Critical Entities‘ Resilience Directive (CER)
Kurztitel: Critical Entities‘ Resilience Directive (CER)
Umsetzungsgesetz: Bisher noch nicht veröffentlicht
Kurzübersicht
Einführung
Durch die CER-RL soll die Widerstandsfähigkeit kritischer Einrichtungen gegen verschiedene Gefahren verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren (zB Naturkatastrophen, terroristische Anschläge oder Sabotage) erfasst sind.[1]
Anwendungsbereich
Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL).
Inhaltliche Aspekte
Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
Die MS müssen sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.
Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter gemessen:
- die Anzahl und der Anteil der von der Störung betroffenen Nutzer
- die Dauer der Störung
- das betroffene geographische Gebiet
Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission zu melden.
Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.
So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.
Strafen/sonstige Konsequenzen
Verhältnis und Synergien zu anderen Rechtsakten
Konsequenzen/Strafen
Bedeutung von Normen und Standards
Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).
Weiterführende Literatur
Weiterführende Links
- ↑ Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
