Critical Entities’ Resilience Directive (CER)

; Richtlinie (EU) 2022/2557
Titel:	Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates
Kurztitel:	Critical Entities‘ Resilience Directive/EU-Resilienz-Richtlinie
Bezeichnung:; (nicht amtlich)	CER-RL
Geltungsbereich:	EWR
Rechtsmaterie:	Binnenmarkt, Cybersicherheit
Grundlage:	AEUV, insbesondere Art. 114
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Overview


Scope	Key Contents	Synergies	Penalties/Consequences
critical entities (undertakings providing essential services)	Adoption of a strategy for the resilience of critical entities (Art 4 CER-D) by MS	Special rule for authorities' jurisdiction (DORA authority) regarding banking and financial market infrastructures (Art 9 para 1 CER-D)	Supervisory powers of authorities (on-site inspections, external supervisory measures, audits) (Art 21 CER-D)
critical infrastructure (required for providing an essential service)	Risk assessment of entities by MS (Art 5 CER-D)	The identity of critical entities identified under CER-D must also be communicated to the authority responsible for NIS2-D (Art 6 para 4 CER-D).	Information access rights (Art 21 CER-D)
Timeline: Transposition deadline until October 17, 2024	Identification of critical entities by MS (Art 6 CER-D)	Special jurisdiction (NIS2 authority) regarding Digital Infrastructure (Art 9 para 1 CER-D).	Instruction to take specific measures to remedy infringements (Art 21 CER-D)
Exceptions: Banking, Financial Market Infrastructure, Digital Infrastructure	Risk assessment by critical entity itself (Art 12 CER-D)	Cooperation/information exchange regarding cybersecurity risks, cyber threats, and cybersecurity incidents with the NIS2 authority (Art 9 para 6 CER-D).	Fines of up to 50,000 Euros, in case of repetition up to 100,000 Euros, for failure to disclose a contact point/contact person or failure to submit the risk analysis or resilience plan (§ 22 para 1 RKEG-G)
	Implementation of resilience measures (Art 13 CER-D)	The Critical Entities Resilience Group shall meet at least once a year jointly with the Cooperation Group under the NIS2-D (Art 19 para 5 CER-D).	Fine of up to 7 million Euros for non-implementation of measures ordered by decision after finding that the requirements for risk analysis or resilience measures are not met or not fully met, or violations of reporting obligations (§ 22 para 2 RKEG-Draft).
	Reliability checks (Art 14 CER-D)
	Reporting obligations for security incidents (Art 15 CER-D)

Introduction

Through the CER-D, the resilience^[1], meaning the resistance, of critical entities against security incidents^[2]

Conversely, § 2 Z 3 of the draft for the RKEG speaks of an "event that significantly disrupts or could disrupt the provision of an essential service, including an impairment of constitutional fundamental principles."</ref> This aims to improve resilience, covering not only "digital" but also "analogue" threats.^[3] For instance, Recital 3 mentions a "dynamic threat landscape," i.e., "evolving hybrid and terrorist threats, as well as increasing interdependencies between infrastructures and sectors." Furthermore, there is "an increased physical risk related to natural disasters and climate change." In addition to the resilience of critical entities, their ability to provide services in the internal market that are essential for maintaining vital societal functions or economic activities should be improved (Art 1 para 1 lit a, b CER-D).

Recital 20 states that threats to the security of network and information systems can have different causes, which is why the CER-D applies an "all-hazards" approach that covers the resilience of network and information systems as well as the physical components and physical environment of these systems.


Note:
A first draft for a national implementing law of the CER-D, significantly after the end of the transposition period, was submitted to parliament for review in December 2024 under the title "Critical Entities Resilience Act" (hereinafter RKEG-Draft).^[4] The review period ended on January 14, 2025. This legislative process is currently not yet concluded.

Scope

The "critical entity" central to the Directive is a public or private entity that a Member State (MS) has classified as belonging to one of the categories in the third column of the table in the Annex (Art 2 Z 1 CER-D). These are essentially undertakings that provide "essential services", i.e., services that are crucial for maintaining vital societal functions, important economic activities, public health and safety, or the preservation of the environment (Art 2 Z 5 CER-D.^[5]

The term "critical infrastructure", on the other hand, is to be understood in relation to facilities.^[5] This refers to "an asset, facility, equipment, network, or system, or a part of an asset, facility, equipment, network, or system, which is necessary for the provision of an essential service" (Art 2 Z 4 CER-D, cf. § 2 Z 5 RKEG-Draft).

The draft for the RKEG (Critical Entities Resilience Act) refers simply to critical entities according to the sectors listed in the annex of the CER-D (Critical Entities' Resilience Directive) for defining its scope (§ 2 para 1 RKEG-Draft).

