innescato l'indagine). Indica il soggetto destinatario, la materia sotto esame e le categorie di informazioni o documenti richiesti. Un soggetto a cui viene notificata una tale richiesta può stabilire il perimetro della cooperazione leggendo attentamente la base giuridica e il catalogo delle domande.

Passo 2

Il termine e le prove richieste

La richiesta fissa un termine (Frist), comunemente tra due e quattro settimane per le richieste di documenti, più breve per le indagini relative agli incidenti. Le prove richieste sono di solito documentali: politiche, voci del registro dei rischi, rapporti sugli incidenti, contratti con i fornitori, registri di formazione. I soggetti tipicamente registrano il termine, il catalogo delle domande e il titolare interno responsabile prima di produrre il materiale.

Passo 3

Risposta scritta, registro scritto

Le risposte a una richiesta ai sensi del §64 BSIG vengono tipicamente fornite per iscritto, anche quando il contatto iniziale avviene per telefono. Una risposta scritta crea un registro verificabile di ciò che è stato divulgato, in quale data, su quale base giuridica. I soggetti che documentano la lettera di accompagnamento, l'indice degli allegati e la data di spedizione conservano una chiara traccia probatoria in qualsiasi procedimento successivo.

Due principi che plasmano qualsiasi risposta
L'obbligo di cooperazione è reale, ma ha un confine. Entrambi i lati contano.

Obbligo di cooperazione ai sensi del §64 BSIG (Mitwirkungspflicht)

Il §64 BSIG pone un obbligo attivo di cooperazione in capo al soggetto regolamentato, ai suoi rappresentanti legali e ai suoi dipendenti. L'obbligo copre la produzione delle informazioni e dei documenti richiesti dal BSI, la concessione dell'accesso per le ispezioni in loco e la tolleranza degli esami tecnici nell'ambito individuato. La mancata cooperazione può innescare l'applicazione ai sensi del §65 BSIG, che prevede sanzioni amministrative pecuniarie.

Confine dell'obbligo di cooperazione

L'obbligo di cooperazione è circoscritto da ciò che è stato effettivamente richiesto, dal termine fissato e dalle protezioni giuridiche generali che si applicano nei procedimenti amministrativi. Le comunicazioni con un consulente legale esterno sono protette dalla riservatezza professionale (§43a BRAO, §203 StGB). Il diritto di essere sentiti ai sensi del §28 VwVfG si applica prima che vengano emessi atti amministrativi sfavorevoli. Questi confini sono procedurali; la loro applicazione concreta a uno specifico insieme di documenti è materia per un consulente legale specializzato in materia regolamentare.

Autorità nazionali e quadro procedurale
L'autorità di vigilanza e il quadro procedurale differiscono da Stato membro a Stato membro. In Germania, il quadro è strutturato.
DE

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Il BSI è l'autorità competente per la vigilanza sulla cibersicurezza ai sensi del BSIG. Emette richieste ai sensi del §64 BSIG, conduce ispezioni e propone misure di applicazione. Il BSI è un'autorità federale (Bundesoberbehörde) alle dipendenze del Ministero federale dell'Interno.

DE

Verwaltungsverfahrensgesetz (VwVfG)

Il VwVfG è la legge generale sul procedimento amministrativo. Disciplina come vengono emessi gli atti amministrativi, come opera il diritto di essere sentiti (§28 VwVfG), come funzionano i ricorsi e come si calcolano i termini. Una richiesta ai sensi del §64 BSIG si colloca all'interno di questo quadro.

DE

Consulente regolamentare e riservatezza professionale

Il consulente legale esterno è vincolato dalla riservatezza professionale ai sensi del §43a BRAO e del §203 StGB. Le comunicazioni prodotte ai fini della consulenza legale sono protette. La protezione è più ristretta del concetto di attorney-client privilege usato in alcune altre giurisdizioni; l'esatta portata dipende dalla materia.

