Übersetzungen exportieren

Einstellungen

Gruppe

Sprache

Format

Für die Offline-Übersetzung exportieren

Im systemeigenen Format exportieren

Im CSV-Format exportieren

<languages/>
{{Infobox Rechtsakt (EU)|Typ=Richtlinie|Jahr=2022|Nummer=2557|Vertrag=EU|EWR=ja|Titel=Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates|Kurztitel=Critical Entities‘ Resilience Directive/EU-Resilienz-Richtlinie|Bezeichnung=CER-RL|Rechtsmaterie=Binnenmarkt, Cybersicherheit|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}
<div lang="de" dir="ltr" class="mw-content-ltr">
|Fundstelle=ABl L 2022/333, 164|Anzuwenden=17. Oktober 2024 (Umsetzung, Fristverletzung)|Gültig=umsetzung}}
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Kurzübersicht ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
{| class="wikitable"
|+
!Anwendungsbereich
!Zentrale Inhalte
!Synergien
!Strafen/Konsequenzen
!
|-
|kritische Einrichtungen (Unternehmen, die wesentliche Dienste erbringen)
|Verabschiedung einer Strategie für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) durch MS
|Sonderregelung Behördenzuständigkeit (DORA-Behörde) in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen  (Art 9 Abs 1 CER-RL)
|Aufsichtsbefugnisse der Behörden (Vor-Ort-Kontrolle, externe Aufsichtsmaßnahme, Audits) (Art 21 CER-RL)
|
|-
|kritische Infrastruktur (für Erbringung eines wesentlichen Dienstes erforderlich)
|Risikobewertung der Einrichtungen durch MS (Art 5 CER-RL)
|Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
|Informationszugangsrechte (Art 21 CER-RL)
|
|-
|Zeitlich: Umsetzungsfrist bis 17. Oktober 2024
|Ermittlung kritischer Einrichtungen durch MS (Art 6 CER-RL)
|Sonderzuständigkeit (NIS-2-Behörde) in Bezug auf Digitale Infrastruktur (Art 9 Abs 1 CER-RL).
|Anweisung, konkrete Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 CER-RL)
|
|-
|Ausnahmen: Bankwesen Finanzmarktinfrastruktur, Digitale Infrastruktur
|Risikobewertung durch kritische Einrichtung selbst (Art 12 CER-RL)
|Zusammenarbeit/Informationsaustausch in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen mit der NIS-2-Behörde (Art 9 Abs 6 CER-RL).
|Geldstrafen bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro, bei fehlender Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G)
|
|-
|
|Ergreifung von Resilienzmaßnahmen (Art 13 CER-RL)
|Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] zu tagen (Art 19 Abs 5 CER-RL).
|Geldstrafe bis zu 7 Mio Euro bei Nichtumsetzung einer mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, bzw Verstöße gegen die Meldepflichten (§ 22 Abs 2 RKEG-Entwurf).
|
|-
|
|Zuverlässigketisprüfungen (Art 14 CER-RL)
|
|
|
|-
|
|Meldepflichten für Sicherheitsvorfälle (Art 15 CER-RL)
|
|
|
|}
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Einführung ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Durch die CER-RL soll die '''Resilienz''',<ref>Nach Art 2 Z 2 CER-RL bezeichnet „Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen (vgl § 3 Z 2 RKEG-Entwurf).</ref> das heißt die Widerstandsfähigkeit, kritischer Einrichtungen gegen '''Sicherheitsvorfälle'''<ref>„Sicherheitsvorfall“ bezeichnet nach Art 2 Z 3 CER-RL ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Abweichend spricht § 2 Z 3 des Entwurfes für das RKEG von einem "Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsrechtlichen Grundprinzipien".</ref> verbessert werden, wobei nicht nur "digitale", sondern auch "analoge" Gefahren erfasst sind.<ref>''Škorjanc'', Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.</ref> So spricht ErwGr 3 von einer "dynamische Bedrohungslage" , dh "die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren". Weiters bestünde "ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel". Neben der Resilienz kritischer Einrichtungen soll ihre Fähigkeit zur Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, verbessert werden (Art 1 Abs 1 lit a, b CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
ErwGr 20 stellt fest, dass Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, weshalb in der CER-RL ein „gefahrenübergreifender“ Ansatz angewandt wird, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst. 
{| class="wikitable"
|+
!Hinweis:
|-
|Ein erster Entwurf für ein nationales Umsetzungsgesetz der CER-RL wurde, deutlich nach Ende der Umsetzungsfrist, unter dem Titel "Resilienz kritischer Einrichtungen-Gesetz" (im folgenden '''RKEG-Entwurf)''' im Dezember 2024 im Parlament in Begutachtung gegeben.<ref>''Parlament Österreich'', Resilienz kritischer Einrichtungen-Gesetz – RKEG (1/ME), https://www.parlament.gv.at/gegenstand/XXVIII/ME/1?selectedStage=100 (abgerufen 22. 1. 2025).</ref> 
Die Begutachtungsfrist endete mit 14. Jänner 2025. 
Derzeit ist dieser Gesetzgebungsprozess noch nicht abgeschlossen.
|}
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Anwendungsbereich ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die für die RL zentrale „'''kritische Einrichtung'''“ ist eine öffentliche oder private Einrichtung, die ein Mitgliedstaat (MS) als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat (Art 2 Z 1 CER-RL). Es handelt sich dabei im wesentlichen um Unternehmen, die "'''wesentliche Dienste'''", dh Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (Art 2 Z 5 CER-RL.<ref name=":0">MwN ''Eisenmenger'', Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).</ref>
