EU CER RICHTLINIE (EU) 2022/2557 des Europäischen Parlaments und des Rates über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates.
EU Critical Entities Resilience (CER) Richtlinie vom 14. Dezember 202211
Die EU Critical Entities Resilience (CER) Direktive (EU) 2022/2557, die am zwanzigsten Tag (16. Januar 2023) nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union (27. Dezember 2022) in Kraft getreten ist, richtet sich an alle EU-Mitgliedstaaten. Diese sind dazu verpflichtet, zur Resilienz von kritischen Einrichtungen bestimmte Maßnahmen zu ergreifen, damit sichergestellt werden kann, dass wichtige Dienste für die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen im Binnenmarkt ungehindert erbracht werden.
Die EU CER-Richtlinie wird in Deutschland als Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (Kritis-Dachgesetz, KritisDG) umgesetzt. Der aktuelle Gesetzesentwurf2 ist vom 27. November 2024.
Der Schwerpunkt der EU Richtlinie liegt auf verschiedene Sektoren und Teilsektoren. Des Weiteren werden die Kategorien der Einrichtungen berücksichtigt. Im Energie- und Verkehrssektor wurden bereits sektorspezifische Rechtsakte der EU geregelt. Die wichtigen Aspekte der Resilienz wurden aber nicht ausreichend in Betracht gezogen und um die Resilienz der kritischen Einrichtungen zu untersuchen, wurde diese EU-Richtlinie als ein allumfassender Rahmen geschaffen. Der Fokus liegt dabei stark auf alle natürlichen oder vom Menschen verursachten, unfallbedingten oder vorsätzlichen Gefahren.
Aufhebung der EU Richtlinie 2008/114/EG
Das Verfahren in der aufgehobenen EU-Richtlinie 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, adressierte die europäischen kritischen Infrastrukturen im Energie- und Verkehrssektor. Denn Störungen in den Sektoren hätten erhebliche Auswirkungen in mindestens zwei EU-Mitgliedstaaten bewirken können. In einer Evaluierung im Jahr 2019 wurde festgestellt, dass aufgrund von zunehmender grenzüberschreitender Nutzung von kritischen Infrastrukturen, Schutzmaßnahmen für einzelne Bereiche nicht allein ausreichen, um alle Störungen abwehren zu können. Daher wurde ein Ansatz genutzt, bei dem Risiken allumfassend berücksichtigt werden. Deshalb sollen die Aufgaben und Pflichten der kritischen Einrichtungen als Anbieter von Diensten genauer festgelegt werden und kohärent sein. Das ermöglicht den kritischen Einrichtungen, ihre Fähigkeiten und Kenntnisse zu stärken. Dies insbesondere in Bezug auf Erkennung von Sicherheitsvorfällen und das schützen, verhindern, abwehren, bewältigen und die Erholung von solchen Ereignissen.
Einige Maßnahmen wurden bereits auf EU- und nationaler Ebene berücksichtigt und umgesetzt. Dennoch sollte mehr getan werden, damit die Einrichtungen besser in der Lage sind, Risiken zu erkennen und zu handeln. Es wird von einer dynamischen Bedrohungslage ausgegangen, die sowohl hybride als auch terroristische Gefahren und hohe physische Risiken durch Naturereignisse und den Klimawandel umfasst. Die EU-Mitgliedstaaten haben die bisherige EU-Richtlinie nicht ausreichend umgesetzt, weshalb die EU dann aktiv wurde. Die EU CER-Richtlinie soll daher ein einheitliches Niveau schaffen, was die Einstufung der Sektoren angeht. Die bisherige Richtlinie 2008/114/EG war daher unzureichend, um die Ziele zu erreichen und wurde am 18. Oktober 2024 mit Einführung der EU CER-Richtlinie aufgehoben.
ANWENDUNGSBEREICH DER EU CER
Durch die Einführung der EU CER-Richtlinie erhalten die EU-Mitgliedstaaten Vorgaben zur Gewährleistung der Erbringung von Diensten im Binnenmarkt. Das ist insbesondere für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten erforderlich. Zusätzlich müssen sie die relevanten kritischen Einrichtungen ermitteln und bei der Umsetzung der EU CER Vorgaben unterstützen.
Die EU-Mitgliedstaaten geben die Beaufsichtigung kritischer Einrichtungen, die Durchsetzungsmaßnahmen, die Ermittlung kritischer Einrichtungen und die Beratungsmissionen zur Bewertung der Maßnahmen vor. Es werden gemeinsame Verfahren für die Zusammenarbeit und Berichterstattung festgelegt. Ausgeschlossen von der Bereitstellung von Informationen der EU-Mitgliedstaaten sind die Bereiche der nationalen Sicherheit, der öffentlichen Sicherheit und die Verteidigung.
STRATEGIEN FÜR DIE RESILIENZ KRITISCHER EINRICHTUNGEN
Die EU-Mitgliedstaaten haben eine zeitliche Frist bis zum 17. Januar 2026, um eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu verabschieden. Die Inhalte der Strategie soll Ziele und politische Maßnahmen umfassen, um ein hohes Resilienzniveau von kritischen Einrichtungen zu festigen und aufrechtzuhalten.
