Was ist die RCE-Richtlinie (CER-Richtlinie)?

Die EU RCE-Direktive (EU 2022/2557), auch bekannt als CER-Richtlinie (Critical Entities Resilience Directive), hat das Ziel die (physische) Resilienz von Kritischen Infrastrukturen innerhalb der Europäischen Union zu regulieren. Diese Direktive tritt an die Stelle der vorherigen European Critical Infrastructures Direktive von 2008. Ihr Hauptziel ist es, die Ausfallsicherheit von Betreibern kritischer Einrichtungen, auch als Critical Entities bezeichnet, zu gewährleisten.

Übersicht: Aktueller Stand KRITIS-Dachgesetz

Hinweis: Dieser Artikel bezieht sich auf die europäische Richtlinie. Diese muss in den EU-Mitgliedsstaaten noch in nationales Recht umgesetzt werden. Dies bedeutet, dass die wesentlichen Inhalte und Anforderungen bereits bekannt sind, sich aber noch individuelle Anpassungen ergeben können, bspw. Zu Details der betroffenen Unternehmen, Anforderungen, Nachweispflichten und den Bußgeldern. In Deutschland erfolgt die Umsetzung mit dem KRITIS-Dachgesetz. Voraussichtlich betroffene Unternehmen sollten die weitere Entwicklung der nationalen Umsetzung verfolgen.

1. Betroffene Sektoren und Betreiber
Die EU RCE-Direktive findet Anwendung auf Unternehmen, die Essential Services in spezifischen Sektoren erbringen. Für eine genaue Definition der in den Sektoren erbrachten Dienste wird eine weitere Rechtsverordnungen erwartet. Es ist davon auszugehen, dass bisherige „KRITIS-Betreiber“ auch unter die CER-Richtlinie bzw. das KRITIS-Dachgesetz fallen werden.

Die zu den zu regulierenden Sektoren (11) zählen die Folgenden:

  • Energie
  • Verkehr
  • Banken
  • Finanzmarktinfrastrukturen
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Raumfahrt
  • Lebensmittel

2. Anforderungen und Pflichten
Die Direktive definiert eine Reihe von Mindestmaßnahmen, die von den Betreibern ergriffen werden müssen, um die Resilienz ihrer Dienstleistungen zu gewährleisten. Diese Maßnahmen umfassen verschiedene Aspekte wie physische Sicherheit, Krisenmanagement, Wiederherstellungspläne und regelmäßige Risikobewertungen. Ziel ist es, das Ausfallrisiko von Prozessen zu minimieren und die Bereitstellung der Essential Services aufrechtzuerhalten.

3. Sanktionen und Bußgelder
Für die Umsetzung der CER-Richtlinie müssen die Mitgliedsstaaten Strafen, Geldbußen und Sanktionen, für Verstöße gegen die jeweiligen nationalen Richtlinien vorsehen. Die vorgesehenen Sanktionen sollen dabei wirksam, verhältnismäßig und abschreckend sein. Aufgrund der vergleichbaren Formulierung in der NIS2-Richtlinie ist auch für die CER-Richtlinie von einem Bußgeldrahmen von bis zu 20 Millionen Euro auszugehen.

4. Zeitplan und nationale Umsetzung
Die Mitgliedstaaten der EU sind verpflichtet, die Vorschriften der EU RCE-Direktive bis spätestens Oktober 2024 in nationales Recht zu überführen. In Deutschland wird die Umsetzung voraussichtlich durch das KRITIS-Dachgesetz erfolgen. Hier werden weitere Fristen hinsichtlich Registrierungspflichten, Maßnahmenumsetzung und Nachweisen festgelegt.

5. Abgrenzung zur NIS2-Richtlinie
Die NIS2-Richtlinie fokussiert die Cybersecurity für Unternehmen in der EU. Die RCE-Richtlinie hingegen fokussiert sich auf die allgemeine Resilienz und Ausfallsicherheit von „kritischen Einrichtungen“. Dies bedeutet, dass mit der RCE nicht mehr nur „informationstechnische Systeme“ berücksichtigt werden müssen, sondern alle zur Erbringung der Dienstleitung notwendigen Unternehmensprozesse unter Berücksichtigung der physischen Sicherheit. Die Anzahl der von der NIS2-Richtlinie betroffenen Betreiber wird deutlich größer ausfallen, als die von der RCE-Richtlinie betroffenen Unternehmen.