Tre insidie osservate nella pratica
Ogni insidia è stata osservata in resoconti pubblicati di applicazione attraverso quadri di vigilanza comparabili (DSGVO, BaFin, KRITIS).
  • Ignorare o ritardare silenziosamente la richiesta

    Mancare un termine ai sensi del §64 BSIG senza una richiesta scritta di proroga è di per sé una violazione dell'obbligo di cooperazione. Il §65 BSIG prevede sanzioni amministrative pecuniarie per la mancata cooperazione, indipendentemente da qualsiasi sottostante lacuna di conformità. I soggetti a cui viene notificata una richiesta tipicamente confermano la ricezione per iscritto e chiedono una proroga se il termine non può essere rispettato.

  • Inviare tutto ciò che rientra nell'ambito più degli extra

    Produrre materiale che non è stato richiesto amplia il registro probatorio e può rivelare lacune non correlate. L'obbligo di cooperazione ai sensi del §64 BSIG copre ciò che è stato richiesto. I soggetti tipicamente circoscrivono la loro risposta al catalogo delle domande e registrano ciò che è stato prodotto.

  • Rispondere per telefono senza un registro scritto

    Le telefonate non lasciano alcun registro scritto condiviso di ciò che è stato divulgato, quando e in quale ambito. I soggetti tipicamente fanno seguire a qualsiasi scambio telefonico un riepilogo scritto, sia per confermare la comprensione sia per mantenere una chiara traccia probatoria per qualsiasi procedimento successivo.

Prospettiva del professionista

Una richiesta ai sensi del §64 BSIG non è una sanzione, un ordine di applicazione o un rilievo di audit. È un passo procedurale in cui l'autorità competente esercita un potere di vigilanza conferito dall'articolo 32 NIS 2. Il quadro procedurale è fissato: richiesta scritta, base giuridica indicata, termine definito, risposta scritta. La valutazione sostanziale arriva dopo, in un atto amministrativo separato, con il diritto di essere sentiti ai sensi del §28 VwVfG.

Questa pagina descrive solo il quadro procedurale. La gestione concreta di una richiesta del BSI, compresi l'ambito dei documenti da divulgare, la formulazione della risposta e l'interazione con l'applicazione del §65 BSIG, richiede un consulente legale specializzato in materia regolamentare. La piattaforma documenta lo stato di conformità sottostante (politiche, registro dei rischi, registri degli incidenti, contratti con i fornitori) affinché, se arriva una richiesta, la base probatoria sia già in ordine.

Cosa documenta la piattaforma

La piattaforma mantiene il registro sottostante che un catalogo di domande ai sensi del §64 BSIG tipicamente prende di mira: il registro degli obblighi, il registro dei rischi, i registri degli incidenti con marcature temporali, i registri dei fornitori con la due diligence del §30 BSIG, i registri di formazione ai sensi del §38 BSIG e la pista di controllo di chi ha approvato cosa e quando. Ogni elemento è marcato temporalmente ed esportabile.

La piattaforma non redige le risposte alle richieste di vigilanza e non sostituisce un consulente legale specializzato in materia regolamentare. Mantiene la base probatoria affinché la produzione di documenti ai sensi del §64 BSIG sia una questione di esportazione, non di ricostruzione.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 32 (misure di vigilanza e di applicazione riguardanti i soggetti essenziali) e articolo 33 (soggetti importanti). EUR-Lex.
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 sui requisiti tecnici e metodologici. EUR-Lex.
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (poteri di vigilanza e obbligo di cooperazione) e §65 (sanzioni amministrative pecuniarie). gesetze-im-internet.de.
  • Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
  • Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) e Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.
Verificate prima l'applicabilità
Se il §64 BSIG si applichi del tutto dipende dal fatto che il soggetto rientri nell'ambito del BSIG. Il controllo di applicabilità copre il settore, la dimensione e le deroghe a prescindere dalla dimensione.