Critical Entities‘ Resilience Directive (CER): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 10: Zeile 10:
!Anwendungsbereich
!Anwendungsbereich
!Inhaltliche Aspekte
!Inhaltliche Aspekte
!
!Strafen/Konsequenzen
!
!
|-
|-
|kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen)
|kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen)
|Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS
|Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS
|Aufsichtsbefugnisse der Behörden (Vor-Ort-Kontrolle, externe Aufsichtsmaßnahme, Audits) (Art 21 CER-RL)
Informationszugangsrechte (Art 21 CER-RL)
Anweisung, konkrete Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 CER-RL)
Schaffung von Vorschriften für Sanktionen primär den MS überlassen (Art 22 CER-RL)
|
|-
|kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich)
|Risikobewertung der Einrichtungen durch MS (Art 5 CER-RL)
|
|
|-
|Zeitlich: Umsetzungsfrist bis 17. Oktober 2024
|Ermittlung kritischer Einrichtungen durch MS (Art 6 CER-RL)
|
|
|-
|Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur
|Risikobewertung durch kritische Einrichtung selbst (Art 12 CER-RL)
|
|
|
|
|-
|-
|kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich)
|
|
|Ergreifung von Resilienzmaßnahmen (Art 13 CER-RL)
|
|
|
|
|-
|-
|Zeitlich: Umsetzungsfrist bis 17. Oktober 2024
|
|
|Zuverlässigketisprüfungen (Art 14 CER-RL)
|
|
|
|
|-
|-
|Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur
|
|
|Meldepflichten für Sicherheitsvorfälle (Art 15 CER-RL)
|
|
|
|

Version vom 11. Oktober 2024, 09:57 Uhr

Langtitel: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates

Kurztitel: Critical Entities‘ Resilience Directive (CER)/EU-Resilienz-Richtlinie = im Folgenden CER-RL

Umsetzungsgesetz: Bisher noch nicht veröffentlicht. Entwurf nicht verfügbar.

Kurzübersicht

Anwendungsbereich Inhaltliche Aspekte Strafen/Konsequenzen
kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen) Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS Aufsichtsbefugnisse der Behörden (Vor-Ort-Kontrolle, externe Aufsichtsmaßnahme, Audits) (Art 21 CER-RL)

Informationszugangsrechte (Art 21 CER-RL)

Anweisung, konkrete Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 CER-RL)

Schaffung von Vorschriften für Sanktionen primär den MS überlassen (Art 22 CER-RL)

kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich) Risikobewertung der Einrichtungen durch MS (Art 5 CER-RL)
Zeitlich: Umsetzungsfrist bis 17. Oktober 2024 Ermittlung kritischer Einrichtungen durch MS (Art 6 CER-RL)
Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur Risikobewertung durch kritische Einrichtung selbst (Art 12 CER-RL)
Ergreifung von Resilienzmaßnahmen (Art 13 CER-RL)
Zuverlässigketisprüfungen (Art 14 CER-RL)
Meldepflichten für Sicherheitsvorfälle (Art 15 CER-RL)

Einführung

Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.[3] So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).

Anwendungsbereich

Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat (MS) als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "wesentliche Dienste", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.[4]

Der Begriff der "kritischen Infrastruktur" ist hingegen anlagenbezogen zu verstehen.[4] Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL).

Zeitlicher Anwendungsbereich

Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).

Ausnahmen

Art 11 CER-RL und Kapitel III (Art 12-16 CER-RL), IV (Art 17-18 CER-RL) und VI (Art 21-22 CER-RL) gelten nicht für gewisse kritische Einrichtungen in den Sektoren Bankwesen, Finanzmarktinfrastrukturen und Digitale Infrastruktur, wobei die MS nationale Vorschriften erlassen oder beibehalten können (Art 8 CER-RL).

Inhaltliche Aspekte

Nationaler Rahmen für die Resilienz kritischer Einrichtungen

Strategien für die Resilienz kritischer Einrichtungen (Art 4 CER-RL)

Jeder MS hat (nach einer Konsultation) spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu verabschieden.