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Der Begriff der "'''kritischen Infrastruktur'''" ist hingegen anlagenbezogen zu verstehen.<ref name=":0" /> Es handelt sich dabei um "Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind" (Art 2 Z 4 CER-RL, vgl § 2 Z 5 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Der Entwurf für das RKEG verweist bei der Definition des Anwendungsbereiches lapidar auf kritische Einrichtungen nach den im Anhang der CER-RL genannten Sektoren (§ 2 Abs 1 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Zeitlicher Anwendungsbereich ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die für die Umsetzung der CER-RL erforderlichen Vorschriften sind bis zum 17. Oktober 2024 zu erlassen und zu veröffentlichen. Diese Vorschriften sind dann ab dem 18. Oktober 2024 anzuwenden (Art 26 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
'''Ausnahmen'''
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Art 11 CER-RL und Kapitel III (Art 12-16 CER-RL), IV (Art 17-18 CER-RL) und VI (Art 21-22 CER-RL) gelten nicht für gewisse kritische Einrichtungen in den Sektoren '''Bankwesen''', '''Finanzmarktinfrastrukturen''' und '''Digitale Infrastruktur''', wobei die MS nationale Vorschriften erlassen oder beibehalten können (Art 8 CER-RL).  
{| class="wikitable"
|+
!Hinweis:
|-
|Das RKEG gilt <u>nicht</u> für den Bereich der Gerichtbarkeit sowie der Gesetzgebung und die Österreichische Nationalbank (§ 1 Abs 3 RKEG-Entwurf).
|}
Um Überschneidungen zu vermeiden finden die Bestimmungen der CER-RL keine Anwendung, wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen von den Mitgliedstaaten den entsprechenden Verpflichtungen aus dieser Richtlinie '''als zumindest gleichwertig anerkannt sind''' (Art 1 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
In Umsetzung dieser Bestimmung hat der*die Bundesminister*in für Inneres auf der Homepage der*des Minister(s)*in über gleichwertige Bestimmungen und das Ausmaß der Gleichwertigkeit zu informieren (§ 18 Abs 1 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Zentrale Inhalte ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Nationaler Rahmen für die Resilienz kritischer Einrichtungen ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Strategien für die Resilienz kritischer Einrichtungen (Art 4 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Jeder MS hat (nach einer Konsultation) spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen zu verabschieden.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
In dieser Strategie sind die '''strategischen Ziele und politischen Maßnahmen''' festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die '''Mindestelemente''' dieser Strategie sind dabei:
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten
* einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure
* eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung (Artikel 5 CER-RL)
* eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen
* eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
* eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern, die an der Umsetzung der Strategie beteiligt sind
* einen politischen Rahmen für die Koordinierung zwischen den zuständigen Behörden und den gemäß der NIS-2-RL zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben
* eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III CER-RL (Art 12 ff CER-RL) durch kleine und mittlere Unternehmen, die von den betreffenden MS als kritische Einrichtungen eingestuft wurden.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS haben diese Strategie (nach Konsultation) mindestens alle vier Jahre zu '''aktualisieren'''. Die Strategien und Aktualisierungen sind dabei innerhalb von drei Monaten nach Verabschiedung der Kommission '''mitzuteilen'''.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Nach § 9 RKEG-Entwurf wird diese Strategie von dem*der Bundesminister*in für Inneres für die Bundesregierung vorbereitet und ist, wenn sie beschlossen ist, innerhalb von drei Monaten an den Nationalrat zu übermitteln.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Risikobewertung durch die MS (Art 5 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Kommission hat die Befugnis delegierte Rechtsakte zu erlassen, um die CER-RL durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Diese Liste ist von den zuständigen Behörden für die Zwecke einer Risikobewertung, die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt werden muss, zu verwenden (Art 5 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Auflistung ist mit der delegierten '''VO 2023/2450'''<ref>Delegierte VO (EU) 2023/2450 der Kommission vom 25. Juli 2023 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl L 2023/2450, 1.  </ref> erfolgt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die zuständigen Behörden verwenden diese Risikobewertungen, um kritische Einrichtungen zu ermitteln und diese bei der Ergreifung von Maßnahmen zu unterstützen.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Bei Risikobewertungen durch MS müssen die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt werden.<ref>Darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.</ref>
