Eine BSI-Anfrage nach §64 BSIG erhalten
Artikel 32 NIS 2 gibt den zuständigen Behörden Aufsichtsbefugnisse. §64 BSIG ist die deutsche Umsetzung. Diese Seite beschreibt den verfahrensrechtlichen Rahmen, nicht die Bearbeitung einer konkreten Anfrage.
Überblick
Artikel 32 der NIS 2 Richtlinie ermächtigt die zuständigen Behörden zur Aufsicht über wesentliche Einrichtungen. Der Befugniskatalog umfasst Vor-Ort-Prüfungen, externe Aufsicht, gezielte Sicherheitsaudits, anlassbezogene Audits, Sicherheitsscans, Auskunftsverlangen und Verlangen nach Nachweisen über die Umsetzung von Cybersicherheitsmaßnahmen.
In Deutschland setzt §64 BSIG diesen Katalog um und überträgt die Aufsichtsrolle dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Eine Anfrage nach §64 BSIG kommt in der Regel schriftlich, nennt die Rechtsgrundlage, setzt eine Frist und listet die benötigten Informationen oder Unterlagen auf. Mit der Anfrage selbst beginnt die verfahrensrechtliche Uhr.
Adressaten einer solchen Anfrage trifft eine Mitwirkungspflicht. Diese Pflicht ist nicht unbegrenzt. Sie wird begrenzt durch das, was tatsächlich verlangt wurde, durch die in der Anfrage gesetzte Frist und durch allgemeine rechtliche Schutzpositionen im Verwaltungsverfahren. Den verfahrensrechtlichen Rahmen liefert das Verwaltungsverfahrensgesetz (VwVfG).
Richtlinie (EU) 2022/2555 (NIS 2), Artikel 32(2)
Die zuständigen Behörden verfügen über die Befugnis, wesentliche Einrichtungen Vor-Ort-Prüfungen und externer Aufsicht einschließlich Stichproben zu unterziehen, gezielte Sicherheitsaudits, anlassbezogene Audits, Sicherheitsscans, Auskunftsverlangen sowie Verlangen nach Nachweisen für die Umsetzung der Cybersicherheitsstrategien anzuordnen.
Artikel 32(2) zählt die Aufsichtsmaßnahmen auf, die den zuständigen Behörden gegenüber wesentlichen Einrichtungen zur Verfügung stehen. Artikel 33 sieht ein vergleichbares, leichteres Regime für wichtige Einrichtungen vor. Die Richtlinie setzt keine Fristen. Diese werden von der nationalen Behörde in jeder einzelnen Anfrage festgelegt.
Durchführungsverordnung (EU) 2024/2690
Die Durchführungsverordnung legt die technischen und methodischen Anforderungen fest, die wesentliche und wichtige Einrichtungen in den digitalen Sektoren erfüllen müssen. Sie regelt nicht die verfahrensrechtliche Form von Aufsichtsanfragen.
Die Durchführungsverordnung ist für den Inhalt dessen relevant, wonach die Behörden fragen dürfen (die im Anhang aufgeführten Maßnahmen). Die verfahrensrechtliche Seite, wie eine Anfrage zugestellt und beantwortet wird, bleibt nationales Recht.
§64 BSIG (deutsche Umsetzung)
Das BSI kann von regulierten Einrichtungen Auskünfte und Unterlagen verlangen, Vor-Ort-Prüfungen durchführen und technische Untersuchungen anordnen, um die Einhaltung der Pflichten nach dem BSIG zu überprüfen. Die Einrichtung, ihre Vertreter und ihre Beschäftigten sind zur Mitwirkung verpflichtet.
§64 BSIG operationalisiert Artikel 32 NIS 2 in Deutschland. §65 BSIG liefert die Vollzugsebene (Bußgelder), wenn die Mitwirkungspflicht aus §64 verletzt wird. Parallel gilt das Verwaltungsverfahrensgesetz (VwVfG), insbesondere §28 zum Anspruch auf rechtliches Gehör.