In dieser Strategie sind die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll.

Die Mindestelemente dieser Strategie sind dabei:

  • strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten
  • einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure
  • eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung (Artikel 5 CER-RL)
  • eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen
  • eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
  • eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern, die an der Umsetzung der Strategie beteiligt sind
  • einen politischen Rahmen für die Koordinierung zwischen den zuständigen Behörden und den gemäß der NIS-2-RL zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben
  • eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III CER-RL (Art 12 ff CER-RL) durch kleine und mittlere Unternehmen, die von den betreffenden MS als kritische Einrichtungen eingestuft wurden.

Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu aktualisieren. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission mitzuteilen.

Risikobewertung durch die MS (Art 5 CER-RL)

Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss.

Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.

Bei Risikobewertungen durch MS müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.[5]

Die MS haben bei der Durchführung der Risikobewertung mindestens die

  • allgemeine Risikobewertung (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
  • sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
  • die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
  • sämtliche gemeldeten Informationen über Sicherheitsvorfälle (nach Art 15 CER-RL)

Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung zu stellen. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen.

Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch MS hat ein MS der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu übermitteln, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.

Ermittlung kritischer Einrichtungen (Art 6 CER-RL)

Jeder MS muss bis 17. Juli 2025 die kritischen Einrichtungen ermitteln (Art 6 Abs 1 CER-RL).

Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die MS und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:

  • die Einrichtung erbringt einen/mehrere wesentliche Dienste
  • die Einrichtung ist im Hoheitsgebiet des MS tätig und ihre kritische Infrastruktur befindet sich dort
  • ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken

Dabei hat jeder MS eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu informieren (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).

Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).

Erhebliche Störung (Art 7 CER-RL)

Bei der Bestimmung des Ausmaßes einer Störung haben die MS die folgenden Kriterien zu berücksichtigen:

  • die Zahl der Nutzer, die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
  • das Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
  • die möglichen Auswirkungen von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
  • den Marktanteil der Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste
  • das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete[6] verbunden sind
  • die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes

Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu übermitteln:

  • die Liste der wesentlichen Dienste in jenem MS, wenn es dort zusätzliche wesentliche Dienste im Vergleich zu der in Artikel 5 Absatz 1 genannten Liste wesentlicher Dienste gibt
  • die Zahl der ermittelten kritischen Einrichtungen für jeden im Anhang festgelegten Sektor und Teilsektor und für jeden wesentlichen Dienst
  • alle Schwellenwerte, die zur Spezifizierung eines oder mehrerer der oben genannten Kriterien angewandt werden

Abschließend haben die MS die oben genannten Informationen im Bedarfsfall, mindestens jedoch alle vier Jahre, zu übermitteln.

Resilienz kritischer Einrichtungen

Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)

MS haben sicherzustellen, dass kritische Einrichtungen

  • innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und
  • anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,

eine Risikobewertung auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.

Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem Sicherheitsvorfall führen könnten.[7]

Sie hat dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.

Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL)

Die kritischen Einrichtungen haben auf Grundlage der Risikobewertungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen (Art 13 Abs 1 CER-RL).

Darunter fallen Maßnahmen, die erforderlich sind, um

  • das Auftreten von Sicherheitsvorfällen zu verhindern
  • einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten (zB Zäune, Sperren, Überwachung der Umgebung, Detektionsgeräte, Zugangskontrolle)
  • auf Sicherheitsvorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen (bspw Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen)
  • nach Sicherheitsvorfällen die Wiederherstellung zu gewährleisten (zB Maßnahmen zur Aufrechterhalten des Betriebs; Ermittlung alternativer Lieferketten)
  • ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten (bspw Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt; Zugangsrechten; Zuverlässigkeitsprüfungen)
  • das entsprechende Personal für diese Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu sensibilisieren

Die Kommission wird dabei Leitlinien erlassen, die diese Maßnahmen weiter konkretisieren (Art 13 Abs 5 CER-RL). Ebenso wird die Kommission Durchführungsrechtsakte erlassen, um die technischen und methodischen Spezifikationen für die Anwendung der Maßnahmen festzulegen (Art 13 Abs 6 CER-RL).

