In einer Zeit großer Ungewissheit – durch Naturkatastrophen, weltpolitische Spannungen oder unvorhergesehene Pandemien – gewinnt die Resilienz kritischer Infrastrukturen zunehmend an Bedeutung. Die Europäische Union (EU) hat sich angesichts der Schwere der Bedrohungen dazu verpflichtet, ihre wesentlichen Einrichtungen vor gravierenden Störungen zu schützen, die Gesellschaften und Konjunkturen beeinträchtigen können. Im Zentrum dieser Mission liegt die Critical Entities Resilience (CER)-Richtlinie über die Resilienz kritischer Einrichtungen, ein zukunftsgerichtetes Rahmenwerk zur Sicherstellung der Robustheit der Systeme und Dienste, auf die wir täglich angewiesen sind – unabhängig von den möglichen Herausforderungen.
Eine Flut von Bedrohungen: Ohne CER geht es nicht
Die Motivation für die CER-Richtlinie ist das immer komplexere Netz von Bedrohungen für die kritischen Infrastrukturen Europas. Auch wenn Cybersicherheit häufig in den Schlagzeilen ist, geht es bei der CER-Richtlinie vorrangig um ein breiteres Spektrum von Risiken – jenen, die die physische und operative Resilienz wesentlicher Einrichtungen bedrohen.
Stellen Sie sich die Auswirkungen einer Naturkatastrophe vor, wie beispielsweise die Überschwemmungen, von denen europäische Städte in der letzten Zeit heimgesucht wurden, oder die verheerenden Auswirkungen eines Terroranschlags gegen das Stromnetz. Diese Arten von Bedrohungen soll die CER-Richtlinie mindern. Es geht nicht nur darum, dass die Lichter nicht ausgehen. Ziel ist es vielmehr, dass die Stromversorgung von Krankenhäusern, die Verkehrsnetze für die Beförderung von Personen und Waren und die Lieferketten, auf die Millionen von Menschen für ihre Ernährung angewiesen sind, auch in solchen Krisen aufrechterhalten bzw. rasch wiederhergestellt werden können.
Früher und heute: die Weiterentwicklung der Resilienz der Infrastrukturen in der EU
Die CER-Richtlinie der EU hat eine längere Entstehungsgeschichte. Sie geht auf die Richtlinie der Europäischen Union über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen von 2008 zurück, mit der die Grundlagen für den Schutz kritischer Sektoren wie Energie und Transport geschaffen wurden. Doch so wie sich die Welt seither verändert hat, haben sich auch die Bedrohungen weiterentwickelt. Die digitale Revolution hat Cyberrisiken mit sich gebracht, für die die ursprüngliche Richtlinie nicht ausgelegt war. Durch den Klimawandel und die geopolitische Instabilität sind weitere Schichten an Komplexität hinzugekommen.
Angesichts dieser Herausforderungen benötigte die EU eine Richtlinie, die nicht reaktiv, sondern proaktiv ist und die sowohl alten als auch neuen Bedrohungen gewachsen ist. So wurde im Dezember 2022 die CER-Richtlinie verabschiedet, die die vorherige Version mit einem breiter gefächerten, alles umfassenden Ansatz ersetzt. Die neue Richtlinie erkennt an, dass kritische Infrastrukturen heute stärker verflochten und voneinander abhängig sind als je zuvor und eine Störung in einem Bereich Auswirkungen auf viele Sektoren haben kann.
Das Ziel der CER-Richtlinie
Was soll die CER-Richtlinie genau bewirken? Im Wesentlichen geht es in der CER-Richtlinie darum sicherzustellen, dass die kritischen Infrastrukturen Europas in der Lage sind, eine Vielzahl von Störungen zu überstehen und sich gegebenenfalls schnell davon zu erholen. Die CER-Richtlinie schreibt vor, dass jeder EU-Mitgliedstaat die kritischen Einrichtungen auf seinem Staatsgebiet identifiziert und sicherstellt, dass diese auf potenzielle Bedrohungen vorbereitet sind. Dabei geht es nicht um die notdürftige Ausbesserung von Schwachstellen, sondern viel mehr darum, Resilienz von Grund auf in die Struktur dieser Einrichtungen einzubauen.
Von der CER-Richtlinie identifizierte kritische Bedrohungen
Die Richtlinie identifiziert mehrere maßgebliche Kategorien von Bedrohungen, auf die kritische Einrichtungen in der EU vorbereitet sein müssen:
- Naturkatastrophen: Dazu zählen Extremwetterereignisse wie Überschwemmungen, Erdbeben und Waldbrände, deren Häufigkeit und Schwere aufgrund des Klimawandels zunehmen.
