NIS-2
NIS 2

Was ist die CER Richtlinie?

Im Jahr 2022 hat die EU eine neue Richtlinie zur Cybersicherheit eingeführt – die CER-Richtlinie. Sie heißt offiziell Richtlinie über die Resilienz kritischer Einrichtungen (EU 2022/2557). Ihr Ziel ist es, die Ausfallsicherheit von Betreibern kritischer Infrastrukturen in der EU zu verbessern.

Die CER-Richtlinie ersetzt die vorige Richtlinie für Europäische kritische Infrastrukturen (EPCIP) von 2008. Ihr Fokus liegt auf der „Widerstandsfähigkeit“ von „Critical Entities“. Diese soll durch die Ergänzung zur NIS2-Richtlinie gestärkt werden, die sich mit Cybersicherheit beschäftigt.

Wichtige Erkenntnisse:

  • Die CER-Richtlinie betont die physische Resilienz kritischer Infrastrukturen. NIS2 fordert Maßnahmen zur Reduzierung von Cybersicherheitsrisiken.
  • Beide Richtlinien fordern regelmäßige Risikobewertungen und Sicherheitsmaßnahmen auf technischer, operativer, und organisatorischer Ebene.
  • Bis 2024 müssen die EU-Länder die Richtlinien in nationales Recht umsetzen. Das erfordert von betroffenen Unternehmen Aktionen.
  • Die CER-Richtlinie gilt nur für „Critical Entities“, während NIS2 breiter aufgestellt ist.
  • Bei Zuwiderhandlungen drohen hohe Strafen von bis zu 10 Millionen Euro oder 2% des Jahresumsatzes.

Einführung in die CER Richtlinie

Die CER-Richtlinie verbessert die Stärke kritischer Infrastrukturen in der EU. Sie will physische Schäden durch Störungen und Cyberangriffe vermeiden. Dadurch sollen wichtige Dienste zuverlässiger bleiben.

Hintergrund und Ziele der Richtlinie

Die Richtlinie schützt vor Naturkatastrophen, Terror und Sabotage. Sie beerbt die alte Regelung von 2008. Diese galt nur für IT-Systeme, nicht für alle kritischen Prozesse.

Unterschiede zur bisherigen KRITIS-Regulierung

Die CER-Richtlinie ist breiter als die deutsche KRITIS-Regelung. Sie umfasst nicht nur Cybersicherheit, sondern auch physische Sicherheit. Viel mehr Firmen müssen sich jetzt an die EU-Vorgaben halten.

Aspekt Bisherige KRITIS-Regulierung Neue CER-Richtlinie
Fokus Informationstechnische Systeme Alle Unternehmensprozesse für kritische Dienstleistungen
Regulierte Bereiche Cybersicherheit Cybersicherheit, physische Sicherheit und Resilienz
Betroffene Unternehmen Ca. 5.000 in Deutschland Ca. 29.000 in Deutschland

Die CER- und NIS2-Richtlinie sind zusammen stark für Europas Infrastrukturen. Sie decken Cybersicherheit und physische Gefahren ab. Gemeinsam stellen sie hohe Sicherheitsstandards sicher.

Betroffene Sektoren und Unternehmen

Die CER-Richtlinie will kritische Infrastrukturen in der EU sicherer machen. Es gibt elf Sektoren, in denen Unternehmen als „kritische Betreiber“ gelten.

Sektoren nach der CER Richtlinie

Diese Sektoren reichen von Energie bis zur Ernährung. Sie decken ähnliche Gebiete ab wie die NIS2-Richtlinie. Beide Regeln schützen wichtige Infrastrukturen.

Kriterien zur Identifizierung kritischer Betreiber

EU-Staaten müssen bis 2026 die Risiken für Ausfälle in Sektoren prüfen. Dabei schauen sie auf die Zahl betroffener Menschen und die Folgen für andere Bereiche. Firmen, die falls sie ausfallen, große Probleme verursachen, gelten als kritisch.

„Entscheidend sind Faktoren wie die Anzahl betroffener Nutzer, Auswirkungen auf andere Sektoren und grenzüberschreitende Effekte.“

Dieser Prozess hilft, die CER-Richtlinie auf die wirklich wichtigen Firmen zu konzentrieren. Diese Firmen sichern Europas Schlüsselinfrastrukturen und Dienste ab.