Die kritischen Einrichtungen müssen dabei über einen Resilienzplan oder ein gleichwertiges Dokument, in dem diese Maßnahmen beschrieben werden, verfügen und diesen anwenden (Art 13 Abs 2 CER-RL).

Als Ansprechpartner für die Behörden müssen die kritischen Einrichtungen auch einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung benennen (Art 13 Abs 3 CER-RL).

Auf Ersuchen des MS und mit Zustimmung der kritischen Einrichtung kann die Kommission auch Beratungsmissionen (Art 18 CER-RL) organisieren, um die kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen zu beraten (Art 13 Abs 4 CER-RL).

Zuverlässigkeitsüberprüfungen (Art 14 CER-RL)

Kritische Einrichtungen können in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertung durch MS Anträge auf Zuverlässigkeitsprüfungen (Art 14 Abs 1 CER-RL) von Personen stellen, die

  • sensible Funktionen oder/zugunsten der kritischen Einrichtung innehaben
  • berechtigt sind, über direkten Zugriff/Fernzugriff auf Räumlichkeiten, Informationen oder Kontrollsysteme zu verfügen
  • für die Besetzung von Positionen, die unter die beiden oben genannten Kriterien fallen, in Betracht gezogen werden

Diese Anträge müssen innerhalb eines angemessenen Zeitrahmens geprüft und bearbeitet werden. Zuverlässigkeitsprüfungen müssen verhältnismäßige und auf das Notwendige beschränkt sein, dh ausschließlich zur Bewertung eines potenziellen Sicherheitsrisikos durchgeführt werden (Art 14 Abs 2 CER-RL).

Die Zuverlässigkeitsprüfungen müssen sich dabei mindestens der Identität der Person, die einer Prüfung unterzogen wird, vergewissern und eine Strafregisterprüfung der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten (Art 14 Abs 3 CER-RL).

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Kritische Einrichtungen haben der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich zu melden (Art 15 Abs 1 CER-RL).

Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:

  • die Anzahl und der Anteil der von der Störung betroffenen Nutzer
  • die Dauer der Störung
  • das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr MS oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann (Art 15 Abs 2 CER-RL).

Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener MS, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere MS oder in einem oder mehreren anderen MS hat oder haben könnte (Art 15 Abs 3 CER-RL).

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).

Die MS informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).

Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind

Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind (Art 17 CER-RL)

Wenn folgende Kriterien erfüllt werden, gilt eine Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa (Art 17 Abs 1 CER-RL):

  • wenn sie als kritische Einrichtung gem Art 6 Abs 1 CER-RL eingestuft wurde
  • wenn sie für/in sechs oder mehr MS dieselben/ähnliche wesentliche Dienste erbringt
  • gemeldet wurde (siehe dazu unterhalb zu Art 17 Abs 3 CER-RL).

Nach der Mitteilung über die Einstufung als kritische Einrichtung (Art 6 Abs 3 CER-RL) hat die Einrichtung die Behörde zu informieren, wenn sie wesentliche Dienste für/in sechs oder mehr MS erbringt (welche wesentlichen Dienste in/für welche[n] MS). Die Identität solcher Einrichtungen ist auch der Kommission mitzuteilen. Die Kommission konsultiert betreffend der Einschätzung, ob es sich bei den Diensten, um wesentliche Dienste handelt, die zuständige Behörde, die die kritische Einrichtung ermittelt hat, die zuständige Behörde anderer betroffenen MS sowie die betreffende kritische Einrichtung. (Art 17 Abs 2 CER-RL).

Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung mitgeteilt, dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).

Beratungsmissionen (Art 18 CER-RL)

Auf Antrag eines MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).

