CER-Richtlinie: Stand der Umsetzung kritischer Infrastrukturen

In Kürze

Die europäische CER-Richtlinie (Critical Entities Resilience Directive) zielt darauf ab, die Widerstandsfähigkeit kritischer Infrastrukturen (Energie, Verkehr, Gesundheit usw.) in ganz Europa zu stärken.
Ihre Umsetzung schreitet in Europa sehr uneinheitlich voran. Die Länder lassen sich dabei in unterschiedliche Reifegrade einteilen:
1. Fortgeschrittene Länder: Gesetzesentwurf verabschiedet
2. Mittelweit fortgeschrittene Länder: Gesetzesentwurf in Bearbeitung
3. Wenig fortgeschrittene Länder: mittlerer Umsetzungsstand

Was ist die CER-Richtlinie?

Die Richtlinie (EU) 2022/2557 vom 14. Dezember 2022, bekannt als Richtlinie über die Resilienz kritischer Einrichtungen (CER), schafft einen europäischen Rechtsrahmen, um die kontinuierliche Erbringung von Diensten, die für die Aufrechterhaltung lebenswichtiger gesellschaftlicher oder wirtschaftlicher Funktionen unerlässlich sind, im gesamten Binnenmarkt sicherzustellen. Sie ersetzt die Richtlinie 2008/114/EG, da diese angesichts der zunehmenden Zahl von Bedrohungen (Cyber-, physische, klimatische, hybride) und der wachsenden gegenseitigen Abhängigkeit der Infrastrukturen in ganz Europa als veraltet angesehen wird.

Die Richtlinie verpflichtet die Mitgliedstaaten dazu, öffentliche oder private Einrichtungen, die in elf kritischen Bereichen wie Energie, Verkehr, Gesundheit und Wasser tätig sind, zu identifizieren, zu überwachen und zu unterstützen. Diese Einrichtungen müssen organisatorische und technische Maßnahmen ergreifen, um Vorfälle, die sich auf die Erbringung wesentlicher Dienstleistungen auswirken könnten, zu verhindern, ihnen zu widerstehen, sie abzuschwächen und sich von ihnen zu erholen.

Die Richtlinie musste bis spätestens zum 17. Oktober 2024 in nationales Recht umgesetzt werden, was den nationalen Behörden einen engen Zeitplan auferlegte. Der Text verlangt zudem, dass jeder Mitgliedstaat bis zum 17. Januar 2026 eine nationale Resilienzstrategie auf der Grundlage einer Risikobewertung verabschiedet und diese durch Unterstützungsmaßnahmen begleitet. Darüber hinaus sieht er eine verstärkte Koordinierung zwischen nationalen und europäischen Behörden vor, die eng mit den Cybersicherheitsanforderungen der NIS2-Richtlinie verknüpft ist.

Die Umsetzung der Richtlinie schreitet innerhalb der Union jedoch uneinheitlich voran. Einige Mitgliedstaaten haben die Anforderungen bereits vollständig in ihre nationalen Rechtsvorschriften übernommen. In diesem Artikel werden die Umsetzungsstände in den einzelnen Mitgliedstaaten zum 9. Januar 2025 verglichen.

Finden Sie außerdem eine Bestandsaufnahme zur Umsetzung der NIS2-Richtlinie.

CER-Umsetzungen auf europäischer Ebene

Diese am 9. Januar 2026 aktualisierte Karte zeigt die unterschiedlichen Reifegrade aller europäischen Länder in Bezug auf die CER-Richtlinie.

Reifegrad 1:
Begrenzte Fortschritte oder unzureichende Informationen zur Umsetzung. Kein Land befindet sich auf Reifegrad 1.
Reifegrad 2:
Mehrere wichtige Meilensteine erreicht, mit einem moderaten Umsetzungsgrad. Betroffene Länder: Malta, Schweden, Bulgarien.
Reifegrad 3:
Gesetzentwurf zur Verabschiedung durch den Gesetzgeber vorgelegt. Betroffene Länder: Polen, Luxemburg, Frankreich, Spanien, Niederlande, Deutschland.
Reifegrad 4:
Gesetzesentwurf verabschiedet. Betroffene Länder: Dänemark, Irland, Italien, Portugal, Estland, Slowakei, Litauen, Ungarn, Rumänien, Slowenien, Finnland, Belgien, Kroatien, Griechenland, Lettland, Tschechien, Österreich, Zypern.