Anforderungen an kritische Betreiber

Die CER-Richtlinie hat Regeln für kritische Betreiber. Diese Regeln helfen, wichtige Dienste sicher zu machen. Sie müssen Risiken prüfen, gegen Unfälle vorsorgen und sich schützen.

Vor allem muss jeder kritische Betreiber Risiken abwägen. Sie prüfen Gefahren wie Naturkatastrophen und Cyberangriffe. Danach planen sie, wie sie stark bleiben, falls etwas schiefgeht.

Was gehört zu solchen Plänen?

  • Kritische Orte besser schützen
  • Extra Systeme bereithalten, um Dienste in Not weiterführen zu können
  • Gute Pläne, um in Krisen und danach sich rasch zu erholen
  • Mitarbeiter aufmerksam machen und schulen, was sie in Notfällen tun sollen

Kritiker müssen alle notwendigen Schritte aufschreiben. Sie müssen ihre Pläne oft überprüfen und updaten. Ziel ist es, dass wichtige Dienste gut laufen, selbst wenn es schwierig wird.

Kritische Betreiber

Die CER-Richtlinie kümmert sich auch ums Personal. Sie verlangt zum Beispiel Sicherheitschecks für die, die zu sensiblen Plätzen Zutritt haben. So will man das Risiko durch Insider verringern.

Insgesamt will die CER-Richtlinie, dass kritische Betreiber mit allen Mitteln vorbereitet sind. Sie soll gewährleisten, dass wichtige Dienste immer verfügbar sind. Die Richtlinie zu erfüllen, ist schwer, aber es hilft den Unternehmen auch, stärker zu sein.

Risikobewertung und Resilienzmaßnahmen

Bestimmte Unternehmen gelten als kritisch und müssen viel tun. Sie haben neun Monate Zeit für eine wichtige Risikobewertung. Hierbei prüfen sie, was passieren könnte. Abhängigkeiten zu anderen Firmen, Sektoren und sogar Ländern sind wichtig.

Die Bewertung muss regelmäßig, mindestens alle vier Jahre, aktualisiert werden.

Ein Resilienzplan ist verpflichtend für diese Firmen. Er umfasst verschiedenen Schritte zum Schutz ihrer Arbeit. Dazu gehören Präventionsmaßnahmen und Krisenmanagement-Prozesse. Auch Pläne für die Zeit nach Vorfällen sowie Sicherheitseinweisungen sind wichtig. Alles muss im Plan stehen, damit die Firmen besser geschützt sind.

Verpflichtende Risikobewertungen

In neun Monaten müssen kritische Betreiber eine Risikobewertung durchführen. Sie schauen sich wieder die möglichen Ausfallrisiken und Abhängigkeiten an. Diese Einschätzung darf nicht vergessen werden und muss mindestens alle vier Jahre wiederholt werden.

Mindestmaßnahmen zur Resilienz

Die CER-Richtlinie fordert wichtige Maßnahmen zum Schutz der Resilienz. Kritische Betreiber müssen ihre Dienste durch Präventionsmaßnahmen schützen. Auch die Sicherheit ihrer Orte sowie Krisenmanagement-Prozesse sind wichtig. Nach den Ereignissen müssen sie Pläne für die Wiederherstellung haben. Das Sichersein des Personals und deren Schulung sind ebenso entscheidend.

Maßnahme Beschreibung
Präventionsmaßnahmen Maßnahmen zur Vorbeugung von Störungen und Ausfällen
Physische Sicherheit Schutz der Infrastruktur vor physischen Bedrohungen
Krisenmanagement Prozesse zur Bewältigung von Krisensituationen
Wiederherstellung Pläne zur Wiederaufnahme des Betriebs nach Vorfällen
Sicherheitsmanagement Maßnahmen zur Sicherheit des Personals
Awareness-Maßnahmen Sensibilisierung und Schulung der Mitarbeiter

NIS 2 und Cybersicherheit

Abgrenzung zur CER Richtlinie

Die EU hat zwei wichtige Regelungen für Sicherheit im Netz. NIS-2 kümmert sich um die IT-Sicherheit von Firmen. CER dagegen schaut auf die Gesamtsicherheit von wichtigen Aufgaben, die Firmen erfüllen müssen. CER achtet auch auf die physische Sicherheit. Deshalb betrifft CER mehr Firmen als NIS-2.

