Auf dem Weg zum KRITIS-Dachgesetz : Nationale Umsetzung der EU-Critical-Entities-Resilience-(CER)-Richtlinie

Vorgänger-Richtlinie

In der gleichzeitig aufgehobenen EU Richtlinie 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, ging es um den Energie- und Verkehrssektor, denn deren Störungen hätten erhebliche Auswirkungen in mindestens zwei EU-Mitgliedstaaten bewirken können – daher lag der Schwerpunkt ausschließlich beim Schutz dieser ausgewählten Infrastrukturen.

2019 wurde eine Evaluierung durchgeführt und dabei festgestellt, dass aufgrund von zunehmender grenzüberschreitender Nutzung kritischer Infrastrukturen Schutzmaßnahmen für einzelne Bereiche nicht allein aus reichen, um alle Störungen abzuwehren zu können. Daher suchte man einen besseren Ansatz, der die Risiken umfassend berücksichtigt. Die Aufgaben und Pflichten der kritischen Einrichtungen als Anbieter von Diensten sollten genauer festgelegt werden und kohärent sein. So sollte es für kritische Einrichtungen möglich sein, ihre Fähigkeiten und Kenntnisse zu stärken, Sicherheitsvorfälle besser zu erkennen, sich davor zu schützen, sie zu verhindern, abzuwehren, zu bewältigen und sich von solchen Ereignissen zu erholen.

Es gibt bereits viele Maßnahmen auf EU- und nationaler Ebene, um den Schutz kritischer Infrastrukturen (KRITIS) zu unterstützen. Dennoch sollte mehr getan werden, damit diese Einrichtungen besser in der Lage sind, Risiken zu erkennen und darauf zu reagieren. Die Bedrohungslage ist dynamisch und umfasst hybride und terroristische Gefahren sowie hohe physische Risiken durch Naturereignisse und den Klimawandel. Einige Sektoren und Einrichtungen werden zudem in manchen Ländern nicht als kritisch angesehen.

Da die EU-Mitgliedstaaten die Ziele der vorherigen EU-Richtlinie nicht ausreichend umgesetzt hatten, wurde die EU aktiv. Die EU CER-Richtlinie soll nun ein einheitliches Niveau schaffen, was die Einstufung der KRITIS-Sektoren angeht. Die Richtlinie 2008/114/EG wurde daher nach Einführung der EU CER-Richtlinie am 18. Oktober 2024 aufgehoben.

Anwendungsbereich der EU CER

EU-Mitgliedstaaten erhalten durch die EU-CERRichtlinie Vorgaben zur Gewährleistung der Erbringung von Diensten im Binnenmarkt, welche für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten erforderlich sind. Außerdem müssen sie die relevanten kritischen Einrichtungen ermitteln und diese bei der Umsetzung der EU-CER-Vorgaben unterstützen.

Die Mitgliedstaaten geben dabei die Beaufsichtigung kritischer Einrichtungen, die Durchsetzungsmaßnahmen, die Ermittlung kritischer Einrichtungen und die Beratungsmissionen zur Bewertung der Maßnahmen vor. Dazu werden auch gemeinsame Verfahren für die Zusammenarbeit und Berichterstattung festgelegt. Nicht abgedeckt werden die Bereitstellung von Informationen der EU Mitgliedstaaten in den Bereichen der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung.

Resilienz-Strategien

Zum 17. Januar 2026 muss jeder EU-Mitgliedstaat eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen verabschieden. In den Strategien sind strategische Ziele und politische Maßnahmen festzulegen, um ein hohes Resilienzniveau von kritischen Einrichtungen zu erreichen und aufrechtzuhalten.

Jede Strategie enthält folgende Elemente:

• strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten
• Steuerungsrahmen der EU-Mitgliedstaaten, um die strategischen Ziele und Prioritäten zu verwirklichen
• Beschreibung der Maßnahmen und des Verfahrens zur Ermittlung kritischer Einrichtungen

Die Aufgaben und Zuständigkeiten der jeweiligen Behörden, der kritischen Einrichtungen und die an der Strategie beteiligten Akteure sollen festgelegt werden. Außerdem sind Verfahren zur Ermittlung kritischer Einrichtungen sowie Maßnahmen zu beschreiben, die zur Verbesserung der Gesamtresilienz beitragen. Weitere Elemente sind die Beschreibung eines Prozesses zur Unterstützung kritischer Einrichtungen sowie Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen und privaten Sektor.

