EU RCE Resilienz

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von Kritischen Infrastrukturen in der EU. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.

  1. Betreiber
  2. Maßnahmen
  3. Aufsicht
  4. EU-Kooperation
  5. Gesetzgebung

EU RCE löst die bisherige ECI European Critical Infrastructures Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor — RCE muss aber noch verabschiedet und in nationales Recht überführt werden.

Talk cover

EN German and EU Critical Infrastructures 2021

Slides from a talk on new German CI and EU NIS developments
English ∙ PDF ∙ November 2021

EN EU RCE Directive Resilience

New resilience requirements for EU operators with EU RCE
English ∙ PDF ∙ November 2021

English version of this page available at EU NIS2 and RCE.

up

Die RCE-Direktive

Betreiber und Sektoren

Nach der RCE-Direktive werden betroffene Betreiber durch die eigenen Behörden basierend auf nationalen Risiko-Analysen identifiziert und registriert. Die Identifikation richtet sich nach dem disruptiven Effekt, wenn einzelne Betreiber im Land ausfielen.

Die Mitgliedsstaaten sollen die Betreiber der RCE-Sektoren nach Inkrafttreten der Direktive identifizieren und registrieren — und diese Liste an die EU melden.

Sektoren

RCE reguliert zehn Critical Sektoren, die deckungsgleich zu den Essential Services von EU NIS2 sind, aber etwas geringer als die deutschen KRITIS-Sektoren ausfallen. Art. 1

eigene Zusammenstellung EU RCE Sektoren
Critical Entities Inhalt KRITIS-Äquivalent
Energie Elektrizität
Fernwärme
Öl
Gas
Wasserstoff
Energie



-
Gesundheit Healthcare Provider
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte
Gesundheit
Transport
Luft
Schiene
Wasser
Straße
Transport und Verkehr
Banken Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Gegenpartien (CCPs)
Finanzwesen
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur IXPs
DNS
TLD Registries
Cloud Provider
Rechenzentren
CDNs
TSPs
Elektr. Kommunikation
IT
Raumfahrt Bodeninfrastruktur tw. Transport (Bodenstationen)
Öffentliche Verwaltung Zentralregierung
Landesregierung
Regierungsbezirke
-

up

Maßnahmen und Resilienz

EU RCE fordert von Betreibern Maßnahmen für die Resilienz ihrer kritischen Dienstleistungen, um die Ausfallrisiken von Prozessen zu mindern. Art. 9

Risiko-Bewertung

Kritische Betreiber müssen sechs Monate nach der eigenen Identifikation ihre Ausfallrisiken identifizieren und bewerten — inklusive Abhängigkeiten zu anderen Betreibern, Sektoren und Ländern. Die Risiko-Analyse soll mindestens alle vier Jahre wiederholt werden. Art. 10

Mindest­maßnahmen

EU RCE schreibt Mindest­maßnahmen vor, die Betreiber zum Schutz der Resilienz ihrer Dienstleistungen treffen sollen: Art. 11

  1. Vorsorge: Präventionsmaßnahmen gegen Disaster und zur Anpassung an den Klimawandel
  2. Physische Sicherheit: Absicherung der sensiblen Bereiche der kritischen Dienstleistung mit physischen Schutzmaßnahmen, Perimeter­überwachung, Detektion und Zutrittskontrolle
  3. Krisen: Risiko- und Krisen­management zur Bewältigung von Krisen, mit definierten Prozeduren, Protokollen und Alarmierung
  4. Wiederherstellung: Business Continuity Management (BCM) und Maßnahmen zur Wiederherstellung nach Vorfällen — inkl. alternative Lieferketten
  5. Personal: Sicherheitsmanagement und besondere personelle Sicherheit für sensible und Schutzbereiche der kritischen Dienstleistung, Zutrittskontrolle etc.
  6. Awareness: Beim Personal über die Resilienz-Maßnahmen

Die Maßnahmen müssen in einem Resilienz-Plan die Vorkehrungen zusammengefasst und dokumentiert werden. Die Kommission kann noch detailliertere Vorgaben für die Maßnahmen erlassen, und auf Nachfrage durch Mitgliedsstaaten Beobachter (advisory missions) für die Umsetzung zu nationalen Betreibern entsenden.