Länder mit verabschiedeter Umsetzung (Reifegrad 4)

CER Directive - Countries maturity 4 (DE) - Jan2026 — Diese Karte (Stand: 9. Januar 2026) zeigt die Länder mit Reifegrad 4, die ihre CER-Umsetzung bereits verabschiedet haben. Die betroffenen Länder sind: Dänemark, Irland, Italien, Portugal, Estland, Slowakei, Litauen, Ungarn, Rumänien, Slowenien, Finnland, Belgien, Kroatien, Griechenland, Lettland, Tschechien, Österreich, Zypern.

**Dänemark**: Umsetzung durch das Gesetz „Lov om kritiske enheders modstandsdygtighed („CER-loven“)“, das am 29. April 2025 verabschiedet wurde und am 1. Juli 2025 in Kraft trat. Im August und Dezember 2025 wurden zwei Durchführungsverordnungen veröffentlicht, in denen Einzelheiten zu Sicherheitsmaßnahmen für den Energiesektor sowie zur Benennung der zuständigen Behörden und zur Informationsübermittlung festgelegt wurden. Bislang wurde noch kein Referenzrahmen veröffentlicht.

**Irland**: Umsetzung durch das Gesetz „Irish CER Regulations“, das am 17. Oktober 2024 in Kraft getreten sind. Bislang wurde noch kein Referenzrahmen veröffentlicht.

**Italien**: Umsetzung durch das Gesetzesdekret Nr. 134, verabschiedet am 4. September 2024 und in Kraft getreten am 18. Oktober 2024. Bislang wurde noch kein Referenzrahmen veröffentlicht.

**Portugal**: Umgesetzt durch das Dekret Nr. 22/2025, das am 12. März verabschiedet wurde und am 20. März 2025 in Kraft getreten ist. Bislang wurde noch kein Referenzrahmen veröffentlicht.

**Estland**: Umsetzung durch das Gesetz „Hädaolukorra seaduse ja teiste seaduste muutmise seadus“, verabschiedet am 25. September 2024 und in Kraft getreten am 18. Oktober 2024. Bislang wurde kein Referenzrahmen veröffentlicht.

**Slowakei**: Umsetzung durch das Gesetz „Zákon o kritickej infraštruktúre a o zmene a doplnení niektorých zákonov“, verabschiedet am 19. Dezember und in Kraft getreten am 1. Januar 2025. Ein Referenzrahmen wurde bisher nicht veröffentlicht.

**Litauen**: Umsetzung durch das Gesetz „Lietuvos Respublikos krizių valdymo ir civilinės saugos įstatymas Nr. VIII-971“, verabschiedet am 7. November und in Kraft getreten am 15. November 2024. Ein Referenzrahmen wurde bisher nicht veröffentlicht.

**Ungarn**: Umsetzung durch das Gesetz „2024. évi LXXXIV. törvény a kritikus szervezetek ellenálló képességéről“, verabschiedet am 20. Dezember 2024 und in Kraft getreten am 30. Dezember 2024. Ein Referenzrahmen wurde am 1. Juli 2025 veröffentlicht.

**Rumänien**: Umsetzung durch das Gesetz „Legea nr. 294/2024 privind rezilienţa entităţilor critice, precum şi pentru modificarea unor acte normative“, verabschiedet am 27. November 2024 und in Kraft getreten am 2. Dezember 2024. Bislang wurde kein Referenzrahmen veröffentlicht.

**Slowenien**: Umsetzung durch das Gesetz „Zakon o kritični infrastrukturi (ZKI-1)“, verabschiedet am 3. Dezember 2024 und in Kraft getreten am 18. Dezember 2024. Bislang wurde kein Referenzrahmen veröffentlicht.

