Resilienz in der EU

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor. Bei EU RCE:

  1. Betroffenheit
  2. Sektoren
  3. Betreiber
  4. Aufsicht
  5. EU
  6. NIS2 und RCE
  7. Der Weg

EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor — und muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.

EN EU RCE Directive Resilience

New resilience requirements for EU operators with EU RCE
English ∙ 12 slides PDF ∙ May 2021

up

EU RCE Direktive

Wer ist betroffen?

Nach der RCE-Direktive werden betroffene Betreiber durch die eigenen Behörden basierend auf nationalen Risiko-Analysen identifiziert und registriert. Die Identifikation richtet sich nach dem disruptiven Effekt, wenn einzelne Betreiber im Land ausfielen.

Die Mitgliedsstaaten sollen die Betreiber der RCE-Sektoren nach Inkrafttreten der Direktive identifizieren und registrieren — und diese Liste an die EU melden.

up

Sektoren

RCE reguliert zehn Critical Sektoren, die deckungsgleich zu den Essential Services von EU NIS2 sind, aber etwas geringer als die deutschen KRITIS-Sektoren ausfallen. Art. 1

eigene Zusammenstellung EU RCE Sektoren
Critical Entities Inhalt KRITIS-Äquivalent
Energie Elektrizität
Fernwärme
Öl
Gas
Wasserstoff
Energie



-
Gesundheit Healthcare Provider
EU Labore
Medizinforschung
Pharmazeutik
Medizingeräte
Gesundheit
Transport
Luft
Schiene
Wasser
Straße
Transport und Verkehr
Banken Kreditinstitute Finanzwesen
Finanzmärkte Handelsplätze
Gegenpartien (CCPs)
Finanzwesen
Trinkwasser Wasserversorgung Wasser
Abwasser Abwasserentsorgung Wasser
Digitale Infrastruktur IXPs
DNS
TLD Registries
Cloud Provider
Rechenzentren
CDNs
TSPs
Elektr. Kommunikation
IT
Raumfahrt Bodeninfrastruktur tw. Transport (Bodenstationen)
Öffentliche Verwaltung Zentralregierung
Landesregierung
Regierungsbezirke
-

up

Betreiber

Risiko-Bewertung

Kritische Betreiber müssen sechs Monate nach der eigenen Identifikation ihre Ausfallrisiken identifizieren und bewerten — inklusive Abhängigkeiten zu anderen Betreibern, Sektoren und Ländern. Die Risiko-Analyse soll mindestens alle vier Jahre wiederholt werden. Art. 10

Maßnahmen

EU RCE fordert von Betreibern Maßnahmen für die Resilienz ihrer kritischen Dienstleistungen, um die Ausfallrisiken von Prozessen zu mindern. Art. 9 EU RCE schreibt dazu Mindest­maßnahmen vor, die Betreiber zum Schutz der Dienstleistungen treffen sollen: Art. 11

  1. Vorsorge: Präventionsmaßnahmen gegen Disaster und zur Anpassung an den Klimawandel
  2. Physische Sicherheit: Absicherung der sensiblen Bereiche der kritischen Dienstleistung mit physischen Schutzmaßnahmen, Perimeter­überwachung, Detektion und Zutrittskontrolle
  3. Krisen: Risiko- und Krisen­management zur Bewältigung von Krisen, mit definierten Prozeduren, Protokollen und Alarmierung
  4. Wiederherstellung: Business Continuity Management (BCM) und Maßnahmen zur Wiederherstellung nach Vorfällen — inkl. alternative Lieferketten
  5. Personal: Sicherheitsmanagement und besondere personelle Sicherheit für sensible und Schutzbereiche der kritischen Dienstleistung, Zutrittskontrolle etc.
  6. Awareness: Beim Personal über die Resilienz-Maßnahmen

Die Maßnahmen müssen in einem Resilienz-Plan die Vorkehrungen zusammengefasst und dokumentiert werden. Die Kommission kann noch detailliertere Vorgaben für die Maßnahmen erlassen, und auf Nachfrage durch Mitgliedsstaaten Beobachter (advisory missions) für die Umsetzung zu nationalen Betreibern entsenden.

Background Checks

Mitgliedsstaaten sollen kritischen Betreibern ermöglichen, Sicherheits­überprüfungen ihrer in sensiblen Bereichen eingesetzten Personale durchführen zu lassen — bei bestimmten Anlässen auch durch Sicherheits­behörden. Art. 12

Meldewesen

Betreiber müssen ihre nationalen Behörden unverzüglich über signifikante Störungen und Vorfälle in ihren kritischen Dienstleistungen unterrichten. Art. 13

up

Nationale Aufsicht

Governance

Mitgliedsstaaten müssen innerhalb von drei Jahren eine nationale Strategie für die Resilienz kritischer Betreiber als Rahmenwerk für die nationalen Aufsicht umsetzen und Behörden im eigenen Land für Resilienz-Aufgaben ermächtigen: Art. 3

  1. Competent authority: Die zuständige Aufsichts­behörde wird mit angemessenen Ressourcen und Governance für Resilienz aufgestattet und soll eng mit der NIS2-designierten Behörde für Cyber Security zusammenarbeiten. Art. 8

Identifikation kritischer Betreiber

Um kritische Betreiber zu identifizieren, sollen Mitgliedsstaaten eine Analyse von Ausfallrisiken (disruptiver Effekt) der kritischen Dienstleistungen und Sektoren anfertigen. Damit sollen im Anschluss die kritischen Betreiber im Land identifiziert und registriert werden: Art. 4 Art. 5

