§64 BSIG

Primirea unei solicitări BSI conform §64 BSIG

Articolul 32 NIS 2 conferă autorităților competente competențe de supraveghere. §64 BSIG este transpunerea germană. Această pagină descrie cadrul procedural, nu cum ar trebui gestionată o solicitare specifică.

Simon OrzelSimon Orzel·

Prezentare generală

Articolul 32 din Directiva NIS 2 împuternicește autoritățile competente să supravegheze entitățile esențiale. Catalogul de competențe include inspecții la fața locului, supraveghere la distanță, audituri de securitate țintite, audituri ad-hoc, scanări de securitate, solicitări de informații și solicitări de dovezi că au fost implementate măsurile de management al riscului de securitate cibernetică.

În Germania, §64 BSIG transpune acest catalog și atribuie rolul de supraveghere către Bundesamt für Sicherheit in der Informationstechnik (BSI). O solicitare conform §64 BSIG sosește de obicei în scris, identifică temeiul juridic, numește un termen și listează informațiile sau documentele necesare. Solicitarea în sine pornește ceasul procedural.

Entitățile cărora li se notifică o astfel de solicitare sunt supuse unei obligații de cooperare (Mitwirkungspflicht). Obligația nu este nelimitată: este delimitată de ceea ce s-a cerut, de termenul stabilit în solicitare și de protecțiile juridice generale care se aplică în procedurile administrative. Verwaltungsverfahrensgesetz (VwVfG) guvernează cadrul de procedură administrativă din jurul solicitării.

Ancoră juridică
Stratul UE stabilește competențele de supraveghere. BSIG le transpune în legea națională. VwVfG oferă cadrul procedural general.

Directiva 2022/2555 (NIS 2), Articolul 32(2)

Autoritățile competente au competența de a supune entitățile esențiale unor inspecții la fața locului și unei supravegheri la distanță, inclusiv verificări aleatorii; audituri de securitate țintite; audituri ad-hoc; scanări de securitate; solicitări de informații; și solicitări de a furniza dovezi privind implementarea politicilor de securitate cibernetică.

Articolul 32(2) listează măsurile de supraveghere disponibile autorităților competente pentru entitățile esențiale. Articolul 33 stabilește un regim comparabil, mai ușor, pentru entitățile importante. Directiva nu stabilește termene; acestea sunt stabilite de autoritatea națională în fiecare solicitare individuală.

Regulamentul de punere în aplicare (UE) 2024/2690

Regulamentul de punere în aplicare precizează cerințele tehnice și metodologice pe care entitățile esențiale și importante din sectoarele digitale trebuie să le îndeplinească. Nu reglementează forma procedurală a solicitărilor de supraveghere.

Regulamentul de punere în aplicare este relevant pentru conținutul a ceea ce autoritățile pot solicita (măsurile listate în Anexa sa). Latura procedurală a modului în care o solicitare este notificată și la care se răspunde rămâne legea națională.

§64 BSIG (transpunere germană)

BSI poate solicita informații și documente de la entitățile reglementate, poate efectua inspecții la fața locului și poate cere examinări tehnice pentru a verifica respectarea obligațiilor conform BSIG. Entitatea, reprezentanții ei și angajații ei au obligația de a coopera.

§64 BSIG operaționalizează Articolul 32 NIS 2 în Germania. §65 BSIG oferă stratul de aplicare (amenzi administrative) dacă obligația de cooperare conform §64 este încălcată. Verwaltungsverfahrensgesetz (VwVfG), în special §28 privind dreptul de a fi audiat, se aplică în paralel.

Ce conține de obicei o solicitare conform §64 BSIG
Solicitările sunt scrise, structurate și limitate în timp. Formatul nu variază mult de la caz la caz.
Pasul 1

Temeiul juridic și domeniul de aplicare

O solicitare conform §64 BSIG își citează temeiul juridic (de obicei §64 BSIG, uneori în combinație cu obligația specifică conform §30 sau §32 BSIG care a declanșat ancheta). Numește entitatea destinatară, chestiunea aflată în examinare și categoriile de informații sau documente necesare. O entitate căreia i se notifică o astfel de solicitare poate stabili perimetrul cooperării citind cu atenție temeiul juridic și catalogul de întrebări.

Pasul 2

Termenul și dovezile cerute

Solicitarea stabilește un termen (Frist), de obicei între două și patru săptămâni pentru solicitările de documente, mai scurt pentru anchetele legate de incidente. Dovezile cerute sunt de obicei documentare: politici, intrări din registrul de riscuri, rapoarte de incidente, contracte cu furnizorii, evidențe de instruire. Entitățile înregistrează de obicei termenul, catalogul de întrebări și responsabilul intern înainte de a produce materialul.

Pasul 3

Răspuns scris, evidență scrisă

Răspunsurile la o solicitare conform §64 BSIG sunt de obicei date în scris, chiar și atunci când contactul inițial se face prin telefon. Un răspuns scris creează o evidență verificabilă a ceea ce a fost divulgat, la ce dată, sub ce temei juridic. Entitățile care documentează scrisoarea de însoțire, indexul anexelor și data expedierii păstrează o pistă probatorie clară în orice procedură ulterioară.

Două principii care modelează orice răspuns
Obligația de cooperare este reală, dar are o limită. Ambele laturi contează.

Obligația de cooperare conform §64 BSIG (Mitwirkungspflicht)

§64 BSIG impune o obligație activă de cooperare entității reglementate, reprezentanților ei legali și angajaților ei. Obligația acoperă producerea informațiilor și documentelor pe care BSI le solicită, acordarea accesului pentru inspecții la fața locului și tolerarea examinărilor tehnice în domeniul de aplicare identificat. Necooperarea poate declanșa aplicarea conform §65 BSIG, care prevede amenzi administrative.

