EU RCE Resilienz (CER)

Betreiber und Sektoren

Nach der RCE-Direktive werden betroffene Betreiber durch die eigenen Behörden basierend auf nationalen Risiko-Analysen identifiziert und registriert. Dies muss bis zum 17. Juli 2026 erfolgen. Die Identifikation richtet sich nach einer Risiko-Analyse und dem disruptiven Effekt auf Dienstleistungen, wenn Betreiber im Land ausfielen.

Betroffenheit

Unter RCE regulierte Unternehmen (Critical Entities) sollen nach folgenden Kriterien durch Behörden identifiziert werden: Art. 6

• Das Unternehmem erbringt Essential Services in einem der Sektoren
• Das Unternehmen hat Geschäftsbetrieb und Kritische Infrastruktur auf dem Territorium mindestens eines EU-Mitgliedsstaates
• Ein Ausfall hätte einen disruptiven Effekt für das Erbringen von Essential Services

Der signifikante disruptive Effekt zur Einschätzung kritischer Betreiber soll durch Staaten nach Anzahl betroffener Nutzer, Auswirkungen auf andere Essential Services, Gesellschaft, Geographie und grenzüberschreitende Effekte analysiert werden. Art. 7

Sektoren

RCE reguliert Critical Entities in elf Sektoren, die Essential Services erbringen. Diese sind mit EU NIS 2 Annex I fast deckungsgleich und etwas geringer als die KRITIS-Sektoren. Annex

Abweichungen

* - Von den Pflichten zur Kooperation (Art. 11) und Resilienz­- und europäischen Maßnahmen (Art. 12-20) ausgenommen sind Banken, Finanzmärkte und Digitale Infrastruktur. Art. 8

ÖPNV und Medizingroßhandel aus RCE fehlen in NIS2, während Ernährung in NIS2 (nur) ein Important Sektor ist, nicht Essential wie in RCE. In RCE fehlen dafür Ladestationen (Strom), ICT Service Management und Regionalverwaltungen aus NIS2, sowie alle Important Sektoren.

Resilienz

EU RCE fordert von Betreibern Maßnahmen zur Resilienz ihrer kritischen Dienstleistungen, um die Ausfallrisiken von Prozessen zu mindern. Art. 9

Risiko-Bewertung

Innerhalb von neun Monaten nach Erhalt der Mitteilung darüber, dass sie als Critical Entity eingestuft wurden (de facto also bis spätestens zum 16. Mai 2027), müssen Betreiber ihre Ausfallrisiken identifizieren und bewerten — inklusive Abhängigkeiten zu anderen Betreibern, Sektoren und Ländern. Die Risiko-Analyse muss anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre wiederholt werden. Art. 12

Maßnahmen

EU RCE schreibt Mindest­maßnahmen vor, die Betreiber zum Schutz der Resilienz ihrer Dienstleistungen treffen sollen: Art. 13

• Vorsorge: Präventionsmaßnahmen gegen Vorfälle, Disaster und Klimawandel
• Physische Sicherheit: Absicherung der ihrer Liegenschaften und Kritischen Infrastruktur mit physischen Schutzmaßnahmen, Perimeter­überwachung, Detektion, Zutrittskontrolle
• Krisen: Risiko- und Krisen­management zur Bewältigung von Krisen, mit definierten Prozeduren, Protokollen und Alarmierung
• Wiederherstellung: Business Continuity Management (BCM) und Maßnahmen zur Wiederherstellung nach Vorfällen — inkl. alternative Lieferketten
• Personal: Sicherheitsmanagement und besondere personelle Sicherheit, Zutrittskontrolle, Sicherheits­überprüfung, einschließlich externem Personal und Dienstleistern
• Awareness: Beim Personal über die Resilienz-Maßnahmen

Die Maßnahmen müssen in einem Resilienz-Plan zusammengefasst und dokumentiert werden und Betreiber müssen einen Ansprechpartner (liaison officer) benennen.

Die Kommission kann später noch detailliertere Vorgaben für Maßnahmen erlassen, und auf Nachfrage oder berechtigtes Interesse Beobachter (advisory missions) für die Kontrolle der Umsetzung zu nationalen Betreibern entsenden.

