Critical Entities‘ Resilience Directive (CER): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
Zeile 80: Zeile 80:
Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch Mitgliedstaaten hat ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu '''übermitteln''', aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.
Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch Mitgliedstaaten hat ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu '''übermitteln''', aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.


==== Ermittlung kritischer Einrichtungen (Ar 6 CER-RL) ====
==== Ermittlung kritischer Einrichtungen (Art 6 CER-RL) ====
Jeder Mitgliedstaat muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).
Jeder Mitgliedstaat muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).



Version vom 7. Oktober 2024, 13:59 Uhr

Langtitel: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates

Kurztitel: Critical Entities‘ Resilience Directive (CER)/EU-Resilienz-Richtlinie = im Folgenden CER-RL

Umsetzungsgesetz: Bisher noch nicht veröffentlicht

Kurzübersicht

Einführung

Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.[3] So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).

Anwendungsbereich

Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "wesentliche Dienste", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.[4]

Der Begriff der "kritischen Infrastruktur" ist hingegen anlagenbezogen zu verstehen.[4] Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL).

Zeitlicher Anwendungsbereich

Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).

Inhaltliche Aspekte

Nationaler Rahmen für die Resilienz kritischer Einrichtungen

Strategien für die Resilienz kritischer Einrichtungen (Art 4 CER-RL)

Jeder MS hat (nach einer Konsultation) spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu verabschieden.

In dieser Strategie sind die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll.

Die Mindestelemente dieser Strategie sind dabei:

  • strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten
  • einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure
  • eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung (Artikel 5 CER-RL)
  • eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen
  • eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
  • eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern, die an der Umsetzung der Strategie beteiligt sind
  • einen politischen Rahmen für die Koordinierung zwischen den zuständigen Behörden und den gemäß der NIS-2-RL zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben
  • eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III CER-RL (Art 12 ff CER-RL) durch kleine und mittlere Unternehmen, die von den betreffenden Mitgliedstaaten als kritische Einrichtungen eingestuft wurden.

Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu aktualisieren. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission mitzuteilen.

Risikobewertung durch die Mitgliedstaaten (Art 5 CER-RL)

Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss.

Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.

Bei Risikobewertungen durch Mitgliedstaaten müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.[5]

Die MS haben bei der Durchführung der Risikobewertung mindestens die

  • allgemeine Risikobewertung (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
  • sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
  • die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
  • sämtliche gemeldeten Informationen über Sicherheitsvorfälle (nach Art 15 CER-RL)

Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung zu stellen. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen.

Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch Mitgliedstaaten hat ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu übermitteln, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.

Ermittlung kritischer Einrichtungen (Art 6 CER-RL)

Jeder Mitgliedstaat muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).

Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die Mitgliedstaaten und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:

  • die Einrichtung erbringt einen/mehrere wesentliche Dienste
  • die Einrichtung ist im Hoheitsgebiet des Mitgliedstaats tätig und ihre kritische Infrastruktur befindet sich dort
  • ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken

Dabei hat jeder Mitgliedstaat eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu informieren (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für NIS-2 zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL). Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).

Erhebliche Störung (Art 7 CER-RL)

Bei der Bestimmung des Ausmaßes einer Störung haben die Mitgliedstaaten die folgenden Kriterien zu berücksichtigen:

  • die Zahl der Nutzer, die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
  • das Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
  • die möglichen Auswirkungen von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
  • den Marktanteil der Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste
  • das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete[6] verbunden sind
  • die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes


Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu übermitteln:

  • die Liste der wesentlichen Dienste in jenem MS, wenn es dort zusätzliche wesentliche Dienste im Vergleich zu der in Artikel 5 Absatz 1 genannten Liste wesentlicher Dienste gibt
  • die Zahl der ermittelten kritischen Einrichtungen für jeden im Anhang festgelegten Sektor und Teilsektor und für jeden wesentlichen Dienst
  • alle Schwellenwerte, die zur Spezifizierung eines oder mehrerer der oben genannten Kriterien angewandt werden

Abschließend haben die MS die oben genannten Informationen im Bedarfsfall, mindestens jedoch alle vier Jahre, zu übermitteln.

Resilienz kritischer Einrichtungen

Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)

MS haben sicherzustellen, dass kritische Einrichtungen

  • innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und
  • anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,

eine Risikobewertung auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.

Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem Sicherheitsvorfall führen könnten.[7]

Sie hat dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.

Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL)

xxxxx

Zuverlässigkeitsüberprüfungen (Art 14 CER-RL)

xxxxx

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Die MS müssen sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter gemessen:

  • die Anzahl und der Anteil der von der Störung betroffenen Nutzer
  • die Dauer der Störung
  • das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.

Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind

Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind (Art 17 CER-RL)

xxxxx

Beratungsmissionen (Art 18 CER-RL)

xxxxxx

Strafen/sonstige Konsequenzen

Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Verhältnis und Synergien zu anderen Rechtsakten

Konsequenzen/Strafen

Bedeutung von Normen und Standards

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Weiterführende Literatur

Überblicksartikel

  • Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203

Sammelwerke

  • Dittrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
  • Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE)
  • Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)

Weiterführende Links

  1. Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.
  2. „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
  3. Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
  4. 4,0 4,1 MwN Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).
  5. Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.
  6. Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.
  7. Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.