Critical Entities Resilience Directive

Die CER-Richtlinie (Critical Entities Resilience Directive), offiziell die Richtlinie (EU) 2022/2557, wurde am 14. Dezember 2022 durch das Europäische Parlament und den Rat der EU verabschiedet. Sie ersetzt die alte Richtlinie 2008/114/EG und bildet den neuen europäischen Rahmen für den Schutz kritischer Infrastrukturen. Ziel der Richtlinie ist es, einheitliche Mindeststandards für die Resilienz (Widerstandsfähigkeit) von Organisationen zu schaffen, die wesentliche Dienste für Gesellschaft und Wirtschaft bereitstellen. Dazu gehören unter anderem Sektoren wie Energie, Verkehr, Gesundheit, Trinkwasserversorgung, Abwasser, digitale Infrastruktur, Raumfahrt, öffentliche Verwaltung und das Finanzwesen.

Die CER-Richtlinie verfolgt einen ganzheitlichen, risikobasierten Ansatz, der alle relevanten Gefährdungen berücksichtigt – darunter Naturkatastrophen, technisches Versagen, Sabotage, Terrorismus, aber auch hybride Bedrohungen und Cyberangriffe, soweit diese physische Auswirkungen haben. Die Richtlinie zielt darauf ab, dass die betroffenen Organisationen nicht nur präventive Maßnahmen treffen, sondern auch in der Lage sind, sich schnell und effektiv von Störungen zu erholen.

Ein zentrales Element der Richtlinie ist die Verpflichtung der Mitgliedstaaten, nationale Strategien zur Stärkung der Resilienz kritischer Einrichtungen zu entwickeln. Diese Strategien müssen unter anderem die Festlegung von Zuständigkeiten, eine regelmäßige Risikobewertung auf nationaler Ebene und die Identifikation besonders kritischer Einrichtungen enthalten. Dabei wird auch explizit auf die enge Verzahnung mit der NIS-2-Richtlinie (zur Cybersicherheit) hingewiesen, um einen kohärenten Schutzansatz zu gewährleisten, der sowohl digitale als auch physische Risiken abdeckt.

Die Mitgliedstaaten sind verpflichtet, jene Einrichtungen zu benennen, die unter den Anwendungsbereich der Richtlinie fallen. Diese als „kritisch“ eingestuften Einrichtungen müssen anschließend innerhalb eines festgelegten Zeitrahmens eine eigene Risikobewertung durchführen, die mindestens alle vier Jahre aktualisiert wird. Auf Basis dieser Bewertung sind technische und organisatorische Maßnahmen umzusetzen, die unter anderem den physischen Schutz, Zugangssicherheit, Schulungen, Notfallpläne und Business-Continuity-Konzepte umfassen. Diese Maßnahmen müssen in einem Resilienzplan dokumentiert und der zuständigen Behörde bei Bedarf vorgelegt werden.

Darüber hinaus sieht die Richtlinie Verpflichtungen zur Meldung erheblicher Sicherheitsvorfälle vor. Wird eine kritische Einrichtung Opfer eines sicherheitsrelevanten Ereignisses, muss sie binnen 24 Stunden eine Erstmeldung an die zuständige Behörde übermitteln, gefolgt von einem ausführlicheren Bericht. Ziel dieser Meldepflichten ist es, schnell auf Bedrohungslagen reagieren zu können und mögliche Kaskadeneffekte frühzeitig zu erkennen.

Ein weiteres wichtiges Element ist die Förderung der grenzüberschreitenden Zusammenarbeit. Dazu sollen zentrale Anlaufstellen (Contact Points) in jedem Mitgliedstaat eingerichtet werden, die den Informationsaustausch erleichtern und bei übergreifenden Vorfällen koordinierend tätig werden. Zusätzlich wird auf EU-Ebene eine Expertengruppe eingerichtet, die die Kommission bei der Umsetzung unterstützt, bewährte Verfahren austauscht und Empfehlungen zur Weiterentwicklung abgibt.