Critical Entities‘ Resilience Directive (CER): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(69 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Langtitel''': [https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2557 Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates]
{{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2557|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates|Kurztitel=Critical Entities‘ Resilience Directive/EU-Resilienz-Richtlinie|Bezeichnung=CER-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/333, 164|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}}
 
'''Kurztitel''': Critical Entities‘ Resilience Directive (CER)/EU-Resilienz-Richtlinie = im Folgenden CER-RL
 
'''Umsetzungsgesetz''': Bisher noch nicht veröffentlicht. Entwurf nicht verfügbar.


== Kurzübersicht ==
== Kurzübersicht ==
{| class="wikitable"
{| class="wikitable"
|+
|+
!Anwendungsbereich
!Zentrale Inhalte
!Synergien
!Strafen/Konsequenzen
!
!
!
!
!
|-
|-
|kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen)
|Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS
|Sonderregelung Behördenzuständigkeit (DORA-Behörde) in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen  (Art 9 Abs 1 CER-RL)
|Aufsichtsbefugnisse der Behörden (Vor-Ort-Kontrolle, externe Aufsichtsmaßnahme, Audits) (Art 21 CER-RL)
|
|-
|kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich)
|Risikobewertung der Einrichtungen durch MS (Art 5 CER-RL)
|Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für [[Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
|Informationszugangsrechte (Art 21 CER-RL)
|
|-
|Zeitlich: Umsetzungsfrist bis 17. Oktober 2024
|Ermittlung kritischer Einrichtungen durch MS (Art 6 CER-RL)
|Sonderzuständigkeit (NIS-2-Behörde) in Bezug auf Digitale Infrastruktur (Art 9 Abs 1 CER-RL).
|Anweisung, konkrete Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 CER-RL)
|
|
|-
|Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur
|Risikobewertung durch kritische Einrichtung selbst (Art 12 CER-RL)
|Zusammenarbeit/Informationsaustausch in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen mit der NIS-2-Behörde (Art 9 Abs 6 CER-RL).
|Geldstrafen bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro, bei fehlender Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G)
|
|
|-
|
|
|Ergreifung von Resilienzmaßnahmen (Art 13 CER-RL)
|Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der [[Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] zu tagen (Art 19 Abs 5 CER-RL).
|Geldstrafe bis zu 7 Mio Euro bei Nichtumsetzung einer mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, bzw Verstöße gegen die Meldepflichten (§ 22 Abs 2 RKEG-Entwurf).
|
|
|-
|-
|
|
|Zuverlässigketisprüfungen (Art 14 CER-RL)
|
|
|
|
Zeile 24: Zeile 47:
|-
|-
|
|
|Meldepflichten für Sicherheitsvorfälle (Art 15 CER-RL)
|
|
|
|
Zeile 30: Zeile 54:


== Einführung ==
== Einführung ==
Durch die CER-RL soll die '''Resilienz''',<ref>Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.</ref> das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen '''Sicherheitsvorfälle'''<ref>„Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.</ref> verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.<ref>''Škorjanc'', Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.</ref> So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).  
Durch die CER-RL soll die '''Resilienz''',<ref>Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen (vgl § 3 Z 2 RKEG-Entwurf).</ref> das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen '''Sicherheitsvorfälle'''<ref>„Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
 
Abweichend spricht § 2 Z 3 des Entwurfes für das RKEG von einem "Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsrechtlichen Grundprinzipien".</ref> verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.<ref>''Škorjanc'', Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.</ref> So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).  
 
ErwGr 20 stellt fest, dass Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, weshalb in der CER-RL ein „gefahrenübergreifender“ Ansatz angewandt wird, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.
{| class="wikitable"
|+
!Hinweis:
|-
|Ein erster Entwurf für ein nationales Umsetzungsgesetz der CER-RL wurde, deutlich nach Ende der Umsetzungsfrist, unter dem Titel "Resilienz kritischer Einrichtungen-Gesetz" (im folgenden '''RKEG-Entwurf)''' im Dezember 2024 im Parlament in Begutachtung gegeben.<ref>''Parlament Österreich'', Resilienz kritischer Einrichtungen-Gesetz – RKEG (1/ME), https://www.parlament.gv.at/gegenstand/XXVIII/ME/1?selectedStage=100 (abgerufen 22. 1. 2025).</ref>
Die Begutachtungsfrist endete mit 14. Jänner 2025.
Derzeit ist dieser Gesetzgebungsprozess noch nicht abgeschlossen.
|} 


== Anwendungsbereich ==
== Anwendungsbereich ==
Die für die RL zentrale „'''kritische Einrichtung'''“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat (MS) als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "'''wesentliche Dienst'''e", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.<ref name=":0">MwN ''Eisenmenger'', Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).</ref>
Die für die RL zentrale „'''kritische Einrichtung'''“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat (MS) als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "'''wesentliche Dienste'''", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.<ref name=":0">MwN ''Eisenmenger'', Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).</ref>


Der Begriff der "'''kritischen Infrastruktur'''" ist hingegen anlagenbezogen zu verstehen.<ref name=":0" /> Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL).  
Der Begriff der "'''kritischen Infrastruktur'''" ist hingegen anlagenbezogen zu verstehen.<ref name=":0" /> Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL, vgl § 2 Z 5 RKEG-Entwurf).
 
Der Entwurf für das RKEG verweist bei der Definition des Anwendungsbereiches lapidar auf kritische Einrichtungen nach den im Anhang der CER-RL genannten Sektoren (§ 2 Abs 1 RKEG-Entwurf).  


=== Zeitlicher Anwendungsbereich ===
=== Zeitlicher Anwendungsbereich ===
Zeile 43: Zeile 81:


Art 11 CER-RL und Kapitel III (Art 12-16 CER-RL), IV (Art 17-18 CER-RL) und VI (Art 21-22 CER-RL) gelten nicht für gewisse kritische Einrichtungen in den Sektoren '''Bankwesen''', '''Finanzmarktinfrastrukturen''' und '''Digitale Infrastruktur''', wobei die MS nationale Vorschriften erlassen oder beibehalten können (Art 8 CER-RL).   
Art 11 CER-RL und Kapitel III (Art 12-16 CER-RL), IV (Art 17-18 CER-RL) und VI (Art 21-22 CER-RL) gelten nicht für gewisse kritische Einrichtungen in den Sektoren '''Bankwesen''', '''Finanzmarktinfrastrukturen''' und '''Digitale Infrastruktur''', wobei die MS nationale Vorschriften erlassen oder beibehalten können (Art 8 CER-RL).   
{| class="wikitable"
|+
!Hinweis:
|-
|Das RKEG gilt <u>nicht</u> für den Bereich der Gerichtbarkeit sowie der Gesetzgebung und die Österreichische Nationalbank (§ 1 Abs 3 RKEG-Entwurf).
|}
Um Überschneidungen zu vermeiden finden die Bestimmungen der CER-RL keine Anwendung, wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen von den Mitgliedstaaten den entsprechenden Verpflichtungen aus dieser Richtlinie '''als zumindest gleichwertig anerkannt sind''' (Art 1 Abs 3 CER-RL). 
In Umsetzung dieser Bestimmung hat der*die Bundesminister*in für Inneres auf der Homepage der*des Minister(s)*in über gleichwertige Bestimmungen und das Ausmaß der Gleichwertigkeit zu informieren (§ 18 Abs 1 RKEG-Entwurf). 


== Inhaltliche Aspekte ==
== Zentrale Inhalte ==


=== Nationaler Rahmen für die Resilienz kritischer Einrichtungen ===
=== Nationaler Rahmen für die Resilienz kritischer Einrichtungen ===
Zeile 65: Zeile 112:


Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu '''aktualisieren'''. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission '''mitzuteilen'''.
Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu '''aktualisieren'''. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission '''mitzuteilen'''.
Nach § 9 RKEG-Entwurf wird diese Strategie von dem*der Bundesminister*in für Inneres für die Bundesregierung vorbereitet und ist, wenn sie beschlossen ist, innerhalb von drei Monaten an den Nationalrat zu übermitteln.


