Am 16.01.2023 sind zwei EU-Richtlinien für besseren Schutz kritischer Infrastrukturen in Kraft getreten.

EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie)

Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.

EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)

Die NIS-2-Richtlinie weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus. Betroffene Unternehmen werden nur noch anhand ihrer Unternehmensgröße erfasst. Das gilt grundsätzlich für alle mittleren- und Großunternehmen in den betroffenen Wirtschaftssektoren.

Einheitlicher Schutz vor physischen Störungen und Cyberangriffen

Mit den Richtlinien will die EU einen einheitlichen Schutz vor physischen Störungen und Cyberangriffen gewährleisten. So sind die erfassten Sektoren weitgehend identisch: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung und Weltraum.

Ein Regionalzug am Frankfurter Hbf (Vergrößerung öffnet sich im neuen Fenster) Quelle: Adobe Stock/ ON-Photography

Von der NIS-2-Richtlinie erfasste Unternehmen müssen zukünftig Risikomanagementmaßnahmen im Cybersicherheitsbereich vorweisen und Meldepflichten im Fall von Cybervorfällen erfüllen. Nach Schätzungen des Statistischen Bundesamts betrifft das in Deutschland insgesamt rund 29.000 Unternehmen – mehr als fünfmal so viele wie zuvor.

Die CER-Richtlinie wird durch das im Koalitionsvertrag vereinbarte KRITIS-Dachgesetz umgesetzt. Das Gesetz schafft erstmalig eine sektorenübergreifende bundesgesetzliche Regelung zum physischen Schutz Kritischer Infrastrukturen in Deutschland.