Unter Zustimmung des MS, er eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus eigenem Entschluss der Kommission oder Antrag eines/mehrerer MS, für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).

Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):

  • die entsprechenden Teile der Risikobewertung durch kritische Einrichtungen
  • eine Auflistung der ergriffenen Resilienzmaßnahmen gem Art 13 CER-RL
  • Aufsichts- oder Durchsetzungsmaßnahmen, die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)

Die Beratungsmission erstattet innerhalb von drei Monaten nach Abschluss über die Ergebnisse Bericht an die Kommission, den MS der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, und die MS, für die/in denen der wesentliche Dienst erbracht wird (Art 18 Abs 4 CER-RL).

Dieser Bericht wird von den MS, für die der wesentliche Dienst erbracht wird, analysiert. Die MS beraten (erforderlichenfalls) die Kommission in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihren Verpflichtungen erfüllt und welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern.

Die Kommission teilt auf Grundlage dieser Ratschläge dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, den MS, für die/in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre Stellungnahme zur Frage, ob die kritische Einrichtung ihre Verpflichtungen erfüllt bzw welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern, mit.

Der MS, er eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt sicher, dass der Stellungnahme von der zuständigen Behörde und der kritischen Einrichtung (gebührend) Rechnung getragen wird und unterrichtet Kommission und andere MS, für die/in denen der wesentliche Dienst erbracht wird, über die ergriffenen Maßnahmen.

Eine Beratungsmission setzt sich dabei

  • aus Sachverständigen der MS, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet
  • aus Sachverständigen der MS, für die/in denen der wesentliche Dienst erbracht wird
  • Vertretern der Kommission

zusammen.

Diese MS können Kandidaten vorschlagen, die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer fachlichen Eignung und, soweit möglich, unter Gewährleistung einer geografisch ausgewogenen Vertretung aus allen diesen MS aus und ernennt sie (Art 18 Abs 5 CER-RL).

Die Beratungsmission wird dabei in Zukunft noch durch einen Durchführungsrechtsakt der Kommission konkretisiert (Art 18 Abs 6 CER-RL).

Dabei muss von den MS sichergestellt werden, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen Zugang zu

  • Informationen
  • Systemen und
  • Anlagen

im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind (Art 18 Abs 7 CER-RL).

Bei der Organisation sind Berichte über etwaige Inspektionen gem

  • Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen
  • Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002
  • sowie über Überwachung gem Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen

die die Kommission durchgeführt hat, zu berücksichtigen (Art 18 Abs 9 CER-RL).

Die Kommission unterrichtet die Gruppe für die Resilienz kritischer Einrichtungen über die Organisation einer Beratungsmission (Art 18 Abs 10 CER-RL).

Behördenstruktur

Zuständige Behörden (Art 9 CER-RL)

Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).

Zentrale Anlaufstelle (Art 9 CER-RL)

Daneben haben MS eine zentrale Anlaufstelle, die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen zusammenfassenden Bericht über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).

Unterstützung (Art 10 CER-RL)

Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu unterstützen (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).

Gruppe für die Resilienz kritischer Einrichtungen (Art 19 CER-RL)

Zur Unterstützung der Kommission und zur Erleichterung der Zusammenarbeit zwischen den MS bzw den Informationsaustausch wird eine sog Gruppe für die Resilienz kritischer Einrichtungen eingesetzt (Art 19 Abs 1 CER-RL).

Die Gruppe setzt sich aus Vertretern der MS und der Kommission, der den Vorsitz führt, zusammen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe entsprechende Interessenvertreter zur Teilnahme einladen. Auf Ersuchen des Europäischen Parlaments können Sachverständige des Parlaments zur Teilnahme an den Sitzungen eingeladen werden (Art 19 Abs 2 CER-RL).