==== Risikobewertung durch die MS (Art 5 CER-RL) ====
==== Risikobewertung durch die MS (Art 5 CER-RL) ====
Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss.  
Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss, zu verwenden (Art 5 Abs 1 CER-RL).  
 
Diese Auflistung ist mit der delegierten '''VO 2023/2450'''<ref>Delegierte VO (EU) 2023/2450 der Kommission vom 25. Juli 2023 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl L 2023/2450, 1.  </ref> erfolgt. 


Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.
Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.
Zeile 73: Zeile 124:
Bei Risikobewertungen durch MS müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.<ref>Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.</ref>  
Bei Risikobewertungen durch MS müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.<ref>Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.</ref>  


Die MS haben bei der Durchführung der Risikobewertung mindestens die
Die MS haben bei der Durchführung der Risikobewertung mindestens folgende Aspekte zu berücksichtigen (Art 5 Abs 2 CER-RL):


* '''allgemeine Risikobewertung''' (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
* '''allgemeine Risikobewertung''' (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
* sonstige entsprechende '''Risikobewertungen''', die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
* sonstige entsprechende '''Risikobewertungen''', die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
* die entsprechenden Risiken, die sich aus dem '''Ausmaß der Abhängigkeit''' zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
* die entsprechenden Risiken, die sich aus dem '''Ausmaß der Abhängigkeit''' zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger*innen und den Binnenmarkt;
* sämtliche '''gemeldeten Informationen''' über Sicherheitsvorfälle (nach Art 15 CER-RL)
* sämtliche '''gemeldeten Informationen''' über Sicherheitsvorfälle (nach Art 15 CER-RL)


Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, '''zur Verfügung zu stellen'''. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen.
Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, '''zur Verfügung zu stellen'''. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen (Art 5 Abs 3 CER-RL).


Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch MS hat ein MS der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu '''übermitteln''', aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.
Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch MS hat ein MS der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu '''übermitteln''', aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren (Art 5 Abs 4 CER-RL).
 
Art 5 CER-RL wird dabei primär durch § 10 RKEG-Entwurf zur "'''Risikoanalyse'''<ref>"'Risikoanalyse' [ist] der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt" (§ 3 Z 8 RKEG-Entwurf). </ref> durch den*die Bundesminister*in für Inneres umgesetzt.


==== Ermittlung kritischer Einrichtungen (Art 6 CER-RL) ====
==== Ermittlung kritischer Einrichtungen (Art 6 CER-RL) ====
Jeder MS muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).
Jeder MS muss bis 17. Juli 2025 die kritischen Einrichtungen '''ermitteln''' (Art 6 Abs 1 CER-RL).


Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die MS und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:
Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die MS und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:
Zeile 93: Zeile 146:
* ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken
* ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken


Dabei hat jeder MS eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu '''informieren''' (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für NIS-2 zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL). Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).
Dabei hat jeder MS eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu '''informieren''' (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für [[Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).  
 
Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).
 
In Umsetzung bestimmt § 11 Abs 1 RKEG-Entwurf, dass der*die Bundesminister*in für Inneres in den im Anhang der CER-RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen hat, wenn
 
* sie im Inland tätig sind
* sich deren kritische Infrastruktur im Inland befindet
* sie zumindest einen wesentlichen Dienst erbringen und
* ein Sicherheitsvorfall eintreten könnte.
{| class="wikitable"
|+
!Hinweis:
|-
|In Bezug auf den in Anhang Z 9 CER-RL genannten Sektor "'''öffentliche Verwaltung'''" (vgl Art 2 Z 10 CER-RL) sieht § 12 RKEG-Entwurf eine Sonderbestimmung für die Ermittlung von kritischen Einrichtungen im Sektor öffentliche Verwaltung vor, die sich ausschließlich an die Bundesverwaltung richtet.
|}


==== Erhebliche Störung (Art 7 CER-RL) ====
==== Erhebliche Störung (Art 7 CER-RL) ====
Bei der Bestimmung des '''Ausmaßes einer Störung''' haben die MS die folgenden Kriterien zu berücksichtigen:
Bei der Bestimmung des '''Ausmaßes einer Störung''' haben die MS die folgenden Kriterien zu berücksichtigen:


* die '''Zahl der Nutzer''', die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
* die '''Zahl der Nutzer*innen''', die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
* das '''Ausmaß der Abhängigkeit''' anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
* das '''Ausmaß der Abhängigkeit''' anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
* die '''möglichen Auswirkungen''' von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
* die '''möglichen Auswirkungen''' von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
Zeile 104: Zeile 172:
* das '''geografische Gebiet''', das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete<ref>Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.</ref> verbunden sind
* das '''geografische Gebiet''', das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete<ref>Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.</ref> verbunden sind
* die '''Bedeutung der Einrichtung''' für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes
* die '''Bedeutung der Einrichtung''' für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes
 
 
Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu '''übermitteln''':  
Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu '''übermitteln''':  


Zeile 113: Zeile 180:


Abschließend haben die MS die oben genannten Informationen im '''Bedarfsfall''', mindestens jedoch alle vier Jahre, zu übermitteln.
Abschließend haben die MS die oben genannten Informationen im '''Bedarfsfall''', mindestens jedoch alle vier Jahre, zu übermitteln.
Im Umsetzungsgesetz wird der*die Bundesminister*in für Inneres dazu verpflichtet, durch Verordnung nähere Regelungen zur Beurteilung festlegen, wann ein Sicherheitsvorfall die erhebliche Störung bei der Erbringung der wesentlichen Dienste bewirken würde (§ 11 Abs 2 RKEG-Entwurf).


=== Resilienz kritischer Einrichtungen ===
=== Resilienz kritischer Einrichtungen ===
Zeile 127: Zeile 196:


Sie hat dem Ausmaß der '''Abhängigkeit''' anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.
Sie hat dem Ausmaß der '''Abhängigkeit''' anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.
Dieser Artikel wird durch § 14 RKEG-Entwurf in nationales Recht umgesetzt, wobei die Risikoanalyse an den*die Bundesminister*in für Inneres zu übermitteln ist.


==== Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL) ====
==== Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL) ====
Die kritischen Einrichtungen haben auf Grundlage der Risikobewertungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen (Art 13 Abs 1 CER-RL).
Die kritischen Einrichtungen haben auf Grundlage der beiden Risikobewertungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen (Art 13 Abs 1 CER-RL).


