Der europäische Kontext
EU NIS2 und EU CER regulieren die Sicherheit Kritischer Infrastrukturen in der EU mit Mindeststandards, die seit 2024 in EU-Staaten in nationalen Gesetzen umgesetzt werden müssen. Der Kern von NIS2 ist Cybersecurity, während sich CER auf Resilienz konzentriert. Neben NIS2 reguliert DORA Finanzunternehmen in der EU, während EU CRA Produktsicherheit vorschreibt.
EU NIS2 trat Ende 2025 in Deutschland durch das NIS2-Umsetzungsgesetz in Kraft, EU CER bald durch das KRITIS-Dachgesetz. Die Lage in den EU-Mitgliedsstaaten ist auch in 2026 noch uneinheitlich. Mit dem Cybersecurity Act 2 plant die Kommission auch eine Überarbeitung von NIS2. Neben den Richtlinien konkretisieren Implementing Acts einige NIS2-Vorgaben EU-weit.
KRITIS in der EU
Regulierung
EU NIS2 und CER regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur, aber anderen Schwerpunkten: NIS2 regelt Cybersecurity und CER Resilienz, deutlich weiter als die bisherige KRITIS-Regulierung.
Als sektor-spezifische Regulierung regelt EU DORA Vorgaben und die Umsetzung bei Finanzunternehmen, die von NIS2 ausgenommen sind. EU NCCS reguliert bestimmte Betreiber im Strommarkt. Für Hersteller bestimmter digitaler Produkte macht EU CRA umfangreiche Security-Vorgaben.
Schutzziele
CER reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.
NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.
DORA reguliert die digitale operationale Resilienz von Finanzunternehmen und kritischen IKT-Drittdienstleistern, um die Widerstandsfähigkeit des EU-Finanzmarktes zu stärken.
CRA schützt die Cybersicherheit von Produkten mit digitalen Elementen, die in der EU verkauft und eingesetzt werden.
CSA regelt die Cybersicherheit der Europäischen Union durch Governance und Zertifizierungen.
Maßnahmen
Alle drei Regelwerke verlangen von Unternehmen Maßnahmen und Vorfallsmeldungen:
CER fordert Resilienz bei Betreibern durch Vorsorge, physische Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.
NIS2 fordert Cybersecurity bei Betreibern durch Policies, Incident und BCM, IT-Sicherheit in der Supply Chain und Einkauf, Asset Management, Kryptographie und sichere Kommunikation.
DORA fordert Cybersecurity und Resilienz bei Finanzunternehmen durch Risikomanagement, Incident Management, Tests, Informationsaustausch und Management von IKT-Drittparteien. Kritische IKT-Drittdienstleistern müssen ebenfalls eigene umfangreiche Pflichten erfüllen.
CRA macht Vorgaben für Cybersicherheit in der Entwicklung und im Support von Produkten mit digitalen Elementen in der EU durch Hersteller.
CSA macht vor allem der ENISA Vorgaben und legt Anforderungen an europäische Cybersecurity Zertifizierungen fest.
Betreiber
NIS2 und CER regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren mit deutlich einfacherer Methodik als die deutschen Schwellenwerte.
CER fordert nationale Identifizierung der Betreiber durch die Staaten nach Risikoanalyse und disruptivem Effekt.
NIS2 legt betroffene Betreiber nach Unternehmensgröße (2003/361/EC) fest: ab 50 Mitarbeitern und 10 Mio EUR Umsatz.
DORA zählt die betroffenen Finanzunternehmen (z. B. Kreditinstitute, Zahlungsdienstleister, Ratingagenturen, Versicherungsunternehmen) mit Verweis auf EU-Richtlinien auf.
CRA macht den Herstellern von Produkten mit digitalen Elementen Vorgaben.
CSA regelt Betreiber und Einrichtungen in der EU nicht direkt, macht im CSA2 Update jedoch Vorgaben für Lieferketten und ICT Assets.
Aufsicht
CER fordert in Mitgliedstaaten eine Behörde für Resilienz, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.
NIS2 fordert in Mitgliedstaaten eine Behörde für Cybersecurity, ein CSIRT und Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.
DORA nutzt zur Aufsicht von Finanzunternehmen bereits bestehende nationale Aufsichten. Für kritische IKT-Drittdienstleister wird eine eigene (neue) EU-Aufsicht etabliert.