Temporal Scope

The regulations necessary for the implementation of the CER-D must be enacted and published by October 17, 2024. These regulations are then to be applied from October 18, 2024 (Art 26 CER-D).

Exceptions

Articles 11 CER-D and Chapters III (Art 12-16 CER-D), IV (Art 17-18 CER-D), and VI (Art 21-22 CER-D) do not apply to certain critical entities in the **banking**, **financial market infrastructures**, and **digital infrastructure** sectors, although Member States may enact or maintain national regulations (Art 8 CER-D).


Note:
The RKEG (Critical Entities Resilience Act) does not apply to the judiciary or legislative branches, nor to the Austrian National Bank (§ 1 para 3 RKEG-Draft).

To avoid overlaps, the provisions of the CER-D do not apply if critical entities are required to take measures to improve their resilience under the provisions of sector-specific Union legal acts, and these requirements are **recognized by the Member States as at least equivalent** to the corresponding obligations under this Directive (Art 1 para 3 CER-D).

In implementation of this provision, the Federal Minister of the Interior must provide information on the Ministry's homepage regarding equivalent provisions and the extent of their equivalence (§ 18 para 1 RKEG-Draft).

Key Contents

National Framework for the Resilience of Critical Entities

Strategies for the Resilience of Critical Entities (Art 4 CER-D)

Each Member State (after consultation) must adopt a strategy for improving the resilience of critical entities by January 17, 2026, at the latest.

This strategy defines the strategic objectives and policy measures to achieve and maintain a high level of resilience for critical entities.

The minimum elements of this strategy are:

strategic objectives and priorities for improving the overall resilience of critical entities, taking into account cross-border and cross-sector dependencies and interdependencies
a governance framework for achieving the strategic objectives and priorities, including a description of the roles and responsibilities of the respective authorities, critical entities, and other actors involved in implementing the strategy
a description of the measures necessary to improve the overall resilience of critical entities, including a description of the risk assessment (Article 5 CER-D)
a description of the procedure for identifying critical entities
a description of the process for supporting critical entities, including measures to improve cooperation between the public sector on the one hand, and the private sector and public and private entities on the other;
a list of the main authorities and relevant stakeholders involved in implementing the strategy
a policy framework for coordination between the competent authorities and the authorities competent under the NIS2-D for the purposes of exchanging information on cybersecurity risks, cyber threats, and cybersecurity incidents, as well as on non-cyber-related risks, threats, and security incidents, and for carrying out supervisory tasks
a description of existing measures to facilitate the implementation of obligations under Chapter III CER-D (Art 12 et seq. CER-D) by small and medium-sized enterprises classified as critical entities by the relevant Member States.

The Member States must **update** this strategy (after consultation) at least every four years. The strategies and updates must be **communicated** to the Commission within three months of their adoption.

According to § 9 of the RKEG-Draft, this strategy is prepared by the Federal Minister of the Interior for the Federal Government and, once adopted, must be submitted to the National Council within three months.

Risk Assessment by MS (Art 5 CER-D)

The Commission is empowered to adopt delegated acts to supplement the CER-D with a non-exhaustive list of essential services within the sectors and sub-sectors listed in the Annex. This list is to be used by the competent authorities for the purposes of a risk assessment, which must be carried out by January 17, 2026, and thereafter as needed, but at least every four years (Art 5 para 1 CER-D).

This list was established with the delegated VO 2023/2450^[6].

The competent authorities use these risk assessments to identify critical entities and support them in taking measures.

In risk assessments by Member States, the corresponding natural and human-induced risks must be taken into account.^[7]

The Member States must consider at least the following aspects when carrying out the risk assessment (Art 5 para 2 CER-D):

general risk assessment (pursuant to Article 6(1) of Decision No 1313/2013/EU)
other relevant risk assessments carried out in accordance with the requirements of relevant sector-specific Union legal acts
the relevant risks arising from the degree of interdependence between the sectors listed in the Annex, as well as the impact that a significant disruption occurring in one sector may have on other sectors, including any essential risks to citizens and the internal market;
any reported information on security incidents (pursuant to Art 15 CER-D)

Member States must make available the relevant elements of the risk assessments to critical entities, where appropriate via their single points of contact. Member States must also ensure that the information provided to critical entities assists them in carrying out their risk assessments (Article 12 CER-D) and in taking measures to ensure their resilience (Article 13 CER-D) (Art 5 para 3 CER-D).

Within three months of conducting such a risk assessment, a Member State must **transmit** relevant information to the Commission regarding the identified types of risks and the results of these risk assessments, broken down by the sectors and sub-sectors listed in the Annex (Art 5 para 4 CER-D).

Article 5 CER-D is primarily implemented by § 10 RKEG-Draft concerning the "risk analysis"^[8] by the Federal Minister of the Interior.