Darunter fallen Maßnahmen, die erforderlich sind, um
Darunter fallen Maßnahmen, die erforderlich sind, um
Zeile 137: Zeile 208:
* auf '''Sicherheitsvorfälle zu reagieren''', sie '''abzuwehren''' und die Folgen solcher Vorfälle zu '''begrenzen''' (bspw Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen)
* auf '''Sicherheitsvorfälle zu reagieren''', sie '''abzuwehren''' und die Folgen solcher Vorfälle zu '''begrenzen''' (bspw Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen)
* nach Sicherheitsvorfällen die '''Wiederherstellung zu gewährleisten''' (zB Maßnahmen zur Aufrechterhalten des Betriebs; Ermittlung alternativer Lieferketten)
* nach Sicherheitsvorfällen die '''Wiederherstellung zu gewährleisten''' (zB Maßnahmen zur Aufrechterhalten des Betriebs; Ermittlung alternativer Lieferketten)
* ein angemessenes '''Sicherheitsmanagement hinsichtlich der Mitarbeiter''' zu gewährleisten (bspw Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt; Zugangsrechten; Zuverlässigkeitsprüfungen)
* ein angemessenes '''Sicherheitsmanagement hinsichtlich der Mitarbeitenden''' zu gewährleisten (bspw Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt; Zugangsrechten; Zuverlässigkeitsprüfungen)
* das entsprechende Personal für diese Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu '''sensibilisieren'''
* das entsprechende Personal für diese Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu '''sensibilisieren'''
Die Kommission wird dabei '''Leitlinien''' erlassen, die diese Maßnahmen weiter konkretisieren (Art 13 Abs 5 CER-RL). Ebenso wird die Kommission Durchführungsrechtsakte erlassen, um die '''technischen und methodischen Spezifikationen''' für die Anwendung der Maßnahmen festzulegen (Art 13 Abs 6 CER-RL).
Die Kommission wird dabei '''Leitlinien''' erlassen, die diese Maßnahmen weiter konkretisieren (Art 13 Abs 5 CER-RL). Ebenso wird die Kommission Durchführungsrechtsakte erlassen, um die '''technischen und methodischen Spezifikationen''' für die Anwendung der Maßnahmen festzulegen (Art 13 Abs 6 CER-RL).
Zeile 143: Zeile 214:
Die kritischen Einrichtungen müssen dabei über einen '''Resilienzplan''' oder ein gleichwertiges Dokument, in dem diese Maßnahmen beschrieben werden, verfügen und diesen anwenden (Art 13 Abs 2 CER-RL).  
Die kritischen Einrichtungen müssen dabei über einen '''Resilienzplan''' oder ein gleichwertiges Dokument, in dem diese Maßnahmen beschrieben werden, verfügen und diesen anwenden (Art 13 Abs 2 CER-RL).  


Als Ansprechpartner für die Behörden müssen die kritischen Einrichtungen auch einen '''Verbindungsbeauftragten''' oder eine Person mit vergleichbarer Aufgabenstellung benennen (Art 13 Abs 3 CER-RL).  
Als Ansprechpartner*in für die Behörden müssen die kritischen Einrichtungen auch eine*n '''Verbindungsbeauftragte*n''' oder eine Person mit vergleichbarer Aufgabenstellung benennen (Art 13 Abs 3 CER-RL).  


Auf Ersuchen des MS und mit Zustimmung der kritischen Einrichtung kann die Kommission auch Beratungsmissionen (Art 18 CER-RL) organisieren, um die kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen zu beraten (Art 13 Abs 4 CER-RL).
Auf Ersuchen des MS und mit Zustimmung der kritischen Einrichtung kann die Kommission auch Beratungsmissionen (Art 18 CER-RL) organisieren, um die kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen zu beraten (Art 13 Abs 4 CER-RL).
Dieser Artikel wird durch § 15 RKEG-Entwurf umgesetzt. Resilienzmaßnahmen sind erstmalig innerhalb von zehn Monaten nach bescheidmäßiger Einstufung zu treffen und in einem Resilienzplan darzulegen.


==== Zuverlässigkeitsüberprüfungen (Art 14 CER-RL) ====
==== Zuverlässigkeitsüberprüfungen (Art 14 CER-RL) ====
Zeile 157: Zeile 230:


Die Zuverlässigkeitsprüfungen müssen sich dabei mindestens der '''Identität der Person''', die einer Prüfung unterzogen wird, vergewissern und eine '''Strafregisterprüfung''' der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten (Art 14 Abs 3 CER-RL).
Die Zuverlässigkeitsprüfungen müssen sich dabei mindestens der '''Identität der Person''', die einer Prüfung unterzogen wird, vergewissern und eine '''Strafregisterprüfung''' der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten (Art 14 Abs 3 CER-RL).
Diese Bestimmung wird durch § 16 RKEG-Entwurf umgesetzt, der insbesondere die dafür notwendige Datenverarbeitung ausführlich konkretisiert (§ 16 Abs 2, 3 RKEG-Entwurf). Auch werden weitere Aspekte, die bei der Überprüfung zu berücksichtigen sind konkretisiert, bspw ob eine rechtkräftige Verurteilung für eine mit Vorsatz begangene gerichtliche strafbare Handlung vorliegt, ein Strafverfahren anhängig ist, gegen die Person ein Waffenverbot vorliegt oder ob die Person ein Naheverhältnis zu einer extremistischen oder terroristischen Gruppierung hat (§ 16 Abs 5 RKEG-Entwurf).


==== Meldung von Sicherheitsvorfällen (Art 15 CER-RL) ====
==== Meldung von Sicherheitsvorfällen (Art 15 CER-RL) ====
Zeile 165: Zeile 240:
Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:  
Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:  


* die Anzahl und der Anteil der von der Störung betroffenen '''Nutzer'''
* die Anzahl und der Anteil der von der Störung betroffenen '''Nutzer*innen'''
* die '''Dauer''' der Störung
* die '''Dauer''' der Störung
* das betroffene geographische '''Gebiet'''  
* das betroffene geographische '''Gebiet'''  
Zeile 176: Zeile 251:


So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung '''sachdienliche Folgeinformationen''', unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).  
So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung '''sachdienliche Folgeinformationen''', unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).  
Diese Meldepflichten werden durch § 17 RKEG-Entwurf in nationales Recht umgesetzt.                                   


Die MS '''informieren die Öffentlichkeit''', wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).
Die MS '''informieren die Öffentlichkeit''', wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).
§ 8 Abs 1 RKEG-Entwurf konkretisiert diese Veröffentlichung von Sicherheitsvorfällen, die nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung erfolgen kann, um die Öffentlichkeit über Sicherheitsvorfälle zu unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist oder die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.


=== Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind ===
=== Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind ===
Zeile 190: Zeile 269:


Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung '''mitgeteilt''', dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).
Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung '''mitgeteilt''', dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).
Diese Bestimmung wird durch § 19 RKEG-Entwurf in nationales Recht umgesetzt.


==== Beratungsmissionen (Art 18 CER-RL) ====
==== Beratungsmissionen (Art 18 CER-RL) ====
Auf '''Antrag eines MS''', der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).
Auf '''Antrag eines MS''', der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).


Unter Zustimmung des MS, er eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus '''eigenem Entschluss''' '''der Kommission''' oder '''Antrag''' '''eines/mehrerer MS''', für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).
Unter Zustimmung des MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus '''eigenem Entschluss''' '''der Kommission''' oder '''Antrag''' '''eines/mehrerer MS''', für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).


Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):
Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):
Zeile 201: Zeile 282:
* eine Auflistung der ergriffenen '''Resilienzmaßnahmen''' gem Art 13 CER-RL
* eine Auflistung der ergriffenen '''Resilienzmaßnahmen''' gem Art 13 CER-RL
* '''Aufsichts- oder Durchsetzungsmaßnahmen''', die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)
* '''Aufsichts- oder Durchsetzungsmaßnahmen''', die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)
Die Beratungsmission erstattet innerhalb von drei Monaten nach Abschluss über die Ergebnisse '''Bericht''' an die Kommission, den MS der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, und die MS, für die/in denen der wesentliche Dienst erbracht wird (Art 18 Abs 4 CER-RL).


== Behördenstruktur (Art 9, 10 CER-RL) ==
Dieser Bericht wird von den MS, für die der wesentliche Dienst erbracht wird, analysiert. Die MS '''beraten''' (erforderlichenfalls) die Kommission in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihren Verpflichtungen erfüllt und welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern.
 
Die Kommission teilt auf Grundlage dieser Ratschläge dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, den MS, für die/in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre '''Stellungnahme''' zur Frage, ob die kritische Einrichtung ihre Verpflichtungen erfüllt bzw welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern, mit.
 
Der MS, er eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt sicher, dass der Stellungnahme von der zuständigen Behörde und der kritischen Einrichtung (gebührend) '''Rechnung getragen wird''' und '''unterrichtet''' Kommission und andere MS, für die/in denen der wesentliche Dienst erbracht wird, über die ergriffenen Maßnahmen. 
 