Die NIS-2-Regel gab es schon ab dem 27. Dezember 2022. Ab dem 16. Januar 2023 mussten sich Firmen daran halten. Die CER-Regel befindet sich noch in der Vorbereitungsphase. EU-Länder haben bis zum Oktober 2024 Zeit, NIS-2 in ihre eigenen Gesetze zu übertragen.

Beide Regeln haben unterschiedliche Ziele. NIS-2 denkt vor allem an die IT-Sicherheit. CER will, dass wichtige Firmen gut geschützt sind. Trotzdem gehen beide Regeln in eine Richtung: Sie wünschen sich mehr Sicherheit in der EU.

NIS 2 vs CER Richtlinie

Merkmal NIS 2 CER Richtlinie
Fokus Cybersicherheit Gesamtresilienz kritischer Infrastrukturen
Abdeckung Informationstechnische Systeme Alle unternehmerischen Prozesse zur Erbringung lebenswichtiger Dienste
Betroffene Unternehmen Mehr als 250 Mitarbeiter oder 50 Mio. Euro Umsatz Deutlich größerer Kreis an Unternehmen
Umsetzungsfrist Bis Oktober 2024 Noch in der Umsetzungsphase

Personelle Sicherheitsmaßnahmen

Die CER-Richtlinie setzt hohe Maßstäbe für die Personelle Sicherheit. Kritische Betreiber müssen starke Sicherheitsvorkehrungen treffen. Das dient dem Schutz ihrer Infrastruktur und Mitarbeiter.

Sicherheitsüberprüfungen und Zutrittskontrollen

Kritische Betreiber führen Sicherheitschecks für Schlüsselpersonen durch. Die EU erlaubt ihnen Zugang zum ECRIS. So können sie die Zuverlässigkeit ihrer Angestellten überprüfen.

Es gibt auch strenge Zutrittsregeln in diesen Betrieben. Biometrische Daten, Chipkarten oder Drehkreuze sind gängige Methoden. Sie sollen unerwünschten Zugriff verhindern und Anlagen schützen.

Maßnahme Beschreibung
Sicherheitsüberprüfungen Überprüfung der Zuverlässigkeit und Integrität von Mitarbeitern in sensiblen Positionen, unter Einbezug des europäischen Strafregisters (ECRIS)
Zutrittskontrollen Einführung von biometrischen Erfassungen, Chipkarten oder Drehkreuzen zum Schutz von Mitarbeitern und Anlagen

Durch diese Maßnahmen gewährleisten kritische Betreiber, dass nur zuverlässige Mitarbeiter Zugang haben. Das stärkt die Sicherheit und Zuverlässigkeit ihrer Arbeit langfristig.

Personelle Sicherheit

Meldepflichten und Störungsmeldungen

Die CER-Richtlinie zwingt Betreiber in der EU, sofort ihre Behörden bei großen Problemen zu benachrichtigen. Sie müssen über Cyberattacken und andere schwere Störungen berichten. Dabei geht es um wichtige Infos wie betroffene Nutzer und wie lange die Dienste nicht verfügbar waren.

Wenn ein Betreiber in sechs oder mehr EU-Ländern wichtige Dienste anbietet, ist noch mehr Melden erforderlich. Die nationale Behörde muss dann auch die Europäische Kommission informieren. Diese prüft, ob das betroffene Unternehmen in ganz Europa eine große Rolle spielt. Je nach Entscheidung müssen dann weitere Schritte unternommen werden.

  • Kritische Betreiber müssen Störungen und Cybervorfälle unverzüglich melden.
  • Meldungen enthalten Angaben zu betroffenen Nutzern, Ausfalldauer und räumlicher Ausbreitung.
  • Unternehmen mit Diensten in sechs oder mehr EU-Staaten müssen auch die EU-Kommission informieren.

Die Vorschriften zielen darauf ab, eine schnelle Reaktion der Behörden zu ermöglichen. Das Ziel ist es, durch rasches Handeln die Sicherheit kritischer Systeme zu wahren. Dadurch sollen Störungen nachhaltig und effizient bekämpft werden.

Meldepflichten

Diese Melderegeln werden national unterschiedlich festgelegt, um sie auf die CER-Richtlinie abzustimmen. Firmen müssen also mit den jeweiligen Behörden sprechen, um Meldungen so korrekt wie möglich zu machen. Und sie dürfen auch nicht zu lang damit warten.