CER Directive - Countries maturity 4 (P2-DE) - Jan2026 — Diese Karte, aktualisiert am 9. Januar 2026, zeigt die Länder mit Reifegrad 4, die ihre CER-Umsetzung bereits verabschiedet haben. Betroffene Länder: Dänemark, Irland, Italien, Portugal, Estland, Slowakei, Litauen, Ungarn, Rumänien, Slowenien, Finnland, Belgien, Kroatien, Griechenland, Lettland, Tschechien, Österreich, Zypern.

**Finnland**: Umsetzung durch das Gesetz „Lag om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft“, verkündet am 16. Juni 2025 und in Kraft getreten am 1. Juli 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Belgien**: Umsetzung durch das Gesetz „portant modification de la loi relative à la sécurité et la protection des infrastructures critiques“, verkündet am 18. Dezember 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Kroatien**: Umsetzung durch das Gesetz „Zakon o kritičnoj infrastrukturi“, verkündet am 6. Juni 2025 und in Kraft getreten am 21. Juni 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Griechenland**: Umsetzung durch das Gesetz „Law 5236/2025“, verkündet am 10. Oktober 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Lettland**: Umsetzung durch das Gesetz „Grozījumi Nacionālās drošības likumā“, verkündet am 12. Juni 2025 und in Kraft getreten am 28. Juni 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Tschechische Republik**: Umsetzung durch das Gesetz „Zákon o kritické infrastruktuře“, verkündet am 4. August 2025 und in Kraft getreten am 19. August 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Österreich**: Umsetzung durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG), verkündet am 16. Oktober 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

**Zypern**: Umsetzung durch die Verordnung „Οι περί Πολιτικής Άμυνας (Ανθεκτικότητα των Κρίσιμων Οντοτήτων) Κανονισμοί του 2024“, verkündet am 3. Juli 2025. Ein Anforderungskatalog wurde bisher nicht veröffentlicht.

Länder mit bedeutenden Fortschritten im Umsetzungsprozess (Reifegrad 3)

CER Directive - Countries maturity 3 (DE) - Jan2026 — Diese Karte (Stand: 9. Januar 2026) zeigt Länder mit einem Reifegrad von 3, die erhebliche Fortschritte im Umsetzungsprozess erzielt haben (Gesetzesentwurf steht zur Verabschiedung durch den Gesetzgeber an). Die betreffenden Länder sind: Polen, Luxemburg, Frankreich, Spanien, Niederlande, Deutschland.

**Polen**: Der Gesetzentwurf „Projekt ustawy o zmianie ustawy […] niektórych innych ustaw“ (UC47) wurde am 22. Januar 2025 veröffentlicht. Nach einer Konsultations- und Änderungsphase im Ministerrat erteilte die zuständige Rechtskommission am 31. Dezember 2025 eine positive Stellungnahme dazu.

**Luxemburg**: Der Gesetzentwurf Nr. 8307 erhielt am 13. Mai 2025 eine erste positive Stellungnahme vom Staatsrat. Nach einer neuen Reihe von Änderungen wurde am 8. Dezember eine zweite positive Stellungnahme veröffentlicht.

**Frankreich**: Der Gesetzentwurf, der NIS2, REC und den Text zur Resilienz des Finanzsektors zusammenfasst, wurde am 12. März 2025 vom Senat verabschiedet und an die Nationalversammlung weitergeleitet. Am 10. September veröffentlichte die Sonderkommission eine positive Stellungnahme dazu.

**Spanien**: Der vorläufig als „Ley de medidas para la protección y resiliencia de las entidades críticas“ bezeichnete Gesetzentwurf wurde am 27. Mai vom Ministerrat genehmigt. Am 15. Dezember bekräftigte eine Generalversammlung der Cortes Generales das Ziel, das Gesetz im ersten Quartal 2026 umzusetzen.

**Niederlande**: Der Gesetzentwurf „Wet weerbaarheid kritieke entiteiten (Wwke)“ erhielt am 20. Februar 2025 die Stellungnahme des Staatsrats und wurde am 30. Juni der Abgeordnetenkammer vorgelegt. Vom 10. November bis zum 21. Dezember fand eine öffentliche Konsultationsphase zum geänderten Text statt.