Eine Beratungsmission '''setzt sich dabei''' 
 
* aus Sachverständigen der MS, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet
* aus Sachverständigen der MS, für die/in denen der wesentliche Dienst erbracht wird
* Vertreter*innen der Kommission
 
'''zusammen'''.
 
Diese MS können Kandidat*innen '''vorschlagen''', die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer '''fachlichen Eignung''' und, soweit möglich, unter Gewährleistung einer '''geografisch ausgewogenen Vertretung''' aus allen diesen MS aus und ernennt sie (Art 18 Abs 5 CER-RL).
 
Die Beratungsmission wird dabei in Zukunft noch durch einen '''Durchführungsrechtsakt''' der Kommission konkretisiert (Art 18 Abs 6 CER-RL).
 
Dabei muss von den MS sichergestellt werden, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen '''Zugang zu'''
 
* Informationen
* Systemen und
* Anlagen
 
im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind (Art 18 Abs 7 CER-RL).
 
Bei der Organisation sind Berichte über etwaige Inspektionen gem
 
* Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen
* Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002
* sowie über Überwachung gem Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen
die die Kommission durchgeführt hat, zu '''berücksichtigen''' (Art 18 Abs 9 CER-RL).
 
Die Kommission '''unterrichtet''' die Gruppe für die Resilienz kritischer Einrichtungen über die Organisation einer Beratungsmission (Art 18 Abs 10 CER-RL).
 
Diese Bestimmung wird durch § 19 Abs 3, 4 RKEG-Entwurf in nationales Recht umgesetzt.
 
== Behördenstruktur ==
 
=== Zuständige Behörden (Art 9 CER-RL) ===
Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).  
Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).  
{| class="wikitable"
|+
!Hinweis:
|-
|Zuständige Behörde und zugleich zentrale Anlaufstelle ist nach dem RKEG-Entwurf der*die Bundesminister*in für Inneres, wobei die Landespolizeidirektion mit der Durchführung einzelner Aufgaben beauftragt werden kann (§ 4 Abs 1, 3, 4 RKEG-Entwurf).
|}


=== Zentrale Anlaufstelle (Art 9 CER-RL) ===
Daneben haben MS eine '''zentrale Anlaufstelle''', die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen '''zusammenfassenden Bericht''' über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).  
Daneben haben MS eine '''zentrale Anlaufstelle''', die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen '''zusammenfassenden Bericht''' über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).  


Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu '''unterstützten''' (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).  
Nach § 4 Abs 4 RKEG-Entwurf ist der*die Bundesminister*in für Inneres die zentrale Anlaufstelle.
 
=== Unterstützung (Art 10 CER-RL) ===
Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu '''unterstützen''' (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).  
 
Diese Bestimmung wird durch § 13 RKEG-Entwurf umgesetzt.
 
=== Gruppe für die Resilienz kritischer Einrichtungen (Art 19 CER-RL) ===
Zur '''Unterstützung''' der Kommission und zur Erleichterung der '''Zusammenarbeit''' zwischen den MS bzw den '''Informationsaustausch''' wird eine sog Gruppe für die Resilienz kritischer Einrichtungen eingesetzt (Art 19 Abs 1 CER-RL).
 
Die Gruppe setzt sich aus '''Vertreter*innen''' der MS und der '''Kommission''', deren Vertreter*in den Vorsitz führt, zusammen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe entsprechende '''Interessenvertreter*innen''' zur Teilnahme einladen. Auf Ersuchen des Europäischen Parlaments können '''Sachverständige des Parlaments''' zur Teilnahme an den Sitzungen eingeladen werden (Art 19 Abs 2 CER-RL).
 
Die Gruppe hat dabei eine Reihe von '''Aufgaben''' (Art 19 Abs 3 CER-RL):
 
* Unterstützung der Kommission bei der Unterstützung der MS beim Ausbau ihrer Kapazitäten in Hinblick auf die Resilienz kritischer Einrichtungen
* Analyse der Strategien zur Ermittlung bewährter Verfahren
* Erleichterung des Austauschs bewährter Verfahren (Ermittlung kritischer Einrichtungen, grenzüberschreitende/sektorübergreifende Abhängigkeiten, Risiken, Sicherheitsvorfälle)
* Mitwirkung an Dokumenten über die Resilienz auf Unionsebene
* Mitwirkung an der Ausarbeitung von Leitlinien über erhebliche Störungen (Art 7 Abs 3 CER-RL) und Resilienzmaßnahmen (Art 13 Abs 5 CER-RL) und delegierten Rechtsakten/Durchführungsrechtsakten
* Analyse von zusammenfassenden Berichten der zentralen Anlaufstellen (Art 9 Abs 3 CER-RL)
* Austausch von bewährten Verfahren in Bezug auf die Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
* Erörterung der zusammenfassenden Berichte der Beratungsmission (Art 18 Abs 10 CER-RL)
* Austausch von Informationen und bewährten Verfahren (Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen)
* Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union
 
Die Gruppe hat dabei alle zwei Jahre ein '''Arbeitsprogramm''' mit den Maßnahmen zur Umsetzung ihrer Ziele und Aufgaben zu erstellen (Art 19 Abs 4 CER-RL).
 
Die Gruppe hat regelmäßig zu tagen. Mindestens einmal jährlich hat eine Tagung gemeinsam mit der Kooperationsgruppe nach der [[Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] stattzufinden (Art 19 Abs 5 CER-RL).
 
Die Kommission hat der Gruppe im Bedarfsfall, mindestens jedoch alle vier Jahre, einen '''zusammenfassenden Bericht''' über die von den MS übermittelten Informationen (Art 4 Abs 3, Art 5 Abs 4 CER-RL) zu übermitteln (Art 19 Abs 7 CER-RL). 
 
== Bedeutung von Normen und Standards (Art 16 CER-RL) ==
Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben,  die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).
 
== Synergien ==
 
=== NIS-2-RL ===
 
* Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für [[Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
* In Bezug auf Digitale Infrastruktur sind die nach NIS-2 zuständige Behörde zuständige Behörden (Art 9 Abs 1 CER-RL).
* In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch der nach der CER-RL zuständigen Behörde mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).
* Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der [[Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] zu tagen (Art 19 Abs 5 CER-RL).
 
=== DORA ===
 
* Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach [[Digital Operational Resilienec Act (DORA)|DORA]] bestimmte Behörde auch nach CER-RL zuständige Behörden (Art 9 Abs 1 CER-RL).
 
=== Schiffe, Hafenanlagen, Zivilluftfahrt ===


== Strafen/sonstige Konsequenzen (Art 21, 22 CER-RL) ==
* Bei der Organisation von Beratungsmissionen sind Berichte über etwaige Inspektionen und Überwachungen nach anderen Rechtsakten (Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen; Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002; Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen) zu berücksichtigen (Art 18 Abs 9 CER-RL).
 
== Sanktionen/sonstige Konsequenzen (Art 21, 22 CER-RL) ==
 
=== Allgemeines (Art 21 CER-RL) ===
Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über '''Befugnisse und Mittel''' verfügen, um  
Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über '''Befugnisse und Mittel''' verfügen, um  


Zeile 222: Zeile 402:
Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, '''Maßnahmen''' zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).
Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, '''Maßnahmen''' zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).


In Umsetzung dieser Bestimmungen ist der Bundesminister für Inneres ermächtigt, von kritischen Einrichtungen '''Nachweise für die Erfüllung der Anforderungen''' gemäß §§ 14, 15 RKEG-Entwurf sowie die Durchführung von '''Audits'''<ref>Die Audits werden dabei durch '''qualifizierte Stellen''', dh natürliche oder juristische Personen oder eingetragene Personengesellschaften, die aufgrund eines begründeten schriftlichen Antrags bescheidmäßig zur Durchführung von Audits berechtigt sind (§ 21 RKEG-Entwurf), durchgeführt.</ref> zu verlangen, wobei die erforderlichen Informationen dafür zu übermitteln sind (§ 20 Abs RKEG-Entwurf). 
Insbesondere Vor-Ort-Kontrollen werden durch § 20 Abs 3 RKEG-Entwurf näher konkretisiert. 
=== Sanktionen (Art 22 CER-RL) ===
Die CER-RL überlässt die Schaffung von Vorschriften für '''Sanktionen''' bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).
Die CER-RL überlässt die Schaffung von Vorschriften für '''Sanktionen''' bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).