Identification of Critical Entities (Art 6 CER-D)

Each Member State must **identify** critical entities by July 17, 2025 (Art 6 para 1 CER-D).

In identifying them, it must consider the results of the risk assessment by the Member States and its strategy. Art 6 para 2 CER-D lists three criteria for identification:

the entity provides one or more essential services
the entity operates within the territory of the Member State and its critical infrastructure is located there
a security incident would cause significant disruption to the provision of one or more essential services by the entity or by dependent entities

Each Member State must create a list of critical entities and **inform** these critical entities of this classification and their obligations within one month of identification (Art 6 para 3 CER-D). The identity of these entities must also be communicated to the authority responsible for NIS2-D (Art 6 para 4 CER-D).

The list must be reviewed and, if necessary, updated at least every four years (Art 6 para 5 CER-D).

In implementation, § 11 para 1 RKEG-Draft stipulates that the Federal Minister of the Interior must classify entities as critical by decision within the categories of entities listed in the annex of the CER-D for the listed sectors and sub-sectors, if

they operate domestically
their critical infrastructure is located domestically
they provide at least one essential service, and
a security incident could occur.


Note:
Regarding the "public administration" sector mentioned in Annex Z 9 CER-D (cf. Art 2 Z 10 CER-D), § 12 RKEG-Draft includes a special provision for the identification of critical entities in the public administration sector, which exclusively targets the federal administration.

Significant Disruption (Art 7 CER-D)

In determining the extent of a disruption, Member States must consider the following criteria:

the **number of users** relying on the essential service provided by the entity concerned
the **extent of dependence** of other sectors and sub-sectors specified in the Annex on the essential service concerned
the **potential impact** of security incidents — in terms of scale and duration — on economic and societal activities, the environment, public order and safety, or public health
the **market share** of the entity in the market for essential services or for the essential services concerned
the **geographical area** that could be affected by a security incident, including any cross-border effects, taking into account the vulnerabilities associated with the degree of isolation of certain types of geographical areas^[9]
the **importance of the entity** for maintaining the essential service to a sufficient extent, taking into account the availability of alternative means for providing the essential service concerned

Each Member State must **immediately transmit** the following information to the Commission after identifying the critical entities (Art 6 para 1 CER-D):

the list of essential services in that Member State, if there are additional essential services there compared to the list of essential services referred to in Article 5(1)
the number of critical entities identified for each sector and sub-sector specified in the Annex and for each essential service
any thresholds applied to specify one or more of the above criteria

Finally, Member States must transmit the above information as needed, but at least every four years.

In the implementing act, the Federal Minister of the Interior is obliged to establish by regulation more detailed rules for assessing when a security incident would cause a significant disruption in the provision of essential services (§ 11 para 2 RKEG-Draft).

Resilience of Critical Entities

Risk Assessments by Critical Entities (Art 12 CER-D)

MS have to ensure that critical entities

within nine months of receiving a notification under Art 6 para 3 CER-D, and
subsequently as needed, but at least every four years,

conduct a risk assessment based on the risk assessments by MS and other relevant sources of information, in order to evaluate all relevant risks that could disrupt the provision of their essential services.

The assessment must take into account all relevant natural and human-induced risks that could lead to a security incident^[10].

It must take into account the extent of **dependence** of other sectors specified in the Annex on the essential service provided by the critical entity, and the extent of the critical entity's dependence on the essential services provided by other entities in other sectors.

This article is transposed into national law by § 14 RKEG-Draft, whereby the risk analysis must be submitted to the Federal Minister of the Interior.

Resilience Measures of Critical Entities (Art 13 CER-D)

Critical entities must take appropriate and proportionate technical, security-related, and organizational measures to ensure their resilience, based on both risk assessments (Art 13 para 1 CER-D).

These include measures necessary to

prevent the occurrence of **security incidents**
ensure adequate physical protection of their premises and critical infrastructures (e.g., fences, barriers, environmental monitoring, detection devices, access control)
respond to, repel, and limit the consequences of **security incidents** (e.g., implementation of risk and crisis management procedures and protocols)
ensure restoration after security incidents (e.g., measures to maintain operations; identification of alternative supply chains)
ensure appropriate security management regarding employees (e.g., defining categories of personnel performing critical functions; access rights; reliability checks)
raise awareness among relevant personnel for these measures, with due consideration for training, informational material, and exercises

The Commission will issue guidelines that further specify these measures (Art 13 para 5 CER-D). The Commission will also adopt implementing acts to establish the technical and methodological specifications for the application of the measures (Art 13 para 6 CER-D).

Critical entities must have and apply a resilience plan or an equivalent document describing these measures (Art 13 para 2 CER-D).

As a point of contact for the authorities, critical entities must also designate a liaison officer or a person with comparable responsibilities (Art 13 para 3 CER-D).