Rechtsgrundlage und Gegenstand
Eine Anfrage nach §64 BSIG nennt ihre Rechtsgrundlage (in der Regel §64 BSIG, manchmal in Verbindung mit der konkreten Pflicht aus §30 oder §32 BSIG, die den Vorgang ausgelöst hat). Sie nennt die adressierte Einrichtung, den geprüften Sachverhalt und die Kategorien der verlangten Informationen oder Unterlagen. Wer eine solche Anfrage erhält, kann den Umfang der Mitwirkung durch sorgfältiges Lesen der Rechtsgrundlage und des Fragenkatalogs eingrenzen.
Frist und verlangte Nachweise
Die Anfrage setzt eine Frist, üblicherweise zwei bis vier Wochen für Unterlagenanforderungen, kürzer bei vorfallbezogenen Auskunftsverlangen. Die verlangten Nachweise sind in der Regel dokumentarischer Natur: Richtlinien, Einträge im Risikoregister, Vorfallsmeldungen, Lieferantenverträge, Schulungsnachweise. Adressaten dokumentieren in der Praxis vor Beginn der Materialerstellung die Frist, den Fragenkatalog und die intern verantwortliche Stelle.
Schriftliche Antwort, schriftlicher Nachweis
Antworten auf eine Anfrage nach §64 BSIG erfolgen typischerweise schriftlich, auch wenn die erste Kontaktaufnahme telefonisch stattfindet. Eine schriftliche Antwort schafft einen nachvollziehbaren Nachweis darüber, was offengelegt wurde, zu welchem Datum und auf welcher Rechtsgrundlage. Wer das Anschreiben, das Anlagenverzeichnis und das Absendedatum dokumentiert, behält eine klare Beweisspur für jedes spätere Verfahren.
Mitwirkungspflicht nach §64 BSIG
§64 BSIG legt der regulierten Einrichtung, ihren gesetzlichen Vertretern und ihren Beschäftigten eine aktive Mitwirkungspflicht auf. Die Pflicht umfasst die Vorlage der vom BSI verlangten Informationen und Unterlagen, das Ermöglichen von Vor-Ort-Prüfungen und die Duldung technischer Untersuchungen im benannten Umfang. Eine Verletzung kann Vollzug nach §65 BSIG auslösen, der Bußgelder vorsieht.
Grenze der Mitwirkungspflicht
Die Mitwirkungspflicht wird begrenzt durch das, was tatsächlich verlangt wurde, durch die gesetzte Frist und durch allgemeine rechtliche Schutzpositionen im Verwaltungsverfahren. Kommunikation mit externen Rechtsberatern ist durch die anwaltliche Verschwiegenheit (§43a BRAO, §203 StGB) geschützt. Der Anspruch auf rechtliches Gehör nach §28 VwVfG gilt vor belastenden Verwaltungsakten. Diese Grenzen sind verfahrensrechtlich. Ihre konkrete Anwendung auf einen bestimmten Aktenbestand ist Aufgabe der Rechtsberatung.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das BSI ist die zuständige Behörde für die Cybersicherheitsaufsicht nach dem BSIG. Es stellt Anfragen nach §64 BSIG, führt Prüfungen durch und schlägt Vollzugsmaßnahmen vor. Das BSI ist eine Bundesoberbehörde im Geschäftsbereich des Bundesinnenministeriums.
Verwaltungsverfahrensgesetz (VwVfG)
Das VwVfG ist das allgemeine Verwaltungsverfahrensgesetz. Es regelt, wie Verwaltungsakte ergehen, wie der Anspruch auf rechtliches Gehör (§28 VwVfG) wirkt, wie Rechtsbehelfe funktionieren und wie Fristen berechnet werden. Eine Anfrage nach §64 BSIG bewegt sich in diesem Rahmen.
Rechtsberatung und anwaltliche Verschwiegenheit
Externe Rechtsberatung unterliegt der anwaltlichen Verschwiegenheit nach §43a BRAO und §203 StGB. Kommunikation, die zum Zweck der Rechtsberatung erstellt wurde, ist geschützt. Der Schutz ist enger als das Attorney-Client-Privilege-Konzept anderer Rechtsordnungen. Der genaue Umfang ist einzelfallabhängig.