**Deutschland**: Ein neuer Gesetzentwurf zur Resilienz kritischer Infrastrukturen (KritisDG) wurde am 10. September 2025 vom Bundeskabinett genehmigt. Am 6. November fand die erste Lesung im Bundestag statt.

Länder mit mittlerem Umsetzungsstand (Reifegrad 2)

CER Directive - Countries maturity 2 (DE) - Jan2026 — Diese Karte (Stand: 9. Januar 2026) zeigt Länder der Reifegradstufe 2, in denen zahlreiche wichtige Ereignisse stattgefunden haben und die einen mittleren Umsetzungsgrad aufweisen. Bei den betroffenen Ländern handelt es sich um Malta, Schweden und Bulgarien.

**Malta**: Der Gesetzentwurf „Reżiljenza tal-Entitajiet Kritiċi“ wurde vom 7. März bis zum 18. April 2025 einer öffentlichen Konsultation unterzogen.

**Schweden**: Die öffentliche Konsultationsphase des Gesetzentwurfs „Motståndskraft i samhällsviktiga tjänster (SOU 2024:64)” endete am 13. Januar 2025. Der am 11. Dezember verabschiedete NIS2-Gesetzentwurf erwähnt die laufenden Abstimmungen zur CER-Richtlinie innerhalb des Kanzleramts der Regierung.

**Bulgarien**: Der Gesetzentwurf „Закон за устойчивост на критичните субекти“ wurde vom 27. Mai bis zum 26. Juni 2025 einer öffentlichen Konsultation unterzogen. Eine Analyse der regulatorischen Kohärenz wird derzeit durchgeführt, um die Übereinstimmung mit anderen geltenden Rechtsrahmen sicherzustellen.

Fokus auf ausgewählte europäische Länder

Ungarn

Reifegrad: 4

Das Gesetz LXXXIV 2024 wurde am 30. Dezember 2024 verabschiedet und trat mit seiner Veröffentlichung im Magyar Közlöny (Ungarisches Amtsblatt) in Kraft. Die Regierungsverordnung 474/2024 (XII. 31.) regelt die Umsetzung des Gesetzes im Einzelnen.

Nationale Besonderheiten:

Die von Ungarn veröffentlichte Durchführungsverordnung enthält eine gemeinsame Grundlage von 16 Maßnahmen, die für alle kritischen Einrichtungen im Land gelten. Darüber hinaus gibt es eine Liste ergänzender Maßnahmen, die je nach Kritikalitätsstufe auf die verschiedenen Einrichtungen anzuwenden sind: zwei Maßnahmen für Stufe 1, 18 Maßnahmen für Stufe 2 und 25 Maßnahmen für Stufe 3.
Die zuständigen Behörden legen diese drei Kritikalitätsstufen auf der Grundlage der Anzahl der vom Unternehmen bedienten Nutzer, der geografischen Abdeckung des Dienstes, der Anzahl der betroffenen Sektoren sowie der Auswirkungen eines außergewöhnlichen Ereignisses fest.

Zuständige Behörde(n):

Die zuständigen Behörden sind die Fachministerien, die für die kritischen Organisationen zuständig sind, unter der Leitung eines interministeriellen Ausschusses für Resilienz (CIR). In Ungarn wurde die zentrale Fachbehörde für Katastrophenmanagement als allgemeine Behörde für die Ausweisung kritischer Infrastrukturen benannt.

Deutschland

Reifegrad: 3

Das Bundeskabinett (BMI) hat am 2. September 2025 einen neuen Gesetzentwurf zur Resilienz kritischer Infrastrukturen (KritisDG) verabschiedet. Der Entwurf wird derzeit im Bundestag geprüft.