Die wichtigsten Behörden und entsprechenden Interessenvertreter, die an der Umsetzung der Strategie beteiligt sind, sollen in einer Liste geführt werden. Ebenfalls soll es einen politischen Rahmen zwischen den Behörden der EU CER und den Behörden der NIS-2 Richtlinie EU 2022/2555 geben – sowohl für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken und -bedrohungen als auch zu nicht-cyberbezogenen Risiken.

Die EU-Mitgliedstaaten müssen ihre Strategien anschließend alle vier Jahre aktualisieren und der EU-Kommission wesentliche Aktualisierungen innerhalb von drei Monaten nach Verabschiedung mitteilen.

Resilienzmaßnahmen

Kritische Einrichtungen sollen mindestens alle vier Jahre eine Risikobewertung durchführen. Somit wäre zu erkennen, welche Risiken die wesentlichen Dienste stören können. Wenn eine kritische Einrichtung bereits über eine Risikobewertung verfügt, kann diese für die Erfüllung der Anforderungen der EU-CER-Richtlinie verwendet werden. Die zuständigen Behörden haben die Aufgabe, zu prüfen und zu bestätigen, ob die bereits vorhandene Risikobewertung einer kritischen Einrichtung den Anforderungen der CER-Richtlinie entspricht. Wenn dies der Fall ist, dann kann die zuständige Behörde offiziell anerkennen, dass die bestehende Risikobewertung ganz oder
teilweise die Vorgaben der vorliegenden Richtlinie erfüllt.

Die kritischen Einrichtungen sollen überdies geeignete und verhältnismäßige technische, sicherheitsbezogene sowie organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz ergreifen. Es ist wichtig, dass kritische Einrichtungen über einen Resilienzplan verfügen, in denen die Maßnahmen beschrieben und angewendet werden.

Des Weiteren sollen kritische Einrichtungen einen Verbindungsbeauftragten als Ansprechpartner für die zuständigen Behörden benennen. Die EU-Kommission organisiert Beratungsmissionen, um kritische Einrichtungen zu unterstützen. Die EU-Kommission erlässt darüber hinaus auch unverbindliche Leitlinien, in denen technische, sicherheitsbezogene und organisatorische Maßnahmen festgelegt sind.

Meldung von Sicherheitsvorfällen

Die EU-Mitgliedstaaten sollen sicherstellen, dass kritische Einrichtungen unverzüglich nach einem Sicherheitsvorfall der zuständigen Behörde Meldung erstatten. Die erste Meldung soll bis spätestens 24 Stunden nach dem Auftreten und Bemerken des Sicherheitsvorfalls übermittelt werden. Einen Monat später soll es einen ausführlichen Bericht über den Sicherheitsvorfall geben, in dem folgende Aspekte berücksichtigt werden: die Anzahl der von der Störung betroffene Nutzer, die Dauer der Störung und das betroffene geografische Gebiet der Störung unter Berücksichtigung des Umstands, ob das Gebiet geografisch isoliert ist.

Falls der Sicherheitsvorfall in sechs oder mehr EU-Mitgliedstaaten erhebliche Auswirkungen hatte, also wesentliche Dienste nicht vollständig erbracht werden konnten, dann melden die zuständigen Behörden den Sicherheitsvorfall der EU-Kommission.

Die Meldung eines Sicherheitsvorfalls muss ausreichende Informationen erhalten, die für die zuständige Behörde Art, Ursache und mögliche Folgen nachvollziehbar wiedergeben und die Ursachen des Vorfalls somit ermittelt werden können. In diesem Zusammenhang ist eine relevante Vorgabe in der Richtlinie enthalten: „Solche Meldungen begründen keine höhere Haftung der betreffenden kritischen Einrichtungen.“

Zentrale Anlaufstellen sollen für die Sicherheit der Informationen sorgen, indem sie sich an das Unionsrecht halten oder die Informationen nach nationalem Recht behandeln. Nach der Meldung übermittelt die zuständige Behörde der betroffenen kritischen Einrichtung zudem sachdienliche Folgeinformationen, um sie zu unterstützen.

Manuel Atug ist Principal, Rozerin Karaterzi ist Werkstudentin Security Consulting bei der HiSolutions AG.

Literatur

[1] Europäische Union, Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, in: Amtsblatt der Europäischen Union L 333, S. 164, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557

[2] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen, Gesetzentwurf der Bundesregierung, BT-Drucksache 20/13961, November 2024, https://dserver.bundestag.de/btd/20/139/2013961.pdf