EU RCE Resilienz (CER)

Skyline picture

Die EU RCE Directive bzw. die CER-Richtlinie (EU 2022/2557) reguliert Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und staatliche Aufsicht. RCE fordert Ausfall­sicherheit bei Betreibern (Critical Entities), während EU NIS 2 Cyber Security parallel reguliert.

  1. Unternehmen
  2. Resilienz
  3. Aufsicht
  4. EU-Kooperation
  5. Roadmap

EU RCE wurde Ende 2022 zusammen mit NIS 2 in der EU verabschiedet und muss bis 2024 in EU-Mitgliedsstaaten in nationales Recht überführt werden. In Deutschland wird RCE mit dem KRITIS-Dachgesetz umgesetzt, das Resilienz-Anforderungen wahrscheinlich ab 2024 für KRITIS-Betreiber (Betreiber kritischer Anlagen) verpflichtend macht.

English version of this page available at EU NIS2 and RCE.

EU picture

EN EU NIS2 and RCE: Security and Resilience in Infrastructures

Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ March 2023 ∙ OpenKRITIS-Briefing

Skyline picture

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ Juli 2024 ∙ OpenKRITIS-Briefing

up

Die RCE-Direktive

Betreiber und Sektoren

Nach der RCE-Direktive werden betroffene Betreiber durch die eigenen Behörden basierend auf nationalen Risiko-Analysen identifiziert und registriert. Dies muss bis zum 17. Juli 2026 erfolgen. Die Identifikation richtet sich nach einer Risiko-Analyse und dem disruptiven Effekt auf Dienstleistungen, wenn Betreiber im Land ausfielen.

Betroffenheit

Unter RCE regulierte Unternehmen (Critical Entities) sollen nach folgenden Kriterien durch Behörden identifiziert werden: Art. 6

Der signifikante disruptive Effekt zur Einschätzung kritischer Betreiber soll durch Staaten nach Anzahl betroffener Nutzer, Auswirkungen auf andere Essential Services, Gesellschaft, Geographie und grenzüberschreitende Effekte analysiert werden. Art. 7

Sektoren

RCE reguliert Critical Entities in elf Sektoren, die Essential Services erbringen. Diese sind mit EU NIS 2 Annex I fast deckungsgleich und etwas geringer als die KRITIS-Sektoren. Annex

eigene Zusammenstellung EU RCE Sektoren Stand Nov. 2022
Sektor Subsektor KRITIS-Äquivalent
Energie Elektrizität
Fernwärme
Öl
Gas
Wasserstoff
Energie



-
Transport
Luft
Schiene
Wasser
Straße
ÖPNV
Transport und Verkehr
Banken* Kreditinstitute Finanzwesen
Finanzmärkte* Handelsplätze
Gegenpartien (CCPs)
Finanzwesen
Gesundheit Healthcare Provider
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte
Gesundheit
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur* IXPs
DNS
TLD Registries
Cloud Provider
Rechenzentren
CDNs
TSPs
Elektr. Kommunikation
IT
Öffentliche Verwaltung Zentralregierung -
Raumfahrt Bodeninfrastruktur tw. Transport (Bodenstationen)
Ernährung Herstellung
Verarbeitung
Handel
tw. Ernährung

Abweichungen

* - Von den Pflichten zur Kooperation (Art. 11) und Resilienz­- und europäischen Maßnahmen (Art. 12-20) ausgenommen sind Banken, Finanzmärkte und Digitale Infrastruktur. Art. 8

ÖPNV und Medizingroßhandel aus RCE fehlen in NIS2, während Ernährung in NIS2 (nur) ein Important Sektor ist, nicht Essential wie in RCE. In RCE fehlen dafür Ladestationen (Strom), ICT Service Management und Regionalverwaltungen aus NIS2, sowie alle Important Sektoren.

up

Resilienz

EU RCE fordert von Betreibern Maßnahmen zur Resilienz ihrer kritischen Dienstleistungen, um die Ausfallrisiken von Prozessen zu mindern. Art. 9