- Terroranschläge: Die Richtlinie berücksichtigt die Bedrohung durch terroristische Straftaten gegen kritische Infrastrukturen und zielt darauf ab, das Potenzial umfangreicher Störungen zu mindern.
- Bedrohung durch Insider: Diese Risiken gehen von Mitarbeitern in Unternehmen aus, die aufgrund von Radikalisierung, Zwängen oder anderen Motiven böse Absichten verfolgen.
- Sabotage: Die CER-Richtlinie bezieht sich auch auf Straftaten zum Zweck der Schädigung oder Störung wesentlicher Dienste, beispielsweise Sabotageakte gegen Strom- oder Verkehrsnetze.
- Notfälle im Gesundheitswesen: Infolge der Coronapandemie sieht die Richtlinie auch Bestimmungen zur Stärkung der Infrastruktur gegen umfassende Gesundheitskrisen vor, die das Funktionieren der Gesellschaft beeinträchtigen könnten.
- Hybride Bedrohungen: Dabei handelt es sich um eine Kombination aus konventionellen und unkonventionellen Taktiken, beispielsweise Fehlinformation und wirtschaftliche Zwänge, die auf eine Destabilisierung der Gesellschaft ausgerichtet sind.
Die CER-Richtlinie schreibt vor, dass jeder EU-Mitgliedstaat kritische Einrichtungen in diesen Sektoren identifiziert und sicherstellt, dass angemessene Vorkehrungsmaßnahmen gegen solche Bedrohungen getroffen werden. Solche Einrichtungen müssen außerdem Vorfälle melden, die ihre Dienste erheblich stören, und regelmäßige Risikobewertungen im Hinblick auf potenzielle Schwachstellen durchführen.
Einrichtungen, die in den Geltungsbereich der CER-Richtlinie fallen
Die CER-Richtlinie gilt für eine Reihe systemrelevanter Sektoren, die für das Funktionieren der Gesellschaft und der Wirtschaft wesentlich sind. Diese Sektoren gelten als kritisch, da eine Störung ihrer Dienste schwerwiegende Folgen haben und möglicherweise mehrere EU-Mitgliedstaaten betreffen könnte. Die Richtlinie identifiziert elf wichtige Sektoren, d. h. Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Diese Sektoren gelten als kritisch, da eine Störung ihrer Dienste schwerwiegende Folgen haben und möglicherweise mehrere EU-Mitgliedstaaten betreffen könnte. Die Verflechtung dieser Sektoren bedeutet, dass Störungen in einem Sektor lawinenartige Auswirkungen auf andere Sektoren haben könnten, sodass die Stärkung der Resilienz in diesen Bereichen von besonderer Bedeutung ist.
Die wichtigsten Pflichten im Rahmen der CER-Richtlinie
Die CER-Richtlinie erlegt Organisationen, die als kritische Einrichtungen gelten, mehrere Pflichten auf. Dadurch soll sichergestellt werden, dass sich die Einrichtungen nicht nur der Risiken bewusst sind, sondern auch aktiv an deren Eindämmung arbeiten.
- Risikobewertung: Kritische Einrichtungen müssen umfassende Risikobewertungen durchführen und dabei sowohl natürliche als auch vom Menschen gemachte Risiken berücksichtigen, einschließlich grenz- und sektorübergreifender Bedrohungen. Diese Bewertungen müssen mindestens alle vier Jahre und bei bedeutsamen Veränderungen auch früher aktualisiert werden.
- Implementierung von Maßnahmen zur Stärkung der Resilienz: Unternehmen müssen auf der Grundlage der Risikobewertungen angemessene technische, sicherheitsbezogene und organisatorische Maßnahmen umsetzen. Dazu gehört der physische Schutz von Räumlichkeiten, die Ausarbeitung robuster Pläne zur Aufrechterhaltung des Betriebs und die Schulung des Personals in der effektiven Reaktion auf Vorfälle.
- Meldung von Vorfällen: Kritische Einrichtungen müssen die zuständigen Behörden über Vorfälle, die wesentliche Dienste erheblich stören bzw. stören können, benachrichtigen. Die Meldung muss unverzüglich, spätestens aber 24 Stunden nach Bekanntwerden des Vorfalls erfolgen.