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS haben bei der Durchführung der Risikobewertung mindestens folgende Aspekte zu berücksichtigen (Art 5 Abs 2 CER-RL):
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* '''allgemeine Risikobewertung''' (nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU)
* sonstige entsprechende '''Risikobewertungen''', die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, durchgeführt werden
* die entsprechenden Risiken, die sich aus dem '''Ausmaß der Abhängigkeit''' zwischen den im Anhang genannten Sektoren ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger*innen und den Binnenmarkt;
* sämtliche '''gemeldeten Informationen''' über Sicherheitsvorfälle (nach Art 15 CER-RL)
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS haben die entsprechenden Elemente der Risikobewertungen den kritischen Einrichtungen, gegebenenfalls über ihre zentralen Anlaufstellen, '''zur Verfügung zu stellen'''. Die MS haben außerdem sicherzustellen, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen (Artikel 12 CER-RL) und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz (Artikel 13 CER-RL) unterstützen (Art 5 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Innerhalb von drei Monaten nach Durchführung einer solchen Risikobewertung durch MS hat ein MS der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen zu '''übermitteln''', aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren (Art 5 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Art 5 CER-RL wird dabei primär durch § 10 RKEG-Entwurf zur "'''Risikoanalyse'''<ref>"'Risikoanalyse' [ist] der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt" (§ 3 Z 8 RKEG-Entwurf). </ref> durch den*die Bundesminister*in für Inneres umgesetzt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Ermittlung kritischer Einrichtungen (Art 6 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Jeder MS muss bis 17. Juli 2025 die kritischen Einrichtungen '''ermitteln''' (Art 6 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Bei der Ermittlung hat er die Ergebnisse der Risikobewertung durch die MS und seine Strategie zu berücksichtigen. Art 6 Abs 2 CER-RL listet drei Kriterien für die Ermittlung:
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* die Einrichtung erbringt einen/mehrere wesentliche Dienste
* die Einrichtung ist im Hoheitsgebiet des MS tätig und ihre kritische Infrastruktur befindet sich dort
* ein Sicherheitsvorfall würde eine erhebliche Störung bei der Erbringung eines oder mehrerer wesentlicher Dienste bewirken durch die Einrichtung oder von abhängigen Einrichtungen bewirken
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Dabei hat jeder MS eine Liste der kritischen Einrichtungen zu erstellen und die kritischen Einrichtungen innerhalb eines Monats nach der Ermittlung über diese Einstufung und ihre Verpflichtungen zu '''informieren''' (Art 6 Abs 3 CER-RL). Die Identität dieser Einrichtungen ist auch der für [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Liste ist dabei mindestens alle vier Jahre zu überprüfen und gegebenenfalls zu aktualisieren (Art 6 Abs 5 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
In Umsetzung bestimmt § 11 Abs 1 RKEG-Entwurf, dass der*die Bundesminister*in für Inneres in den im Anhang der CER-RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen hat, wenn
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* sie im Inland tätig sind
* sich deren kritische Infrastruktur im Inland befindet
* sie zumindest einen wesentlichen Dienst erbringen und
* ein Sicherheitsvorfall eintreten könnte. 
{| class="wikitable"
|+
!Hinweis:
|-
|In Bezug auf den in Anhang Z 9 CER-RL genannten Sektor "'''öffentliche Verwaltung'''" (vgl Art 2 Z 10 CER-RL) sieht § 12 RKEG-Entwurf eine Sonderbestimmung für die Ermittlung von kritischen Einrichtungen im Sektor öffentliche Verwaltung vor, die sich ausschließlich an die Bundesverwaltung richtet.
|}
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Erhebliche Störung (Art 7 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Bei der Bestimmung des '''Ausmaßes einer Störung''' haben die MS die folgenden Kriterien zu berücksichtigen:
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* die '''Zahl der Nutzer*innen''', die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen
* das '''Ausmaß der Abhängigkeit''' anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst
* die '''möglichen Auswirkungen''' von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung
* den '''Marktanteil''' der Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste
* das '''geografische Gebiet''', das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete<ref>Zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete.</ref> verbunden sind
* die '''Bedeutung der Einrichtung''' für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes
 
