Avertizări privind eșecurile NIS 2
Directiva UE 2019/1937 protejează raportările privind încălcările de securitate a rețelelor și a sistemelor informatice. Hinweisgeberschutzgesetz (HinSchG) german este transpunerea națională. Această pagină descrie cadrul, nu este consultanță juridică pentru un caz concret.
Ce este această pagină
Avertizarea de integritate este o cale juridică separată de raportarea incidentelor NIS 2. Un angajat, contractor sau candidat la un loc de muncă care raportează un eșec de conformitate NIS 2 este protejat de Directiva UE 2019/1937. Directiva enumeră în mod explicit securitatea rețelelor și a sistemelor informatice în Anexa, Partea I.B, ca domeniu de raportare protejat.
În Germania, Hinweisgeberschutzgesetz (HinSchG, în vigoare de la 2 iulie 2023) transpune Directiva. Bundesamt fuer Justiz găzduiește canalul extern central. Entitățile cu 50 sau mai mulți angajați sunt obligate să mențină un canal intern de raportare conform articolului 12 din HinSchG.
O divulgare de avertizare către o autoritate externă nu înlocuiește propria notificare de incident a entității conform Articolului 23 NIS 2 (articolul 32 BSIG în Germania). Ambele obligații pot fi declanșate de același eveniment și ambele rulează pe propriile ceasuri.
Directiva UE 2019/1937, Anexa, Partea I.B
Securitatea rețelelor și a sistemelor informatice, astfel cum este definită la articolul 4 punctul (1) din Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului.
Anexa enumeră domeniile de politică în care o raportare este protejată. Securitatea rețelelor și a sistemelor informatice se află în Partea I.B, alături de siguranța transporturilor și protecția mediului. NIS 2 (Directiva 2022/2555) înlocuiește Directiva 2016/1148, așa că raportările despre eșecurile de conformitate NIS 2 intră în acest domeniu.
Directiva UE 2019/1937, Articolul 4 (domeniu personal de aplicare)
Prezenta directivă se aplică persoanelor care efectuează raportări și care lucrează în sectorul privat sau public și care au obținut informații privind încălcări într-un context profesional.
Domeniul personal de aplicare acoperă angajații, persoanele care desfășoară activități independente, acționarii, membrii organelor administrative, voluntarii, stagiarii remunerați sau neremunerați, contractorii, subcontractorii și furnizorii. Candidații la un loc de muncă și foștii lucrători sunt și ei protejați. Raportările anonime sunt permise de articolul 16(1) din HinSchG, dar urmărirea ulterioară poate fi limitată.
HinSchG articolul 12 (canale interne de raportare)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
Pragul de 50 de angajați este numărul de angajați ca regulă, nu o cifră zilnică exactă. Entitățile sub 50 de angajați pot înființa voluntar un canal intern; entitățile la sau peste 50 trebuie. Bundesamt fuer Justiz operează canalul extern.
Ce poate fi raportat
Articolul 2 din HinSchG enumeră obiectele de raportare protejate. Printre ele: încălcări ale dreptului UE, inclusiv securitatea rețelelor și a sistemelor informatice. O raportare privind o obligație NIS 2, de exemplu neimplementarea măsurilor din Articolul 21 sau nedepunerea unei notificări de incident conform Articolului 23, intră în domeniu.
Intern întâi, extern în paralel
Canal intern conform articolului 12 din HinSchG (50 sau mai mulți angajați). Canale externe conform articolului 19 din HinSchG: Bundesamt fuer Justiz ca oficiu extern central, plus autorități specifice sectorului. Persoana care raportează poate alege oricare; considerentul 33 al Directivei exprimă o preferință pentru canalul intern întâi, dar nu îl face o condiție prealabilă.
Obligația de documentare
Articolul 11 din HinSchG: raportările sunt documentate într-o formă durabilă și accesibilă. Documentația se șterge la trei ani după închiderea procedurii; o păstrare mai îndelungată este permisă acolo unde este necesară pentru proceduri judiciare. Datele cu caracter personal urmează principiile GDPR.
Confidențialitatea identității
Articolul 8 din HinSchG: identitatea persoanei care raportează, a persoanelor numite în raportare și a terților menționați este păstrată confidențială. Divulgarea este permisă numai în excepții stricte, de exemplu o cerere scrisă din partea unei autorități de urmărire penală. Persoanele care gestionează cazul trebuie să fie independente și fără conflicte de interese.
Interzicerea represaliilor
Articolul 36 din HinSchG interzice represaliile împotriva persoanei care raportează. Acestea includ concedierea, retrogradarea, refuzul formării, evaluarea negativă a performanței și măsuri similare. Articolul 36(2) inversează sarcina probei: dacă o persoană suferă un dezavantaj după o raportare, dezavantajul se prezumă a fi o represalie, cu excepția cazului în care angajatorul dovedește contrariul.
