Primirea unei solicitări BSI conform §64 BSIG
Articolul 32 NIS 2 conferă autorităților competente competențe de supraveghere. §64 BSIG este transpunerea germană. Această pagină descrie cadrul procedural, nu cum ar trebui gestionată o solicitare specifică.
Prezentare generală
Articolul 32 din Directiva NIS 2 împuternicește autoritățile competente să supravegheze entitățile esențiale. Catalogul de competențe include inspecții la fața locului, supraveghere la distanță, audituri de securitate țintite, audituri ad-hoc, scanări de securitate, solicitări de informații și solicitări de dovezi că au fost implementate măsurile de management al riscului de securitate cibernetică.
În Germania, §64 BSIG transpune acest catalog și atribuie rolul de supraveghere către Bundesamt für Sicherheit in der Informationstechnik (BSI). O solicitare conform §64 BSIG sosește de obicei în scris, identifică temeiul juridic, numește un termen și listează informațiile sau documentele necesare. Solicitarea în sine pornește ceasul procedural.
Entitățile cărora li se notifică o astfel de solicitare sunt supuse unei obligații de cooperare (Mitwirkungspflicht). Obligația nu este nelimitată: este delimitată de ceea ce s-a cerut, de termenul stabilit în solicitare și de protecțiile juridice generale care se aplică în procedurile administrative. Verwaltungsverfahrensgesetz (VwVfG) guvernează cadrul de procedură administrativă din jurul solicitării.
Directiva 2022/2555 (NIS 2), Articolul 32(2)
Autoritățile competente au competența de a supune entitățile esențiale unor inspecții la fața locului și unei supravegheri la distanță, inclusiv verificări aleatorii; audituri de securitate țintite; audituri ad-hoc; scanări de securitate; solicitări de informații; și solicitări de a furniza dovezi privind implementarea politicilor de securitate cibernetică.
Articolul 32(2) listează măsurile de supraveghere disponibile autorităților competente pentru entitățile esențiale. Articolul 33 stabilește un regim comparabil, mai ușor, pentru entitățile importante. Directiva nu stabilește termene; acestea sunt stabilite de autoritatea națională în fiecare solicitare individuală.
Regulamentul de punere în aplicare (UE) 2024/2690
Regulamentul de punere în aplicare precizează cerințele tehnice și metodologice pe care entitățile esențiale și importante din sectoarele digitale trebuie să le îndeplinească. Nu reglementează forma procedurală a solicitărilor de supraveghere.
Regulamentul de punere în aplicare este relevant pentru conținutul a ceea ce autoritățile pot solicita (măsurile listate în Anexa sa). Latura procedurală a modului în care o solicitare este notificată și la care se răspunde rămâne legea națională.
§64 BSIG (transpunere germană)
BSI poate solicita informații și documente de la entitățile reglementate, poate efectua inspecții la fața locului și poate cere examinări tehnice pentru a verifica respectarea obligațiilor conform BSIG. Entitatea, reprezentanții ei și angajații ei au obligația de a coopera.
§64 BSIG operaționalizează Articolul 32 NIS 2 în Germania. §65 BSIG oferă stratul de aplicare (amenzi administrative) dacă obligația de cooperare conform §64 este încălcată. Verwaltungsverfahrensgesetz (VwVfG), în special §28 privind dreptul de a fi audiat, se aplică în paralel.
Temeiul juridic și domeniul de aplicare
O solicitare conform §64 BSIG își citează temeiul juridic (de obicei §64 BSIG, uneori în combinație cu obligația specifică conform §30 sau §32 BSIG care a declanșat ancheta). Numește entitatea destinatară, chestiunea aflată în examinare și categoriile de informații sau documente necesare. O entitate căreia i se notifică o astfel de solicitare poate stabili perimetrul cooperării citind cu atenție temeiul juridic și catalogul de întrebări.
Termenul și dovezile cerute
Solicitarea stabilește un termen (Frist), de obicei între două și patru săptămâni pentru solicitările de documente, mai scurt pentru anchetele legate de incidente. Dovezile cerute sunt de obicei documentare: politici, intrări din registrul de riscuri, rapoarte de incidente, contracte cu furnizorii, evidențe de instruire. Entitățile înregistrează de obicei termenul, catalogul de întrebări și responsabilul intern înainte de a produce materialul.
Răspuns scris, evidență scrisă
Răspunsurile la o solicitare conform §64 BSIG sunt de obicei date în scris, chiar și atunci când contactul inițial se face prin telefon. Un răspuns scris creează o evidență verificabilă a ceea ce a fost divulgat, la ce dată, sub ce temei juridic. Entitățile care documentează scrisoarea de însoțire, indexul anexelor și data expedierii păstrează o pistă probatorie clară în orice procedură ulterioară.