== Verhältnis und Synergien zu anderen Rechtsakten ==
Die Verwaltungsstrafen werden daher durch § 22 RKEG-Entwurf umgesetzt und liegen in der Zuständigkeit der '''Bezirksverwaltungsbehörden'''. 


== Bedeutung von Normen und Standards (Art 16 CER-RL) ==
Eine mit einer '''Geldstrafe''' '''bis zu 50 000 Euro''', im Wiederholungsfall bis zu 100 000 Euro, verbundene Übertretung besteht bspw für die fehlende Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G)
Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).
 
Eine Nichtumsetzung der mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, und Verstöße gegen die Meldepflichten können mit einer '''Geldstrafe''' '''bis zu 7 Mio Euro''' bestraft werden (§ 22 Abs 2 RKEG-Entwurf). 
 
Geldstrafen können, unter gewissen Umständen, auch '''gegen juristische Personen''' oder eingetragene Personengesellschaften verhängt werden (§ 22 Abs 3, 4  RKEG-Entwurf).   
 
Werden Verpflichtungen durch Stellen der '''öffentlichen Verwaltung''' nicht eingehalten, ist die Nichteinhaltung mit Bescheid festzustellen sowie eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird dieser Zustand nicht fristgerecht hergestellt, ist die Nichteinhaltung der Verpflichtungen in einer allgemeinen Weise zu veröffentlichen (§ 23 RKEG-Entwurf).


== Weiterführende Literatur ==
== Weiterführende Literatur & Links ==


=== Überblicksartikel ===
=== Überblicksartikel ===
Zeile 239: Zeile 431:


* ''Dittrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
* ''Dittrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch<sup>2</sup> (2024, iE)
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch<sup>2</sup> (2024)
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch<sup>2</sup> (2023)
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch<sup>2</sup> (2023)


== Weiterführende Links ==
=== Links ===
 
* [https://www.onlinesicherheit.gv.at/Services/Initiativen-und-Angebote/Strategische-Infrastrukturen/Austrian-Program-for-Critical-Infrastructure-Protection-APCIP.html Austrian Program for Critical Infrastructure Protection (<abbr>APCIP</abbr>)]
* [https://www.onlinesicherheit.gv.at/Services/Initiativen-und-Angebote/Strategische-Infrastrukturen/Austrian-Program-for-Critical-Infrastructure-Protection-APCIP.html Austrian Program for Critical Infrastructure Protection (<abbr>APCIP</abbr>)]
* [https://www.wko.at/noe/wirtschaft/2024-05-praesentation-markus-mueller-rke.pdf ''Bundesministerium für Inneres (BMI)'', Richtlinie zur Resilienz Kritischer Einrichtungen (RKE). Krisenresilienz und Sicherheit für Unternehmen (Stand 29. 5. 2024)]
* [https://www.wko.at/noe/wirtschaft/2024-05-praesentation-markus-mueller-rke.pdf ''Bundesministerium für Inneres (BMI)'', Richtlinie zur Resilienz Kritischer Einrichtungen (RKE). Krisenresilienz und Sicherheit für Unternehmen (Stand 29. 5. 2024)]
== Einzelnachweise ==

Aktuelle Version vom 6. Februar 2025, 16:33 Uhr

Flagge der Europäischen Union

Richtlinie (EU) 2022/2557

Titel: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates
Kurztitel: Critical Entities‘ Resilience Directive/EU-Resilienz-Richtlinie
Bezeichnung:
(nicht amtlich) 		CER-RL
Geltungsbereich: EWR
Rechtsmaterie: Binnenmarkt, Cybersicherheit
Grundlage: AEUV, insbesondere Art. 114
Anzuwenden ab: 17. Oktober 2024 (Umsetzung, Fristverletzung)
Fundstelle: ABl L 2022/333, 164
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung muss aktuell in nationales Recht umgesetzt werden.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Kurzübersicht

Anwendungsbereich Zentrale Inhalte Synergien Strafen/Konsequenzen
kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen) Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS Sonderregelung Behördenzuständigkeit (DORA-Behörde) in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (Art 9 Abs 1 CER-RL) Aufsichtsbefugnisse der Behörden (Vor-Ort-Kontrolle, externe Aufsichtsmaßnahme, Audits) (Art 21 CER-RL)
kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich) Risikobewertung der Einrichtungen durch MS (Art 5 CER-RL) Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL). Informationszugangsrechte (Art 21 CER-RL)
Zeitlich: Umsetzungsfrist bis 17. Oktober 2024 Ermittlung kritischer Einrichtungen durch MS (Art 6 CER-RL) Sonderzuständigkeit (NIS-2-Behörde) in Bezug auf Digitale Infrastruktur (Art 9 Abs 1 CER-RL). Anweisung, konkrete Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 CER-RL)
Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur Risikobewertung durch kritische Einrichtung selbst (Art 12 CER-RL) Zusammenarbeit/Informationsaustausch in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen mit der NIS-2-Behörde (Art 9 Abs 6 CER-RL). Geldstrafen bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro, bei fehlender Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G)
Ergreifung von Resilienzmaßnahmen (Art 13 CER-RL) Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL zu tagen (Art 19 Abs 5 CER-RL). Geldstrafe bis zu 7 Mio Euro bei Nichtumsetzung einer mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, bzw Verstöße gegen die Meldepflichten (§ 22 Abs 2 RKEG-Entwurf).
Zuverlässigketisprüfungen (Art 14 CER-RL)
Meldepflichten für Sicherheitsvorfälle (Art 15 CER-RL)

Einführung

Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.[3] So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).

ErwGr 20 stellt fest, dass Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, weshalb in der CER-RL ein „gefahrenübergreifender“ Ansatz angewandt wird, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.

Hinweis:
Ein erster Entwurf für ein nationales Umsetzungsgesetz der CER-RL wurde, deutlich nach Ende der Umsetzungsfrist, unter dem Titel "Resilienz kritischer Einrichtungen-Gesetz" (im folgenden RKEG-Entwurf) im Dezember 2024 im Parlament in Begutachtung gegeben.[4]

Die Begutachtungsfrist endete mit 14. Jänner 2025. Derzeit ist dieser Gesetzgebungsprozess noch nicht abgeschlossen.

Anwendungsbereich

Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat (MS) als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "wesentliche Dienste", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.[5]

Der Begriff der "kritischen Infrastruktur" ist hingegen anlagenbezogen zu verstehen.[5] Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL, vgl § 2 Z 5 RKEG-Entwurf).

Der Entwurf für das RKEG verweist bei der Definition des Anwendungsbereiches lapidar auf kritische Einrichtungen nach den im Anhang der CER-RL genannten Sektoren (§ 2 Abs 1 RKEG-Entwurf).

Zeitlicher Anwendungsbereich

Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).

Ausnahmen

Art 11 CER-RL und Kapitel III (Art 12-16 CER-RL), IV (Art 17-18 CER-RL) und VI (Art 21-22 CER-RL) gelten nicht für gewisse kritische Einrichtungen in den Sektoren Bankwesen, Finanzmarktinfrastrukturen und Digitale Infrastruktur, wobei die MS nationale Vorschriften erlassen oder beibehalten können (Art 8 CER-RL).

