Critical Entities‘ Resilience Directive (CER)
Kurztitel: Critical Entities‘ Resilience Directive (CER)
Umsetzungsgesetz: Bisher noch nicht veröffentlicht
Kurzübersicht
Einführung
Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren (zB Naturkatastrophen, terroristische Anschläge oder Sabotage) erfasst sind.[3]
Anwendungsbereich
Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL).
Zeitlicher Anwendungsbereich
Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).
Inhaltliche Aspekte
Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)
MS haben sicherzustellen, dass kritische Einrichtungen
- innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und
- anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,
eine Risikobewertung auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.
Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem Sicherheitsvorfall führen könnten.[4]
Sie hat dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.
Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
Die MS müssen sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.
Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter gemessen:
- die Anzahl und der Anteil der von der Störung betroffenen Nutzer
- die Dauer der Störung
- das betroffene geographische Gebiet
Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission zu melden.
Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.
So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.
Strafen/sonstige Konsequenzen
Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).
Verhältnis und Synergien zu anderen Rechtsakten
Konsequenzen/Strafen
Bedeutung von Normen und Standards
Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).
Weiterführende Literatur
Weiterführende Links
- ↑ Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.
- ↑ „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
- ↑ Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
- ↑ Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.
