§ 32 BSIG: de NIS 2-meldplicht
Drie fasen, een klok van 24 uur, en wat als significant geldt.
Wat § 32 BSIG vereist
§ 32 BSIG zet de meldplicht uit artikel 23 NIS 2 om in Duits recht. Betrokken entiteiten moeten significante incidenten in drie fasen melden aan het Bundesamt für Sicherheit in der Informationstechnik (BSI). De moeilijke vraag is zelden het hoe, maar of een incident überhaupt significant is.
De klok van 24 uur begint zodra de entiteit kennis krijgt van het incident. Wie pas tijdens het noodgeval overweegt of er gemeld moet worden, heeft de termijn al voor de helft verbruikt.
Vroegtijdige waarschuwing binnen 24 uur
Een eerste vroegtijdige waarschuwing aan het BSI binnen 24 uur na kennisname van het significante incident, met vermelding of een onrechtmatige of kwaadwillige oorzaak wordt vermoed en of grensoverschrijdende gevolgen mogelijk zijn.
Melding binnen 72 uur
Een uitgebreidere melding binnen 72 uur, die de vroegtijdige waarschuwing aanvult met een eerste beoordeling van het incident, de ernst en de gevolgen, en beschikbare compromittatie-indicatoren.
Eindrapport na één maand
Een eindrapport uiterlijk één maand na de melding: een gedetailleerde beschrijving, het type dreiging of de oorzaak, de getroffen maatregelen en eventuele grensoverschrijdende gevolgen.
Op EU-niveau zijn de kwantitatieve drempels voor een significant incident vastgelegd in Uitvoeringsverordening (EU) 2024/2690, maar die gelden rechtstreeks alleen voor de daarin genoemde aanbieders van digitale infrastructuur en digitale diensten. Voor de meeste betrokken entiteiten, zoals productie, logistiek, gezondheidszorg of afval, zijn er geen EU-cijfers.
Voor die entiteiten wordt significant bepaald door de kwalitatieve criteria uit artikel 23 lid 3 NIS 2, omgezet als de wettelijke definitie in § 2 nummer 11 BSIG. Elk bedrijf moet binnen 24 uur zelf beslissen of een incident meldplichtig is, en die beslissing kunnen documenteren. De gedocumenteerde beoordeling is het bewijs.
Meldingen gaan naar het BSI, in Duitsland via zijn meldportaal. Leg intern vooraf vast wie beslist of er gemeld wordt en wie de melding indient. Dit tijdens een incident regelen kost tijd die u niet heeft.
Het beslispad vooraf vastleggen, al is het maar als een beslisboom van één pagina, is zelf onderdeel van de maatregel voor incidentafhandeling onder artikel 21 lid 2 onder b NIS 2.
Als een incident persoonsgegevens raakt, kan parallel een meldplicht onder artikel 33 AVG gelden. De twee regimes hebben verschillende adressaten en verschillende termijnen.
Meld niet het ene in plaats van het andere. Een ransomware-incident dat klantgegevens versleutelt, kan zowel de meldcascade onder § 32 BSIG als de melding van een inbreuk binnen 72 uur onder de AVG aan de toezichthouder in gang zetten.
Veelgestelde vragen
Wanneer begint de klok van 24 uur?
Zodra de entiteit kennis krijgt van het significante incident, niet wanneer het begon.
Zijn er vaste eurodrempels voor een significant incident?
Alleen voor de in CIR (EU) 2024/2690 genoemde aanbieders van digitale diensten. Voor alle andere entiteiten gelden de kwalitatieve criteria uit artikel 23 lid 3 NIS 2.
Wat als ik niet zeker weet of een incident significant is?
Documenteer uw beoordeling en de redenen. De onderbouwde beslissing is wat een auditor wil zien; het ontbreken van elke beoordeling is de echte tekortkoming.
Moet ik ook onder de AVG melden?
Als persoonsgegevens betrokken zijn, controleer artikel 33 AVG apart. Het heeft een eigen termijn van 72 uur en een andere adressaat.
Wat gebeurt er na de melding?
Het BSI kan nadere informatie opvragen, en het eindrapport volgt uiterlijk één maand na de melding.