Der europäische Kontext
Neben der nationalen KRITIS-Gesetzgebung regulieren die NIS2 und RCE-Direktiven Kritische Infrastrukturen auf EU-Ebene. Der Kern von NIS2 ist Cyber Security und Informationssicherheit, RCE konzentriert sich auf Resilienz und Krisen. Beide gehen methodisch und inhaltlich über die deutsche KRITIS-Regulierung hinaus.
Die NIS2 und RCE (CER-Richtlinie) lösen bestehende EU-Regulierung von NIS und ECI ab und müssen bis Oktober 2024 in nationales Recht überführt werden. EU NIS2 und RCE wurden Ende 2022 in der EU verabschiedet, im Dezember 2022 im Amtsblatt veröffentlicht. Die kritischen EU-Sektoren sind zwischen den Direktiven harmonisiert
RCE soll ab 2023 teils schon von einem KRITIS-Dachgesetz aufgegriffen werden, NIS 2 möglicherweise in einem Sicherheitsgesetz 3.0 im selben Jahr umgesetzt werden.
An English version of this page is available at EU NIS2 and RCE.
KRITIS in der EU
EU Kritische Infrastrukturen
NIS2 und RCE/CER regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur und Methodik aber anderen Schwerpunkten und Zielen – NIS 2 Cyber Security und RCE Resilienz. Es gibt Überschneidungen zur KRITIS-Regulierung aber auch weitergreifende Regelungen.
Schutzziele
RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.
NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.
Maßnahmen
Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungsmeldungen:
RCE fordert Resilienz bei Betreibern durch Vorsorge, physische Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.
NIS2 fordert Cyber Security bei Betreibern durch Policies, Incident und BCM, IT-Sicherheit in der Supply Chain und Einkauf, Asset Management, Kryptographie, sichere Kommunikation.
Betreiber
Beide Direktiven regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren mit deutlich einfacherer Methodik als die deutschen Schwellenwerte.
NIS2 legt betroffene Betreiber nach Unternehmensgröße (2003/361/EC) fest: ab 50 Mitarbeiter bzw. 10 Mio EUR Umsatz.
RCE fordert nationale Identifizierung der Betreiber durch die Staaten nach Risikoanalyse und disruptivem Effekt.
Aufsicht
RCE fordert in Mitgliedstaaten eine Behörde für Resilienz, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.
NIS2 fordert in Mitgliedstaaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.
Zusammenarbeit in der EU
RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.
NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der CG zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informationsaustausch.
Kritische Sektoren in der EU
Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE eine Gruppe, die deutschen KRITIS-Sektoren sind teils ähnlich.
| NIS2 Sektoren | RCE Sektoren | KRITIS Sektoren |
|---|---|---|
| Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Schwellenwerte |
| Annex I | Critical Entities | KRITIS |
| Energie | Energie | Energie |
| Transport | Transport | Transport/Verkehr |
| Bankwesen | Bankwesen✝ | Finanzwesen |
| Finanzmärkte | Finanzmärkte✝ | Finanzwesen |
| Gesundheit | Gesundheit | Gesundheit |
| Trinkwasser | Trinkwasser | Wasser |
| Abwasser | Abwasser | Wasser |
| Digitale Infrastruktur* | Digitale Infrastruktur✝ | IT und TK (tw. TKG) |
| ICT Service Management | - | - |
| Öffentliche Verwaltung* | Öffentliche Verwaltung | - |
| Weltraum | Weltraum | tw. Transport |
| - | Ernährung | Ernährung |
| Annex II | - | KRITIS und UBI |
| Post und Kurier | tw. Transport | |
| Abfallwirtschaft | Entsorgung | |
| Chemikalien | UBI (3) | |
| Lebensmittel | Ernährung | |
| Industrie | tw. UBI (2) | |
| Digitale Dienste | tw. Telemedien (TMG) | |
| Forschung | - |
Zeitleiste
NIS2 und RCE wurde Ende 2022 in der EU verabschiedet und müssen bis Oktober 2024 national umgesetzt werden.
| Version | Status | Datum | Akteur |
|---|---|---|---|
| NIS 2 | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
| RCE/CER | Entwurfsversion (Proposal) | Dez 2020 | Kommission |
| NIS 2 | Kompromissvorschlag NIS 2 | Okt 2021 | EU Parlament |
| NIS 2 | Einigkeit NIS 2 | Mai 2022 | EU Parlament + Kommission |
| NIS 2 | Zustimmung NIS 2 | Nov 2022 | EU Parlament |
| RCE/CER | Zustimmung RCE | Nov 2022 | EU Parlament |
| NIS 2 | Annahme NIS 2 | Nov 2022 | Rat der EU |
| NIS 2 | EU 2022/2555 | Dez 2022 | Amtsblatt |
| RCE/CER | EU 2022/2557 | Dez 2022 | Amtsblatt |
| NIS 2 | Umsetzung national | bis Okt 24 | Mitgliedstaaten |
| RCE | Umsetzung national | bis Okt 24 | Mitgliedstaaten |
Weitere Informationen
Literatur
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
- Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
Quellen
- EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation , Council of the EU, Press release ,28 November 2022
- European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
- European Parliament legislative resolution of 22 November 2022 on the proposal for a directive of the European Parliament and of the Council on the resilience of critical entities, COM(2020)0829 – C9-0421/2020 – 2020/0365(COD), 22.11.2022