- Überwachung und Compliance: Die nationalen Behörden haben kritische Einrichtungen zu überwachen, um deren Einhaltung der CER-Richtlinie sicherzustellen. Dies umfasst regelmäßige Audits, Inspektionen und die Auferlegung von Bußgeldern bei Nichteinhaltung der Vorschriften nach Maßgabe durch den jeweiligen Mitgliedstaat.
- Entwicklung von Resilienzplänen: Einrichtungen müssen ihre Resilienzstrategien in formellen Plänen dokumentieren und in regelmäßigen Abständen überprüfen und aktualisieren und dabei neue Entwicklungen im Bedrohungsgefüge berücksichtigen.
- Benennung eines Ansprechpartners: Unternehmen müssen konkrete Ansprechpartner für die Kommunikation mit den nationalen Behörden benennen. So ist bei Vorfällen oder Compliance-Prüfungen sichergestellt, dass klare Kommunikationswege eingehalten werden.
- Überprüfungen des Personals: Um mögliche Bedrohungen aus den eigenen Reihen zu minimieren, müssen die betreffenden Einrichtungen den Hintergrund von Mitarbeitern in sensiblen Positionen überprüfen, insbesondere wenn diese Zugriff auf kritische Infrastrukturen oder sensible Informationen haben.
Die CER-Richtlinie überträgt den EU-Mitgliedstaaten erhebliche Verantwortung. Die Regierungen sind verpflichtet, alle vier Jahre Risikobewertungen für jeden Sektor durchzuführen und die betreffenden kritischen Einrichtungen über die Ergebnisse zu informieren. Darüber hinaus müssen Regierungen diese Einrichtungen durch Informationsaustausch sowie die Bereitstellung von Leitfäden, Hilfsmitteln und Ressourcen zur Verbesserung der Resilienz unterstützen.
Nichteinhaltung und Bußgelder
Die CER-Richtlinie schreibt kritischen Einrichtungen die Einhaltung der in der Direktive festgelegten Anforderungen vor. Zu diesen gehören neben Risikobewertungen auch die Umsetzung von Maßnahmen zur Erhöhung der Resilienz und die unverzügliche Meldung von Vorfällen. Die Richtlinie gibt jedoch keine einheitlichen Bußgelder oder Strafen auf EU-Ebene vor. Stattdessen überlässt sie die Festlegung von Sanktionen den einzelnen EU-Mitgliedstaaten, die die Richtlinie in nationales Recht umsetzen. Das bedeutet, dass die Bußgelder für die Nichteinhaltung der CER-Richtlinie je nach den von den jeweiligen Mitgliedstaaten festlegten Vorschriften variieren.
Überschneidungen und Unterschiede zwischen NIS-2 und CER
Die NIS-2-Richtlinie und die CER-Richtlinie fokussieren sich auf unterschiedliche Resilienzaspekte und schaffen gemeinsam ein robustes Rahmenwerk zum Schutz kritischer Einrichtungen in der EU. Die NIS-2-Richtlinie strebt ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union an und dient dem Schutz digitaler Infrastrukturen und Systeme vor Cyberbedrohungen. Der Fokus der CER-Richtlinie ist breiter angelegt. Er umfasst die physische und operative Resilienz und deckt eine Vielzahl von Risiken von Naturkatastrophen bis Sabotage ab.
Um zu verstehen, inwieweit diese Richtlinien jeweils für eine bestimmte Einrichtung gelten, kann die folgende Orientierungshilfe nützlich sein:
- Einrichtungen, die gemäß CER-Richtlinie als „kritisch“ gelten, gelten im Rahmen der NIS-2-Richtlinie automatisch als „wesentlich“. Solche Einrichtungen müssen daher sowohl die Anforderungen der NIS-2-Richtlinie in Bezug auf Cybersicherheit als auch die CER-Vorgaben hinsichtlich einer breiteren Resilienz erfüllen. Zur Verringerung des Verwaltungsaufwands sind die Behörden aufgefordert, die Meldung von Vorfällen und die Überwachungsprozesse für beide Richtlinien aufeinander abzustimmen.
- Die CER-Richtlinie gilt nicht für Belange, die von NIS-2 abgedeckt werden, insbesondere im Hinblick auf Angelegenheiten der Cybersicherheit. Für Einrichtungen, die beiden Richtlinien unterliegen, gilt die CER-Richtlinie nur für solche Bereiche, die den Umfang von NIS-2 überschreiten. Im Falle des digitalen Infrastruktursektors gelten Einrichtungen gemäß CER als kritisch, wenn ihre Dienste für andere Sektoren von entscheidender Bedeutung sind. Solche Einrichtungen müssen beide Richtlinien einhalten.