Limita obligației de cooperare

Obligația de cooperare este delimitată de ceea ce a fost solicitat de fapt, de termenul stabilit și de protecțiile juridice generale care se aplică în procedurile administrative. Comunicările cu consilierul juridic extern sunt protejate de confidențialitatea profesională (§43a BRAO, §203 StGB). Dreptul de a fi audiat conform §28 VwVfG se aplică înainte de emiterea actelor administrative defavorabile. Aceste limite sunt procedurale; aplicarea lor concretă la un set specific de documente este o chestiune pentru consilierul de reglementare.

Autorități naționale și cadru procedural
Autoritatea de supraveghere și cadrul procedural diferă de la un stat membru la altul. În Germania, tabloul este structurat.
DE

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI este autoritatea competentă pentru supravegherea securității cibernetice conform BSIG. Emite solicitări conform §64 BSIG, efectuează inspecții și propune măsuri de aplicare. BSI este o autoritate federală (Bundesoberbehörde) din subordinea Ministerului Federal de Interne.

DE

Verwaltungsverfahrensgesetz (VwVfG)

VwVfG este legea generală privind procedura administrativă. Guvernează cum sunt emise actele administrative, cum funcționează dreptul de a fi audiat (§28 VwVfG), cum funcționează căile de atac și cum se calculează termenele. O solicitare conform §64 BSIG se încadrează în acest cadru.

DE

Consilier de reglementare și confidențialitate profesională

Consilierul juridic extern este legat de confidențialitatea profesională conform §43a BRAO și §203 StGB. Comunicările produse în scopul consilierii juridice sunt protejate. Protecția este mai îngustă decât conceptul de privilegiu avocat-client folosit în alte jurisdicții; domeniul de aplicare precis este specific fiecărei chestiuni.

Trei capcane observate în practică
Fiecare capcană a fost observată în relatări de aplicare publicate în cadre de supraveghere comparabile (DSGVO, BaFin, KRITIS).
  • Ignorarea sau întârzierea tăcută a solicitării

    Ratarea unui termen conform §64 BSIG fără o cerere scrisă de prelungire este în sine o încălcare a obligației de cooperare. §65 BSIG prevede amenzi administrative pentru necooperare, independent de orice lacună de conformitate subiacentă. Entitățile cărora li se notifică o solicitare confirmă de obicei primirea în scris și solicită o prelungire dacă termenul nu poate fi respectat.

  • Trimiterea a tot ce intră în domeniul de aplicare plus extrase

    Producerea de material care nu a fost cerut extinde evidența probatorie și poate dezvălui lacune fără legătură. Obligația de cooperare conform §64 BSIG acoperă ceea ce a fost solicitat. Entitățile își delimitează de obicei răspunsul la catalogul de întrebări și înregistrează ce a fost produs.

  • Răspunsul prin telefon fără o evidență scrisă

    Apelurile telefonice nu lasă nicio evidență scrisă comună a ceea ce a fost divulgat, când și sub ce domeniu de aplicare. Entitățile urmăresc de obicei orice schimb telefonic cu un rezumat scris, atât pentru a confirma înțelegerea, cât și pentru a menține o pistă probatorie clară pentru orice procedură ulterioară.

Perspectiva practicianului

O solicitare conform §64 BSIG nu este o amendă, un ordin de aplicare sau o constatare de audit. Este un pas procedural în care autoritatea competentă exercită o competență de supraveghere conferită de Articolul 32 NIS 2. Cadrul procedural este stabilit: solicitare scrisă, temei juridic numit, termen definit, răspuns scris. Evaluarea de fond vine mai târziu, într-un act administrativ separat, cu dreptul de a fi audiat conform §28 VwVfG.

Această pagină descrie doar cadrul procedural. Gestionarea concretă a unei solicitări BSI, inclusiv domeniul de aplicare al documentelor de divulgat, formularea răspunsului și interacțiunea cu aplicarea §65 BSIG, necesită consilier de reglementare. Platforma documentează starea de conformitate subiacentă (politici, registru de riscuri, evidențe de incidente, contracte cu furnizorii) astfel încât, dacă sosește o solicitare, baza probatorie să fie deja în ordine.

Ce documentează platforma

Platforma menține evidența subiacentă pe care o vizează de obicei un catalog de întrebări conform §64 BSIG: registrul de obligații, registrul de riscuri, evidențele de incidente cu marcaje temporale, evidențele furnizorilor cu diligența conform §30 BSIG, evidențele de instruire conform §38 BSIG și pista de audit a cine a aprobat ce și când. Fiecare element are marcaj temporal și este exportabil.

Platforma nu redactează răspunsuri la solicitările de supraveghere și nu înlocuiește consilierul de reglementare. Menține baza probatorie astfel încât producerea documentelor conform §64 BSIG să fie o chestiune de export, nu de reconstrucție.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 32 (măsuri de supraveghere și aplicare privind entitățile esențiale) și Articolul 33 (entități importante). EUR-Lex.
  • Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 din 17 octombrie 2024 privind cerințele tehnice și metodologice. EUR-Lex.
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (competențe de supraveghere și obligație de cooperare) și §65 (amenzi administrative). gesetze-im-internet.de.
  • Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
  • Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) și Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.
Verificați mai întâi aplicabilitatea
Dacă §64 BSIG se aplică deloc depinde de dacă entitatea intră în domeniul de aplicare al BSIG. Verificarea aplicabilității acoperă sectorul, mărimea și suprascrierile indiferent de mărime.