Background Checks

Mitglied­staaten sollen kritischen Betreibern ermöglichen, Sicherheits­überprüfungen ihrer in sensiblen Funktionen eingesetzten und mit Zugriffen ausgestatteten Personale durchführen zu lassen — bei bestimmten Anlässen auch durch Sicherheits­behörden, die dafür das ECRIS nutzen sollen Art. 14

Meldewesen

Betreiber müssen ihre nationalen Behörden unverzüglich (min. 24h) über signifikante Störungen und Vorfälle in ihren kritischen Dienstleistungen unterrichten – inkl. betroffener Nutzer, Ausfalldauer und räumliche Ausbreitung. Art. 15

Erbringt ein kritischer Betreiber Essential Services in sechs oder mehr EU Mitglied­staaten, muss er dies an die zuständige Competent Authority melden, die dies wiederum an die EU meldet. Die Kommission entscheidet dann nach Faktenlage, ob das gemeldete Unternehmen ein Betreiber mit besonderer europäischer Relevanz ist und unterrichtet es. Art. 17

Nationale Aufsicht

Governance

Mitglied­staaten müssen innerhalb von drei Jahren eine nationale Strategie für die Resilienz kritischer Betreiber als Rahmenwerk für die nationale Aufsicht umsetzen – inklusive der Ziele, Maßnahmen, Identifikations­methoden, Liste an Stakeholdern und weiteres. Art. 4

Dazu müssen Behörden im eigenen Land für Resilienz-Aufgaben ermächtigt werden: Art. 9

• Competent Authority: Die zuständige Aufsichts­behörde wird mit angemessenen Ressourcen und Governance für Resilienz aufgestattet und soll eng mit der NIS2-designierten Behörde für Cyber Security zusammenarbeiten.
• Für die Sektoren Banken, Finanzmärkte und Digitale Infrastruktur soll diese prinzipiell die Competent Authority sein, es kann aber andere Competent Authorities geben.
• Single Point of Contact: Zur Kommunikation mit anderen Behörden, Staaten, der CERG und der EU soll ein Single Point of Contact für Resilienz eingerichtet werden.

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) soll in Deutschland wahrscheinlich die Competent Authority für Resilienz (CER) werden.

Den Mitglied­staaten bleibt weitere, nationale Gesetzgebung zur Resilienz Kritischer Infrastrukturen vorbehalten. Art. 3

Identifikation kritischer Betreiber

Um kritische Betreiber zu identifizieren, müssen Mitglied­staaten bis zum 17. Januar 2026 und anschließend im Bedarfsfall, mindestens aber alle vier Jahre eine Analyse von Ausfallrisiken der kritischen Dienstleistungen und Sektoren anfertigen ("Risikobewertung durch Mitgliedstaaten"). Damit sollen im Anschluss bis zum 17. Juli 2026 die kritischen Betreiber im Land identifiziert und registriert werden. Art. 5 Art. 6 Art. 7

Sanktionen und Aufsicht

Die Behörden in den Mitglied­staaten sollen umfangreiche Aufsichts- und Kontroll­rechte bei den kritischen Betreibern erhalten — unter anderem Inspektionen, Audits und Überwachung von Maßnahmen. Für Verstöße gegen die Resilienz-Vorgaben sollen durch die nationalen Behörden angemessene Sanktionen verhängt werden können. Art. 21 Art. 22

Unterstützung von Betreibern

Mitgliedsstaaten sollen kritische Betreiber in Resilienz­maßnahmen unterstützen – durch Beratung, Training, Guidance aber auch mögliche finanzielle Unterstützung Art. 10

Zusammenarbeit in der EU

Kooperation

Zur Kooperation innerhalb der EU zu Resilienz wird die Critical Entities Resilience Group eingerichtet, bestehend aus sicherheits­überprüften Vertretern der Mitglied­staaten und der Kommission. Diese CERG soll die Kommission unterstützen bei der Beratung von Mitglied­staaten, Analyse von Strategien, Best Practices und Abhängigkeiten und Berichten. Art. 19

Mitgliedsstaaten sollen in Resilienzfragen miteinander kooperieren und Informationen austauschen, speziell in übergreifenden Fällen, wenn Betreiber: Art. 11

• Kritische Infrastruktur nutzen, die mehrere Staaten überschreitet,
• Teil von Unternehmens­gruppen sind, die mit kritischen Betreibern in anderen Mitgliedsstaaten verbunden sind,
• Kritisch in einem Mitgliedsstaat sind und in anderen Essential Services anbieten.