Gemeinsam schaffen die CER- und die NIS-2-Richtlinie einen einheitlichen Ansatz für Resilienz sowohl bei physischen als auch bei cyberbezogenen Gesichtspunkten.
BC-DR: Sicherstellung der Resilienz gemäß der CER-Richtlinie
Aus Sicht der CER-Richtlinie ist es wichtig, robuste Strategien für die Geschäftskontinuität und die Notfallwiederherstellung vorzusehen, da dies grundlegende Komponenten der Resilienzplanung kritischer Einrichtungen sind. In der zunehmend verflochtenen Infrastruktur von heute hängt die Fähigkeit zur Aufrechterhaltung des Betriebs stark von der Verfügbarkeit und dem Schutz kritischer Daten ab.
Eine der wesentlichen Strategien bei der Erreichung dieses Ziels ist die Umsetzung von Replikationsmechanismen innerhalb und außerhalb des eigenen Standorts. Durch die Einrichtung synchroner Zweifach- und Dreifachspiegelung können kritische Einrichtungen gewährleisten, dass Daten nicht nur lokal gesichert, sondern auf mehrere Standorte in der Nähe verteilt repliziert werden. Diese Redundanz ermöglicht bei Ausfällen ein schnelles Umschalten auf ein sekundäres System oder einen sekundären Standort. So wird die Ausfallzeit minimiert und die fortgesetzte Erbringung wesentlicher Dienste ist sichergestellt.
Darüber hinaus ist die Erstellung von Kopien für die Notfallwiederherstellung durch asynchrone Replikation für den Schutz bei Katastrophen, die das primäre Rechenzentrum betreffen könnten, von elementarer Bedeutung. Asynchrone Replikation ermöglicht das Kopieren der Daten an externe Standorte mit minimaler Latenz. So ist gewährleistet, dass bei Problemen am primären Standort eine aktuelle Version der Daten für die Wiederherstellung verfügbar ist.
Zusätzlich zu diesen Replikationsstrategien sind Backups, Snapshots und Continuous Data Protection (CDP) bei einem Datenverlust für die Wiederherstellung von Systemen im letzten bekannten guten Zustand unverzichtbar. Diese Technologien ermöglichen es kritischen Einrichtungen, sich von Datenbeschädigungen, Cyberangriffen oder physischer Beschädigung schnell zu erholen. Damit ist die Aufrechterhaltung wesentlicher Dienste und die Minimierung der Auswirkungen von Störungen sichergestellt.
Durch die Integration der Strategien für Business Continuity (BC) und Disaster Recovery (DR) in ihre Resilienzpläne können kritische Einrichtung ihre Betriebe besser vor zahlreichen Bedrohungen schützen und die Ziele der CER-Richtlinie zur Aufrechterhaltung robuster und zuverlässige Infrastrukturen in der EU unterstützen.
Eine resiliente Zukunft für Europa
Die CER-Richtlinie ist mehr als eine Vorschrift. Sie ist ein entscheidender Schritt zu einer resilienten Zukunft für Europa. In einer Welt, in der Unerwartetes zur Norm geworden ist, ist die Sicherstellung der Widerstandsfähigkeit kritischer Infrastrukturen gegen Störungen aller Art nicht nur wünschenswert, sondern lebenswichtig. Die Richtlinie fordert von den Mitgliedstaaten die Umsetzung der Maßnahmen durch entsprechende nationale Vorschriften bis zum 17. Oktober 2024. Dieses Datum ist ein bedeutender Meilenstein für die Anstrengungen, die wesentlichen Dienste in Europa zu stärken und zu sichern. Die EU-Mitgliedstaaten und die kritischen Einrichtungen sind gleichermaßen in der Pflicht, sich dieser Herausforderung zu stellen und zu gewährleisten, dass für unseren Alltag unverzichtbare Dienste auch in Krisenzeiten aufrechterhalten bleiben.
Durch die proaktive Vorbereitung auf ein breit gefächertes Spektrum von Bedrohungen und die Umsetzung robuster Maßnahmen zur Verbesserung der Resilienz schafft die CER-Richtlinie den Rahmen für ein sichereres und resilienteres Europa – ein Europa, das für alle Herausforderungen der Zukunft gerüstet ist.
