Otrzymanie żądania BSI na mocy §64 BSIG
Artykuł 32 NIS 2 daje właściwym organom uprawnienia nadzorcze. §64 BSIG to niemiecka transpozycja. Ta strona opisuje ramy proceduralne, a nie to, jak należy obsłużyć konkretne żądanie.
Przegląd
Artykuł 32 dyrektywy NIS 2 upoważnia właściwe organy do nadzorowania podmiotów kluczowych. Katalog uprawnień obejmuje inspekcje na miejscu, nadzór zdalny, ukierunkowane audyty bezpieczeństwa, audyty ad hoc, skany bezpieczeństwa, żądania informacji oraz żądania dowodów na wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa.
W Niemczech §64 BSIG transponuje ten katalog i przypisuje rolę nadzorczą Bundesamt für Sicherheit in der Informationstechnik (BSI). Żądanie na mocy §64 BSIG zwykle przychodzi na piśmie, wskazuje podstawę prawną, nazywa termin oraz wymienia wymagane informacje lub dokumenty. Samo żądanie uruchamia zegar proceduralny.
Podmioty, którym doręczono takie żądanie, podlegają obowiązkowi współpracy (Mitwirkungspflicht). Obowiązek nie jest nieograniczony: jest wyznaczony przez to, o co poproszono, przez termin ustalony w żądaniu oraz przez ogólne ochrony prawne, które mają zastosowanie w postępowaniach administracyjnych. Verwaltungsverfahrensgesetz (VwVfG) reguluje ramy postępowania administracyjnego wokół żądania.
Dyrektywa 2022/2555 (NIS 2), artykuł 32(2)
Właściwe organy mają uprawnienie do poddawania podmiotów kluczowych inspekcjom na miejscu i nadzorowi zdalnemu, w tym kontrolom wyrywkowym; ukierunkowanym audytom bezpieczeństwa; audytom ad hoc; skanom bezpieczeństwa; żądaniom informacji; oraz żądaniom przedstawienia dowodów na wdrożenie polityk cyberbezpieczeństwa.
Artykuł 32(2) wymienia środki nadzorcze dostępne właściwym organom wobec podmiotów kluczowych. Artykuł 33 ustanawia porównywalny, lżejszy reżim dla podmiotów ważnych. Dyrektywa nie ustala terminów; te ustala organ krajowy w każdym indywidualnym żądaniu.
Rozporządzenie wykonawcze (UE) 2024/2690
Rozporządzenie wykonawcze określa wymogi techniczne i metodyczne, które muszą spełniać podmioty kluczowe i ważne w sektorach cyfrowych. Nie reguluje proceduralnej formy żądań nadzorczych.
Rozporządzenie wykonawcze jest istotne dla treści tego, o co organy mogą pytać (środki wymienione w jego załączniku). Strona proceduralna tego, jak żądanie jest doręczane i jak się na nie odpowiada, pozostaje prawem krajowym.
§64 BSIG (niemiecka transpozycja)
BSI może żądać informacji i dokumentów od podmiotów regulowanych, przeprowadzać inspekcje na miejscu oraz wymagać badań technicznych w celu weryfikacji zgodności z obowiązkami wynikającymi z BSIG. Podmiot, jego przedstawiciele i jego pracownicy mają obowiązek współpracy.
§64 BSIG operacjonalizuje artykuł 32 NIS 2 w Niemczech. §65 BSIG zapewnia warstwę egzekwowania (administracyjne kary pieniężne), jeśli obowiązek współpracy na mocy §64 zostanie naruszony. Verwaltungsverfahrensgesetz (VwVfG), w szczególności §28 dotyczący prawa do wysłuchania, ma zastosowanie równolegle.
Podstawa prawna i zakres
Żądanie na mocy §64 BSIG przytacza swoją podstawę prawną (zwykle §64 BSIG, czasem w połączeniu z konkretnym obowiązkiem z §30 lub §32 BSIG, który wywołał zapytanie). Nazywa podmiot będący adresatem, sprawę poddaną badaniu oraz kategorie wymaganych informacji lub dokumentów. Podmiot, któremu doręczono takie żądanie, może ustalić obwód współpracy, uważnie czytając podstawę prawną i katalog pytań.
Termin i żądane dowody
Żądanie ustala termin (Frist), zwykle między dwoma a czterema tygodniami dla żądań dokumentów, krótszy dla zapytań związanych z incydentami. Żądane dowody są zwykle dokumentowe: polityki, wpisy w rejestrze ryzyk, raporty z incydentów, umowy z dostawcami, rejestry szkoleń. Podmioty zwykle rejestrują termin, katalog pytań i odpowiedzialnego właściciela wewnętrznego przed wytworzeniem materiału.
Pisemna odpowiedź, pisemny zapis
Odpowiedzi na żądanie na mocy §64 BSIG są zwykle składane na piśmie, nawet gdy pierwszy kontakt następuje telefonicznie. Pisemna odpowiedź tworzy weryfikowalny zapis tego, co ujawniono, w jakim dniu, na jakiej podstawie prawnej. Podmioty, które dokumentują pismo przewodnie, indeks załączników oraz datę wysyłki, zachowują jasny ślad dowodowy w każdym późniejszym postępowaniu.
Obowiązek współpracy na mocy §64 BSIG (Mitwirkungspflicht)
§64 BSIG nakłada aktywny obowiązek współpracy na podmiot regulowany, jego przedstawicieli prawnych i jego pracowników. Obowiązek obejmuje wytworzenie informacji i dokumentów, których żąda BSI, udzielenie dostępu na potrzeby inspekcji na miejscu oraz tolerowanie badań technicznych w zidentyfikowanym zakresie. Brak współpracy może wywołać egzekwowanie na mocy §65 BSIG, który przewiduje administracyjne kary pieniężne.
