CER-Richtlinie: Stärkung kritischer Infrastrukturen gegen Cyberkrisen
Veröffentlicht am 17. Juli 2025
- Cyber Security
- Öffentlicher Sektor
Was ist die Europäische Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie)?
Die Europäische Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience Directive, CER-Richtlinie) wurde am 14. Dezember 2022 verabschiedet. Ziel der Richtlinie ist es, die Fähigkeit kritischer Infrastrukturen zu stärken, Störungen natürlichen oder menschlichen Ursprungs zu widerstehen und sich von diesen zu erholen.
Im Mittelpunkt der Richtlinie steht der Aufbau einer hohen Resilienz kritischer Einrichtungen – sowohl im Hinblick auf präventiven Schutz als auch auf die Aufrechterhaltung des Betriebs im Krisenfall. Darüber hinaus fördert die CER-Richtlinie die Zusammenarbeit und Koordination zwischen den Mitgliedstaaten, insbesondere im Hinblick auf den Informationsaustausch und abgestimmte Reaktionen bei grenzüberschreitenden Krisensituationen.
Die CER-Richtlinie ergänzt die umfassendere NIS2-Richtlinie, die Cybersicherheitsmaßnahmen und Meldepflichten für wesentliche und wichtige Einrichtungen in der EU vorschreibt. NIS2 und die CER-Richtlinie tragen gemeinsam dazu bei, die Sicherheit und Kontinuität wesentlicher Dienstleistungen in der EU zu gewährleisten – sowohl im Cyber- als auch im physischen Bereich.
Überblick über die Umsetzung der CER-Richtlinie auf europäischer Ebene
Betroffene Akteure und Sektoren
Die Mitgliedstaaten der Europäischen Union spielen eine zentrale Rolle bei der Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen (CER).
- Sie sind für die Umsetzung der Richtlinie in nationales Recht sowie für die Implementierung der erforderlichen Maßnahmen für kritische Einrichtungen verantwortlich. Dazu gehören Risikobewertungen, die Erstellung von Resilienzplänen sowie die Definition und Umsetzung von Sicherheitsmaßnahmen auf nationaler Ebene.
- Sie bestimmen die kritischen Einrichtungen in ihren jeweiligen nationalen Zuständigkeitsbereichen und sind dafür verantwortlich, dass diese ihre in der Umsetzung festgelegten Verpflichtungen erfüllen, insbesondere was die Meldung von Zwischenfällen betrifft.
- Außerdem müssen die Mitgliedstaaten ihre Anstrengungen mit anderen EU-Ländern koordinieren. So können sie eine harmonisierte Reaktion auf grenzüberschreitende Krisen und den Austausch relevanter Informationen gewährleisten.
Als kritische Einrichtungen werden Infrastrukturen und Organisationen bezeichnet, die für das ordnungsgemäße Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind. In der CER-Richtlinie werden sie als Akteure beschrieben, die eine „ eine unverzichtbare Rolle bei der Aufrechterhaltung gesellschaftlicher Funktionen oder lebenswichtiger wirtschaftlicher Tätigkeiten im Binnenmarkt vor dem Hintergrund einer zunehmend vernetzten Union spielen.“
Als kritische Einrichtungen von besonderer europäischer Bedeutung gelten solche, die wesentliche Dienstleistungen in mindestens sechs Mitgliedstaaten der Europäischen Union erbringen. Sie spielen eine entscheidende Rolle bei der Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen und wirtschaftlicher Aktivitäten auf europäischer Ebene. Deshalb sind für diese Akteure spezifische Verpflichtungen vorgesehen.
Die Einstufung kritischer Einrichtungen im Rahmen der CER-Richtlinie basiert auf der jeweiligen nationalen Risikobewertung der Mitgliedstaaten. Mithilfe dieser Bewertung werden jene Einrichtungen identifiziert, die unter die CER-Richtlinie fallen. Dies betrifft die folgenden von der Richtlinie definierten Sektoren: Energie, Verkehr, Bankensektor, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser und Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Lebensmittelsektor.
Sobald diese Einrichtungen identifiziert wurden, sind die Mitgliedstaaten dazu verpflichtet, sie offiziell zu benachrichtigen.
In dieser Benachrichtigung werden die Einrichtungen über ihren Status als kritische Einrichtungen sowie die damit verbundenen Verpflichtungen informiert. Dazu gehören etwa die Umsetzung von Sicherheitsmaßnahmen und Resilienzplänen. Mithilfe dieses Verfahrens wird sichergestellt, dass kritische Einrichtungen sich ihrer Rolle bewusst sind und die Erwartungen in Bezug auf Resilienz und Sicherheit eindeutig verstehen.
Pflichten für kritische Einrichtungen
1. Risikobewertung
Kritische Einrichtungen müssen innerhalb von neun Monaten nach Erhalt der offiziellen Benachrichtigung über ihre Einstufung als kritische Einrichtung eine Risikobewertung durchführen. Diese Bewertung muss bei Bedarf und mindestens alle vier Jahre aktualisiert werden. Die Bewertung muss dabei mehrere Risikoarten umfassen:
- Naturgefahren wie Überschwemmungen, Stürme und Erdbeben.
- Von Menschen verursachte Risiken wie Industrieunfälle und Terrorakte.
- Technologische Risiken, einschließlich Cyberangriffe.
- Abhängigkeiten und Wechselwirkungen zwischen verschiedenen Sektoren und kritischen Einrichtungen, auch in benachbarten Mitgliedstaaten und Drittländern.