Hinweis:
Das RKEG gilt nicht für den Bereich der Gerichtbarkeit sowie der Gesetzgebung und die Österreichische Nationalbank (§ 1 Abs 3 RKEG-Entwurf).

Um Überschneidungen zu vermeiden finden die Bestimmungen der CER-RL keine Anwendung, wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen von den Mitgliedstaaten den entsprechenden Verpflichtungen aus dieser Richtlinie als zumindest gleichwertig anerkannt sind (Art 1 Abs 3 CER-RL).

In Umsetzung dieser Bestimmung hat der*die Bundesminister*in für Inneres auf der Homepage der*des Minister(s)*in über gleichwertige Bestimmungen und das Ausmaß der Gleichwertigkeit zu informieren (§ 18 Abs 1 RKEG-Entwurf).

Zentrale Inhalte

Nationaler Rahmen für die Resilienz kritischer Einrichtungen

Strategien für die Resilienz kritischer Einrichtungen (Art 4 CER-RL)

Jeder MS hat (nach einer Konsultation) spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu verabschieden.

In dieser Strategie sind die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll.

Die Mindestelemente dieser Strategie sind dabei:

  • strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten
  • einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure
  • eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung (Artikel 5 CER-RL)
  • eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen
  • eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
  • eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern, die an der Umsetzung der Strategie beteiligt sind
  • einen politischen Rahmen für die Koordinierung zwischen den zuständigen Behörden und den gemäß der NIS-2-RL zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben
  • eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III CER-RL (Art 12 ff CER-RL) durch kleine und mittlere Unternehmen, die von den betreffenden MS als kritische Einrichtungen eingestuft wurden.

Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu aktualisieren. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission mitzuteilen.

Nach § 9 RKEG-Entwurf wird diese Strategie von dem*der Bundesminister*in für Inneres für die Bundesregierung vorbereitet und ist, wenn sie beschlossen ist, innerhalb von drei Monaten an den Nationalrat zu übermitteln.

Risikobewertung durch die MS (Art 5 CER-RL)

Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss, zu verwenden (Art 5 Abs 1 CER-RL).

Diese Auflistung ist mit der delegierten VO 2023/2450[6] erfolgt.

Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.

Bei Risikobewertungen durch MS müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.[7]

Die MS haben bei der Durchführung der Risikobewertung mindestens folgende Aspekte zu berücksichtigen (Art 5 Abs 2 CER-RL):

  • allgemeine Risikobewertung (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
  • sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
  • die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger*innen und den Binnenmarkt;
  • sämtliche gemeldeten Informationen über Sicherheitsvorfälle (nach Art 15 CER-RL)

Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung zu stellen. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen (Art 5 Abs 3 CER-RL).

Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch MS hat ein MS der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu übermitteln, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren (Art 5 Abs 4 CER-RL).

Art 5 CER-RL wird dabei primär durch § 10 RKEG-Entwurf zur "Risikoanalyse[8] durch den*die Bundesminister*in für Inneres umgesetzt.

Ermittlung kritischer Einrichtungen (Art 6 CER-RL)

Jeder MS muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).

Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die MS und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:

  • die Einrichtung erbringt einen/mehrere wesentliche Dienste
  • die Einrichtung ist im Hoheitsgebiet des MS tätig und ihre kritische Infrastruktur befindet sich dort
  • ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken

Dabei hat jeder MS eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu informieren (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).

Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).

In Umsetzung bestimmt § 11 Abs 1 RKEG-Entwurf, dass der*die Bundesminister*in für Inneres in den im Anhang der CER-RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen hat, wenn

  • sie im Inland tätig sind
  • sich deren kritische Infrastruktur im Inland befindet
  • sie zumindest einen wesentlichen Dienst erbringen und
  • ein Sicherheitsvorfall eintreten könnte.
Hinweis:
In Bezug auf den in Anhang Z 9 CER-RL genannten Sektor "öffentliche Verwaltung" (vgl Art 2 Z 10 CER-RL) sieht § 12 RKEG-Entwurf eine Sonderbestimmung für die Ermittlung von kritischen Einrichtungen im Sektor öffentliche Verwaltung vor, die sich ausschließlich an die Bundesverwaltung richtet.

Erhebliche Störung (Art 7 CER-RL)

Bei der Bestimmung des Ausmaßes einer Störung haben die MS die folgenden Kriterien zu berücksichtigen:

  • die Zahl der Nutzer*innen, die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
  • das Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
  • die möglichen Auswirkungen von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
  • den Marktanteil der Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste
  • das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete[9] verbunden sind
  • die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes

Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu übermitteln:

  • die Liste der wesentlichen Dienste in jenem MS, wenn es dort zusätzliche wesentliche Dienste im Vergleich zu der in Artikel 5 Absatz 1 genannten Liste wesentlicher Dienste gibt
  • die Zahl der ermittelten kritischen Einrichtungen für jeden im Anhang festgelegten Sektor und Teilsektor und für jeden wesentlichen Dienst
  • alle Schwellenwerte, die zur Spezifizierung eines oder mehrerer der oben genannten Kriterien angewandt werden

Abschließend haben die MS die oben genannten Informationen im Bedarfsfall, mindestens jedoch alle vier Jahre, zu übermitteln.

Im Umsetzungsgesetz wird der*die Bundesminister*in für Inneres dazu verpflichtet, durch Verordnung nähere Regelungen zur Beurteilung festlegen, wann ein Sicherheitsvorfall die erhebliche Störung bei der Erbringung der wesentlichen Dienste bewirken würde (§ 11 Abs 2 RKEG-Entwurf).

Resilienz kritischer Einrichtungen

Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)

MS haben sicherzustellen, dass kritische Einrichtungen

  • innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und
  • anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,

eine Risikobewertung auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.

Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem Sicherheitsvorfall führen könnten.[10]

Sie hat dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.

Dieser Artikel wird durch § 14 RKEG-Entwurf in nationales Recht umgesetzt, wobei die Risikoanalyse an den*die Bundesminister*in für Inneres zu übermitteln ist.

Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL)

Die kritischen Einrichtungen haben auf Grundlage der beiden Risikobewertungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen (Art 13 Abs 1 CER-RL).

Darunter fallen Maßnahmen, die erforderlich sind, um

  • das Auftreten von Sicherheitsvorfällen zu verhindern
  • einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten (zB Zäune, Sperren, Überwachung der Umgebung, Detektionsgeräte, Zugangskontrolle)
  • auf Sicherheitsvorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen (bspw Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen)
  • nach Sicherheitsvorfällen die Wiederherstellung zu gewährleisten (zB Maßnahmen zur Aufrechterhalten des Betriebs; Ermittlung alternativer Lieferketten)
  • ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten (bspw Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt; Zugangsrechten; Zuverlässigkeitsprüfungen)
  • das entsprechende Personal für diese Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu sensibilisieren

Die Kommission wird dabei Leitlinien erlassen, die diese Maßnahmen weiter konkretisieren (Art 13 Abs 5 CER-RL). Ebenso wird die Kommission Durchführungsrechtsakte erlassen, um die technischen und methodischen Spezifikationen für die Anwendung der Maßnahmen festzulegen (Art 13 Abs 6 CER-RL).

Die kritischen Einrichtungen müssen dabei über einen Resilienzplan oder ein gleichwertiges Dokument, in dem diese Maßnahmen beschrieben werden, verfügen und diesen anwenden (Art 13 Abs 2 CER-RL).

Als Ansprechpartner*in für die Behörden müssen die kritischen Einrichtungen auch eine*n Verbindungsbeauftragte*n oder eine Person mit vergleichbarer Aufgabenstellung benennen (Art 13 Abs 3 CER-RL).

Auf Ersuchen des MS und mit Zustimmung der kritischen Einrichtung kann die Kommission auch Beratungsmissionen (Art 18 CER-RL) organisieren, um die kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen zu beraten (Art 13 Abs 4 CER-RL).

