Receber um pedido do BSI ao abrigo do §64 BSIG
O Artigo 32 da NIS 2 confere às autoridades competentes poderes de supervisão. O §64 BSIG é a transposição alemã. Esta página descreve o quadro processual, não a forma como um pedido específico deve ser tratado.
Panorâmica
O Artigo 32 da Diretiva NIS 2 habilita as autoridades competentes a supervisionar entidades essenciais. O catálogo de poderes inclui inspeções no local, supervisão à distância, auditorias de segurança específicas, auditorias ad hoc, análises de segurança, pedidos de informação, e pedidos de prova de que as medidas de gestão de risco de cibersegurança foram implementadas.
Na Alemanha, o §64 BSIG transpõe este catálogo e atribui o papel de supervisão ao Bundesamt für Sicherheit in der Informationstechnik (BSI). Um pedido ao abrigo do §64 BSIG chega tipicamente por escrito, identifica a base legal, nomeia um prazo, e lista a informação ou os documentos exigidos. O próprio pedido inicia o relógio processual.
As entidades notificadas com tal pedido estão sujeitas a um dever de cooperação (Mitwirkungspflicht). O dever não é ilimitado: é delimitado pelo que foi pedido, pelo prazo fixado no pedido, e pelas proteções legais gerais que se aplicam em processos administrativos. O Verwaltungsverfahrensgesetz (VwVfG) rege o quadro do procedimento administrativo em torno do pedido.
Diretiva 2022/2555 (NIS 2), Artigo 32(2)
As autoridades competentes têm o poder de sujeitar as entidades essenciais a inspeções no local e a supervisão à distância, incluindo verificações aleatórias; auditorias de segurança específicas; auditorias ad hoc; análises de segurança; pedidos de informação; e pedidos para apresentar prova da implementação de políticas de cibersegurança.
O Artigo 32(2) lista as medidas de supervisão disponíveis às autoridades competentes para entidades essenciais. O Artigo 33 estabelece um regime comparável, mais ligeiro, para as entidades importantes. A diretiva não fixa prazos. Esses são fixados pela autoridade nacional em cada pedido individual.
Regulamento de Execução (UE) 2024/2690
O Regulamento de Execução especifica os requisitos técnicos e metodológicos que as entidades essenciais e importantes nos setores digitais devem cumprir. Não regula a forma processual dos pedidos de supervisão.
O Regulamento de Execução é relevante para o conteúdo daquilo sobre que as autoridades podem perguntar (as medidas listadas no seu Anexo). O lado processual de como um pedido é notificado e respondido permanece lei nacional.
§64 BSIG (transposição alemã)
O BSI pode solicitar informação e documentos às entidades reguladas, realizar inspeções no local, e exigir exames técnicos para verificar o cumprimento das obrigações ao abrigo do BSIG. A entidade, os seus representantes e os seus trabalhadores estão sujeitos a um dever de cooperação.
O §64 BSIG operacionaliza o Artigo 32 da NIS 2 na Alemanha. O §65 BSIG fornece a camada de aplicação (coimas administrativas) se o dever de cooperação ao abrigo do §64 for violado. O Verwaltungsverfahrensgesetz (VwVfG), em particular o §28 sobre o direito de audiência, aplica-se em paralelo.
A base legal e o âmbito
Um pedido ao abrigo do §64 BSIG cita a sua base legal (tipicamente o §64 BSIG, por vezes em conjugação com a obrigação específica do §30 ou §32 BSIG que desencadeou a indagação). Nomeia a entidade destinatária, a matéria em exame, e as categorias de informação ou documentos exigidos. Uma entidade notificada com tal pedido pode estabelecer o perímetro de cooperação lendo com atenção a base legal e o catálogo de perguntas.
O prazo e a prova pedida
O pedido fixa um prazo (Frist), comummente entre duas e quatro semanas para pedidos de documentos, mais curto para indagações relacionadas com incidentes. A prova pedida é normalmente documental: políticas, entradas do registo de risco, relatórios de incidentes, contratos de fornecedores, registos de formação. As entidades costumam registar o prazo, o catálogo de perguntas, e o responsável interno antes de produzirem material.
Resposta escrita, registo escrito
As respostas a um pedido ao abrigo do §64 BSIG são tipicamente feitas por escrito, mesmo quando o contacto inicial acontece por telefone. Uma resposta escrita cria um registo verificável do que foi divulgado, em que data, sob que base legal. As entidades que documentam a carta de apresentação, o índice de anexos, e a data de envio mantêm um rasto de prova claro em qualquer processo posterior.