Background Checks

Mitgliedsstaaten sollen kritischen Betreibern ermöglichen, Sicherheits­überprüfungen ihrer in sensiblen Bereichen eingesetzten Personale durchführen zu lassen — bei bestimmten Anlässen auch durch Sicherheits­behörden. Art. 12

Meldewesen

Betreiber müssen ihre nationalen Behörden unverzüglich über signifikante Störungen und Vorfälle in ihren kritischen Dienstleistungen unterrichten. Art. 13

up

Nationale Aufsicht

Governance

Mitgliedsstaaten müssen innerhalb von drei Jahren eine nationale Strategie für die Resilienz kritischer Betreiber als Rahmenwerk für die nationalen Aufsicht umsetzen und Behörden im eigenen Land für Resilienz-Aufgaben ermächtigen: Art. 3

  1. Competent authority: Die zuständige Aufsichts­behörde wird mit angemessenen Ressourcen und Governance für Resilienz aufgestattet und soll eng mit der NIS2-designierten Behörde für Cyber Security zusammenarbeiten. Art. 8

Identifikation kritischer Betreiber

Um kritische Betreiber zu identifizieren, sollen Mitgliedsstaaten eine Analyse von Ausfallrisiken (disruptiver Effekt) der kritischen Dienstleistungen und Sektoren anfertigen. Damit sollen im Anschluss die kritischen Betreiber im Land identifiziert und registriert werden: Art. 4 Art. 5

  1. Energie
  2. Transport
  3. Gesundheit
  4. Trinkwasser und Abwasser
  5. Öffentliche Verwaltung
  6. Raumfahrt

Die folgenden Sektoren werden zusammen mit anderen Aufsichtsbehörden bestimmt: Art. 7

  1. Banken und Finanzmärkte
  2. Digitale Infrastruktur

Nationales Register

Die nationalen Risiken und Betreiber sollen drei und 3⅓ Jahre nach Inkrafttreten von RCE durch die Behörden identifiziert und mindestens alle vier Jahre an die Kommission übermittelt werden. Art. 6

Sanktionen und Aufsicht

Die Behörden in den Mitgliedsstaaten sollen umfangreiche Aufsichts- und Kontroll­rechte bei den kritischen Betreibern erhalten — unter anderem Inspektionen, Audits und Überwachung von Maßnahmen. Für Verstöße gegen die Resilienz-Vorgaben sollen durch die nationalen Behörden angemessene Sanktionen verhängt werden können. Art. 19

up

Zusammenarbeit in der EU

Kooperation

Zur Kooperation innerhalb der EU zu Resilienz wird die Critical Entities Resilience Group eingerichtet, bestehend aus Vertretern der Mitgliedsstaaten und der Kommission. Art. 16

Spezielle Betreiber

Innerhalb der EU werden bestimmte Betreiber mit besonderer europäischer Relevanz designiert, welche mindestens ein Drittel der EU Mitgliedsstaaten mit den definierten kritischen Dienstleistungen versorgen. Diese Betreiber sollen in der EU identifiziert und besonders überwacht werden — die Kommission kann dazu auch Beratungs­missionen in den betreffenden Mitgliedsstaat schicken. Art. 14 Art. 15

EU Risiken

Die Kommission soll grenzen- und sektor­überschreitende Risiken analysieren, Behörden und Betreiber dabei unterstützen und dazu Methodologien entwerfen. Art. 17

up

Der weitere Weg

Gesetzgebung

Die EU RCE-Regulierung legt im Kern Mindestanforderungen für die Resilienz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen müssen in nationales Recht überführt und durch nationale Behörden überwacht werden.

EU

Der letzte Entwurf der Kommission von EU RCE ist von Dezember 2020, ebenso wie NIS2. Nach der Verabschiedung von RCE in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die RCE-Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

Die Direktive muss nach EU-Verabschiedung noch in deutsches Recht überführt werden — noch nicht alle Aspekte sind im neuen IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 2.0 zu finden. Die nationalen Strategien für Resilienz sollen alle 4 Jahre überarbeitet werden.

Review

EU RCE soll 4½ Jahre nach Inkrafttreten von der Kommission gereviewed werden.

up

Weitere Informationen

Literatur

  1. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  2. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  3. Impact Assessment – Proposal for a Directive on the resilience of critical entities, European Parliament and Council, SWD(2020) 358 final, 16.12.2020

Quellen

  1. Commission proposal for a Directive on the resilience of critical entities, COM(2020) 829 final, 16.12.2020
  2. Annex 1 of the Directive on the resilience of critical entities, COM(2020) 829 final ANNEX, 16.12.2020
  3. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016