Hat eine kritische Einrichtung bereits aufgrund von Verpflichtungen aus anderen Rechtsvorschriften andere Risikobewertungen durchgeführt oder Dokumente erstellt, kann sie diese nutzen, um die Anforderungen der CER-Richtlinie zu erfüllen. Dadurch wird Doppelarbeit vermieden und ein konsistentes Risikomanagement gewährleistet.
2. Resilienzplan und zu ergreifende Maßnahmen
Kritische Einrichtungen sind dazu verpflichtet, einen Resilienzplan oder ein gleichwertiges Dokument zu erstellen und umzusetzen. In diesem müssen die ergriffenen Maßnahmen beschrieben werden. Sofern im Rahmen anderer relevanter rechtlicher Verpflichtungen bereits Dokumente oder Maßnahmen vorliegen, können diese genutzt werden, um die Anforderungen der CER-Richtlinie zu erfüllen. Jede kritische Einrichtung muss darüber hinaus einen offiziellen Ansprechpartnern für die zuständigen Behörden benennen. Dies gewährleistet eine effektive Kommunikation und optimale Koordination mit den Behörden und erleichtert somit die Umsetzung von Resilienzmaßnahmen.
Die erforderlichen Maßnahmen gliedern sich in sechs thematische Bereiche:
Berücksichtigung von Maßnahmen zur Verringerung des Katastrophenrisikos und zur Anpassung an den Klimawandel.
Gewährleistung eines angemessenen Schutzes von Gebäuden und kritischer Infrastruktur durch Zäune, Barrieren, Überwachungstools und -verfahren, Zugangskontrollen sowie Erkennungsgeräte.
Einführung von Risiko- und Krisenmanagementverfahren sowie Frühwarnsystemen, um auf Vorfälle zu reagieren, deren Auswirkungen abzumildern und die Widerstandsfähigkeit zu erhöhen.
Gewährleistung der Geschäftskontinuität und Identifizierung alternativer Lieferketten, um nach einem Vorfall die Erbringung lebenswichtiger Dienstleistungen wieder aufnehmen zu können.
Definition von Personalkategorien, die kritische Funktionen ausüben; Festlegung von Zugangsrechten zu Gebäuden, kritischer Infrastruktur und sensiblen Informationen; Implementierung von Überprüfungsverfahren für den beruflichen Hintergrund; Definition angemessener Ausbildungsanforderungen und Qualifikationen.
Organisation von Schulungen, Bereitstellung von Informationsmaterialien und Durchführung von Übungen, um das Bewusstsein der Mitarbeitenden für Resilienzmaßnahmen zu schärfen.
3. Meldepflicht bei Vorfällen
Kritische Einrichtungen sind verpflichtet, erhebliche Störungen, welche die Erbringung ihrer essenziellen Dienste beeinträchtigen, unverzüglich den zuständigen Behörden zu melden. Dabei müssen sie detaillierte Informationen zum Vorfall bereitstellen und mit den Behörden zusammenarbeiten, um die Auswirkungen zu begrenzen. Falls erforderlich, müssen sie außerdem die Öffentlichkeit informieren. Eine erste Meldung muss spätestens innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen. Gegebenenfalls ist innerhalb eines Monats ein ausführlicher Bericht nachzureichen.
Zur Bestimmung des Ausmaßes der Störung werden folgende Parameter berücksichtigt:
- die Anzahl und der Anteil der von der Störung betroffenen Nutzer,
- die Dauer der Störung,
- das betroffene geografische Gebiet, insbesondere unter Berücksichtigung einer möglichen geographischen Isolation.
Die Meldungen müssen alle erforderlichen Informationen enthalten, damit die zuständige Behörde die Art, Ursache und die möglichen Folgen des Vorfalls nachvollziehen kann. Dies umfasst auch alle Informationen, die zur Bewertung grenzüberschreitender Auswirkungen notwendig sind.
4. Nationale Umsetzungen und Verbindung zu anderen Vorschriften
Die CER-Richtlinie schafft zwar einen gemeinsamen Rahmen zur Stärkung der Resilienz kritischer Einrichtungen auf europäischer Ebene, ihre konkrete Umsetzung hängt jedoch von den Entscheidungen der einzelnen Mitgliedstaaten ab.
In mehreren europäischen Ländern wird die Koordination dieser Vorschriften noch diskutiert. Dabei sind neben der NIS2-Richtlinie und nationalen Vorschriften für kritische Infrastrukturen (wie LPM, KRITIS usw.) auch sektorspezifische Regulierungen zu berücksichtigen, die für die betroffenen Akteure gelten.
Auf dem Weg zu einer nützlichen und nachhaltigen Compliance
Die CER-Richtlinie ergänzt bestehende Vorschriften und vertieft insbesondere die Anforderungen an die Geschäftskontinuität sowie den physischen Schutz kritischer Infrastrukturen.
Dies geschieht in einem regulatorischen Umfeld, das zunehmend komplexer und unübersichtlicher wird. Wir sind überzeugt, dass diese Komplexität einen ganzheitlichen Ansatz erfordert, bei dem der gesamte Kontext der Organisation berücksichtigt wird. Nur so kann vermieden werden, dass regulatorische Anforderungen isoliert behandelt werden.
Mit unserer langjährigen Erfahrung in der regulatorischen Compliance (NIS/NIS2, LPM, DORA, usw.) bei hunderten Kunden und unserer umfassenden Cybersicherheits-Expertise (Resilienz, Krisenmanagement, Sicherheits-Audits, usw.) helfen wir Organisationen dabei, regulatorische Anforderungen zu verstehen, in konkrete Maßnahmen umzusetzen und maßgeschneiderte Umsetzungsstrategien zu entwickeln.