Upon request from the Member State and with the consent of the critical entity, the Commission may also organize advisory missions (Art 18 CER-D) to advise the critical entity on fulfilling its obligations (Art 13 para 4 CER-D).

This article is implemented by § 15 RKEG-Draft. Resilience measures must be taken for the first time within ten months of official classification and outlined in a resilience plan.

Reliability Checks (Art 14 CER-D)

Critical entities may, in sufficiently justified cases and taking into account the risk assessment by Member States, submit applications for reliability checks (Art 14 para 1 CER-D) of individuals who

hold **sensitive functions** for/on behalf of the critical entity
are authorized to have direct **access/remote access** to premises, information, or control systems
are being considered for **positions** that fall under the two criteria mentioned above

These applications must be reviewed and processed within a reasonable timeframe. Reliability checks must be proportionate and limited to what is necessary, meaning they are carried out solely to assess a potential security risk (Art 14 para 2 CER-D).

Reliability checks must at minimum verify the identity of the person undergoing a check and include a criminal record check of the person for offenses relevant to a specific position (Art 14 para 3 CER-D).

This provision is implemented by § 16 RKEG-Draft, which specifically details the necessary data processing (§ 16 para 2, 3 RKEG-Draft). It also specifies further aspects to be considered during the check, such as whether there is a final conviction for an intentional criminal offense, whether criminal proceedings are pending, whether the person is subject to a weapons ban, or whether the person has a close relationship with an extremist or terrorist group (§ 16 para 5 RKEG-Draft).

Meldung von Sicherheitsvorfällen (Art 15 CER-RL)

Kritische Einrichtungen haben der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich zu melden (Art 15 Abs 1 CER-RL).

Eine erste Meldung ist dabei prinzipiell bis spätestens 24 Stunden, nachdem sich die Einrichtung eines Sicherheitsvorfalls bewusst geworden ist, zu übermitteln. Ein ausführlicher Bericht hat (gegebenenfalls) spätestens ein Monat danach zu folgen.

Die Erheblichkeit einer Störung wird dabei ua anhand der folgenden Parameter bestimmt:

die Anzahl und der Anteil der von der Störung betroffenen Nutzer*innen
die Dauer der Störung
das betroffene geographische Gebiet

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr MS oder könnte er solche Auswirkungen haben, so haben die zuständigen Behörden diesen Sicherheitsvorfall der Kommission zu melden.

Die Meldungen müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann (Art 15 Abs 2 CER-RL).

Auf der Grundlage dieser Information unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener MS, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere MS oder in einem oder mehreren anderen MS hat oder haben könnte (Art 15 Abs 3 CER-RL).

So bald wie möglich nach einer Meldung übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten (Art 15 Abs 4 CER-RL).

Diese Meldepflichten werden durch § 17 RKEG-Entwurf in nationales Recht umgesetzt.

Die MS informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde (Art 15 Abs 4 CER-RL).

§ 8 Abs 1 RKEG-Entwurf konkretisiert diese Veröffentlichung von Sicherheitsvorfällen, die nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung erfolgen kann, um die Öffentlichkeit über Sicherheitsvorfälle zu unterrichten, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist oder die Offenlegung des Sicherheitsvorfalls auf sonstige Weise im öffentlichen Interesse liegt.

Kritische Einrichtungen, die von besonderer Bedeutung für Europa sind

Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind (Art 17 CER-RL)

Wenn folgende Kriterien erfüllt werden, gilt eine Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa (Art 17 Abs 1 CER-RL):

wenn sie als kritische Einrichtung gem Art 6 Abs 1 CER-RL eingestuft wurde
wenn sie für/in sechs oder mehr MS dieselben/ähnliche wesentliche Dienste erbringt
gemeldet wurde (siehe dazu unterhalb zu Art 17 Abs 3 CER-RL).

Nach der Mitteilung über die Einstufung als kritische Einrichtung (Art 6 Abs 3 CER-RL) hat die Einrichtung die Behörde zu informieren, wenn sie wesentliche Dienste für/in sechs oder mehr MS erbringt (welche wesentlichen Dienste in/für welche[n] MS). Die Identität solcher Einrichtungen ist auch der Kommission mitzuteilen. Die Kommission konsultiert betreffend der Einschätzung, ob es sich bei den Diensten, um wesentliche Dienste handelt, die zuständige Behörde, die die kritische Einrichtung ermittelt hat, die zuständige Behörde anderer betroffenen MS sowie die betreffende kritische Einrichtung. (Art 17 Abs 2 CER-RL).

Wird auf der Grundlage der Konsultation festgestellt, dass die kritische Einrichtung für/in sechs oder mehr MS wesentliche Dienste erbringt, so wird der kritischen Einrichtung mitgeteilt, dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt. Die Einrichtung wird auch über ihre Verpflichtungen informiert (Art 17 Abs 3 CER-RL).

