Ce este BSI?
Autoritate federală superioară din subordinea Ministerului Federal de Interne, înființată conform §1 BSIG. În temeiul NIS 2 este autoritatea competentă, punctul unic de notificare și operatorul CSIRT-ului național.
Ce este
Oricine se gândește pentru prima dată la NIS 2 în Germania ajunge la BSI. Oficiul Federal pentru Securitatea Informației are sediul la Bonn, există din 1991, iar conform §1 BSIG este autoritatea federală de securitate cibernetică. În practică, asta înseamnă: orice trebuie să raportați, să înregistrați sau să dovediți în temeiul NIS 2 trece în cele din urmă prin BSI.
Ce îi nedumerește pe mulți cititori la prima întâlnire: în temeiul NIS 2 BSI nu are un singur rol, ci patru. Este autoritatea competentă conform art. 8 NIS 2, punctul unic la care notificați incidentele semnificative conform §32 BSIG, organismul la care vă înregistrați conform §33 BSIG și operatorul CSIRT-ului național (CERT-Bund) în sensul art. 10 NIS 2. Patru interfețe, o singură autoritate.
În practică întâlniți BSI la trei puncte de contact: înregistrare, notificarea incidentelor și supraveghere. Ce nu face BSI: consultanță juridică pentru cazuri specifice, certificare ISO 27001 sau consultanță de implementare. Munca de implementare rămâne la dumneavoastră, intern sau cu ajutor extern.
§1 BSIG (înființare)
Federația menține, ca autoritate federală superioară în portofoliul Ministerului Federal de Interne, pentru Construcții și Comunitate, Oficiul Federal pentru Securitatea Informației.
Autoritate federală superioară independentă înseamnă că BSI este separat din punct de vedere organizatoric, dar supus supravegherii de specialitate și de serviciu de către Ministerul Federal de Interne. Nu acționează ca un minister sau ca o instanță.
§3 BSIG (atribuții)
Oficiul Federal promovează securitatea informației. În acest scop îndeplinește următoarele atribuții: apărarea împotriva amenințărilor la adresa securității tehnologiei informației federale, colectarea și evaluarea informațiilor privind riscurile de securitate, consilierea și avertizarea, stabilirea de standarde minime.
Catalogul din §3 BSIG este amplu. Pentru NIS 2, cele mai relevante atribuții sunt consilierea și avertizarea, stabilirea de standarde minime și sprijinirea autorităților competente în investigarea incidentelor de securitate.
Art. 8 NIS 2 (autorități competente) + §32, §33 BSIG
Statele membre desemnează una sau mai multe autorități competente responsabile de securitatea cibernetică. Acestea se asigură că autoritățile competente respective monitorizează aplicarea prezentei directive la nivel național.
Germania a desemnat BSI ca autoritate competentă conform art. 8 NIS 2. Notificările trec prin §32 BSIG, iar înregistrările prin §33 BSIG.
Autoritate de înregistrare
Vă înregistrați prin portalul BSI conform §33 BSIG. Trei luni din momentul în care intrați pentru prima dată în domeniul de aplicare al NIS 2. Date obligatorii: date de bază, sector, persoană de contact, domeniu de activitate, clasă de mărime.
Punct unic de notificare
Notificați incidentele semnificative conform §32 BSIG prin punctul unic de notificare al BSI. Avertizare timpurie în 24 de ore, notificare ulterioară în 72 de ore, raport final într-o lună. Ambele cronometre pornesc în momentul în care luați cunoștință.
CSIRT național (CERT-Bund)
CERT-Bund este CSIRT-ul național al Germaniei în sensul art. 10 NIS 2. Primește notificările de incidente, coordonează răspunsul și schimbă informații cu celelalte state membre în cadrul rețelei CSIRT a UE.
Supraveghere
Supravegherea entităților NIS 2 este ancorată în BSIG. BSI poate solicita informații, dispune audituri și emite dispoziții. Amenzile se aplică conform §65 BSIG.
Centru de informare și avertizare
Rapoarte de situație, avertizări de securitate, standarde minime tehnice: BSI publică în mod continuu. Alianța pentru Securitate Cibernetică și UP KRITIS adaugă îndrumare practică pe deasupra.
Nu o sursă de consultanță juridică individuală
Îndrumare generală și standarde minime: da. Evaluare juridică a situației dumneavoastră specifice: nu. Pentru asta aveți nevoie de un avocat.
Nu un organism de certificare ISO 27001
BSI nu emite certificate ISO 27001. Ceea ce gestionează BSI sunt propriile scheme de certificare, de exemplu IT-Grundschutz și Common Criteria. Acestea sunt independente de ISO.
Nu un consultant de implementare
BSI inspectează și supraveghează, nu implementează în numele dumneavoastră. Munca operațională NIS 2 are loc în interiorul entității dumneavoastră, cu oamenii dumneavoastră sau cu consultanță externă.
În discuțiile cu echipele de conducere care abordează NIS 2 pentru prima dată, apar două întrebări: ce trebuie să raportez, ce trebuie să înregistrez. Răspunsurile se află în §32 și §33 BSIG. Ambele trec prin portalul BSI, ambele necesită un certificat de organizație ELSTER ca acreditare de acces.
Centrul principal de informare rămâne bsi.bund.de. Portalul de raportare propriu-zis are propria adresă și este accesibil de acolo prin link. Cititorii la prima întâlnire tind să le confunde.
- Legea privind Oficiul Federal pentru Securitatea Informației (BSIG), în special §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Directiva (UE) 2022/2555 (NIS 2), art. 8, 10, 23, 27, www.eur-lex.europa.eu
- Site-ul BSI: www.bsi.bund.de
- Legea de punere în aplicare a NIS-2 și de consolidare a securității cibernetice (NIS2UmsuCG)
Această pagină oferă îndrumare structurată pe baza unor surse disponibile public (Directiva NIS 2, BSIG, publicațiile BSI). Nu constituie consultanță juridică în sensul §2 RDG. Pentru cazuri specifice, consultați un avocat admis în barou. La data de 2026-06-04.