Jeder MS hat der Kommission nach der Ermittlung der kritischen Einrichtungen (Art 6 Abs 1 CER-RL) unverzüglich folgende Informationen zu '''übermitteln''':
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* die Liste der wesentlichen Dienste in jenem MS, wenn es dort zusätzliche wesentliche Dienste im Vergleich zu der in Artikel 5 Absatz 1 genannten Liste wesentlicher Dienste gibt
* die Zahl der ermittelten kritischen Einrichtungen für jeden im Anhang festgelegten Sektor und Teilsektor und für jeden wesentlichen Dienst
* alle Schwellenwerte, die zur Spezifizierung eines oder mehrerer der oben genannten Kriterien angewandt werden
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Abschließend haben die MS die oben genannten Informationen im '''Bedarfsfall''', mindestens jedoch alle vier Jahre, zu übermitteln.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Im Umsetzungsgesetz wird der*die Bundesminister*in für Inneres dazu verpflichtet, durch Verordnung nähere Regelungen zur Beurteilung festlegen, wann ein Sicherheitsvorfall die erhebliche Störung bei der Erbringung der wesentlichen Dienste bewirken würde (§ 11 Abs 2 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Resilienz kritischer Einrichtungen ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Risikobewertungen durch kritische Einrichtungen (Art 12 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
MS haben sicherzustellen, dass kritische Einrichtungen
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* innerhalb von neun Monaten nach Erhalt einer Mitteilung gem Art 6 Abs 3 CER-RL und 
* anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre,
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
eine '''Risikobewertung''' auf der Grundlage der Risikobewertungen durch MS und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Bewertung hat allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung zu tragen, die zu einem '''Sicherheitsvorfall''' führen könnten.<ref>Einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten.</ref>
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Sie hat dem Ausmaß der '''Abhängigkeit''' anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren erbracht wird, Rechnung zu tragen.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Dieser Artikel wird durch § 14 RKEG-Entwurf in nationales Recht umgesetzt, wobei die Risikoanalyse an den*die Bundesminister*in für Inneres zu übermitteln ist.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Resilienzmaßnahmen kritischer Einrichtungen (Art 13 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die kritischen Einrichtungen haben auf Grundlage der beiden Risikobewertungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu ergreifen (Art 13 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Darunter fallen Maßnahmen, die erforderlich sind, um
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* das Auftreten von '''Sicherheitsvorfällen zu''' '''verhindern'''
* einen angemessenen '''physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen''' zu gewährleisten (zB Zäune, Sperren, Überwachung der Umgebung, Detektionsgeräte, Zugangskontrolle)
* auf '''Sicherheitsvorfälle zu reagieren''', sie '''abzuwehren''' und die Folgen solcher Vorfälle zu '''begrenzen''' (bspw Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen)
* nach Sicherheitsvorfällen die '''Wiederherstellung zu gewährleisten''' (zB Maßnahmen zur Aufrechterhalten des Betriebs; Ermittlung alternativer Lieferketten)
* ein angemessenes '''Sicherheitsmanagement hinsichtlich der Mitarbeitenden''' zu gewährleisten (bspw Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt; Zugangsrechten; Zuverlässigkeitsprüfungen)
* das entsprechende Personal für diese Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu '''sensibilisieren'''
Die Kommission wird dabei '''Leitlinien''' erlassen, die diese Maßnahmen weiter konkretisieren (Art 13 Abs 5 CER-RL). Ebenso wird die Kommission Durchführungsrechtsakte erlassen, um die '''technischen und methodischen Spezifikationen''' für die Anwendung der Maßnahmen festzulegen (Art 13 Abs 6 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die kritischen Einrichtungen müssen dabei über einen '''Resilienzplan''' oder ein gleichwertiges Dokument, in dem diese Maßnahmen beschrieben werden, verfügen und diesen anwenden (Art 13 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Als Ansprechpartner*in für die Behörden müssen die kritischen Einrichtungen auch eine*n '''Verbindungsbeauftragte*n''' oder eine Person mit vergleichbarer Aufgabenstellung benennen (Art 13 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Auf Ersuchen des MS und mit Zustimmung der kritischen Einrichtung kann die Kommission auch Beratungsmissionen (Art 18 CER-RL) organisieren, um die kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen zu beraten (Art 13 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Dieser Artikel wird durch § 15 RKEG-Entwurf umgesetzt. Resilienzmaßnahmen sind erstmalig innerhalb von zehn Monaten nach bescheidmäßiger Einstufung zu treffen und in einem Resilienzplan darzulegen.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Zuverlässigkeitsüberprüfungen (Art 14 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Kritische Einrichtungen können in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertung durch MS Anträge auf '''Zuverlässigkeitsprüfungen''' (Art 14 Abs 1 CER-RL) von Personen stellen, die
