Critical Entities‘ Resilience Directive (CER)

Aus RI Wiki
Zur Navigation springenZur Suche springen

Langtitel: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates

Kurztitel: Critical Entities‘ Resilience Directive (CER)

Umsetzungsgesetz: Bisher noch nicht veröffentlicht

Kurzübersicht

Einführung

Durch die CER-RL soll die Resilienz,[1] das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen Sicherheitsvorfälle[2] verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren (zB Naturkatastrophen, terroristische Anschläge oder Sabotage) erfasst sind.[3]

Anwendungsbereich

Die für die RL zentrale „kritische Einrichtung“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL).

Zeitlicher Anwendungsbereich

Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).

Inhaltliche Aspekte

Nationaler Rahmen für die Resilienz kritischer Einrichtungen

Strategien für die Resilienz kritischer Einrichtungen (Art 4 CER-RL)

xxxx

Risikobewertung durch die Mitgliedstaaten (Art 5 CER-RL)

Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss.

Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.

Bei Risikobewertungen durch Mitgliedstaaten müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.[4]

Die MS haben bei der Durchführung der Risikobewertung mindestens die

  • allgemeine Risikobewertung (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
  • sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
  • die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;
  • sämtliche gemeldeten Informationen über Sicherheitsvorfälle (nach Art 15 CER-RL)

Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung zu stellen. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen.

Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch Mitgliedstaaten hat ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu übermitteln, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.

Ermittlung kritischer Einrichtungen (Ar 6 CER-RL)

xxxx

Erhebliche Störung (Art 7 CER-RL)

xxxx

Resilienz kritischer Einrichtungen

Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL)

MS haben sicherzustellen, dass kritische Einrichtungen

  • innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und
  • anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,

eine Risikobewertung auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.

Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem Sicherheitsvorfall führen könnten.[5]

Sie hat dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Die MS müssen sicherstellen, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter gemessen:

  • die Anzahl und der Anteil der von der Störung betroffenen Nutzer
  • die Dauer der Störung
  • das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.

Strafen/sonstige Konsequenzen

Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Verhältnis und Synergien zu anderen Rechtsakten

Konsequenzen/Strafen

Bedeutung von Normen und Standards

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Weiterführende Literatur

Weiterführende Links

  1. Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen.
  2. „Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
  3. Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
  4. Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.
  5. Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Critical_Entities‘_Resilience_Directive_(CER)&oldid=245