BSI ca autoritate sectorială
Bundesamt fuer Sicherheit in der Informationstechnik (BSI) este autoritatea competentă pentru supravegherea NIS 2 conform articolului 61 BSIG. O raportare de avertizare care susține că o entitate nu îndeplinește măsurile din Articolul 21 sau nu s-a înregistrat conform Articolului 27 va ajunge de regulă la BSI prin direcționarea canalului extern, chiar dacă este depusă întâi la Bundesamt fuer Justiz.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
BfDI este canalul extern specific sectorului pentru încălcările federale de protecție a datelor. NIS 2 și GDPR se suprapun atunci când un incident implică date cu caracter personal. O raportare de avertizare poate numi ambele temeiuri juridice; autoritatea care o primește direcționează părțile către organul competent.
Bundesamt fuer Justiz ca canal extern central
Bundesamt fuer Justiz operează oficiul extern central de raportare conform articolului 19 din HinSchG. Este adresa externă implicită dacă nu se aplică niciun canal specific sectorului și direcționează raportările către supraveghetorul competent (BSI, BNetzA, BAFin, BfDI) atunci când obiectul se află acolo.
O raportare de avertizare către BSI înlocuiește notificarea noastră de incident din Articolul 23.
Nu o înlocuiește. Articolul 23 NIS 2 și articolul 32 BSIG pun obligația de a notifica în sarcina entității. O raportare a unui terț deschide un dosar de supraveghere separat. Avertizarea timpurie proprie a entității și notificările la 24 de ore și 72 de ore rulează independent.
Avem 60 de angajați, dar nimeni nu a raportat vreodată ceva, deci nu avem nevoie de un canal.
Articolul 12 din HinSchG leagă obligația de numărul de angajați, nu de faptul dacă s-au depus raportări. Articolul 40 din HinSchG atașează o amendă administrativă de până la 20.000 EUR pentru neoperarea unui canal intern. Amenda începe la 1 decembrie 2023 pentru entitățile cu 50 până la 249 de angajați.
Putem renunța la persoana care a depus raportarea fiindcă performanța a scăzut.
Articolul 36 din HinSchG prezumă că măsura este o represalie odată ce o raportare a fost depusă. Sarcina probei revine angajatorului, care trebuie să arate un motiv documentat, fără legătură. Deciziile privind persoana care raportează, luate după o raportare, sunt supuse unei examinări sporite.
Două ceasuri rulează în paralel după o raportare privind un eșec NIS 2. Ceasul unu este termenul de răspuns HinSchG: confirmare în șapte zile conform articolului 17(1)(1), feedback către persoana care raportează în trei luni conform articolului 17(1)(4). Ceasul doi este orice obligație de incident NIS 2 pe care o declanșează substanța raportării, adică obligația proprie a entității din Articolul 23, nu a avertizorului.
Cel mai curat tipar în entitățile mijlocii: un responsabil de caz numit în conformitate sau resurse umane, un al doilea adjunct numit, un formular de primire scris care surprinde substanța fără a forța divulgarea identității și un registru scris care consemnează fiecare pas cu un marcaj de timp. Registrul este singura probă care există mai târziu dacă o instanță întreabă cum a fost gestionată raportarea.
Raportările de avertizare nu fac parte din registrul de obligații NIS 2 în sine. Sunt o obligație de guvernanță paralelă conform HinSchG, cu propriul canal, propria păstrare și propria regulă de neretaliere.
Registrul de obligații răspunde la întrebarea care măsuri NIS 2 le-a implementat entitatea și cum sunt documentate. Canalul de avertizare răspunde la întrebarea cum primește și procesează entitatea raportările privind lacunele din acele măsuri. Ambele sunt evidențe independente și ambele pot fi solicitate de un supraveghetor.
- Directiva (UE) 2019/1937 din 23 octombrie 2019 privind protecția persoanelor care raportează încălcări ale dreptului Uniunii (JO L 305, 26.11.2019, p. 17). Anexa, Partea I.B și Articolul 4.
- Hinweisgeberschutzgesetz (HinSchG) din 31 mai 2023, BGBl. 2023 I Nr. 140. Articolele 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Directiva (UE) 2022/2555 (NIS 2) din 14 decembrie 2022, Articolele 21, 23, 27.
- BSI-Gesetz (BSIG), Articolele 32, 33, 61, 65.
- Bundesamt fuer Justiz, oficiul extern de raportare conform articolului 19 din HinSchG.