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* '''sensible Funktionen''' oder/zugunsten der kritischen Einrichtung innehaben
* berechtigt sind, über direkten '''Zugriff/Fernzugriff''' auf Räumlichkeiten, Informationen oder Kontrollsysteme zu verfügen
* für die '''Besetzung von Positionen''', die unter die beiden oben genannten Kriterien fallen, in Betracht gezogen werden
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Anträge müssen innerhalb eines angemessenen Zeitrahmens geprüft und bearbeitet werden. Zuverlässigkeitsprüfungen müssen '''verhältnismäßige und auf das Notwendige beschränkt''' sein, dh ausschließlich zur Bewertung eines potenziellen Sicherheitsrisikos durchgeführt werden (Art 14 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Zuverlässigkeitsprüfungen müssen sich dabei mindestens der '''Identität der Person''', die einer Prüfung unterzogen wird, vergewissern und eine '''Strafregisterprüfung''' der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten (Art 14 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Bestimmung wird durch § 16 RKEG-Entwurf umgesetzt, der insbesondere die dafür notwendige Datenverarbeitung ausführlich konkretisiert (§ 16 Abs 2, 3 RKEG-Entwurf). Auch werden weitere Aspekte, die bei der Überprüfung zu berücksichtigen sind konkretisiert, bspw ob eine rechtkräftige Verurteilung für eine mit Vorsatz begangene gerichtliche strafbare Handlung vorliegt, ein Strafverfahren anhängig ist, gegen die Person ein Waffenverbot vorliegt oder ob die Person ein Naheverhältnis zu einer extremistischen oder terroristischen Gruppierung hat (§ 16 Abs 5 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Meldung von Sicherheitsvorfällen (Art 15 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Kritische Einrichtungen haben der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich zu '''melden''' (Art 15 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Eine '''erste Meldung''' ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein '''ausführlicher Bericht''' hat (gegebenenfalls)  spätestens ein Monat danach zu folgen.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* die Anzahl und der Anteil der von der Störung betroffenen '''Nutzer*innen'''
* die '''Dauer''' der Störung
* das betroffene geographische '''Gebiet'''
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die '''Kontinuität''' der Erbringung wesentlicher Dienste für oder '''in sechs oder mehr MS''' oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden diesen Sicherheitsvorfall der Kommission zu melden.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Meldungen müssen '''sämtliche verfügbaren Informationen''' enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann (Art 15 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die '''zentralen Anlaufstellen''' anderer betroffener MS, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere MS oder in einem oder mehreren anderen MS hat oder haben könnte (Art 15 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung '''sachdienliche Folgeinformationen''', unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Meldepflichten werden durch § 17 RKEG-Entwurf in nationales Recht umgesetzt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS '''informieren die Öffentlichkeit''', wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
§ 8 Abs 1 RKEG-Entwurf konkretisiert diese Veröffentlichung von Sicherheitsvorfällen, die nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung erfolgen kann, um die Öffentlichkeit über Sicherheitsvorfälle zu unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist oder die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind (Art 17 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Wenn folgende Kriterien erfüllt werden, gilt eine Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa (Art 17 Abs 1 CER-RL):
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* wenn sie als '''kritische Einrichtung''' gem Art 6 Abs 1 CER-RL eingestuft wurde
* wenn sie für/in '''sechs oder mehr''' MS dieselben/ähnliche wesentliche Dienste erbringt
* '''gemeldet''' wurde (siehe dazu unterhalb zu Art 17 Abs 3 CER-RL).