CRA fordert die Benennung nationaler Aufsichtsbehörden in den EU-Mitgliedsstaaten, die Hersteller und Produkte regulieren.
CSA regelt die EU-Aufsicht durch ENISA und Kommission und steuert die Governance von nationalen Zertifizierungsstellen.
Zusammenarbeit in der EU
CER bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.
NIS2 hat eine EU-Landschaft mit der ENISA, der Cooperation Group zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informationsaustausch.
DORA strebt eine Kooperation zwischen nationalen Behörden und EU-Behörden wie ESA, EZB und ENISA vor, plus Kooperation zwischen DORA- und NIS2-Behörden.
CRA sieht Kooperation zwischen Behörden und Herstellern in der EU vor.
CSA legt viel Kooperation und Abläufe zwischen der ENISA, der EU und nationalen Stellen fest.
EU-Staaten
Die EU NIS2-Richtlinie muss von EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden. Der Umsetzungsstand variiert hierbei stark — einige Länder haben bereits Entwürfe verfasst haben und befinden sich im öffentlichen Diskurs.
Kritische Sektoren in der EU
Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, CER eine Gruppe, die deutschen KRITIS-Sektoren sind teils ähnlich.
| EU NIS2 | EU CER | DE NIS2 |
|---|---|---|
| Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Unternehmensgröße + tw. Schwellenwerte |
| Annex I | Critical Entities | Anlage 1 |
| Energie | Energie | Energie |
| Transport | Transport | Transport/Verkehr |
| Bankwesen | Bankwesen^ | Finanzwesen |
| Finanzmärkte | Finanzmärkte^ | Finanzwesen |
| Gesundheit | Gesundheit | Gesundheit |
| Trinkwasser | Trinkwasser | Wasser |
| Abwasser | Abwasser | Wasser |
| Digitale Infrastruktur* | Digitale Infrastruktur^ | Digitale Infrastruktur |
| ICT Service Management | - | Digitale Infrastruktur |
| Öffentliche Verwaltung* | Öffentliche Verwaltung | Bundesverwaltung** |
| Weltraum | Weltraum | Weltraum |
| Kritische Anlagen** | ||
| Annex II | Anlage 2 | |
| Post und Kurier | Post und Kurier | |
| Abfallwirtschaft | Entsorgung | |
| Chemikalien | Chemie | |
| Lebensmittel | Ernährung | Lebensmittel |
| Industrie | Verarbeitendes Gewerbe | |
| Digitale Dienste | Digitale Dienste | |
| Forschung | Forschung |
Zeitleiste
NIS2 und CER wurde Ende 2022 in der EU verabschiedet und müssen bis Oktober 2024 national umgesetzt werden, was sich in den meisten EU-Mitgliedsstaaten, wie in Deutschland, bis 2025 verzögert.
| Version | Status | Datum | Akteur |
|---|---|---|---|
| NIS2 | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
| CER | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
| NIS2 | Kompromissvorschlag NIS2 | Okt 2021 | EU Parlament |
| NIS2 | Einigkeit NIS2 | Mai 2022 | EU Parlament + Kommission |
| NIS2 | Zustimmung NIS2 | Nov 2022 | EU Parlament |
| CER | Zustimmung CER | Nov 2022 | EU Parlament |
| NIS2 | Annahme NIS2 | Nov 2022 | Rat der EU |
| NIS2 | EU 2022/2555 | Dez 2022 | Amtsblatt |
| CER | EU 2022/2557 | Dez 2022 | Amtsblatt |
| NIS2 | Umsetzung in der EU | bis Okt 24 | EU-Mitgliedstaaten |
| CER | Umsetzung in der EU | bis Okt 24 | EU-Mitgliedstaaten |
| NIS2 | NIS2-Umsetzungsgesetz | Dez 2025 | Deutschland |
| CER | KRITIS-Dachgesetz | H1 2026? | Deutschland |
| CSA2 | Überarbeitung NIS2 | Jan 2026 | Europ. Kommission |
Weitere Informationen
Literatur
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
- Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
Quellen
- EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release ,28 November 2022
- European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
- European Parliament legislative resolution of 22 November 2022 on the proposal for a directive of the European Parliament and of the Council on the resilience of critical entities, COM(2020)0829 – C9-0421/2020 – 2020/0365(COD), 22.11.2022