Diese Bestimmung wird durch § 19 RKEG-Entwurf in nationales Recht umgesetzt.

Beratungsmissionen (Art 18 CER-RL)

Auf Antrag eines MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, organisiert die Kommission eine Beratungsmission. Diese dient zur Bewertung der Maßnahmen, die ergriffen wurden, um den Verpflichtungen gem Art 12-16 CER-RL nachzukommen (Art 18 Abs 1 CER-RL).

Unter Zustimmung des MS, der eine kritische Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa ermittelt hat, kann eine solche Beratungsmission auch aus eigenem Entschluss der Kommission oder Antrag eines/mehrerer MS, für den/die der wesentliche Dienst erbracht wird (Art 18 Abs 2 CER-RL).

Der MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt der Kommission auf ihren Antrag bzw Antrag eines oder mehrerer MS Folgendes zur Verfügung (Art 18 Abs 3 CER-RL):

die entsprechenden Teile der Risikobewertung durch kritische Einrichtungen
eine Auflistung der ergriffenen Resilienzmaßnahmen gem Art 13 CER-RL
Aufsichts- oder Durchsetzungsmaßnahmen, die die zuständige Behörde gem Art 21, 22 CEr-RL ergriffen hat (inklusive Bewertung der Einhaltung der Vorschriften, erteilte Anordnungen)

Die Beratungsmission erstattet innerhalb von drei Monaten nach Abschluss über die Ergebnisse Bericht an die Kommission, den MS der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, und die MS, für die/in denen der wesentliche Dienst erbracht wird (Art 18 Abs 4 CER-RL).

Dieser Bericht wird von den MS, für die der wesentliche Dienst erbracht wird, analysiert. Die MS beraten (erforderlichenfalls) die Kommission in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihren Verpflichtungen erfüllt und welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern.

Die Kommission teilt auf Grundlage dieser Ratschläge dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, den MS, für die/in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre Stellungnahme zur Frage, ob die kritische Einrichtung ihre Verpflichtungen erfüllt bzw welche Maßnahmen ergriffen werden könnten, um die Resilienz zu verbessern, mit.

Der MS, er eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, stellt sicher, dass der Stellungnahme von der zuständigen Behörde und der kritischen Einrichtung (gebührend) Rechnung getragen wird und unterrichtet Kommission und andere MS, für die/in denen der wesentliche Dienst erbracht wird, über die ergriffenen Maßnahmen.

Eine Beratungsmission setzt sich dabei

aus Sachverständigen der MS, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet
aus Sachverständigen der MS, für die/in denen der wesentliche Dienst erbracht wird
Vertreter*innen der Kommission

zusammen.

Diese MS können Kandidat*innen vorschlagen, die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem MS, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer fachlichen Eignung und, soweit möglich, unter Gewährleistung einer geografisch ausgewogenen Vertretung aus allen diesen MS aus und ernennt sie (Art 18 Abs 5 CER-RL).

Die Beratungsmission wird dabei in Zukunft noch durch einen Durchführungsrechtsakt der Kommission konkretisiert (Art 18 Abs 6 CER-RL).

Dabei muss von den MS sichergestellt werden, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen Zugang zu

Informationen
Systemen und
Anlagen

im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind (Art 18 Abs 7 CER-RL).

Bei der Organisation sind Berichte über etwaige Inspektionen gem

Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen
Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002
sowie über Überwachung gem Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen

die die Kommission durchgeführt hat, zu berücksichtigen (Art 18 Abs 9 CER-RL).

Die Kommission unterrichtet die Gruppe für die Resilienz kritischer Einrichtungen über die Organisation einer Beratungsmission (Art 18 Abs 10 CER-RL).

Diese Bestimmung wird durch § 19 Abs 3, 4 RKEG-Entwurf in nationales Recht umgesetzt.

Behördenstruktur

Zuständige Behörden (Art 9 CER-RL)

Die MS haben dabei eine oder mehrere nationale zuständige Behörden zu benennen bzw einzurichten. Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde zuständig, in Bezug auf Digitale Infrastruktur die nach NIS-2 zuständige Behörde (Art 9 Abs 1 CER-RL). Die Behörden haben sich dabei mit anderen nationalen Behörden (bspw Katastrophenschutz, Strafverfolgung, Datenschutzbehörde), kritischen Einrichtungen und interessierten Parteien zu konsultieren und zusammenzuarbeiten (Art 9 Abs 5 CER-RL). In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).