Nach der Mitteilung über die Einstufung als kritische Einrichtung (Art 6 Abs 3 CER-RL) hat die Einrichtung die Behörde zu '''informieren''', wenn sie wesentliche Dienste für/in sechs oder mehr MS erbringt (welche wesentlichen Dienste in/für welche[n] MS). Die Identität solcher Einrichtungen ist auch der Kommission mitzuteilen. Die Kommission '''konsultiert''' betreffend der Einschätzung, ob es sich bei den Diensten, um wesentliche Dienste handelt, die zuständige Behörde, die die kritische Einrichtung ermittelt hat, die zuständige Behörde anderer betroffenen MS sowie die betreffende kritische Einrichtung. (Art 17 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung '''mitgeteilt''', dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Bestimmung wird durch § 19 RKEG-Entwurf in nationales Recht umgesetzt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
==== Beratungsmissionen (Art 18 CER-RL) ====
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Auf '''Antrag eines MS''', der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Unter Zustimmung des MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus '''eigenem Entschluss''' '''der Kommission''' oder '''Antrag''' '''eines/mehrerer MS''', für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* die entsprechenden Teile der '''Risikobewertung''' durch kritische Einrichtungen
* eine Auflistung der ergriffenen '''Resilienzmaßnahmen''' gem Art 13 CER-RL
* '''Aufsichts- oder Durchsetzungsmaßnahmen''', die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)
Die Beratungsmission erstattet innerhalb von drei Monaten nach Abschluss über die Ergebnisse '''Bericht''' an die Kommission, den MS der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, und die MS, für die/in denen der wesentliche Dienst erbracht wird (Art 18 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Dieser Bericht wird von den MS, für die der wesentliche Dienst erbracht wird, analysiert. Die MS '''beraten''' (erforderlichenfalls) die Kommission in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihren Verpflichtungen erfüllt und welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Kommission teilt auf Grundlage dieser Ratschläge dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, den MS, für die/in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre '''Stellungnahme''' zur Frage, ob die kritische Einrichtung ihre Verpflichtungen erfüllt bzw welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern, mit.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Der MS, er eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt sicher, dass der Stellungnahme von der zuständigen Behörde und der kritischen Einrichtung (gebührend) '''Rechnung getragen wird''' und '''unterrichtet''' Kommission und andere MS, für die/in denen der wesentliche Dienst erbracht wird, über die ergriffenen Maßnahmen.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Eine Beratungsmission '''setzt sich dabei'''
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* aus Sachverständigen der MS, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet
* aus Sachverständigen der MS, für die/in denen der wesentliche Dienst erbracht wird 
* Vertreter*innen der Kommission
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
'''zusammen'''.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese MS können Kandidat*innen '''vorschlagen''', die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer '''fachlichen Eignung''' und, soweit möglich, unter Gewährleistung einer '''geografisch ausgewogenen Vertretung''' aus allen diesen MS aus und ernennt sie (Art 18 Abs 5 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Beratungsmission wird dabei in Zukunft noch durch einen '''Durchführungsrechtsakt''' der Kommission konkretisiert (Art 18 Abs 6 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Dabei muss von den MS sichergestellt werden, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen '''Zugang zu'''
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Informationen
* Systemen und 
* Anlagen
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind (Art 18 Abs 7 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Bei der Organisation sind Berichte über etwaige Inspektionen gem
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen
* Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002 
* sowie über Überwachung gem Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen 
die die Kommission durchgeführt hat, zu '''berücksichtigen''' (Art 18 Abs 9 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Kommission '''unterrichtet''' die Gruppe für die Resilienz kritischer Einrichtungen über die Organisation einer Beratungsmission (Art 18 Abs 10 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Bestimmung wird durch § 19 Abs 3, 4 RKEG-Entwurf in nationales Recht umgesetzt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Behördenstruktur ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Zuständige Behörden (Art 9 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL). 
{| class="wikitable"
|+
!Hinweis:
|-