Nationale Umsetzung und Aufsichtsbehörden

Die CER-Richtlinie wird bis Oktober 2024 in jedem EU-Staat umgesetzt sein. In Deutschland führt das KRITIS-Dachgesetz dieses Vorgehen durch. Es sorgt für bundesweite Regelungen zum Schutz Kritischer Infrastrukturen (KRITIS). Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt dafür die Aufsichtsaufgaben.

Das KRITIS-Dachgesetz setzt die Richtlinien der CER praktisch um. Es fordert von kritischen Betreibern in Deutschland Risikoanalysen, Maßnahmen zur Resilienz und Meldungen bei Problemen. Mit dem Gesetz gibt es einheitliche Regelungen für KRITIS-Betreiber im ganzen Land.

Deutschland arbeitet auch an der Umsetzung der NIS2-Richtlinie für Cybersicherheit. Das NIS2UmsuCG wird diese Regeln umsetzen. Es wird im März 2024 bekanntgegeben und gilt ab Oktober 2024. Beide Richtlinien CER und NIS2 sollen die Stärke kritischer Infrastrukturen erhöhen. Die eine für den physischen, die andere für den digitalen Bereich.

Das KRITIS-Dachgesetz in Deutschland

Das KRITIS-Dachgesetz bringt wichtige Regeln der CER in Deutschland voran. Es verlangt von Betreibern:

  • Verpflichtende Risikoanalysen und Maßnahmen zur Resilienz
  • Melden von Störungen und Unfällen
  • Prüfen von Sicherheitsmaßnahmen und Kontrolle von Zugängen
  • Bei Nichteinhaltung gibt es Strafen und Bußgelder

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist die Aufsichtsbehörde. Es überwacht die CER-Umsetzung bei kritischen Betreibern in Deutschland.

KRITIS-Dachgesetz

Die Umsetzung der CER-Richtlinie durch das KRITIS-Dachgesetz ist in Deutschland ein großer Schritt. Ziel ist es, die Widerstandsfähigkeit Kritischer Infrastrukturen zu erhöhen. Damit wollen wir uns besser gegen Ausfälle und Störungen schützen.

Sanktionen und Bußgelder

Unternehmen müssen heute hohe Strafen befürchten, wenn sie Regeln der CER-Richtlinie missachten. Die Europäische Union setzt auf wirksame, angemessene und abschreckende Strafen.

Bis zu 20 Millionen Euro an Bußgeldern könnten bei Verstößen gegen die NIS2-Richtlinie fällig werden. Schon das deutsche IT-Sicherheitsgesetz 2.0 drohte mit Bußgeldern bis 2 Millionen Euro. Mit der NIS2-Richtlinie ab 2024 steigen die Strafen auf bis zu 10 Millionen Euro oder 2% des Umsatzes.

Es könnten etwa 40.000 deutsche Unternehmen von der NIS2-Richtlinie betroffen sein. Für Firmen bedeutet das: Wer die Regeln nicht befolgt, riskiert hohe Geldstrafen.

„Die Europäische Union legt besonderen Wert darauf, dass die Sanktionen für Verstöße wirksam, verhältnismäßig und abschreckend sind.“

Um Strafen zu vermeiden, sollten Unternehmen die CER-Richtlinie genau befolgen. Nur dann bleibt ihr Geschäft wettbewerbsfähig.

Fristen und Zeitplan

Die EU-Länder müssen bis Oktober 2024 die Regeln der CER-Richtlinie in ihre Gesetze übernehmen. Bis zum 17. Juli 2026 sollen sie die wichtigen Betreiber nennen, basierend auf Gefahrenanalysen. Diese Betreiber haben dann noch neun Monate Zeit, um Schutzmaßnahmen zu setzen.

In Deutschland schätzt man, dass etwa 20.000 zusätzliche Firmen die Regeln befolgen müssen. In Österreich betrifft es rund 3.400 Betriebe. Beachtet werden müssen Ausnahmen für Stellen, die bereits EU-Sicherheitsregeln erfüllen.

In Deutschland wird ein neues Gesetz, das KRITIS-Dachgesetz, die CER-Regeln umsetzen. Es soll verschiedene Sicherheitsvorschriften bündeln. In Österreich steckt ein Gesetzentwurf seit dem 3. April 2024 in der Prüfung.