Hinweis:
Zuständige Behörde und zugleich zentrale Anlaufstelle ist nach dem RKEG-Entwurf derdie Bundesministerin für Inneres, wobei die Landespolizeidirektion mit der Durchführung einzelner Aufgaben beauftragt werden kann (§ 4 Abs 1, 3, 4 RKEG-Entwurf).

Zentrale Anlaufstelle (Art 9 CER-RL)

Daneben haben MS eine zentrale Anlaufstelle, die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit fungiert, zu benennen oder einzurichten (Art 9 Abs 2 CER-RL). Diese zentralen Anlaufstellen haben der Kommission und der Gruppe für die Resilienz kritischer Einrichtungen alle zwei Jahre einen zusammenfassenden Bericht über die eingegangen Meldungen vorzulegen (Art 9 Abs 3 CER-RL).

Nach § 4 Abs 4 RKEG-Entwurf ist der*die Bundesminister*in für Inneres die zentrale Anlaufstelle.

Unterstützung (Art 10 CER-RL)

Über Kooperation der Behörden mit den kritischen Richtungen und dem freiwilligen Informationsaustausch zwischen kritischen Einrichtungen hinaus haben die MS kritische Einrichtungen auch bei der Verbesserung ihrer Resilienz zu unterstützen (zB Leitfäden, Methoden, Übungen, Beratung, Schulungen, etc) (Art 10 CER-RL).

Diese Bestimmung wird durch § 13 RKEG-Entwurf umgesetzt.

Gruppe für die Resilienz kritischer Einrichtungen (Art 19 CER-RL)

Zur Unterstützung der Kommission und zur Erleichterung der Zusammenarbeit zwischen den MS bzw den Informationsaustausch wird eine sog Gruppe für die Resilienz kritischer Einrichtungen eingesetzt (Art 19 Abs 1 CER-RL).

Die Gruppe setzt sich aus Vertreter*innen der MS und der Kommission, deren Vertreter*in den Vorsitz führt, zusammen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe entsprechende Interessenvertreter*innen zur Teilnahme einladen. Auf Ersuchen des Europäischen Parlaments können Sachverständige des Parlaments zur Teilnahme an den Sitzungen eingeladen werden (Art 19 Abs 2 CER-RL).

Die Gruppe hat dabei eine Reihe von Aufgaben (Art 19 Abs 3 CER-RL):

Unterstützung der Kommission bei der Unterstützung der MS beim Ausbau ihrer Kapazitäten in Hinblick auf die Resilienz kritischer Einrichtungen
Analyse der Strategien zur Ermittlung bewährter Verfahren
Erleichterung des Austauschs bewährter Verfahren (Ermittlung kritischer Einrichtungen, grenzüberschreitende/sektorübergreifende Abhängigkeiten, Risiken, Sicherheitsvorfälle)
Mitwirkung an Dokumenten über die Resilienz auf Unionsebene
Mitwirkung an der Ausarbeitung von Leitlinien über erhebliche Störungen (Art 7 Abs 3 CER-RL) und Resilienzmaßnahmen (Art 13 Abs 5 CER-RL) und delegierten Rechtsakten/Durchführungsrechtsakten
Analyse von zusammenfassenden Berichten der zentralen Anlaufstellen (Art 9 Abs 3 CER-RL)
Austausch von bewährten Verfahren in Bezug auf die Meldung von Sicherheitsvorfällen (Art 15 CER-RL)
Erörterung der zusammenfassenden Berichte der Beratungsmission (Art 18 Abs 10 CER-RL)
Austausch von Informationen und bewährten Verfahren (Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen)
Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union

Die Gruppe hat dabei alle zwei Jahre ein Arbeitsprogramm mit den Maßnahmen zur Umsetzung ihrer Ziele und Aufgaben zu erstellen (Art 19 Abs 4 CER-RL).

Die Gruppe hat regelmäßig zu tagen. Mindestens einmal jährlich hat eine Tagung gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL stattzufinden (Art 19 Abs 5 CER-RL).

Die Kommission hat der Gruppe im Bedarfsfall, mindestens jedoch alle vier Jahre, einen zusammenfassenden Bericht über die von den MS übermittelten Informationen (Art 4 Abs 3, Art 5 Abs 4 CER-RL) zu übermitteln (Art 19 Abs 7 CER-RL).

Bedeutung von Normen und Standards (Art 16 CER-RL)

Die MS haben, um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen zu fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen (Art 16 CER-RL).

Synergien

NIS-2-RL

Die Identität der nach CER-RL ermittelten kritischen Einrichtungen ist auch der für NIS-2-RL zuständigen Behörde mitzuteilen (Art 6 Abs 4 CER-RL).
In Bezug auf Digitale Infrastruktur sind die nach NIS-2 zuständige Behörde zuständige Behörden (Art 9 Abs 1 CER-RL).
In Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfällen etc ist eine Zusammenarbeit und ein Informationsaustausch der nach der CER-RL zuständigen Behörde mit der NIS-2-Behörde vorgesehen (Art 9 Abs 6 CER-RL).
Die Gruppe für die Resilienz kritischer Einrichtungen hat mindestens einmal jährlich gemeinsam mit der Kooperationsgruppe nach der NIS 2-RL zu tagen (Art 19 Abs 5 CER-RL).