  1. Energie
  2. Transport
  3. Gesundheit
  4. Trinkwasser und Abwasser
  5. Öffentliche Verwaltung
  6. Raumfahrt

Die folgenden Sektoren werden zusammen mit anderen Aufsichtsbehörden bestimmt: Art. 7

  1. Banken und Finanzmärkte
  2. Digitale Infrastruktur

Nationales Register

Die nationalen Risiken und Betreiber sollen drei und 3⅓ Jahre nach Inkrafttreten von RCE durch die Behörden identifiziert und mindestens alle vier Jahre an die Kommission übermittelt werden. Art. 6

Sanktionen und Aufsicht

Die Behörden in den Mitgliedsstaaten sollen umfangreiche Aufsichts- und Kontroll­rechte bei den kritischen Betreibern erhalten — unter anderem Inspektionen, Audits und Überwachung von Maßnahmen. Für Verstöße gegen die Resilienz-Vorgaben sollen durch die nationalen Behörden angemessene Sanktionen verhängt werden können. Art. 19

up

Zusammenarbeit in der EU

Kooperation

Zur Kooperation innerhalb der EU zu Resilienz wird die Critical Entities Resilience Group eingerichtet, bestehend aus Vertretern der Mitgliedsstaaten und der Kommission. Art. 16

Spezielle Betreiber

Innerhalb der EU werden bestimmte Betreiber mit besonderer europäischer Relevanz designiert, welche mindestens ein Drittel der EU Mitgliedsstaaten mit den definierten kritischen Dienstleistungen versorgen. Diese Betreiber sollen in der EU identifiziert und besonders überwacht werden — die Kommission kann dazu auch Beratungs­missionen in den betreffenden Mitgliedsstaat schicken. Art. 14 Art. 15

EU Risiken

Die Kommission soll grenzen- und sektor­überschreitende Risiken analysieren, Behörden und Betreiber dabei unterstützen und dazu Methodologien entwerfen. Art. 17

up

NIS2 und RCE

Wer reguliert was?

Unterschiede und Überschneidungen der EU NIS2 und EU RCE Direktiven — NIS2 und RCE regeln beide die Sicherheit von Betreibern in EU-Sektoren mit ähnlicher Struktur aber anderen Schwerpunkten und Schutzzielen.

Schutzziel

RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.

NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.

Maßnahmen

Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungs­meldungen:

RCE fordert Resilienz bei Betreibern durch Vorsorge, physischer Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.

NIS2 fordert Cyber Security bei Betreibern — Policies und Governance, Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, Kryptographie.

Aufsicht

RCE fordert in Mitgliedsstaaten eine Behörde für Resilienz und, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.

NIS2 fordert in Mitgliedsstaaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.

EU

RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.

NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der CG zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informations­austausch.

Wer reguliert wen?

NIS2 und RCE regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren — NIS2 legt die betroffenen Betreiber über Unternehmensgröße nach 2003/361/EC fest, während RCE eine nationale Identifizierung der Betreiber durch den Staat fordert.

Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE Sektoren aus einer davon, die deutschen KRITIS-Sektoren sind ähnlich.

eigene Zusammenstellung EU NIS2 und RCE Sektoren
NIS2 Sektoren RCE Sektoren KRITIS Sektoren
Identifikation durch
Unternehmens­größe
Bestimmung Betreiber
durch den Staat
Identifikation durch
Schwellenwerte
Essential Services Critical Entities KRITIS
Energie Energie Energie
Gesundheit Gesundheit Gesundheit
Transport
Transport
Transport und Verkehr
Banken Banken Finanzwesen
Finanzmärkte Finanzmärkte Finanzwesen
Trinkwasser Trinkwasser Wasser
Abwasser Abwasser Wasser
Digitale Infrastruktur Digitale Infrastruktur IT
Raumfahrt Raumfahrt tw. Transport (Bodenstationen)
Öffentliche Verwaltung Öffentliche Verwaltung -
Important Entities - KRITIS/UNBÖFI
Post und Kurier tw. Transport (Logistik)
Abfallwirtschaft Entsorgung
Chemikalien UNBÖFI (Gefahrstoffe)
Ernährung Ernährung (Herstellung)
Industrie tw. UNBÖFI
Digitale Dienste tw. Telemediendienste (TMG)

up

Der weitere Weg

Gesetzgebung

Die EU RCE-Regulierung legt im Kern Mindestanforderungen für die Resilienz Kritischer Infrastrukturen in der EU und ihren Mitgliedsstaaten fest. Diese Anforderungen müssen in nationales Recht überführt und durch nationale Behörden überwacht werden.

EU

Der letzte Entwurf der Kommission von EU RCE ist von Dezember 2020, ebenso wie NIS2. Nach der Verabschiedung von RCE in der EU müssen Mitgliedsstaaten innerhalb von 18 Monaten die RCE-Regularien durch eigene Gesetzgebung in nationales Recht überführen.

Deutschland

Die Direktive muss nach EU-Verabschiedung noch in deutsches Recht überführt werden — noch nicht alle Aspekte sind im neuen IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 2.0 zu finden. Die nationalen Strategien für Resilienz sollen alle 4 Jahre überarbeitet werden.

Review

EU RCE soll 4½ Jahre nach Inkrafttreten von der Kommission gereviewed werden.

up

Weitere Informationen

Literatur

  1. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  2. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
  3. Impact Assessment – Proposal for a Directive on the resilience of critical entities, European Parliament and Council, SWD(2020) 358 final, 16.12.2020

Quellen

  1. Commission proposal for a Directive on the resilience of critical entities, COM(2020) 829 final, 16.12.2020
  2. Annex 1 of the Directive on the resilience of critical entities, COM(2020) 829 final ANNEX, 16.12.2020
  3. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016