§1 BSIG + Art. 8 NIS 2

Czym jest BSI?

Federalny wyższy urząd podległy Federalnemu Ministerstwu Spraw Wewnętrznych, ustanowiony na podstawie §1 BSIG. Na gruncie NIS 2 jest właściwym organem, pojedynczym punktem zgłoszeń oraz operatorem krajowego CSIRT.

Simon OrzelSimon Orzel·

Czym jest

Każdy, kto po raz pierwszy zastanawia się nad NIS 2 w Niemczech, trafia ostatecznie do BSI. Federalny Urząd ds. Bezpieczeństwa Informacji ma siedzibę w Bonn, istnieje od 1991 roku, a na podstawie §1 BSIG jest federalnym organem ds. cyberbezpieczeństwa. W praktyce oznacza to: cokolwiek musisz zgłosić, zarejestrować lub udokumentować na gruncie NIS 2, ostatecznie przechodzi przez BSI.

Co dezorientuje wielu czytających po raz pierwszy: na gruncie NIS 2 BSI nie pełni jednej roli, lecz cztery. Jest właściwym organem na podstawie art. 8 NIS 2, pojedynczym punktem, do którego zgłaszasz poważne incydenty na podstawie §32 BSIG, podmiotem, u którego się rejestrujesz na podstawie §33 BSIG, oraz operatorem krajowego CSIRT (CERT-Bund) w rozumieniu art. 10 NIS 2. Cztery interfejsy, jeden organ.

W praktyce spotykasz BSI w trzech punktach styku: rejestracja, zgłaszanie incydentów i nadzór. Czego BSI nie robi: doradztwo prawne w konkretnej sprawie, certyfikacja ISO 27001 ani doradztwo wdrożeniowe. Praca wdrożeniowa pozostaje po Twojej stronie, wewnętrznie lub z pomocą zewnętrzną.

Podstawa prawna
Ustanowienie i zadania BSI określa BSIG. Jego kompetencje na gruncie NIS 2 są strukturyzowane przez ustawę o wdrożeniu NIS 2 i wzmocnieniu cyberbezpieczeństwa.

§1 BSIG (ustanowienie)

Federacja utrzymuje, jako federalny wyższy urząd w obszarze Federalnego Ministerstwa Spraw Wewnętrznych, Budownictwa i Spraw Wewnętrznych, Federalny Urząd ds. Bezpieczeństwa Informacji.

Niezależny federalny wyższy urząd oznacza, że BSI jest organizacyjnie wyodrębniony, ale podlega nadzorowi merytorycznemu i służbowemu Federalnego Ministerstwa Spraw Wewnętrznych. Nie działa jako ministerstwo ani sąd.

§3 BSIG (zadania)

Federalny Urząd wspiera bezpieczeństwo informacji. W tym celu realizuje następujące zadania: obronę przed zagrożeniami dla bezpieczeństwa federalnej technologii informacyjnej, zbieranie i ocenę informacji o ryzykach bezpieczeństwa, doradztwo i ostrzeganie, ustanawianie minimalnych standardów.

Katalog w §3 BSIG jest szeroki. Dla NIS 2 najbardziej istotne zadania to doradztwo i ostrzeganie, ustanawianie minimalnych standardów oraz wspieranie właściwych organów w badaniu incydentów bezpieczeństwa.

Art. 8 NIS 2 (właściwe organy) + §32, §33 BSIG

Państwa członkowskie wyznaczają jeden lub większą liczbę właściwych organów odpowiedzialnych za cyberbezpieczeństwo. Zapewniają one, aby te właściwe organy monitorowały stosowanie niniejszej dyrektywy na poziomie krajowym.

Niemcy wyznaczyły BSI jako właściwy organ na podstawie art. 8 NIS 2. Zgłoszenia przechodzą przez §32 BSIG, a rejestracje przez §33 BSIG.

Co BSI robi na gruncie NIS 2 w konkretnym ujęciu
Pięć ról, które dotykają każdego podmiotu bezpośrednio lub pośrednio.

