§1 BSIG + Art. 8 NIS 2

Wat is het BSI?

Federale autoriteit binnen het ressort van het Duitse Ministerie van Binnenlandse Zaken, opgericht onder §1 BSIG. Onder NIS 2 de bevoegde autoriteit, het centrale meldpunt en de beheerder van het nationale CSIRT.

Simon OrzelSimon Orzel·

Waar het om gaat

Wie in Duitsland voor het eerst nadenkt over NIS 2, komt onvermijdelijk bij het BSI uit. Het Bundesamt für Sicherheit in der Informationstechnik zetelt in Bonn, bestaat sinds 1991 en is volgens §1 BSIG de federale cyberveiligheidsautoriteit. In de praktijk betekent dat: wat u onder NIS 2 moet melden, registreren of aantonen, loopt uiteindelijk via het BSI.

Wat veel eerste lezers verwart: onder NIS 2 heeft het BSI niet één rol, maar vier. Het is tegelijk de bevoegde autoriteit volgens art. 8 NIS 2, het meldpunt voor significante incidenten volgens §32 BSIG, de registratie-instantie volgens §33 BSIG, en de beheerder van het nationale CSIRT (CERT-Bund) in de zin van art. 10 NIS 2. Vier raakvlakken, één autoriteit.

In de praktijk treft u het BSI op drie momenten: bij registratie, bij een melding, en bij toezicht. Wat het BSI niet doet: juridisch advies in individuele gevallen, ISO 27001 certificering, uitvoeringsadvies. Het uitvoeringsdeel ligt bij u, intern of met externe hulp.

Juridische basis
De oprichting en taken van het BSI staan in de BSIG. De bevoegdheden onder NIS 2 zijn gestructureerd door de NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

§1 BSIG (oprichting)

De Bondsstaat houdt als federale autoriteit binnen het ressort van het Ministerie van Binnenlandse Zaken het Bundesamt für Sicherheit in der Informationstechnik in stand.

Zelfstandige federale autoriteit betekent: het BSI staat organisatorisch op zichzelf, maar valt onder vak- en dienstoezicht van het Ministerie van Binnenlandse Zaken. Het BSI handelt niet als ministerie en niet als rechter.

§3 BSIG (taken)

Het Bundesamt bevordert de informatiebeveiliging. Daartoe vervult het onder meer de volgende taken: afweer van gevaren voor de informatietechnologie van de Bondsstaat, verzameling en analyse van informatie over veiligheidsrisico's, advisering en waarschuwing, vaststelling van minimumnormen.

De takencatalogus in §3 BSIG is breed. Voor NIS 2 zijn vooral relevant: advisering en waarschuwing, vaststelling van minimumnormen, en ondersteuning van bevoegde autoriteiten bij het onderzoek van veiligheidsincidenten.

Art. 8 NIS 2 (bevoegde autoriteiten) + §32, §33 BSIG

De lidstaten wijzen een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor cyberbeveiliging. Zij zorgen ervoor dat deze bevoegde autoriteiten de toepassing van deze richtlijn op nationaal niveau bewaken.

Duitsland heeft het BSI aangewezen als bevoegde autoriteit in de zin van art. 8 NIS 2. Meldingen lopen via §32 BSIG, registraties via §33 BSIG.

Wat het BSI onder NIS 2 concreet doet
Vijf rollen die alle entiteiten direct of indirect raken.

Registratie-instantie

Via het BSI-portaal registreert u zich volgens §33 BSIG. Drie maanden vanaf het moment dat u voor het eerst onder NIS 2 valt. Verplichte gegevens: basisgegevens, sector, contactpersoon, omvang van de activiteit, grootteklasse.

Gemeenschappelijk meldpunt

Significante incidenten meldt u volgens §32 BSIG via het centrale meldpunt van het BSI. Vroegtijdige waarschuwing binnen 24 uur, vervolgmelding binnen 72 uur, eindrapport binnen een maand. Beide klokken starten bij kennisneming.

Nationaal CSIRT (CERT-Bund)

CERT-Bund is het nationale CSIRT van Duitsland in de zin van art. 10 NIS 2. Het ontvangt incidentmeldingen, coördineert de respons en wisselt informatie uit met de overige lidstaten in het EU CSIRT-netwerk.

Toezicht

Het toezicht op NIS 2 entiteiten is in de BSIG geregeld. Het BSI mag inlichtingen vragen, audits opleggen en aanwijzingen geven. Boetes legt het op volgens §65 BSIG.

Informatie- en waarschuwingscentrum

Situatierapporten, beveiligingswaarschuwingen, technische minimumnormen: het BSI publiceert doorlopend. De Allianz für Cybersicherheit en UP KRITIS bieden bovendien praktische handreikingen.

Wat het BSI niet is
Drie veelvoorkomende misverstanden bij eerste contact.

Geen juridisch advies in individuele gevallen

Algemene aanwijzingen en minimumnormen: ja. Juridische beoordeling van uw concrete feiten: nee. Daarvoor heeft u een advocaat nodig.

Geen ISO 27001-certificeringsinstantie

Het BSI geeft geen ISO 27001 certificaten uit. Wat het BSI wel uitgeeft, zijn eigen certificeringsregelingen zoals IT-Grundschutz of Common Criteria. Die staan los van ISO.

Geen consultant voor uitvoering

Het BSI toetst en houdt toezicht, het voert niet voor u uit. De operationele NIS 2 uitvoering vindt plaats binnen uw entiteit, met uw mensen of met externe consultancy.

Praktijknotitie

In gesprekken met leidingen die NIS 2 voor het eerst aanpakken, komen meestal twee vragen op tafel: wat moet ik melden, en wat moet ik registreren. De antwoorden staan in §32 en §33 BSIG. Beide lopen via het BSI-portaal, beide vereisen een ELSTER-organisatiecertificaat als toegangsmiddel.

Het centrale informatiepunt blijft bsi.bund.de. Het eigenlijke meldportaal heeft een eigen adres en is daarvandaan gelinkt. Wie dat voor het eerst zoekt, verwart de twee makkelijk.

Bronnen
  • Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), in het bijzonder §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
  • Richtlijn (EU) 2022/2555 (NIS 2), art. 8, 10, 23, 27, www.eur-lex.europa.eu
  • Website van het BSI: www.bsi.bund.de
  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, BSIG, BSI publicaties). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.

Bent u een essentiële of belangrijke entiteit?
De gratis toepasbaarheidscheck maakt in enkele minuten duidelijk of NIS 2 op u van toepassing is en welke verplichtingen u tegenover het BSI heeft.