Risiko-Bewertung

Innerhalb von neun Monaten nach Erhalt der Mitteilung darüber, dass sie als Critical Entity eingestuft wurden (de facto also bis spätestens zum 16. Mai 2027), müssen Betreiber ihre Ausfallrisiken identifizieren und bewerten — inklusive Abhängigkeiten zu anderen Betreibern, Sektoren und Ländern. Die Risiko-Analyse muss anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre wiederholt werden. Art. 12

Maßnahmen

EU RCE schreibt Mindest­maßnahmen vor, die Betreiber zum Schutz der Resilienz ihrer Dienstleistungen treffen sollen: Art. 13

Die Maßnahmen müssen in einem Resilienz-Plan zusammengefasst und dokumentiert werden und Betreiber müssen einen Ansprechpartner (liaison officer) benennen.

Die Kommission kann später noch detailliertere Vorgaben für Maßnahmen erlassen, und auf Nachfrage oder berechtigtes Interesse Beobachter (advisory missions) für die Kontrolle der Umsetzung zu nationalen Betreibern entsenden.

Background Checks

Mitglied­staaten sollen kritischen Betreibern ermöglichen, Sicherheits­überprüfungen ihrer in sensiblen Funktionen eingesetzten und mit Zugriffen ausgestatteten Personale durchführen zu lassen — bei bestimmten Anlässen auch durch Sicherheits­behörden, die dafür das ECRIS nutzen sollen Art. 14

Meldewesen

Betreiber müssen ihre nationalen Behörden unverzüglich (min. 24h) über signifikante Störungen und Vorfälle in ihren kritischen Dienstleistungen unterrichten – inkl. betroffener Nutzer, Ausfalldauer und räumliche Ausbreitung. Art. 15

Erbringt ein kritischer Betreiber Essential Services in sechs oder mehr EU Mitglied­staaten, muss er dies an die zuständige Competent Authority melden, die dies wiederum an die EU meldet. Die Kommission entscheidet dann nach Faktenlage, ob das gemeldete Unternehmen ein Betreiber mit besonderer europäischer Relevanz ist und unterrichtet es. Art. 17

up

Nationale Aufsicht

Governance

Mitglied­staaten müssen innerhalb von drei Jahren eine nationale Strategie für die Resilienz kritischer Betreiber als Rahmenwerk für die nationale Aufsicht umsetzen – inklusive der Ziele, Maßnahmen, Identifikations­methoden, Liste an Stakeholdern und weiteres. Art. 4

Dazu müssen Behörden im eigenen Land für Resilienz-Aufgaben ermächtigt werden: Art. 9

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) soll in Deutschland wahrscheinlich die Competent Authority für Resilienz (CER) werden.

Den Mitglied­staaten bleibt weitere, nationale Gesetzgebung zur Resilienz Kritischer Infrastrukturen vorbehalten. Art. 3

Identifikation kritischer Betreiber

Um kritische Betreiber zu identifizieren, müssen Mitglied­staaten bis zum 17. Januar 2026 und anschließend im Bedarfsfall, mindestens aber alle vier Jahre eine Analyse von Ausfallrisiken der kritischen Dienstleistungen und Sektoren anfertigen ("Risikobewertung durch Mitgliedstaaten"). Damit sollen im Anschluss bis zum 17. Juli 2026 die kritischen Betreiber im Land identifiziert und registriert werden. Art. 5 Art. 6 Art. 7

Sanktionen und Aufsicht

Die Behörden in den Mitglied­staaten sollen umfangreiche Aufsichts- und Kontroll­rechte bei den kritischen Betreibern erhalten — unter anderem Inspektionen, Audits und Überwachung von Maßnahmen. Für Verstöße gegen die Resilienz-Vorgaben sollen durch die nationalen Behörden angemessene Sanktionen verhängt werden können. Art. 21 Art. 22

Unterstützung von Betreibern

Mitgliedsstaaten sollen kritische Betreiber in Resilienz­maßnahmen unterstützen – durch Beratung, Training, Guidance aber auch mögliche finanzielle Unterstützung Art. 10

up

Zusammenarbeit in der EU

Kooperation

Zur Kooperation innerhalb der EU zu Resilienz wird die Critical Entities Resilience Group eingerichtet, bestehend aus sicherheits­überprüften Vertretern der Mitglied­staaten und der Kommission. Diese CERG soll die Kommission unterstützen bei der Beratung von Mitglied­staaten, Analyse von Strategien, Best Practices und Abhängigkeiten und Berichten. Art. 19

Mitgliedsstaaten sollen in Resilienzfragen miteinander kooperieren und Informationen austauschen, speziell in übergreifenden Fällen, wenn Betreiber: Art. 11

Generell gibt es viel vorgeschriebenen Informationsaustausch zwischen Competent Authorities, mit und innerhalb der EU und speziell der Kommission und der CERG.