Obligația de cooperare conform §64 BSIG (Mitwirkungspflicht)
§64 BSIG impune o obligație activă de cooperare entității reglementate, reprezentanților ei legali și angajaților ei. Obligația acoperă producerea informațiilor și documentelor pe care BSI le solicită, acordarea accesului pentru inspecții la fața locului și tolerarea examinărilor tehnice în domeniul de aplicare identificat. Necooperarea poate declanșa aplicarea conform §65 BSIG, care prevede amenzi administrative.
Limita obligației de cooperare
Obligația de cooperare este delimitată de ceea ce a fost solicitat de fapt, de termenul stabilit și de protecțiile juridice generale care se aplică în procedurile administrative. Comunicările cu consilierul juridic extern sunt protejate de confidențialitatea profesională (§43a BRAO, §203 StGB). Dreptul de a fi audiat conform §28 VwVfG se aplică înainte de emiterea actelor administrative defavorabile. Aceste limite sunt procedurale; aplicarea lor concretă la un set specific de documente este o chestiune pentru consilierul de reglementare.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
BSI este autoritatea competentă pentru supravegherea securității cibernetice conform BSIG. Emite solicitări conform §64 BSIG, efectuează inspecții și propune măsuri de aplicare. BSI este o autoritate federală (Bundesoberbehörde) din subordinea Ministerului Federal de Interne.
Verwaltungsverfahrensgesetz (VwVfG)
VwVfG este legea generală privind procedura administrativă. Guvernează cum sunt emise actele administrative, cum funcționează dreptul de a fi audiat (§28 VwVfG), cum funcționează căile de atac și cum se calculează termenele. O solicitare conform §64 BSIG se încadrează în acest cadru.
Consilier de reglementare și confidențialitate profesională
Consilierul juridic extern este legat de confidențialitatea profesională conform §43a BRAO și §203 StGB. Comunicările produse în scopul consilierii juridice sunt protejate. Protecția este mai îngustă decât conceptul de privilegiu avocat-client folosit în alte jurisdicții; domeniul de aplicare precis este specific fiecărei chestiuni.
Ignorarea sau întârzierea tăcută a solicitării
Ratarea unui termen conform §64 BSIG fără o cerere scrisă de prelungire este în sine o încălcare a obligației de cooperare. §65 BSIG prevede amenzi administrative pentru necooperare, independent de orice lacună de conformitate subiacentă. Entitățile cărora li se notifică o solicitare confirmă de obicei primirea în scris și solicită o prelungire dacă termenul nu poate fi respectat.
Trimiterea a tot ce intră în domeniul de aplicare plus extrase
Producerea de material care nu a fost cerut extinde evidența probatorie și poate dezvălui lacune fără legătură. Obligația de cooperare conform §64 BSIG acoperă ceea ce a fost solicitat. Entitățile își delimitează de obicei răspunsul la catalogul de întrebări și înregistrează ce a fost produs.
Răspunsul prin telefon fără o evidență scrisă
Apelurile telefonice nu lasă nicio evidență scrisă comună a ceea ce a fost divulgat, când și sub ce domeniu de aplicare. Entitățile urmăresc de obicei orice schimb telefonic cu un rezumat scris, atât pentru a confirma înțelegerea, cât și pentru a menține o pistă probatorie clară pentru orice procedură ulterioară.
O solicitare conform §64 BSIG nu este o amendă, un ordin de aplicare sau o constatare de audit. Este un pas procedural în care autoritatea competentă exercită o competență de supraveghere conferită de Articolul 32 NIS 2. Cadrul procedural este stabilit: solicitare scrisă, temei juridic numit, termen definit, răspuns scris. Evaluarea de fond vine mai târziu, într-un act administrativ separat, cu dreptul de a fi audiat conform §28 VwVfG.
Această pagină descrie doar cadrul procedural. Gestionarea concretă a unei solicitări BSI, inclusiv domeniul de aplicare al documentelor de divulgat, formularea răspunsului și interacțiunea cu aplicarea §65 BSIG, necesită consilier de reglementare. Platforma documentează starea de conformitate subiacentă (politici, registru de riscuri, evidențe de incidente, contracte cu furnizorii) astfel încât, dacă sosește o solicitare, baza probatorie să fie deja în ordine.
Platforma menține evidența subiacentă pe care o vizează de obicei un catalog de întrebări conform §64 BSIG: registrul de obligații, registrul de riscuri, evidențele de incidente cu marcaje temporale, evidențele furnizorilor cu diligența conform §30 BSIG, evidențele de instruire conform §38 BSIG și pista de audit a cine a aprobat ce și când. Fiecare element are marcaj temporal și este exportabil.
Platforma nu redactează răspunsuri la solicitările de supraveghere și nu înlocuiește consilierul de reglementare. Menține baza probatorie astfel încât producerea documentelor conform §64 BSIG să fie o chestiune de export, nu de reconstrucție.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 32 (măsuri de supraveghere și aplicare privind entitățile esențiale) și Articolul 33 (entități importante). EUR-Lex.
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 din 17 octombrie 2024 privind cerințele tehnice și metodologice. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (competențe de supraveghere și obligație de cooperare) și §65 (amenzi administrative). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) și Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.