|Zuständige Behörde und zugleich zentrale Anlaufstelle ist nach dem RKEG-Entwurf der*die Bundesminister*in für Inneres, wobei die Landespolizeidirektion mit der Durchführung einzelner Aufgaben beauftragt werden kann (§ 4 Abs 1, 3, 4 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Zentrale Anlaufstelle (Art 9 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Daneben haben MS eine '''zentrale Anlaufstelle''', die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen '''zusammenfassenden Bericht''' über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Nach § 4 Abs 4 RKEG-Entwurf ist der*die Bundesminister*in für Inneres die zentrale Anlaufstelle.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Unterstützung (Art 10 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu '''unterstützen''' (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Diese Bestimmung wird durch § 13 RKEG-Entwurf umgesetzt.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Gruppe für die Resilienz kritischer Einrichtungen (Art 19 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Zur '''Unterstützung''' der Kommission und zur Erleichterung der '''Zusammenarbeit''' zwischen den MS bzw den '''Informationsaustausch''' wird eine sog Gruppe für die Resilienz kritischer Einrichtungen eingesetzt (Art 19 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Gruppe setzt sich aus '''Vertreter*innen''' der MS und der '''Kommission''', deren Vertreter*in den Vorsitz führt, zusammen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe entsprechende '''Interessenvertreter*innen''' zur Teilnahme einladen. Auf Ersuchen des Europäischen Parlaments können '''Sachverständige des Parlaments''' zur Teilnahme an den Sitzungen eingeladen werden (Art 19 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Gruppe hat dabei eine Reihe von '''Aufgaben''' (Art 19 Abs 3 CER-RL):
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Unterstützung der Kommission bei der Unterstützung der MS beim Ausbau ihrer Kapazitäten in Hinblick auf die Resilienz kritischer Einrichtungen
* Analyse der Strategien zur Ermittlung bewährter Verfahren
* Erleichterung des Austauschs bewährter Verfahren (Ermittlung kritischer Einrichtungen, grenzüberschreitende/sektorübergreifende Abhängigkeiten, Risiken, Sicherheitsvorfälle)
* Mitwirkung an Dokumenten über die Resilienz auf Unionsebene
* Mitwirkung an der Ausarbeitung von Leitlinien über erhebliche Störungen (Art 7 Abs 3 CER-RL) und Resilienzmaßnahmen (Art 13 Abs 5 CER-RL) und delegierten Rechtsakten/Durchführungsrechtsakten
* Analyse von zusammenfassenden Berichten der zentralen Anlaufstellen (Art 9 Abs 3 CER-RL)
* Austausch von bewährten Verfahren in Bezug auf die Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
* Erörterung der zusammenfassenden Berichte der Beratungsmission (Art 18 Abs 10 CER-RL)
* Austausch von Informationen und bewährten Verfahren (Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen)
* Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Gruppe hat dabei alle zwei Jahre ein '''Arbeitsprogramm''' mit den Maßnahmen zur Umsetzung ihrer Ziele und Aufgaben zu erstellen (Art 19 Abs 4 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Gruppe hat regelmäßig zu tagen. Mindestens einmal jährlich hat eine Tagung gemeinsam mit der Kooperationsgruppe nach der [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] stattzufinden (Art 19 Abs 5 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Kommission hat der Gruppe im Bedarfsfall, mindestens jedoch alle vier Jahre, einen '''zusammenfassenden Bericht''' über die von den MS übermittelten Informationen (Art 4 Abs 3, Art 5 Abs 4 CER-RL) zu übermitteln (Art 19 Abs 7 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Bedeutung von Normen und Standards (Art 16 CER-RL) ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben,  die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Synergien ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS-2-RL]] zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
* In Bezug auf Digitale Infrastruktur sind die nach NIS-2 zuständige Behörde zuständige Behörden (Art 9 Abs 1 CER-RL).
* In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch der nach der CER-RL zuständigen Behörde mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).
* Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der [[Special:MyLanguage/Network and Information Security Directive (NIS II-RL)|NIS 2-RL]] zu tagen (Art 19 Abs 5 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach [[Special:MyLanguage/Digital Operational Resilienec Act (DORA)|DORA]] bestimmte Behörde auch nach CER-RL zuständige Behörden (Art 9 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Schiffe, Hafenanlagen, Zivilluftfahrt ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Bei der Organisation von Beratungsmissionen sind Berichte über etwaige Inspektionen und Überwachungen nach anderen Rechtsakten (Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen; Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002; Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen) zu berücksichtigen (Art 18 Abs 9 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Sanktionen/sonstige Konsequenzen (Art 21, 22 CER-RL) ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Allgemeines (Art 21 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über '''Befugnisse und Mittel''' verfügen, um