Dieser Artikel wird durch § 15 RKEG-Entwurf umgesetzt. Resilienzmaßnahmen sind erstmalig innerhalb von zehn Monaten nach bescheidmäßiger Einstufung zu treffen und in einem Resilienzplan darzulegen.

Zuverlässigkeitsüberprüfungen (Art 14 CER-RL)

Kritische Einrichtungen können in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertung durch MS Anträge auf Zuverlässigkeitsprüfungen (Art 14 Abs 1 CER-RL) von Personen stellen, die

  • sensible Funktionen oder/zugunsten der kritischen Einrichtung innehaben
  • berechtigt sind, über direkten Zugriff/Fernzugriff auf Räumlichkeiten, Informationen oder Kontrollsysteme zu verfügen
  • für die Besetzung von Positionen, die unter die beiden oben genannten Kriterien fallen, in Betracht gezogen werden

Diese Anträge müssen innerhalb eines angemessenen Zeitrahmens geprüft und bearbeitet werden. Zuverlässigkeitsprüfungen müssen verhältnismäßige und auf das Notwendige beschränkt sein, dh ausschließlich zur Bewertung eines potenziellen Sicherheitsrisikos durchgeführt werden (Art 14 Abs 2 CER-RL).

Die Zuverlässigkeitsprüfungen müssen sich dabei mindestens der Identität der Person, die einer Prüfung unterzogen wird, vergewissern und eine Strafregisterprüfung der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten (Art 14 Abs 3 CER-RL).

Diese Bestimmung wird durch § 16 RKEG-Entwurf umgesetzt, der insbesondere die dafür notwendige Datenverarbeitung ausführlich konkretisiert (§ 16 Abs 2, 3 RKEG-Entwurf). Auch werden weitere Aspekte, die bei der Überprüfung zu berücksichtigen sind konkretisiert, bspw ob eine rechtkräftige Verurteilung für eine mit Vorsatz begangene gerichtliche strafbare Handlung vorliegt, ein Strafverfahren anhängig ist, gegen die Person ein Waffenverbot vorliegt oder ob die Person ein Naheverhältnis zu einer extremistischen oder terroristischen Gruppierung hat (§ 16 Abs 5 RKEG-Entwurf).

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Kritische Einrichtungen haben der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich zu melden (Art 15 Abs 1 CER-RL).

Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:

  • die Anzahl und der Anteil der von der Störung betroffenen Nutzer*innen
  • die Dauer der Störung
  • das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr MS oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann (Art 15 Abs 2 CER-RL).

Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener MS, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere MS oder in einem oder mehreren anderen MS hat oder haben könnte (Art 15 Abs 3 CER-RL).

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).

Diese Meldepflichten werden durch § 17 RKEG-Entwurf in nationales Recht umgesetzt.

Die MS informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).

§ 8 Abs 1 RKEG-Entwurf konkretisiert diese Veröffentlichung von Sicherheitsvorfällen, die nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung erfolgen kann, um die Öffentlichkeit über Sicherheitsvorfälle zu unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist oder die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.

Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind

Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind (Art 17 CER-RL)

Wenn folgende Kriterien erfüllt werden, gilt eine Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa (Art 17 Abs 1 CER-RL):

  • wenn sie als kritische Einrichtung gem Art 6 Abs 1 CER-RL eingestuft wurde
  • wenn sie für/in sechs oder mehr MS dieselben/ähnliche wesentliche Dienste erbringt
  • gemeldet wurde (siehe dazu unterhalb zu Art 17 Abs 3 CER-RL).

Nach der Mitteilung über die Einstufung als kritische Einrichtung (Art 6 Abs 3 CER-RL) hat die Einrichtung die Behörde zu informieren, wenn sie wesentliche Dienste für/in sechs oder mehr MS erbringt (welche wesentlichen Dienste in/für welche[n] MS). Die Identität solcher Einrichtungen ist auch der Kommission mitzuteilen. Die Kommission konsultiert betreffend der Einschätzung, ob es sich bei den Diensten, um wesentliche Dienste handelt, die zuständige Behörde, die die kritische Einrichtung ermittelt hat, die zuständige Behörde anderer betroffenen MS sowie die betreffende kritische Einrichtung. (Art 17 Abs 2 CER-RL).

Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung mitgeteilt, dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).

Diese Bestimmung wird durch § 19 RKEG-Entwurf in nationales Recht umgesetzt.

Beratungsmissionen (Art 18 CER-RL)

Auf Antrag eines MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).

Unter Zustimmung des MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus eigenem Entschluss der Kommission oder Antrag eines/mehrerer MS, für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).

Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):

  • die entsprechenden Teile der Risikobewertung durch kritische Einrichtungen
  • eine Auflistung der ergriffenen Resilienzmaßnahmen gem Art 13 CER-RL
  • Aufsichts- oder Durchsetzungsmaßnahmen, die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)

Die Beratungsmission erstattet innerhalb von drei Monaten nach Abschluss über die Ergebnisse Bericht an die Kommission, den MS der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, und die MS, für die/in denen der wesentliche Dienst erbracht wird (Art 18 Abs 4 CER-RL).

Dieser Bericht wird von den MS, für die der wesentliche Dienst erbracht wird, analysiert. Die MS beraten (erforderlichenfalls) die Kommission in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihren Verpflichtungen erfüllt und welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern.

Die Kommission teilt auf Grundlage dieser Ratschläge dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, den MS, für die/in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre Stellungnahme zur Frage, ob die kritische Einrichtung ihre Verpflichtungen erfüllt bzw welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern, mit.

Der MS, er eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt sicher, dass der Stellungnahme von der zuständigen Behörde und der kritischen Einrichtung (gebührend) Rechnung getragen wird und unterrichtet Kommission und andere MS, für die/in denen der wesentliche Dienst erbracht wird, über die ergriffenen Maßnahmen.

Eine Beratungsmission setzt sich dabei

  • aus Sachverständigen der MS, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet
  • aus Sachverständigen der MS, für die/in denen der wesentliche Dienst erbracht wird
  • Vertreter*innen der Kommission

zusammen.

Diese MS können Kandidat*innen vorschlagen, die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer fachlichen Eignung und, soweit möglich, unter Gewährleistung einer geografisch ausgewogenen Vertretung aus allen diesen MS aus und ernennt sie (Art 18 Abs 5 CER-RL).

Die Beratungsmission wird dabei in Zukunft noch durch einen Durchführungsrechtsakt der Kommission konkretisiert (Art 18 Abs 6 CER-RL).

Dabei muss von den MS sichergestellt werden, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen Zugang zu

  • Informationen
  • Systemen und
  • Anlagen

im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind (Art 18 Abs 7 CER-RL).

Bei der Organisation sind Berichte über etwaige Inspektionen gem

  • Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen
  • Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002
  • sowie über Überwachung gem Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen

die die Kommission durchgeführt hat, zu berücksichtigen (Art 18 Abs 9 CER-RL).

Die Kommission unterrichtet die Gruppe für die Resilienz kritischer Einrichtungen über die Organisation einer Beratungsmission (Art 18 Abs 10 CER-RL).

Diese Bestimmung wird durch § 19 Abs 3, 4 RKEG-Entwurf in nationales Recht umgesetzt.

Behördenstruktur

Zuständige Behörden (Art 9 CER-RL)

Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).

Hinweis:
Zuständige Behörde und zugleich zentrale Anlaufstelle ist nach dem RKEG-Entwurf der*die Bundesminister*in für Inneres, wobei die Landespolizeidirektion mit der Durchführung einzelner Aufgaben beauftragt werden kann (§ 4 Abs 1, 3, 4 RKEG-Entwurf).

Zentrale Anlaufstelle (Art 9 CER-RL)

Daneben haben MS eine zentrale Anlaufstelle, die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen zusammenfassenden Bericht über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).