Organ rejestracyjny

Rejestrujesz się przez portal BSI na podstawie §33 BSIG. Trzy miesiące od chwili, gdy po raz pierwszy znajdujesz się w zakresie NIS 2. Obowiązkowe dane: dane podstawowe, sektor, osoba kontaktowa, zakres działalności, klasa wielkości.

Pojedynczy punkt zgłoszeń

Poważne incydenty zgłaszasz na podstawie §32 BSIG za pośrednictwem pojedynczego punktu zgłoszeń BSI. Wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie uzupełniające w ciągu 72 godzin, raport końcowy w ciągu jednego miesiąca. Oba zegary ruszają w chwili, gdy dowiesz się o incydencie.

Krajowy CSIRT (CERT-Bund)

CERT-Bund jest krajowym CSIRT Niemiec w rozumieniu art. 10 NIS 2. Przyjmuje zgłoszenia incydentów, koordynuje reagowanie i wymienia informacje z pozostałymi państwami członkowskimi w sieci CSIRT UE.

Nadzór

Nadzór nad podmiotami NIS 2 jest zakotwiczony w BSIG. BSI może żądać informacji, nakazywać audyty i wydawać polecenia. Kary nakładane są na podstawie §65 BSIG.

Węzeł informacji i ostrzeżeń

Raporty sytuacyjne, ostrzeżenia bezpieczeństwa, techniczne standardy minimalne: BSI publikuje na bieżąco. Sojusz na rzecz Cyberbezpieczeństwa oraz UP KRITIS dokładają do tego praktyczne wskazówki.

Czym BSI nie jest
Trzy częste nieporozumienia przy pierwszym kontakcie.

Nie jest źródłem indywidualnej porady prawnej

Ogólne wskazówki i minimalne standardy: tak. Ocena prawna Twojego konkretnego stanu faktycznego: nie. Do tego potrzebujesz prawnika.

Nie jest jednostką certyfikującą ISO 27001

BSI nie wydaje certyfikatów ISO 27001. To, co BSI prowadzi, to jego własne schematy certyfikacji, na przykład IT-Grundschutz i Common Criteria. Są one niezależne od ISO.

Nie jest konsultantem wdrożeniowym

BSI kontroluje i nadzoruje, nie wdraża w Twoim imieniu. Operacyjna praca NIS 2 odbywa się wewnątrz Twojego podmiotu, z Twoimi ludźmi lub z doradztwem zewnętrznym.

Uwaga praktyczna

W rozmowach z zespołami zarządczymi podchodzącymi do NIS 2 po raz pierwszy pojawiają się dwa pytania: co muszę zgłosić, co muszę zarejestrować. Odpowiedzi znajdują się w §32 i §33 BSIG. Oba przechodzą przez portal BSI, oba wymagają certyfikatu organizacji ELSTER jako poświadczenia dostępu.

Centralnym węzłem informacji pozostaje bsi.bund.de. Właściwy portal zgłoszeniowy ma własny adres i jest stamtąd podlinkowany. Czytający po raz pierwszy zwykle mylą jedno z drugim.

Źródła
  • Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), w szczególności §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 8, 10, 23, 27, www.eur-lex.europa.eu
  • Strona BSI: www.bsi.bund.de
  • Ustawa o wdrożeniu NIS 2 i wzmocnieniu cyberbezpieczeństwa (NIS2UmsuCG)

Ta strona stanowi ustrukturyzowane wskazówki oparte na publicznie dostępnych źródłach (dyrektywa NIS 2, BSIG, publikacje BSI). Nie stanowi porady prawnej w rozumieniu §2 RDG. W konkretnych sprawach skonsultuj się z dopuszczonym do wykonywania zawodu prawnikiem. Stan na 2026-06-04.

Czy jesteś podmiotem kluczowym lub ważnym?
Bezpłatne sprawdzenie zakresu stosowania wyjaśnia w kilka minut, czy NIS 2 ma do Ciebie zastosowanie i jakie obowiązki masz wobec BSI.