DORA

Als Sonderregelung sind in Bezug auf das Bankwesen und Finanzmarktinfrastrukturen (grundsätzlich) die nach DORA bestimmte Behörde auch nach CER-RL zuständige Behörden (Art 9 Abs 1 CER-RL).

Schiffe, Hafenanlagen, Zivilluftfahrt

Bei der Organisation von Beratungsmissionen sind Berichte über etwaige Inspektionen und Überwachungen nach anderen Rechtsakten (Verordnung (EG) 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen; Verordnung (EG) 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002; Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen) zu berücksichtigen (Art 18 Abs 9 CER-RL).

Sanktionen/sonstige Konsequenzen (Art 21, 22 CER-RL)

Allgemeines (Art 21 CER-RL)

Zuständige Behörden müssen zur Beurteilung, ob kritische Einrichtungen die Verpflichtungen der CER-RL erfüllen, über Befugnisse und Mittel verfügen, um

Vor-Ort-Kontrollen
externe Aufsichtsmaßnahmen
Audits

durchzuführen bzw anzuordnen (Aufsichtsmaßnahmen) (Art 21 Abs 1 CER-RL).

Zuständige Behörden können dabei die Übermittlung von Informationen zur Beurteilung, ob die Maßnahmen zur Gewährleistung der Resilienz den Anforderungen entsprechen, und Nachweisen der wirksamen Umsetzung dieser Maßnahmen (einschließlich der Ergebnisse eines externen Audits) verlangen (Art 21 Abs 2 CER-RL).

Im Anschluss auf die Aufsichtsmaßnahmen oder die Prüfung der Informationen können die zuständigen Behörden anweisen, Maßnahmen zu ergreifen, um Verstöße zu beheben (Art 21 Abs 3 CER-RL).

In Umsetzung dieser Bestimmungen ist der Bundesminister für Inneres ermächtigt, von kritischen Einrichtungen Nachweise für die Erfüllung der Anforderungen gemäß §§ 14, 15 RKEG-Entwurf sowie die Durchführung von Audits^[11] zu verlangen, wobei die erforderlichen Informationen dafür zu übermitteln sind (§ 20 Abs RKEG-Entwurf).

Insbesondere Vor-Ort-Kontrollen werden durch § 20 Abs 3 RKEG-Entwurf näher konkretisiert.

Sanktionen (Art 22 CER-RL)

Die CER-RL überlässt die Schaffung von Vorschriften für Sanktionen bei Verstößen und alle für die Anwendung der Sanktionen erforderlichen Maßnahmen primär den MS. Die Sanktionen müssen dabei wirksam, verhältnismäßig und abschreckend sein (Art 22 CER-RL).

Die Verwaltungsstrafen werden daher durch § 22 RKEG-Entwurf umgesetzt und liegen in der Zuständigkeit der Bezirksverwaltungsbehörden.

Eine mit einer Geldstrafe bis zu 50 000 Euro, im Wiederholungsfall bis zu 100 000 Euro, verbundene Übertretung besteht bspw für die fehlende Bekanntgabe einer Kontaktstelle/Ansprechperson oder die fehlende Übermittlung der Risikoanalyse oder des Resilienzplans (§ 22 Abs 1 RKEG-G).

Eine Nichtumsetzung der mit Bescheid angeordneten Maßnahmen nach Feststellung, dass die Anforderungen an die Risikoanalyse bzw an die Resilienzmaßnahmen nicht oder nicht vollständig erfüllt werden, und Verstöße gegen die Meldepflichten können mit einer Geldstrafe bis zu 7 Mio Euro bestraft werden (§ 22 Abs 2 RKEG-Entwurf).

Geldstrafen können, unter gewissen Umständen, auch gegen juristische Personen oder eingetragene Personengesellschaften verhängt werden (§ 22 Abs 3, 4 RKEG-Entwurf).

Werden Verpflichtungen durch Stellen der öffentlichen Verwaltung nicht eingehalten, ist die Nichteinhaltung mit Bescheid festzustellen sowie eine angemessene Frist zur Herstellung des rechtmäßigen Zustandes anzuordnen. Wird dieser Zustand nicht fristgerecht hergestellt, ist die Nichteinhaltung der Verpflichtungen in einer allgemeinen Weise zu veröffentlichen (§ 23 RKEG-Entwurf).