Wichtige Schritte:

28. Juli 2023: Das BMI veröffentlicht den ersten Entwurf
21. Dezember 2023: Das BMI aktualisiert den ersten Entwurf.
24. Januar 2024: Es wird ein zweiter Entwurf veröffentlicht, der die Umsetzung der CER-Richtlinie präzisiert.
10. April 2024: Eine Überarbeitung des zweiten Entwurfs wird veröffentlicht.
6. November 2024: Das Bundeskabinett verabschiedet den aktuellen Gesetzentwurf des KRITIS-Dachgesetzes und billigt damit den Regierungsentwurf. Damit wird offiziell die parlamentarische Phase des Gesetzgebungsverfahrens eingeleitet.
10. September 2025: Das Bundeskabinett billigt den aktualisierten Entwurf des KRITIS-Dachgesetzes und nimmt damit den Regierungsentwurf an.
6. November 2025: Die erste Lesung des neuen Entwurfs findet im Bundestag statt.

Nationale Besonderheiten:

Deutschland hat bereits 2009 eine Liste von „KRITIS“-Betreibern erstellt. Dabei handelt es sich um Unternehmen, deren Aktivitäten für die nationale Infrastruktur von entscheidender Bedeutung sind.
Im Jahr 2015 wurde das IT-Sicherheitsgesetz eingeführt, welches den Anwendungsbereich des bisherigen Gesetzes erweiterte.
Der Gesetzentwurf für ein KRITIS-Dachgesetz ist ein nationales Rahmengesetz, das allgemeine, bereichsübergreifende und verhältnismäßige Verpflichtungen für den physischen Schutz kritischer Infrastrukturen nach einem „All-Risks“-Ansatz einführt. Die CER-Verpflichtungen sollen daher zunächst für bestehende KRITIS-Betreiber gelten und anschließend auf weitere Sektoren und Einrichtungen ausgeweitet werden.
Der Gesetzentwurf führt für zehn Sektoren einheitliche Mindeststandards ein. Diese werden durch sektorspezifische Resilienzstandards ergänzt, die gemeinsam mit Branchenverbänden entwickelt wurden.

Zuständige Behörde(n):

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)

Frankreich

Reifegrad: 3

Der Gesetzentwurf, der NIS2, CER und den Text zur Resilienz des Finanzsektors zusammenfasst, wurde am 15. Oktober 2024 im Ministerrat vorgestellt. Er wird derzeit in der Nationalversammlung geprüft.

Wichtige Schritte:

15. Oktober 2024: Einreichung des Gesetzentwurfs beim Senat durch die Regierung, mit dem Verfahren der beschleunigten Beratung.
12. März 2025: Verabschiedung in erster Lesung durch den Senat (Text Nr. 78, 2024-2025) und Übermittlung des Textes an die Nationalversammlung am 13. März.
März bis Juli 2025: Sitzungen von Experten, die von der Sonderkommission befragt wurden.
10. September 2025: Veröffentlichung des Berichts der Sonderkommission und einstimmige Annahme.

Nationale Besonderheiten:

Frankreich hat sich dafür entschieden, die CER-Richtlinie zu integrieren, indem es seinen im Jahr 2006 geschaffenen nationalen Rahmen für die Sicherheit von Aktivitäten von entscheidender Bedeutung (SAIV) ergänzt und dabei insbesondere die strukturierenden Konzepte des nationalen Rechts beibehält. Kritische Infrastrukturen werden als Points d’Importance Vitale (PIV) und Systèmes d’Information d’Importance Vitale (SIIV) definiert. Ihr Anwendungsbereich wird um die neuen europäischen Verpflichtungen erweitert.
Die OIVs (Operators of Vital Importance) müssen angepasste Resilienzmaßnahmen in einem „Plan de résilience opérateur“ (PRO) sowie einem „Plan particulier de résilience“ (PPR) für jeden Point d’Importance Vitale (PIV) detaillieren.

Zuständige Behörde(n):

Agence nationale de la sécurité des systèmes d’information (ANSSI)
Secrétariat général de la défense et de la sécurité nationale (SGDSN)

Italien

Reifegrad: 4

Italien hat die Umsetzung der CER-Richtlinie mit dem Gesetzesdekret Nr. 134 vom 4. September 2024 abgeschlossen. Das Dekret wurde im Amtsblatt Nr. 223 vom 23. September 2024 veröffentlicht. Im Juli wurde der Abschlussbericht der Konsultation zur Strategie für die Resilienz kritischer Einrichtungen veröffentlicht. Dies markiert einen Fortschritt bei der Entwicklung der nationalen Strategie gemäß der Richtlinie.