Generell gibt es viel vorgeschriebenen Informationsaustausch zwischen Competent Authorities, mit und innerhalb der EU und speziell der Kommission und der CERG.

Meldungen

Die Competent Authorities sollen die Behörden anderer Mitgliedsstaaten über gemeldete Vorfälle informieren, falls diese Auswirkungen auf andere Staaten, kritische Betreiber oder Essential Services haben. Art. 15

Spezielle Betreiber

Innerhalb der EU werden bestimmte Betreiber mit besonderer europäischer Relevanz designiert, welche kritische Betreiber sind und mindestens sechs oder mehr EU Mitglied­staaten mit Essential Services versorgen. Diese Betreiber sollen in der EU identifiziert, gemeldet und besonders überwacht werden. Die Kommission kann dazu auch Beratungs­missionen zu den Betreibern schicken, um Maßnahmen zu bewerten. Art. 17 Art. 18

Risiken und EU-Unterstützung

Die Kommission soll Mitgliedsstaaten und Behörden unterstützen, grenzen- und sektor­überschreitende Risiken analysieren, Best Practices und Guidances entwerfen und Staaten über finanzielle Unterstützung der EU für kritische Betreiber informieren. Art. 20

Für Resilienz- und Sicherheits­maßnahmen sollen internationale und europäische Standards gefördert werden. Art. 16

Gesetzgebung

Die EU RCE-Regulierung legt im Kern Mindestanforderungen für die Resilienz Kritischer Infrastrukturen in der EU und ihren Mitglied­staaten fest. Diese Anforderungen müssen in nationales Recht überführt und durch nationale Behörden überwacht werden.

EU

EU RCE wurde am 27. Dezember 2022 abschließend im EU-Amtsblatt als (EU) 2022/2557 veröffentlicht und ist damit in Kraft. Nach der Verabschiedung von RCE in der EU müssen Mitglied­staaten innerhalb von 21 Monaten die RCE-Regularien durch eigene Gesetzgebung in nationales Recht überführen – bis Oktober 2024.

EU RCE löst die alte European Critical Infrastructures Direktive von 2008 ab

Deutschland

Die CER-Richtlinie muss in deutsches Recht überführt werden — und wird möglicherweise mit dem seit Winter 2022 diskutierten KRITIS-Dachgesetz ab 2023 umgesetzt. Die nationalen Strategien für Resilienz sollen alle 4 Jahre überarbeitet werden.

Kritische Betreiber müssen (wahrscheinlich) bis spätestens 2026 durch Staaten identifiziert werden, die Betreiber wiederum müssen bis spätestens 2027 Maßnahmen umsetzen.

Review

EU RCE soll vier ½ Jahre nach Inkrafttreten von der Kommission gereviewed werden, die Kommission soll nach sechs Jahren und fünf Monaten an Parlament und Rat berichten.

Literatur

1. Parlament nimmt neue Regeln zum Schutz kritischer Infrastruktur in der EU an, Europäisches Parlament, 22.11.2022
2. COM(2020)829 - Directive Resilience of critical entities, EU Monitor, Tracking, o.D.
3. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
4. Bewertung der EU-NIS und EU-RCI Richtlinie, AG KRITIS, 26.4.2021
5. Impact Assessment – Proposal for a Directive on the resilience of critical entities, European Parliament and Council, SWD(2020) 358 final, 16.12.2020

Quellen

1. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
2. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
3. European Parliament legislative resolution of 22 November 2022 on the proposal for a directive of the European Parliament and of the Council on the resilience of critical entities, COM(2020)0829 – C9-0421/2020 – 2020/0365(COD), 22.11.2022
4. Commission proposal for a Directive on the resilience of critical entities, COM(2020) 829 final, 16.12.2020
5. Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the resilience of critical entities (PDF), COM(2020) 829 final, 16.12.2020
6. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016