Critical Entities‘ Resilience Directive (CER): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 63: Zeile 63:


== Strafen/sonstige Konsequenzen ==
== Strafen/sonstige Konsequenzen ==
Die CER-RL verlässt die Schaffung von Vorschriften für '''Sanktionen''' bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).


== Verhältnis und Synergien zu anderen Rechtsakten ==
== Verhältnis und Synergien zu anderen Rechtsakten ==

Version vom 5. August 2024, 13:28 Uhr

Langtitel: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates

Kurztitel: Critical Entities‘ Resilience Directive (CER)

Umsetzungsgesetz: Bisher noch nicht veröffentlicht

Kurzübersicht

Einführung

Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren (zB Naturkatastrophen, terroristische Anschläge oder Sabotage) erfasst sind.[3]

Anwendungsbereich

Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL).

Zeitlicher Anwendungsbereich

Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).

Inhaltliche Aspekte

Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)

(1)   Ungeachtet der in Artikel 6 Absatz 3 Unterabsatz 2 festgelegten Frist, stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen innerhalb von neun Monaten nach Erhalt der in Artikel 6 Absatz 3 genannten Mitteilung und anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikobewertung auf der Grundlage der Risikobewertungen durch Mitgliedstaaten und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste (im Folgenden „Risikobewertung durch kritische Einrichtungen“) stören könnten.

(2)   Die Risikobewertung durch kritische Einrichtungen trägt allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung, die zu einem Sicherheitsvorfall führen könnten, einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541. Eine Risikobewertung durch kritische Einrichtungen trägt dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, Rechnung.

Hat eine kritische Einrichtung aufgrund von Verpflichtungen aus anderen Rechtsakten, die für ihre Risikobewertung durch kritische Einrichtungen relevant sind, andere Risikobewertungen vorgenommen oder Dokumente erstellt, so kann sie diese Bewertungen und Dokumente verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde eine bestehende Risikobewertung, die von einer kritischen Einrichtung durchgeführt wurde, die sich mit den in Unterabsatz 1 genannten Risiken und dem Ausmaß der Abhängigkeit befasst, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Die MS müssen sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter gemessen:

  • die Anzahl und der Anteil der von der Störung betroffenen Nutzer
  • die Dauer der Störung
  • das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.

Strafen/sonstige Konsequenzen

Die CER-RL verlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Verhältnis und Synergien zu anderen Rechtsakten

Konsequenzen/Strafen

Bedeutung von Normen und Standards

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Weiterführende Literatur

Weiterführende Links

  1. Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.
  2. „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
  3. Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Critical_Entities‘_Resilience_Directive_(CER)&oldid=240