Nationale Besonderheiten:

Bislang wurde noch kein Referenzrahmen veröffentlicht.
Die italienische nationale Umsetzung der CER-Richtlinie umfasst neben den elf ursprünglich im europäischen Rahmen vorgesehenen Sektoren ausdrücklich auch den Bewässerungswassersektor.

Zuständige Behörde(n):

Die zuständigen Behörden sind die aufsichtsführenden Ministerien der kritischen Einrichtungen. Diese werden von einem interministeriellen Ausschuss für Resilienz (CIR) geleitet, der wiederum der allgemeinen Aufsicht der Delegation des Staatssekretärs Alfredo Monatavano untersteht.

Spanien

Reifegrad: 3

Der Gesetzentwurf „Ley de medidas para la protección y resiliencia de las entidades críticas“ wurde am 27. Mai 2025 genehmigt und die Umsetzungsorgane wurden bereits identifiziert. Am 10. Juni wurde eine Phase der öffentlichen Konsultation abgeschlossen.

Wichtige Schritte:

29. Oktober 2024: Kongress zum Schutz von Infrastrukturen und zur Resilienz kritischer Einrichtungen.
27. Mai 2025: Genehmigung des Gesetzentwurfs durch den Ministerrat.
27. Mai bis 10. Juni: Phase der öffentlichen Konsultation.

Nationale Besonderheiten:

Der Text sieht die Einrichtung eines nationalen Zertifizierungsmechanismus vor, mit dem die Qualität, Sicherheit und Konformität der Einrichtungen bescheinigt werden sollen. Die Inhalte und der Mechanismus der Zertifizierung werden durch zukünftige Verordnungen festgelegt.

Zuständige Behörde(n):

Das Staatssekretariat für Sicherheit ist die zentrale zuständige Behörde und verantwortlich für die Aufsicht, die Erstellung von Plänen sowie die Umsetzung des Zertifizierungsmechanismus.
Das CNPREC (Centro Nacional para la Protección y la Resiliencia de las Entidades Críticas) ist für die Identifizierung kritischer Einrichtungen zuständig und benachrichtigt diese im Bedarfsfall. Darüber hinaus fungiert es als Ansprechpartner im Falle eines Vorfalls.
Die Nationale Kommission für Schutz und Resilienz kritischer Einrichtungen ist ein kollegiales Gremium. Es genehmigt strategische Sektorpläne und identifiziert die betroffenen Einrichtungen.
Die interministerielle Arbeitsgruppe unterstützt sowohl die Entwicklung der nationalen Strategie als auch die Bewertung von Bedrohungen.

Portugal

Reifegrad: 4

Das Dekretgesetz Nr. 22/2025 zur Umsetzung der CER-Richtlinie wurde am 12. März genehmigt und am 19. März 2025 veröffentlicht. Es trat am 24. März 2025 in Kraft.

Nationale Besonderheiten:

Bislang wurde noch kein Referenzrahmen veröffentlicht.
Kritische Einrichtungen müssen ihre Resilienz- und Sicherheitspläne regelmäßig durch Übungen testen. Diese werden von den sektoralen Behörden und dem Generalsekretär des Systems der inneren Sicherheit (SGSSI) überwacht. Die Übungen müssen vorher angekündigt werden. Nach der Übung sind Berichte vorzulegen. Es besteht die Möglichkeit, grenzüberschreitende Übungen unter Einbeziehung anderer EU-Mitgliedstaaten durchzuführen.

Zuständige Behörde(n):

Die Umsetzung der CER-Richtlinie (Richtlinie EU 2022/2557) durch das Dekretgesetz Nr. 22/2025 sieht einen zweistufigen Governance-Rahmen vor:

National: Der Generalsekretär des Systems der Inneren Sicherheit (SGSSI) koordiniert Aktivitäten im Zusammenhang mit der Resilienz kritischer Einrichtungen und ist zentraler Ansprechpartner für die europäische Zusammenarbeit.
Sektorbezogen: Jede Autoridade Setorial Competente (ASC) ist für die Identifizierung der kritischen Einrichtungen ihres Sektors verantwortlich. Zudem überwacht sie die Umsetzung von Resilienzmaßnahmen und leitet die entsprechenden Informationen an den SGSSI weiter.