Nach § 4 Abs 4 RKEG-Entwurf ist der*die Bundesminister*in für Inneres die zentrale Anlaufstelle.

Unterstützung (Art 10 CER-RL)

Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu unterstützen (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).

Diese Bestimmung wird durch § 13 RKEG-Entwurf umgesetzt.

Gruppe für die Resilienz kritischer Einrichtungen (Art 19 CER-RL)

Zur Unterstützung der Kommission und zur Erleichterung der Zusammenarbeit zwischen den MS bzw den Informationsaustausch wird eine sog Gruppe für die Resilienz kritischer Einrichtungen eingesetzt (Art 19 Abs 1 CER-RL).

Die Gruppe setzt sich aus Vertreter*innen der MS und der Kommission, deren Vertreter*in den Vorsitz führt, zusammen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe entsprechende Interessenvertreter*innen zur Teilnahme einladen. Auf Ersuchen des Europäischen Parlaments können Sachverständige des Parlaments zur Teilnahme an den Sitzungen eingeladen werden (Art 19 Abs 2 CER-RL).

Die Gruppe hat dabei eine Reihe von Aufgaben (Art 19 Abs 3 CER-RL):

  • Unterstützung der Kommission bei der Unterstützung der MS beim Ausbau ihrer Kapazitäten in Hinblick auf die Resilienz kritischer Einrichtungen
  • Analyse der Strategien zur Ermittlung bewährter Verfahren
  • Erleichterung des Austauschs bewährter Verfahren (Ermittlung kritischer Einrichtungen, grenzüberschreitende/sektorübergreifende Abhängigkeiten, Risiken, Sicherheitsvorfälle)
  • Mitwirkung an Dokumenten über die Resilienz auf Unionsebene
  • Mitwirkung an der Ausarbeitung von Leitlinien über erhebliche Störungen (Art 7 Abs 3 CER-RL) und Resilienzmaßnahmen (Art 13 Abs 5 CER-RL) und delegierten Rechtsakten/Durchführungsrechtsakten
  • Analyse von zusammenfassenden Berichten der zentralen Anlaufstellen (Art 9 Abs 3 CER-RL)
  • Austausch von bewährten Verfahren in Bezug auf die Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
  • Erörterung der zusammenfassenden Berichte der Beratungsmission (Art 18 Abs 10 CER-RL)
  • Austausch von Informationen und bewährten Verfahren (Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen)
  • Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union

Die Gruppe hat dabei alle zwei Jahre ein Arbeitsprogramm mit den Maßnahmen zur Umsetzung ihrer Ziele und Aufgaben zu erstellen (Art 19 Abs 4 CER-RL).

Die Gruppe hat regelmäßig zu tagen. Mindestens einmal jährlich hat eine Tagung gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL stattzufinden (Art 19 Abs 5 CER-RL).

Die Kommission hat der Gruppe im Bedarfsfall, mindestens jedoch alle vier Jahre, einen zusammenfassenden Bericht über die von den MS übermittelten Informationen (Art 4 Abs 3, Art 5 Abs 4 CER-RL) zu übermitteln (Art 19 Abs 7 CER-RL).

Bedeutung von Normen und Standards (Art 16 CER-RL)

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Synergien

NIS-2-RL

  • Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
  • In Bezug auf Digitale Infrastruktur sind die nach NIS-2 zuständige Behörde zuständige Behörden (Art 9 Abs 1 CER-RL).
  • In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch der nach der CER-RL zuständigen Behörde mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).
  • Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL zu tagen (Art 19 Abs 5 CER-RL).

DORA

  • Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde auch nach CER-RL zuständige Behörden (Art 9 Abs 1 CER-RL).

Schiffe, Hafenanlagen, Zivilluftfahrt

  • Bei der Organisation von Beratungsmissionen sind Berichte über etwaige Inspektionen und Überwachungen nach anderen Rechtsakten (Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen; Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002; Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen) zu berücksichtigen (Art 18 Abs 9 CER-RL).

Sanktionen/sonstige Konsequenzen (Art 21, 22 CER-RL)

Allgemeines (Art 21 CER-RL)

Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über Befugnisse und Mittel verfügen, um

  • Vor-Ort-Kontrollen
  • externe Aufsichtsmaßnahmen
  • Audits

durchzuführen bzw anzuordnen (Aufsichtsmaßnahmen) (Art 21 Abs 1 CER-RL).

Zuständige Behörden können dabei die Übermittlung von Informationen zur Beurteilung, ob die Maßnahmen zur Gewährleistung der Resilienz den Anforderungen entsprechen, und Nachweisen der wirksamen Umsetzung dieser Maßnahmen (einschließlich der Ergebnisse eines externen Audits) verlangen (Art 21 Abs 2 CER-RL).

Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).


In Umsetzung dieser Bestimmungen ist der Bundesminister für Inneres ermächtigt, von kritischen Einrichtungen Nachweise für die Erfüllung der Anforderungen gemäß §§ 14, 15 RKEG-Entwurf sowie die Durchführung von Audits[11] zu verlangen, wobei die erforderlichen Informationen dafür zu übermitteln sind (§ 20 Abs RKEG-Entwurf).

Insbesondere Vor-Ort-Kontrollen werden durch § 20 Abs 3 RKEG-Entwurf näher konkretisiert.

Sanktionen (Art 22 CER-RL)

Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Die Verwaltungsstrafen werden daher durch § 22 RKEG-Entwurf umgesetzt und liegen in der Zuständigkeit der Bezirksverwaltungsbehörden.

Eine mit einer Geldstrafe bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro, verbundene Übertretung besteht bspw für die fehlende Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G).

Eine Nichtumsetzung der mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, und Verstöße gegen die Meldepflichten können mit einer Geldstrafe bis zu 7 Mio Euro bestraft werden (§ 22 Abs 2 RKEG-Entwurf).

Geldstrafen können, unter gewissen Umständen, auch gegen juristische Personen oder eingetragene Personengesellschaften verhängt werden (§ 22 Abs 3, 4 RKEG-Entwurf).

Werden Verpflichtungen durch Stellen der öffentlichen Verwaltung nicht eingehalten, ist die Nichteinhaltung mit Bescheid festzustellen sowie eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird dieser Zustand nicht fristgerecht hergestellt, ist die Nichteinhaltung der Verpflichtungen in einer allgemeinen Weise zu veröffentlichen (§ 23 RKEG-Entwurf).

Weiterführende Literatur & Links

Überblicksartikel

  • Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203
  • Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881

Sammelwerke

  • Dittrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
  • Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024)
  • Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)

Links

Einzelnachweise

  1. Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen (vgl § 3 Z 2 RKEG-Entwurf).
  2. „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit. Abweichend spricht § 2 Z 3 des Entwurfes für das RKEG von einem "Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsrechtlichen Grundprinzipien".
  3. Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
  4. Parlament Österreich, Resilienz kritischer Einrichtungen-Gesetz – RKEG (1/ME), https://www.parlament.gv.at/gegenstand/XXVIII/ME/1?selectedStage=100 (abgerufen 22. 1. 2025).
  5. 5,0 5,1 MwN Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).
  6. Delegierte VO (EU) 2023/2450 der Kommission vom 25. Juli 2023 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl L 2023/2450, 1.
  7. Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.
  8. "'Risikoanalyse' [ist] der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt" (§ 3 Z 8 RKEG-Entwurf).
  9. Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.
  10. Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.
  11. Die Audits werden dabei durch qualifizierte Stellen, dh natürliche oder juristische Personen oder eingetragene Personengesellschaften, die aufgrund eines begründeten schriftlichen Antrags bescheidmäßig zur Durchführung von Audits berechtigt sind (§ 21 RKEG-Entwurf), durchgeführt.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Critical_Entities‘_Resilience_Directive_(CER)&oldid=2398