Wat is het BSI?
Federale autoriteit binnen het ressort van het Duitse Ministerie van Binnenlandse Zaken, opgericht onder §1 BSIG. Onder NIS 2 de bevoegde autoriteit, het centrale meldpunt en de beheerder van het nationale CSIRT.
Waar het om gaat
Wie in Duitsland voor het eerst nadenkt over NIS 2, komt onvermijdelijk bij het BSI uit. Het Bundesamt für Sicherheit in der Informationstechnik zetelt in Bonn, bestaat sinds 1991 en is volgens §1 BSIG de federale cyberveiligheidsautoriteit. In de praktijk betekent dat: wat u onder NIS 2 moet melden, registreren of aantonen, loopt uiteindelijk via het BSI.
Wat veel eerste lezers verwart: onder NIS 2 heeft het BSI niet één rol, maar vier. Het is tegelijk de bevoegde autoriteit volgens art. 8 NIS 2, het meldpunt voor significante incidenten volgens §32 BSIG, de registratie-instantie volgens §33 BSIG, en de beheerder van het nationale CSIRT (CERT-Bund) in de zin van art. 10 NIS 2. Vier raakvlakken, één autoriteit.
In de praktijk treft u het BSI op drie momenten: bij registratie, bij een melding, en bij toezicht. Wat het BSI niet doet: juridisch advies in individuele gevallen, ISO 27001 certificering, uitvoeringsadvies. Het uitvoeringsdeel ligt bij u, intern of met externe hulp.
§1 BSIG (oprichting)
De Bondsstaat houdt als federale autoriteit binnen het ressort van het Ministerie van Binnenlandse Zaken het Bundesamt für Sicherheit in der Informationstechnik in stand.
Zelfstandige federale autoriteit betekent: het BSI staat organisatorisch op zichzelf, maar valt onder vak- en dienstoezicht van het Ministerie van Binnenlandse Zaken. Het BSI handelt niet als ministerie en niet als rechter.
§3 BSIG (taken)
Het Bundesamt bevordert de informatiebeveiliging. Daartoe vervult het onder meer de volgende taken: afweer van gevaren voor de informatietechnologie van de Bondsstaat, verzameling en analyse van informatie over veiligheidsrisico's, advisering en waarschuwing, vaststelling van minimumnormen.
De takencatalogus in §3 BSIG is breed. Voor NIS 2 zijn vooral relevant: advisering en waarschuwing, vaststelling van minimumnormen, en ondersteuning van bevoegde autoriteiten bij het onderzoek van veiligheidsincidenten.
Art. 8 NIS 2 (bevoegde autoriteiten) + §32, §33 BSIG
De lidstaten wijzen een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor cyberbeveiliging. Zij zorgen ervoor dat deze bevoegde autoriteiten de toepassing van deze richtlijn op nationaal niveau bewaken.
Duitsland heeft het BSI aangewezen als bevoegde autoriteit in de zin van art. 8 NIS 2. Meldingen lopen via §32 BSIG, registraties via §33 BSIG.
Registratie-instantie
Via het BSI-portaal registreert u zich volgens §33 BSIG. Drie maanden vanaf het moment dat u voor het eerst onder NIS 2 valt. Verplichte gegevens: basisgegevens, sector, contactpersoon, omvang van de activiteit, grootteklasse.
Gemeenschappelijk meldpunt
Significante incidenten meldt u volgens §32 BSIG via het centrale meldpunt van het BSI. Vroegtijdige waarschuwing binnen 24 uur, vervolgmelding binnen 72 uur, eindrapport binnen een maand. Beide klokken starten bij kennisneming.
Nationaal CSIRT (CERT-Bund)
CERT-Bund is het nationale CSIRT van Duitsland in de zin van art. 10 NIS 2. Het ontvangt incidentmeldingen, coördineert de respons en wisselt informatie uit met de overige lidstaten in het EU CSIRT-netwerk.
Toezicht
Het toezicht op NIS 2 entiteiten is in de BSIG geregeld. Het BSI mag inlichtingen vragen, audits opleggen en aanwijzingen geven. Boetes legt het op volgens §65 BSIG.
Informatie- en waarschuwingscentrum
Situatierapporten, beveiligingswaarschuwingen, technische minimumnormen: het BSI publiceert doorlopend. De Allianz für Cybersicherheit en UP KRITIS bieden bovendien praktische handreikingen.
Geen juridisch advies in individuele gevallen
Algemene aanwijzingen en minimumnormen: ja. Juridische beoordeling van uw concrete feiten: nee. Daarvoor heeft u een advocaat nodig.
Geen ISO 27001-certificeringsinstantie
Het BSI geeft geen ISO 27001 certificaten uit. Wat het BSI wel uitgeeft, zijn eigen certificeringsregelingen zoals IT-Grundschutz of Common Criteria. Die staan los van ISO.
Geen consultant voor uitvoering
Het BSI toetst en houdt toezicht, het voert niet voor u uit. De operationele NIS 2 uitvoering vindt plaats binnen uw entiteit, met uw mensen of met externe consultancy.
In gesprekken met leidingen die NIS 2 voor het eerst aanpakken, komen meestal twee vragen op tafel: wat moet ik melden, en wat moet ik registreren. De antwoorden staan in §32 en §33 BSIG. Beide lopen via het BSI-portaal, beide vereisen een ELSTER-organisatiecertificaat als toegangsmiddel.
Het centrale informatiepunt blijft bsi.bund.de. Het eigenlijke meldportaal heeft een eigen adres en is daarvandaan gelinkt. Wie dat voor het eerst zoekt, verwart de twee makkelijk.
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), in het bijzonder §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Richtlijn (EU) 2022/2555 (NIS 2), art. 8, 10, 23, 27, www.eur-lex.europa.eu
- Website van het BSI: www.bsi.bund.de
- NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, BSI publicaties). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.