Dever de cooperação ao abrigo do §64 BSIG (Mitwirkungspflicht)
O §64 BSIG impõe um dever ativo de cooperação à entidade regulada, aos seus representantes legais, e aos seus trabalhadores. O dever abrange a produção de informação e documentos que o BSI solicita, a concessão de acesso para inspeções no local, e a tolerância de exames técnicos dentro do âmbito identificado. A não cooperação pode desencadear a aplicação ao abrigo do §65 BSIG, que prevê coimas administrativas.
Limite do dever de cooperação
O dever de cooperação é delimitado pelo que foi de facto solicitado, pelo prazo fixado, e pelas proteções legais gerais que se aplicam em processos administrativos. As comunicações com advogado externo estão protegidas por sigilo profissional (§43a BRAO, §203 StGB). O direito de audiência ao abrigo do §28 VwVfG aplica-se antes de serem emitidos atos administrativos desfavoráveis. Estes limites são processuais. A sua aplicação concreta a um conjunto específico de documentos é matéria para advogado regulatório.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
O BSI é a autoridade competente para a supervisão de cibersegurança ao abrigo do BSIG. Emite pedidos ao abrigo do §64 BSIG, conduz inspeções, e propõe medidas de aplicação. O BSI é uma autoridade federal (Bundesoberbehörde) sob o Ministério Federal do Interior.
Verwaltungsverfahrensgesetz (VwVfG)
O VwVfG é a lei geral do procedimento administrativo. Rege como os atos administrativos são emitidos, como funciona o direito de audiência (§28 VwVfG), como funcionam os recursos, e como são calculados os prazos. Um pedido ao abrigo do §64 BSIG insere-se neste quadro.
Advogado regulatório e sigilo profissional
O advogado externo está vinculado ao sigilo profissional ao abrigo do §43a BRAO e do §203 StGB. As comunicações produzidas para efeitos de aconselhamento jurídico estão protegidas. A proteção é mais estreita do que o conceito de privilégio advogado-cliente usado nalgumas outras jurisdições. O âmbito preciso é específico de cada caso.
Ignorar ou atrasar discretamente o pedido
Falhar um prazo do §64 BSIG sem um pedido de prorrogação por escrito é, em si, uma violação do dever de cooperação. O §65 BSIG prevê coimas administrativas pela não cooperação, independentemente de qualquer lacuna de conformidade subjacente. As entidades notificadas com um pedido costumam confirmar a receção por escrito e solicitar uma prorrogação se o prazo não puder ser cumprido.
Enviar tudo o que está no âmbito mais extras
Produzir material que não foi pedido alarga o registo de prova e pode revelar lacunas não relacionadas. O dever de cooperação ao abrigo do §64 BSIG abrange o que foi solicitado. As entidades costumam delimitar a sua resposta ao catálogo de perguntas e registar o que foi produzido.
Responder por telefone sem um registo escrito
As chamadas telefónicas não deixam um registo escrito partilhado do que foi divulgado, quando, e sob que âmbito. As entidades costumam dar seguimento a qualquer troca telefónica com um resumo escrito, tanto para confirmar o entendimento como para manter um rasto de prova claro em qualquer processo posterior.
Um pedido ao abrigo do §64 BSIG não é uma coima, uma ordem de aplicação, nem uma constatação de auditoria. É um passo processual em que a autoridade competente exerce um poder de supervisão conferido pelo Artigo 32 da NIS 2. O quadro processual está fixado: pedido escrito, base legal nomeada, prazo definido, resposta escrita. A avaliação substantiva vem depois, num ato administrativo separado, com o direito de audiência ao abrigo do §28 VwVfG.
Esta página descreve apenas o quadro processual. O tratamento concreto de um pedido do BSI, incluindo o âmbito dos documentos a divulgar, a redação da resposta, e a interação com a aplicação do §65 BSIG, requer advogado regulatório. A plataforma documenta o estado de conformidade subjacente (políticas, registo de risco, registos de incidentes, contratos de fornecedores) para que, se um pedido chegar, a base de prova já esteja em ordem.
A plataforma mantém o registo subjacente que um catálogo de perguntas do §64 BSIG tipicamente visa: o registo de obrigações, o registo de risco, os registos de incidentes com data e hora, os registos de fornecedores com a devida diligência do §30 BSIG, os registos de formação ao abrigo do §38 BSIG, e o registo de auditoria de quem aprovou o quê e quando. Cada item tem data e hora e é exportável.
A plataforma não redige respostas a pedidos de supervisão e não substitui o advogado regulatório. Mantém a base de prova para que a produção de documentos ao abrigo do §64 BSIG seja uma questão de exportação, não de reconstrução.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 32 (medidas de supervisão e de aplicação relativas a entidades essenciais) e Artigo 33 (entidades importantes). EUR-Lex.
- Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, relativo a requisitos técnicos e metodológicos. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (poderes de supervisão e dever de cooperação) e §65 (coimas administrativas). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) e Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.