Meldungen

Die Competent Authorities sollen die Behörden anderer Mitgliedsstaaten über gemeldete Vorfälle informieren, falls diese Auswirkungen auf andere Staaten, kritische Betreiber oder Essential Services haben. Art. 15

Spezielle Betreiber

Innerhalb der EU werden bestimmte Betreiber mit besonderer europäischer Relevanz designiert, welche kritische Betreiber sind und mindestens sechs oder mehr EU Mitglied­staaten mit Essential Services versorgen. Diese Betreiber sollen in der EU identifiziert, gemeldet und besonders überwacht werden. Die Kommission kann dazu auch Beratungs­missionen zu den Betreibern schicken, um Maßnahmen zu bewerten. Art. 17 Art. 18

Risiken und EU-Unterstützung

Die Kommission soll Mitgliedsstaaten und Behörden unterstützen, grenzen- und sektor­überschreitende Risiken analysieren, Best Practices und Guidances entwerfen und Staaten über finanzielle Unterstützung der EU für kritische Betreiber informieren. Art. 20

Für Resilienz- und Sicherheits­maßnahmen sollen internationale und europäische Standards gefördert werden. Art. 16

up

Roadmap

Gesetzgebung

Die EU RCE-Regulierung legt im Kern Mindestanforderungen für die Resilienz Kritischer Infrastrukturen in der EU und ihren Mitglied­staaten fest. Diese Anforderungen müssen in nationales Recht überführt und durch nationale Behörden überwacht werden.

EU

EU RCE wurde am 27. Dezember 2022 abschließend im EU-Amtsblatt als (EU) 2022/2557 veröffentlicht und ist damit in Kraft. Nach der Verabschiedung von RCE in der EU müssen Mitglied­staaten innerhalb von 21 Monaten die RCE-Regularien durch eigene Gesetzgebung in nationales Recht überführen – bis Oktober 2024.

EU RCE löst die alte European Critical Infrastructures Direktive von 2008 ab

Deutschland

Die CER-Richtlinie muss in deutsches Recht überführt werden — und wird möglicherweise mit dem seit Winter 2022 diskutierten KRITIS-Dachgesetz ab 2023 umgesetzt. Die nationalen Strategien für Resilienz sollen alle 4 Jahre überarbeitet werden.

Kritische Betreiber müssen (wahrscheinlich) bis spätestens 2026 durch Staaten identifiziert werden, die Betreiber wiederum müssen bis spätestens 2027 Maßnahmen umsetzen.

Review

EU RCE soll vier ½ Jahre nach Inkrafttreten von der Kommission gereviewed werden, die Kommission soll nach sechs Jahren und fünf Monaten an Parlament und Rat berichten.

up

Weitere Informationen

Literatur

  1. Parlament nimmt neue Regeln zum Schutz kritischer Infrastruktur in der EU an, Europäisches Parlament, 22.11.2022
  2. COM(2020)829 - Directive Resilience of critical entities, EU Monitor, Tracking, o.D.
  3. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  4. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  5. Impact Assessment – Proposal for a Directive on the resilience of critical entities, European Parliament and Council, SWD(2020) 358 final, 16.12.2020

Quellen

  1. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
  2. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
  3. European Parliament legislative resolution of 22 November 2022 on the proposal for a directive of the European Parliament and of the Council on the resilience of critical entities, COM(2020)0829 – C9-0421/2020 – 2020/0365(COD), 22.11.2022
  4. Commission proposal for a Directive on the resilience of critical entities, COM(2020) 829 final, 16.12.2020
  5. Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the resilience of critical entities (PDF), COM(2020) 829 final, 16.12.2020
  6. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016