Die Anfrage ignorieren oder still verzögern
Eine versäumte Frist nach §64 BSIG ohne schriftlichen Verlängerungsantrag ist selbst eine Verletzung der Mitwirkungspflicht. §65 BSIG sieht Bußgelder für fehlende Mitwirkung vor, unabhängig von einer materiellen Pflichtverletzung. Adressaten bestätigen den Eingang typischerweise schriftlich und beantragen eine Verlängerung, wenn die Frist nicht eingehalten werden kann.
Alles im Sachzusammenhang plus Zusatzmaterial schicken
Material zu produzieren, das nicht verlangt war, erweitert die Aktenlage und kann nicht angefragte Lücken offenlegen. Die Mitwirkungspflicht nach §64 BSIG erfasst das tatsächlich Verlangte. Adressaten bemessen ihre Antwort in der Praxis am Fragenkatalog und dokumentieren, was übergeben wurde.
Telefonisch antworten ohne schriftlichen Vermerk
Telefongespräche hinterlassen keinen gemeinsamen schriftlichen Nachweis darüber, was offengelegt wurde, wann und in welchem Umfang. Adressaten fassen einen telefonischen Austausch in der Praxis schriftlich nach, sowohl zur Bestätigung des Verständnisses als auch zur Sicherung einer klaren Beweisspur für jedes spätere Verfahren.
Eine Anfrage nach §64 BSIG ist kein Bußgeld, keine Vollzugsanordnung und kein Prüfbericht. Sie ist ein verfahrensrechtlicher Schritt, in dem die zuständige Behörde eine Aufsichtsbefugnis aus Artikel 32 NIS 2 ausübt. Der Rahmen steht: schriftliche Anfrage, benannte Rechtsgrundlage, definierte Frist, schriftliche Antwort. Die materielle Bewertung folgt später, in einem gesonderten Verwaltungsakt, mit Anspruch auf rechtliches Gehör nach §28 VwVfG.
Diese Seite beschreibt ausschließlich den verfahrensrechtlichen Rahmen. Die konkrete Bearbeitung einer BSI-Anfrage, einschließlich des Umfangs der vorzulegenden Unterlagen, der Formulierung der Antwort und der Wechselwirkung mit Vollzug nach §65 BSIG, gehört in die Rechtsberatung. Die Plattform dokumentiert den zugrundeliegenden Compliance-Stand (Richtlinien, Risikoregister, Vorfallsakten, Lieferantenverträge), sodass im Anfragefall die Beweisgrundlage bereits geordnet vorliegt.
Die Plattform pflegt den Datenbestand, auf den ein Fragenkatalog nach §64 BSIG typischerweise zielt: das Pflichtenregister, das Risikoregister, Vorfallsakten mit Zeitstempel, Lieferantenakten mit Sorgfaltspflichten nach §30 BSIG, Schulungsnachweise nach §38 BSIG und die Audit-Spur, wer wann was abgezeichnet hat. Jeder Eintrag ist zeitgestempelt und exportierbar.
Die Plattform formuliert keine Antworten auf Aufsichtsanfragen und ersetzt keine Rechtsberatung. Sie pflegt die Beweisgrundlage, sodass die Vorlage von Unterlagen nach §64 BSIG eine Frage des Exports ist und nicht der Rekonstruktion.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 32 (Aufsichts- und Durchsetzungsmaßnahmen gegenüber wesentlichen Einrichtungen) und Artikel 33 (wichtige Einrichtungen). EUR-Lex.
- Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 über technische und methodische Anforderungen. EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) §64 (Aufsichtsbefugnisse und Mitwirkungspflicht) und §65 (Bußgeldvorschriften). gesetze-im-internet.de.
- Verwaltungsverfahrensgesetz (VwVfG) §28 (Anhörung Beteiligter). gesetze-im-internet.de.
- Bundesrechtsanwaltsordnung (BRAO) §43a (Berufspflichten) und Strafgesetzbuch (StGB) §203 (Verletzung von Privatgeheimnissen). gesetze-im-internet.de.