Granica obowiązku współpracy
Obowiązek współpracy jest wyznaczony przez to, o co faktycznie poproszono, przez ustalony termin oraz przez ogólne ochrony prawne mające zastosowanie w postępowaniach administracyjnych. Komunikacja z zewnętrznym pełnomocnikiem jest chroniona tajemnicą zawodową (§43a BRAO, §203 StGB). Prawo do wysłuchania na mocy §28 VwVfG ma zastosowanie przed wydaniem niekorzystnych aktów administracyjnych. Te granice są proceduralne; ich konkretne zastosowanie do określonego zbioru dokumentów jest sprawą dla pełnomocnika ds. regulacyjnych.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
BSI jest właściwym organem nadzoru nad cyberbezpieczeństwem na mocy BSIG. Wydaje żądania na mocy §64 BSIG, przeprowadza inspekcje i proponuje środki egzekwowania. BSI jest federalnym organem (Bundesoberbehörde) podlegającym Federalnemu Ministerstwu Spraw Wewnętrznych.
Verwaltungsverfahrensgesetz (VwVfG)
VwVfG to ogólna ustawa o postępowaniu administracyjnym. Reguluje, jak wydawane są akty administracyjne, jak działa prawo do wysłuchania (§28 VwVfG), jak działają odwołania i jak obliczane są terminy. Żądanie na mocy §64 BSIG mieści się w tych ramach.
Pełnomocnik ds. regulacyjnych i tajemnica zawodowa
Zewnętrzny pełnomocnik prawny jest związany tajemnicą zawodową na mocy §43a BRAO i §203 StGB. Komunikacja wytworzona na potrzeby porady prawnej jest chroniona. Ochrona jest węższa niż koncepcja attorney-client privilege stosowana w niektórych innych jurysdykcjach; dokładny zakres zależy od sprawy.
Ignorowanie lub ciche opóźnianie żądania
Niedotrzymanie terminu §64 BSIG bez pisemnego wniosku o przedłużenie samo w sobie jest naruszeniem obowiązku współpracy. §65 BSIG przewiduje administracyjne kary pieniężne za brak współpracy, niezależnie od jakiejkolwiek leżącej u podstaw luki w zgodności. Podmioty, którym doręczono żądanie, zwykle potwierdzają odbiór na piśmie i wnioskują o przedłużenie, jeśli termin nie może zostać dotrzymany.
Wysyłanie wszystkiego w zakresie plus dodatków
Wytwarzanie materiału, o który nie poproszono, rozszerza zapis dowodowy i może ujawnić niepowiązane luki. Obowiązek współpracy na mocy §64 BSIG obejmuje to, o co poproszono. Podmioty zwykle ograniczają swoją odpowiedź do katalogu pytań i rejestrują, co wytworzono.
Odpowiadanie telefonicznie bez pisemnego zapisu
Rozmowy telefoniczne nie pozostawiają wspólnego pisemnego zapisu tego, co ujawniono, kiedy i w jakim zakresie. Podmioty zwykle uzupełniają każdą wymianę telefoniczną pisemnym podsumowaniem, zarówno aby potwierdzić zrozumienie, jak i aby utrzymać jasny ślad dowodowy na potrzeby każdego późniejszego postępowania.
Żądanie na mocy §64 BSIG nie jest karą, nakazem egzekwowania ani ustaleniem z audytu. To krok proceduralny, w którym właściwy organ wykonuje uprawnienie nadzorcze nadane przez artykuł 32 NIS 2. Ramy proceduralne są ustalone: pisemne żądanie, nazwana podstawa prawna, zdefiniowany termin, pisemna odpowiedź. Ocena merytoryczna następuje później, w osobnym akcie administracyjnym, z prawem do wysłuchania na mocy §28 VwVfG.
Ta strona opisuje wyłącznie ramy proceduralne. Konkretna obsługa żądania BSI, w tym zakres dokumentów do ujawnienia, brzmienie odpowiedzi oraz interakcja z egzekwowaniem na mocy §65 BSIG, wymaga pełnomocnika ds. regulacyjnych. Platforma dokumentuje leżący u podstaw stan zgodności (polityki, rejestr ryzyk, rejestry incydentów, umowy z dostawcami), tak by w razie nadejścia żądania baza dowodowa była już w porządku.
Platforma prowadzi leżący u podstaw zapis, na który zwykle celuje katalog pytań §64 BSIG: rejestr obowiązków, rejestr ryzyk, rejestry incydentów ze znacznikami czasu, rejestry dostawców z należytą starannością §30 BSIG, rejestry szkoleń na mocy §38 BSIG oraz ślad audytowy tego, kto co i kiedy zatwierdził. Każda pozycja ma znacznik czasu i jest eksportowalna.
Platforma nie redaguje odpowiedzi na żądania nadzorcze i nie zastępuje pełnomocnika ds. regulacyjnych. Prowadzi bazę dowodową, tak by wytworzenie dokumentów na mocy §64 BSIG było kwestią eksportu, a nie rekonstrukcji.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 32 (środki nadzorcze i egzekucyjne dotyczące podmiotów kluczowych) oraz artykuł 33 (podmioty ważne). EUR-Lex.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. w sprawie wymogów technicznych i metodycznych. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (uprawnienia nadzorcze i obowiązek współpracy) oraz §65 (administracyjne kary pieniężne). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) oraz Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.