CER-Richtlinie

Corporate Environmental Responsibility

Die CER-Richtlinie (Richtlinie (EU) 2022/2557) zielt darauf ab, die Resilienz kritischer Einrichtungen in der Europäischen Union zu stärken. Sie wurde am 14. Dezember 2022 verabschiedet und ersetzt die frühere EPSKI-Richtlinie von 2008. Die Mitgliedstaaten sind verpflichtet, diese Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. (siehe eur-lex.europa.eu )

Anwendungsbereich der CER-Richtlinie

Die CER-Richtlinie betrifft Einrichtungen, die wesentliche Dienste für die Gesellschaft erbringen. Zu den Sektoren, die unter die Richtlinie fallen, gehören:

  1. Energie: Elektrizität, Fernwärme, Öl, Gas, Wasserstoff
  2. Transport: Luft-, Schienen-, Wasser- und Straßenverkehr sowie öffentlicher Personennahverkehr
  3. Bankwesen: Kreditinstitute
  4. Finanzmarktinfrastrukturen: z. B. Börsen
  5. Gesundheitswesen: medizinische Labore, Medizinforschung, Pharmazeutik, Medizingeräte
  6. Trinkwasserversorgung: Wasserversorgungssysteme
  7. Abwasserentsorgung: Abwassersysteme
  8. Digitale Infrastruktur: Domain-Name-Server, Cloud-Provider, Rechenzentren
  9. Öffentliche Verwaltung: Einrichtungen der Zentralregierung
  10. Raumfahrt: Bodeninfrastrukturen
  11. Ernährung: Herstellung, Verarbeitung und Handel von Lebensmitteln

Diese Sektoren wurden ausgewählt, da ein Ausfall oder eine Beeinträchtigung ihrer Dienste erhebliche Auswirkungen auf die Gesellschaft und Wirtschaft haben könnte.

Pflichten der Betreiber kritischer Einrichtungen

Betreiber, die unter die CER-Richtlinie fallen, sind verpflichtet, geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um ihre Resilienz gegenüber verschiedenen Bedrohungen zu gewährleisten. Zu den zentralen Maßnahmen gehören:

  1. Risikomanagement: Durchführung regelmäßiger Risikobewertungen, um potenzielle Bedrohungen zu identifizieren und zu bewerten.
  2. Physischer Schutz: Implementierung von Sicherheitsmaßnahmen wie Zugangskontrollen, Überwachungssystemen und physischen Barrieren zum Schutz sensibler Bereiche.
  3. Krisenmanagement: Entwicklung und Implementierung von Notfallplänen und Krisenmanagementstrategien, um auf Vorfälle effektiv reagieren zu können.
  4. Schulung und Sensibilisierung: Regelmäßige Schulungen für Mitarbeiter, um das Bewusstsein für Sicherheitsrisiken zu schärfen und angemessenes Verhalten in Krisensituationen zu fördern.
  5. Meldepflichten: Einführung von Prozessen zur unverzüglichen Meldung signifikanter Störungen oder Vorfälle an die zuständigen Behörden.

Diese Maßnahmen sollen sicherstellen, dass kritische Einrichtungen in der Lage sind, Bedrohungen wie Naturkatastrophen, Terroranschläge oder Sabotage effektiv zu begegnen und ihre essenziellen Dienste aufrechtzuerhalten.

Umsetzung in nationales Recht: Das KRITIS-Dachgesetz

In Deutschland wird die CER-Richtlinie durch das sogenannte KRITIS-Dachgesetz umgesetzt. Dieses Gesetz legt fest, welche Einrichtungen als kritisch eingestuft werden und welche spezifischen Resilienzmaßnahmen sie ergreifen müssen. Zudem definiert es Meldepflichten für erhebliche Störungen und regelt die Zusammenarbeit zwischen Betreibern und Behörden. ( siehe bmi.bund.de )

Das KRITIS-Dachgesetz ergänzt bestehende Regelungen zur IT-Sicherheit, wie das IT-Sicherheitsgesetz, und erweitert den Fokus auf den physischen Schutz kritischer Infrastrukturen. Es zielt darauf ab, die Widerstandsfähigkeit der deutschen Gesellschaft und Wirtschaft gegenüber vielfältigen Bedrohungen zu stärken.

Fazit

Die CER-Richtlinie und ihre nationale Umsetzung durch das KRITIS-Dachgesetz stellen einen bedeutenden Schritt zur Erhöhung der Resilienz kritischer Infrastrukturen dar. Betreiber solcher Einrichtungen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen und entsprechende Maßnahmen implementieren, um den gesetzlichen Vorgaben gerecht zu werden und die Kontinuität ihrer essenziellen Dienste sicherzustellen.

Veröffentlicht in Cybersecurity, Top.