Weiterführende Literatur & Links

Überblicksartikel

Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203
Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881

Sammelwerke

Dittrich/Dochow/Ippach (Hrsg), Rechtshandbuch Cybersicherheit im Gesundheitswesen (2024)
Hornung/Schallbruch (Hrsg), IT-Sicherheitsrecht. Praxishandbuch² (2024)
Kipker (Hrsg), Cybersecurity. Rechtshandbuch² (2023)

Links

Einzelnachweise

↑ According to Art 2 Z 2 CER-D, "resilience" refers to the ability of a critical entity to prevent, protect against, respond to, repel, limit the consequences of, absorb, manage, and recover from a security incident (cf. § 3 Z 2 RKEG-Draft).
↑ "Security incident" according to Art 2 Z 3 CER-D refers to an event that significantly disrupts or could disrupt the provision of an essential service, including an impairment of national systems for maintaining the rule of law.
↑ Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.
↑ Parliament Austria, Resilienz kritischer Einrichtungen-Gesetz – RKEG (1/ME), https://www.parlament.gv.at/gegenstand/XXVIII/ME/1?selectedStage=100 (accessed January 22, 2025).
↑ ^5,0 ^5,1 MwN Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).
↑ Commission Delegated Regulation (EU) 2023/2450 of 25 July 2023 supplementing Directive (EU) 2022/2557 of the European Parliament and of the Council by establishing a list of essential services, OJ L 2023/2450, 1.
↑ Including those of a cross-sectoral or cross-border nature, accidents, natural disasters, public health emergencies, as well as hybrid threats or other hostile threats, including terrorist offenses.
↑ "'Risk analysis' [is] the entire process of determining the nature and extent of a risk, in which potential threats, vulnerabilities or hazards to critical entities that could lead to a security incident are identified and analyzed, and the potential losses or disruptions in the provision of an essential service caused by the security incident, including their probability of occurrence, are assessed; in the course of this risk analysis, all risks originating from natural causes or caused by humans that could lead to a security incident are taken into account" (§ 3 Z 8 RKEG-Draft).
↑ For example, island regions, remote regions, or mountainous areas.
↑ Including cross-border or cross-sector risks, accidents, natural disasters, public health emergencies, and hybrid threats and other hostile threats, including terrorist offenses.
↑ Die Audits werden dabei durch qualifizierte Stellen, dh natürliche oder juristische Personen oder eingetragene Personengesellschaften, die aufgrund eines begründeten schriftlichen Antrags bescheidmäßig zur Durchführung von Audits berechtigt sind (§ 21 RKEG-Entwurf), durchgeführt.

[1] According to Art 2 Z 2 CER-D, "resilience" refers to the ability of a critical entity to prevent, protect against, respond to, repel, limit the consequences of, absorb, manage, and recover from a security incident (cf. § 3 Z 2 RKEG-Draft).

[2] "Security incident" according to Art 2 Z 3 CER-D refers to an event that significantly disrupts or could disrupt the provision of an essential service, including an impairment of national systems for maintaining the rule of law.

[3] Škorjanc, Der neue acquis communautaire des europäischen IT-Sicherheitsrechts, ecolex 2023, 881.

[4] Parliament Austria, Resilienz kritischer Einrichtungen-Gesetz – RKEG (1/ME), https://www.parlament.gv.at/gegenstand/XXVIII/ME/1?selectedStage=100 (accessed January 22, 2025).

[:0-5] 5,0 ^5,1 MwN Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) - unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203 (1204).

[6] Commission Delegated Regulation (EU) 2023/2450 of 25 July 2023 supplementing Directive (EU) 2022/2557 of the European Parliament and of the Council by establishing a list of essential services, OJ L 2023/2450, 1.

[7] Including those of a cross-sectoral or cross-border nature, accidents, natural disasters, public health emergencies, as well as hybrid threats or other hostile threats, including terrorist offenses.

[8] "'Risk analysis' [is] the entire process of determining the nature and extent of a risk, in which potential threats, vulnerabilities or hazards to critical entities that could lead to a security incident are identified and analyzed, and the potential losses or disruptions in the provision of an essential service caused by the security incident, including their probability of occurrence, are assessed; in the course of this risk analysis, all risks originating from natural causes or caused by humans that could lead to a security incident are taken into account" (§ 3 Z 8 RKEG-Draft).

[9] For example, island regions, remote regions, or mountainous areas.

[10] Including cross-border or cross-sector risks, accidents, natural disasters, public health emergencies, and hybrid threats and other hostile threats, including terrorist offenses.

[11] Die Audits werden dabei durch qualifizierte Stellen, dh natürliche oder juristische Personen oder eingetragene Personengesellschaften, die aufgrund eines begründeten schriftlichen Antrags bescheidmäßig zur Durchführung von Audits berechtigt sind (§ 21 RKEG-Entwurf), durchgeführt.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]