Trotzdem kritisieren viele die knappen Fristen. Sie schlagen vor, Unternehmen mehr Zeit zu geben, speziell bei kritischen Infrastrukturen. Die Vorbereitungszeit von nur sechs Monaten sei zu kurz, finden sie.

Umsetzungsfristen der CER-Richtlinie
Bis Oktober 2024: Umsetzung in nationales Recht durch EU-Mitgliedsstaaten
Bis 17. Juli 2026: Identifizierung und Registrierung kritischer Betreiber
Nach Registrierung: 9 Monate für Umsetzung der Resilienzmaßnahmen

Experten raten zu einer klaren Strategie, um die CER-Regeln gut umzusetzen. Europa braucht einheitliche Standards und einfache Kategorien für die betroffenen Firmen. Außerdem sollte es eine bessere Zusammenarbeit von Politik und Wirtschaft geben.

Europäische Zusammenarbeit und Informationsaustausch

Die Europäische Union hat die Critical Entities Resilience Group (CERG) gegründet, um die Zusammenarbeit zu verbessern. In der CERG treffen sich Experten aus den EU-Ländern und der EU-Kommission. Sie tauschen wichtige Infos aus, reden über gemeinsame Pläne und analysieren Abhängigkeiten in der Infrastruktur.

Die Critical Entities Resilience Group (CERG)

Die CERG hilft, die CER-Richtlinie in der Europäischen Union umzusetzen. Ein wichtiges Ziel ist es, Informationen zwischen den Staaten auszutauschen. Diese Gruppe tut viele Dinge:

  • Infos zu Gefahren und Sicherheitslücken werden regelmäßig geteilt.
  • Bei der Erstellung von Regeln und Richtlinien hilft sie der Kommission.
  • Sie prüft, wie verschiedene Länder voneinander abhängen.
  • Die Gruppe arbeitet daran, dass nationalen Behörden besser zusammenarbeiten.

Dank der Arbeit in der CERG wird die kritische Infrastruktur in der EU sicherer. Das passiert durch engen Austausch und bessere Zusammenarbeit.

„Die CERG verbessert die Zusammenarbeit in wichtigen Fragen und macht die EU-Infrastruktur widerstandsfähiger. So werden wichtige Einrichtungen in Europa sicherer.“

Unterstützung für kritische Betreiber

Die Europäische Union weiß, dass die CER-Richtlinie viele Firmen vor Schwierigkeiten stellt. Deswegen müssen die EU-Staaten helfen, damit kritische Betreiber den Anforderungen gerecht werden können.

Ein wichtiges Mittel zur Unterstützung sind Beratungsdienste. Die nationalen Behörden bieten Leitfäden, Kurse und konkrete Hilfe an. So sollen Betriebe besser starten können, wenn es um neue Sicherheitsmaßnahmen geht.

Finanzielle Unterstützung hilft, in Sicherheit zu investieren. Besonders kleinere und mittlere Unternehmen bekommen spezielle Hilfen. Das Ziel ist, dass alle Firmen die CER-Richtlinie erfüllen können und niemand zu stark belastet wird.

Unterstützungsmaßnahmen für kritische Betreiber
  • Beratungsangebote und Leitfäden der nationalen Behörden
  • Schulungen und Workshops zur Umsetzung der Resilienzmaßnahmen
  • Individuelle Unterstützung bei der Risikobewertung und Planung
  • Finanzielle Förderprogramme für Investitionen in Sicherheitstechnik
  • Besonderer Fokus auf Unterstützung für kleine und mittlere Unternehmen

Die Maßnahmen sollen den Übergang zu den neuen Sicherheitsanforderungen erleichtern. Nur so können Europas wichtige Infrastrukturen gut arbeiten.

Fazit

Die CER-Richtlinie der EU ist ein großer Schritt für sicherere Infrastrukturen. Sie gibt klare Regeln für Branchen wie Energie und Verkehr vor. So profitieren wir alle von zuverlässigeren Diensten.

Dank der nationalen Gesetze, wie dem KRITIS-Dachgesetz in Deutschland, werden Unternehmen genauer wissen, was sie tun müssen. Das verbessert die Sicherheit in wichtigen Bereichen deutlich.

Die CER-Richtlinie ist also für uns alle wichtig. Sie hilft, unsere Infrastrukturen besser vor Gefahren zu schützen. Damit blicken wir zuversichtlich in die Zukunft.