Die Gruppe hat dabei eine Reihe von Aufgaben (Art 19 Abs 3 CER-RL):

  • Unterstützung der Kommission bei der Unterstützung der MS beim Ausbau ihrer Kapazitäten in Hinblick auf die Resilienz kritischer Einrichtungen
  • Analyse der Strategien zur Ermittlung bewährter Verfahren
  • Erleichterung des Austauschs bewährter Verfahren (Ermittlung kritischer Einrichtungen, grenzüberschreitende/sektorübergreifende Abhängigkeiten, Risiken, Sicherheitsvorfälle)
  • Mitwirkung an Dokumenten über die Resilienz auf Unionsebene
  • Mitwirkung an der Ausarbeitung von Leitlinien über erhebliche Störungen (Art 7 Abs 3 CER-RL) und Resilienzmaßnahmen (Art 13 Abs 5 CER-RL) und delegierten Rechtsakten/Durchführungsrechtsakten
  • Analyse von zusammenfassenden Berichten der zentralen Anlaufstellen (Art 9 Abs 3 CER-RL)
  • Austausch von bewährten Verfahren in Bezug auf die Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
  • Erörterung der zusammenfassenden Berichte der Beratungsmission (Art 18 Abs 10 CER-RL)
  • Austausch von Informationen und bewährten Verfahren (Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen)
  • Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union

Die Gruppe hat dabei alle zwei Jahre ein Arbeitsprogramm mit den Maßnahmen zur Umsetzung ihrer Ziele und Aufgaben zu erstellen (Art 19 Abs 4 CER-RL).

Die Gruppe hat regelmäßig zu tagen. Mindestens einmal jährlich hat eine Tagung gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL stattzufinden (Art 19 Abs 5 CER-RL).

Die Kommission hat der Gruppe im Bedarfsfall, mindestens jedoch alle vier Jahre, einen zusammenfassenden Bericht über die von den MS übermittelten Informationen (Art 4 Abs 3, Art 5 Abs 4 CER-RL) zu übermitteln (Art 19 Abs 7 CER-RL).

Strafen/sonstige Konsequenzen (Art 21, 22 CER-RL)

Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über Befugnisse und Mittel verfügen, um

  • Vor-Ort-Kontrollen
  • externe Aufsichtsmaßnahmen
  • Audits

durchzuführen bzw anzuordnen (Aufsichtsmaßnahmen) (Art 21 Abs 1 CER-RL).

Zuständige Behörden können dabei die Übermittlung von Informationen zur Beurteilung, ob die Maßnahmen zur Gewährleistung der Resilienz den Anforderungen entsprechen, und Nachweisen der wirksamen Umsetzung dieser Maßnahmen (einschließlich der Ergebnisse eines externen Audits) verlangen (Art 21 Abs 2 CER-RL).

Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).

Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Verhältnis und Synergien zu anderen Rechtsakten

NIS-2-RL

Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).

in Bezug auf Digitale Infrastruktur sind die nach NIS-2 zuständige Behörde zuständige Behörden (Art 9 Abs 1 CER-RL).

In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch der nach der CER-RL zuständigen Behörde mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).

Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL zu tagen (Art 19 Abs 5 CER-RL).

DORA

Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde auch nach CER-RL zuständige Behörden (Art 9 Abs 1 CER-RL).

Schiffe, Hafenanlagen, Zivilluftfahrt

Bei der Organisation von Beratungsmissionen sind Berichte über etwaige Inspektionen und Überwachungen nach anderen Rechtsakten (Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen; Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002; Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen) zu berücksichtigen (Art 18 Abs 9 CER-RL).

Bedeutung von Normen und Standards (Art 16 CER-RL)

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Weiterführende Literatur

Überblicksartikel

  • Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203
  • Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881

Sammelwerke

  • Dittrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
  • Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch2 (2024, iE)
  • Kipker (Hrsg), Cybersecurity. Rechtshandbuch2 (2023)

Weiterführende Links

  1. Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.
  2. „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
  3. Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
  4. 4,0 4,1 MwN Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).
  5. Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.
  6. Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.
  7. Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Critical_Entities‘_Resilience_Directive_(CER)&oldid=814