Grundsätzlich enthält jede Strategie wesentliche Elemente, die umgesetzt werden müssen. Zunächst sollen strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen etabliert werden, unter der Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten sowie gegenseitiger Abhängigkeiten. Darüber hinaus sollen Steuerungsrahmen der EU-Mitgliedstaaten festgelegt werden, um die strategischen Ziele und Prioritäten zu verwirklichen. Die Beschreibung der Maßnahmen und des Verfahrens zur Ermittlung der kritischen Einrichtungen ist ebenfalls umzusetzen.
Die jeweiligen Behörden haben Aufgaben und Zuständigkeiten, die beschrieben werden sollen. Das gilt ebenfalls für die kritischen Einrichtungen und die an der Strategie beteiligten Akteure. Zusätzlich sollen die Maßnahmen beschrieben werden, die dazu beitragen, die Gesamtresilienz zu verbessern. Dazu zählt auch das Beschreiben der Verfahren zur Ermittlung kritischer Einrichtungen sowie die Beschreibung der Prozesse zur Unterstützung kritischer Einrichtungen. Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor und dem privaten Sektor sind weitere Punkte, die umgesetzt werden sollen.
Eine Dokumentation der wichtigsten Behörden und entsprechenden Interessenvertreter, die an der Umsetzung der Strategie beteiligt sind, soll geführt werden. Zwischen den Behörden der EU CER und den Behörden der EU NIS-2 Richtlinie (EU) 2022/2555 soll es einen politischen Rahmen für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und nicht cyberbezogene Risiken geben.
Die EU-Mitgliedstaaten sind verpflichtet ihre Strategie alle vier Jahre zu aktualisieren und der EU-Kommission diese Strategien und die Aktualisierungen innerhalb von drei Monaten nach Verabschiedung mitzuteilen.
RESILIENZ UND RESILIENZMASSNAHMEN KRITISCHER EINRICHTUNGEN
Um zu erkennen, welche Risiken die wesentlichen Dienste stören könnten, sollen die kritischen Einrichtungen mindestens alle vier Jahre eine Risikobewertung durchführen. Bei einer bereits vorhandenen Risikobewertung kann diese für die Erfüllung der Anforderungen der EU CER-Richtlinie verwendet werden. Um den Anforderungen der EU CER-Richtlinie gerecht zu werden, haben die zuständigen Behörden die Aufgabe, zu prüfen und zu bestätigen, dass die bereits vorhandene Risikobewertung die gegebenen Anforderungen erfüllt. Bei erfolgreicher Erfüllung der Anforderungen, kann die zuständige Behörde offiziell anerkennen, ob die Vorgaben ganz oder teilweise umgesetzt wurden. Die Maßnahmen zur Gewährleistung der Resilienz der kritischen Einrichtungen soll geeignet, verhältnismäßig, technisch, sicherheitsbezogen und organisatorisch sein. In dem sogenannten Resilienzplan sollen die Maßnahmen beschrieben und angewendet werden. Die kritischen Einrichtungen sollen einen Verbindungsbeauftragten als Ansprechperson für die zuständigen Behörden benennen, während die EU-Kommission Beratungsmissionen organisiert, um die kritischen Einrichtungen zu unterstützen. Außerdem erlässt die EU-Kommission unverbindliche Leitlinien, in denen technische, sicherheitsbezogene und organisatorische Maßnahmen festgelegt sind.
MELDUNG VON SICHERHEITSVORFÄLLEN
Nach einem Sicherheitsvorfall müssen die EU-Mitgliedstaaten sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde rechtzeitig den Vorfall melden. Die erste Meldung soll spätestens 24 Stunden nach dem Auftreten und Bemerken des Sicherheitsvorfalls übermittelt werden.
Nach einem Monat soll es einen ausführlichen Bericht über den Sicherheitsvorfall geben. Dabei soll die Anzahl der von der Störung betroffenen Nutzenden, die Dauer der Störung und das betroffene geografische Gebiet der Störung berücksichtigt werden. Im Fall, dass der Sicherheitsvorfall in mehr als sechs EU-Mitgliedstaaten erhebliche Auswirkungen hatte, wird der Sicherheitsvorfall von den zuständigen Behörden der EU-Kommission gemeldet.
Die Meldung des Sicherheitsvorfalls muss entsprechende Informationen enthalten, so dass die zuständige Behörde über die Art, Ursache und die möglichen Folgen nachvollziehen und ermitteln kann. Darüber hinaus muss sie auch Informationen enthalten, die insbesondere für die Bestimmung erforderlich sind, ob der Vorfall grenzüberschreitende Auswirkungen hat. „Solche Meldungen begründen keine höhere Haftung der betreffenden kritischen Einrichtungen.“3
Die betroffenen kritischen Einrichtungen werden nach der Meldung des Vorfalls von den zuständigen Behörden über sachdienliche
Folgeinformationen informiert, damit sie unterstützt werden. Die zentralen Anlaufstellen tragen die Verantwortung für die Sicherheit der Informationen, indem sie sich an das Unionsrecht halten oder die Informationen nach nationalem Recht behandeln.
1 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2557
2 https://dserver.bundestag.de/btd/20/139/2013961.pdf
3 EU CER Richtlinie 2022/2557 vom 14.Dezember 2022 (Art.15 Abs.2 S.2)
