O que é o BSI?
Autoridade federal superior sob a alçada do Ministério Federal do Interior, estabelecida ao abrigo do §1 BSIG. Ao abrigo da NIS 2, é a autoridade competente, o ponto único de notificação e o operador da CSIRT nacional.
O que é
Quem pensa na NIS 2 na Alemanha pela primeira vez acaba por chegar ao BSI. O Serviço Federal para a Segurança da Informação fica em Bona, existe desde 1991, e ao abrigo do §1 BSIG é a autoridade federal de cibersegurança. Na prática, isto significa: o que quer que tenha de comunicar, registar ou comprovar ao abrigo da NIS 2 passa, mais cedo ou mais tarde, pelo BSI.
O que confunde muitos leitores de primeira viagem: ao abrigo da NIS 2, o BSI não tem um papel, mas quatro. É a autoridade competente ao abrigo do Art. 8.o da NIS 2, o ponto único a quem notifica incidentes significativos ao abrigo do §32 BSIG, o organismo junto do qual se regista ao abrigo do §33 BSIG, e o operador da CSIRT nacional (CERT-Bund) na aceção do Art. 10.o da NIS 2. Quatro interfaces, uma autoridade.
Na prática, encontra o BSI em três pontos de contacto: registo, notificação de incidentes e supervisão. O que o BSI não faz: aconselhamento jurídico específico ao caso, certificação ISO 27001, ou consultoria de implementação. O trabalho de implementação fica consigo, internamente ou com apoio externo.
§1 BSIG (estabelecimento)
A Federação mantém, como autoridade federal superior na esfera do Ministério Federal do Interior, da Construção e da Comunidade, o Serviço Federal para a Segurança da Informação.
Autoridade federal superior independente significa que o BSI está organizacionalmente separado, mas sujeito à supervisão técnica e de serviço do Ministério Federal do Interior. Não atua como ministério nem como tribunal.
§3 BSIG (tarefas)
O Serviço Federal promove a segurança da informação. Para esse fim, desempenha as seguintes tarefas: defesa contra ameaças à segurança da tecnologia de informação federal, recolha e avaliação de informação sobre riscos de segurança, aconselhamento e alerta, definição de normas mínimas.
O catálogo do §3 BSIG é amplo. Para a NIS 2, as tarefas mais relevantes são aconselhar e alertar, definir normas mínimas, e apoiar as autoridades competentes na investigação de incidentes de segurança.
Art. 8.o da NIS 2 (autoridades competentes) + §32, §33 BSIG
Os Estados-Membros designam uma ou mais autoridades competentes responsáveis pela cibersegurança. Asseguram que essas autoridades competentes monitorizam a aplicação da presente diretiva a nível nacional.
A Alemanha designou o BSI como autoridade competente ao abrigo do Art. 8.o da NIS 2. As notificações passam pelo §32 BSIG e os registos pelo §33 BSIG.
Autoridade de registo
Regista-se através do portal do BSI ao abrigo do §33 BSIG. Três meses a contar do momento em que entra pela primeira vez no âmbito da NIS 2. Dados obrigatórios: dados-mestre, setor, pessoa de contacto, âmbito de atividade, classe de dimensão.
Ponto único de notificação
Notifica incidentes significativos ao abrigo do §32 BSIG através do ponto único de notificação do BSI. Alerta precoce no prazo de 24 horas, notificação de seguimento no prazo de 72 horas, relatório final no prazo de um mês. Ambos os relógios começam no momento em que toma conhecimento.
CSIRT nacional (CERT-Bund)
A CERT-Bund é a CSIRT nacional da Alemanha na aceção do Art. 10.o da NIS 2. Recebe notificações de incidentes, coordena a resposta e troca informação com os outros Estados-Membros na rede de CSIRT da UE.
Supervisão
A supervisão das entidades NIS 2 está ancorada no BSIG. O BSI pode solicitar informação, ordenar auditorias e emitir diretivas. As coimas são aplicadas ao abrigo do §65 BSIG.
Centro de informação e alerta
Relatórios de situação, alertas de segurança, normas técnicas mínimas: o BSI publica continuamente. A Aliança para a Cibersegurança e a UP KRITIS acrescentam orientações práticas a isto.
Não é uma fonte de aconselhamento jurídico individual
Orientação geral e normas mínimas: sim. Apreciação jurídica dos seus factos específicos: não. Para isso precisa de um advogado.
Não é um organismo de certificação ISO 27001
O BSI não emite certificados ISO 27001. O que o BSI gere são os seus próprios esquemas de certificação, por exemplo IT-Grundschutz e Common Criteria. São independentes da ISO.
Não é um consultor de implementação
O BSI inspeciona e supervisiona, não implementa por si. O trabalho operacional da NIS 2 acontece dentro da sua entidade, com o seu pessoal ou com consultoria externa.
Em conversas com equipas de gestão que abordam a NIS 2 pela primeira vez, surgem duas perguntas: o que tenho de comunicar, o que tenho de registar. As respostas estão nos §32 e §33 BSIG. Ambos passam pelo portal do BSI, ambos precisam de um certificado de organização ELSTER como credencial de acesso.
O centro de informação central continua a ser bsi.bund.de. O portal de notificação propriamente dito tem o seu próprio endereço e está ligado a partir daí. Os leitores de primeira viagem tendem a confundir os dois.
- Lei sobre o Serviço Federal para a Segurança da Informação (BSIG), em particular §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Diretiva (UE) 2022/2555 (NIS 2), Art. 8.o, 10.o, 23.o, 27.o, www.eur-lex.europa.eu
- Sítio do BSI: www.bsi.bund.de
- Lei de Implementação da NIS-2 e de Reforço da Cibersegurança (NIS2UmsuCG)
Esta página fornece orientação estruturada baseada em fontes publicamente disponíveis (Diretiva NIS 2, BSIG, publicações do BSI). Não constitui aconselhamento jurídico na aceção do §2 RDG. Para casos específicos, consulte um advogado inscrito. À data de 2026-06-04.