Niederlande

Reifegrad: 3

Die öffentliche Konsultation zum Gesetzentwurf „Wet wederkerige entiteiten (Wwke)” schloss am 1. Juli 2024. Am 20. Februar 2025 erhielt er die Stellungnahme des Staatsrats und wurde dem Abgeordnetenhaus vorgelegt, welches am 4. September 2025 seinen Bericht zum Gesetzentwurf veröffentlichte.

Wichtige Schritte:

Mai 2024: Veröffentlichung des Gesetzentwurfs zur Umsetzung der NIS2-Richtlinie und des Gesetzentwurfs zur Resilienz kritischer Einrichtungen (Wwke).
Mai – 2. Juli 2024: Öffentliche Konsultation.
Juli 2024: Abschluss der internen Konsultation zur Resilienz kritischer Einrichtungen.
Februar 2025: Der Gesetzentwurf wurde vom Staatsrat genehmigt.
September 2025: Das Abgeordnetenhaus hat seinen Bericht zum Gesetzentwurf veröffentlicht.
November – 21. Dezember 2025: Neue Phase der öffentlichen Konsultation zum Gesetzentwurf.

Nationale Besonderheiten:

Die zuständige Behörde kann bestimmte sektorspezifische EU-Akte als gleichwertig zu den in Artikel 16 festgelegten Maßnahmen anerkennen. Dieser verpflichtet kritische Einrichtungen dazu, angemessene technische, Sicherheits- und Organisationsmaßnahmen umzusetzen, um ihre Resilienz zu gewährleisten. In diesem Fall gelten die in den betreffenden Akten festgelegten Maßnahmen nicht für die betroffenen Einrichtungen.
Die Niederlande verfügen bereits über eine Politik zum Schutz und zur zyklischen Stärkung der kritischen Infrastruktur (Aanpak vitaal), die durch CER gestärkt wird. Diese Politik basiert auf dem Instrumentarium Vitaal, einem Prozesszyklus, der mindestens alle vier Jahre wiederholt wird.
Das Verfahren wird vom zuständigen Minister angewendet. Es kann vor Ablauf der vier Jahre auf Entscheidung des zuständigen Ministers oder des Ministers für Justiz und Sicherheit angewendet werden, falls eine Entwicklung, ein aktuelles Ereignis oder eine Bedrohung dies rechtfertigt.

Zuständige Behörde(n):

Das Ministerium für Justiz und Sicherheit koordiniert die nationale Strategie.
Die einzelnen Ministerien sind jeweils für die Einrichtungen in ihrem eigenen Sektor zuständig.
Die Ministerien benennen Aufsichtsbehörden, die die Einhaltung der Verpflichtungen kontrollieren. Dazu führen sie unter anderem Audits und Inspektionen durch.

Die CER Richtlinie und ihre nationale Umsetzung über das KRITIS Dachgesetz erfordern frühzeitige Vorbereitung. Organisationen sollten jetzt ihre Resilienzstrategie überprüfen.

Autoren

Wassim Alidra

Manager Cybersécurité

Wavestone
LinkedIn
Loris Girbas-Ben Chaabane

Consultant Cybersécurité

Wavestone
LinkedIn

Diesen Inhalt teilen

Link copied

CER-Richtlinie: Wie weit ist die Umsetzung in Europa?

In Kürze

Was ist die CER-Richtlinie?

CER-Umsetzungen auf europäischer Ebene

Länder mit verabschiedeter Umsetzung (Reifegrad 4)

Länder mit bedeutenden Fortschritten im Umsetzungsprozess (Reifegrad 3)

Länder mit mittlerem Umsetzungsstand (Reifegrad 2)

Fokus auf ausgewählte europäische Länder

Ungarn

Deutschland

Frankreich

Italien

Spanien

Portugal

Niederlande

Autoren

Möchten Sie uns kontaktieren?