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* Vor-Ort-Kontrollen 
* externe Aufsichtsmaßnahmen
* Audits
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
durchzuführen bzw anzuordnen ('''Aufsichtsmaßnahmen''') (Art 21 Abs 1 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Zuständige Behörden können dabei die Übermittlung von '''Informationen''' zur Beurteilung, ob die Maßnahmen zur Gewährleistung der Resilienz den Anforderungen entsprechen, und Nachweisen der wirksamen Umsetzung dieser Maßnahmen (einschließlich der Ergebnisse eines externen Audits) verlangen (Art 21 Abs 2 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, '''Maßnahmen''' zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
In Umsetzung dieser Bestimmungen ist der Bundesminister für Inneres ermächtigt, von kritischen Einrichtungen '''Nachweise für die Erfüllung der Anforderungen''' gemäß §§ 14, 15 RKEG-Entwurf sowie die Durchführung von '''Audits'''<ref>Die Audits werden dabei durch '''qualifizierte Stellen''', dh natürliche oder juristische Personen oder eingetragene Personengesellschaften, die aufgrund eines begründeten schriftlichen Antrags bescheidmäßig zur Durchführung von Audits berechtigt sind (§ 21 RKEG-Entwurf), durchgeführt.</ref> zu verlangen, wobei die erforderlichen Informationen dafür zu übermitteln sind (§ 20 Abs RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Insbesondere Vor-Ort-Kontrollen werden durch § 20 Abs 3 RKEG-Entwurf näher konkretisiert.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Sanktionen (Art 22 CER-RL) ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die CER-RL überlässt die Schaffung von Vorschriften für '''Sanktionen''' bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Die Verwaltungsstrafen werden daher durch § 22 RKEG-Entwurf umgesetzt und liegen in der Zuständigkeit der '''Bezirksverwaltungsbehörden'''.
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Eine mit einer '''Geldstrafe''' '''bis zu 50 000 Euro''', im Wiederholungsfall bis zu 100 000 Euro, verbundene Übertretung besteht bspw für die fehlende Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Eine Nichtumsetzung der mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, und Verstöße gegen die Meldepflichten können mit einer '''Geldstrafe''' '''bis zu 7 Mio Euro''' bestraft werden (§ 22 Abs 2 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Geldstrafen können, unter gewissen Umständen, auch '''gegen juristische Personen''' oder eingetragene Personengesellschaften verhängt werden (§ 22 Abs 3, 4  RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
Werden Verpflichtungen durch Stellen der '''öffentlichen Verwaltung''' nicht eingehalten, ist die Nichteinhaltung mit Bescheid festzustellen sowie eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird dieser Zustand nicht fristgerecht hergestellt, ist die Nichteinhaltung der Verpflichtungen in einer allgemeinen Weise zu veröffentlichen (§ 23 RKEG-Entwurf).
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Weiterführende Literatur & Links ==
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Überblicksartikel ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* ''Eisenmenger'', Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203
* ''Škorjanc'', Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Sammelwerke ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* ''Dittrich/Dochow/Ippach'' (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
* ''Hornung/Schallbruch'' (Hrsg), IT-Sicherheitsrecht. Praxishandbuch<sup>2</sup> (2024)
* ''Kipker'' (Hrsg), Cybersecurity. Rechtshandbuch<sup>2</sup> (2023)
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
=== Links ===
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
* [https://www.onlinesicherheit.gv.at/Services/Initiativen-und-Angebote/Strategische-Infrastrukturen/Austrian-Program-for-Critical-Infrastructure-Protection-APCIP.html Austrian Program for Critical Infrastructure Protection (<abbr>APCIP</abbr>)]
* [https://www.wko.at/noe/wirtschaft/2024-05-praesentation-markus-mueller-rke.pdf ''Bundesministerium für Inneres (BMI)'', Richtlinie zur Resilienz Kritischer Einrichtungen (RKE). Krisenresilienz und Sicherheit für Unternehmen (Stand 29. 5. 2024)]
</div>

<div lang="de" dir="ltr" class="mw-content-ltr">
== Einzelnachweise ==
</div>

Übersetzungen exportieren

Navigationsmenü

Seitenaktionen

Seitenaktionen

Meine Werkzeuge

Navigation

Suche

Werkzeuge