CER-Richtlinie einfach erklärt
10 min
CER-Richtlinie einfach erklärt: Pflichten, Fristen und Auswirkungen auf kritische Infrastrukturen
Kritische Infrastrukturen stehen zunehmend im Fokus physischer Bedrohungen – von Naturkatastrophen bis hin zu Sabotageakten. Mit der CER-Richtlinie verpflichtet die EU Betreiber dazu, ihre Resilienz deutlich zu stärken. In diesem Artikel erfahren Sie, welche neuen gesetzlichen Anforderungen auf Sie zukommen, wie das KRITIS-Dachgesetz diese umsetzt und was Sie jetzt tun sollten.
Was ist die CER-Richtlinie?
Die CER-Richtlinie (Critical Entities Resilience Directive, EU-Richtlinie 2022/2557) ist ein europäisches Regelwerk, das am 16. Januar 2023 in Kraft getreten ist. Ziel ist es, die physische Resilienz kritischer Infrastrukturen zu stärken. Die Richtlinie verpflichtet Betreiber sogenannter „kritischer Einrichtungen“ dazu, ihre Risikovorsorge und Widerstandsfähigkeit gegen physische Bedrohungen wie Naturkatastrophen, Sabotageakte oder Terroranschläge zu verbessern. Da es sich dabei um eine EU-Richtlinie handelt, sind alle Mitgliedstaaten angehalten, die Inhalte in ihr nationales Recht zu übertragen – in Deutschland ist dies im sogenannten KRITIS-Dachgesetz geregelt.
Was sind die Ziele der CER-Richtlinie?
Die Ziele der CER-Richtlinie lassen sich wie folgt zusammenfassen:
- Verbesserung der Resilienz kritischer Einrichtungen durch verpflichtende Risikoanalysen, Schutzkonzepte und Krisenreaktionspläne
- Schutz der physischen Infrastruktur vor Bedrohungen wie Extremwetter, Angriffen, Stromausfällen oder Versorgungsengpässen
- Stärkung der Risikovorsorge und Krisenreaktion, insbesondere durch eine verbesserte Zusammenarbeit zwischen Unternehmen und staatlichen Stellen
Warum ist die CER-Richtlinie wichtig?
Kritische Infrastrukturen sind das Rückgrat moderner Gesellschaften. Stromnetze, Wasserversorgung, Gesundheitsdienste und Verkehrsnetze müssen auch in Krisensituationen funktionsfähig bleiben. Die CER-Richtlinie sorgt dafür, dass Staaten und Unternehmen besser darauf vorbereitet sind, Angriffe auf diese Systeme sowie Ausfälle zu bewältigen.
Sie brauchen Unterstützung bei der Umsetzung der CER-Richtlinie?
Mit unserer Expertise im Bereich kritischer Infrastrukturen und regulatorischer Anforderungen (z. B. CER, NIS-2, KritisDachG) begleiten wir Sie von der Risikoanalyse bis zur Umsetzung passgenauer Resilienzmaßnahmen. Ob Beratung, Schulung oder technische Umsetzung – wir sind für Sie da.
Wer ist von der CER-Richtlinie betroffen?
Die Richtlinie betrifft sowohl private als auch öffentliche Betreiber kritischer Einrichtungen in den folgenden elf wesentlichen Sektoren.
- Energie (Strom, Gas, Öl)
- Transport (Schiene, Luft, Straße, See)
- Trinkwasserversorgung
- Abwasserentsorgung
- Lebensmittelversorgung
- Gesundheitswesen
- Öffentliche Verwaltung
- Weltraum
- Digitale Infrastruktur
- Bankwesen
- Finanzmarkt-Infrastruktur
Neben Unternehmen sind auch Behörden verpflichtet, Prozesse und Strategien zur Umsetzung der Richtlinie zu etablieren.
Was müssen betroffene Unternehmen tun?
Unternehmen, die unter die CER-Richtlinie fallen, müssen konkrete Maßnahmen ergreifen:
- Risikoanalysen durchführen, um Bedrohungsszenarien zu identifizieren.
- Resilienzmaßnahmen planen und umsetzen, etwa bauliche Schutzmaßnahmen oder Notfallreserven.
- Meldepflichten einhalten: Ereignisse mit erheblichen Auswirkungen auf den Betrieb müssen gemeldet werden.
- Business Continuity Management (BCM) einführen oder ausbauen, um Betriebsfähigkeit auch im Krisenfall sicherzustellen.
Wie grenzt sich die CER-Richtlinie von der NIS-2-Richtlinie ab?
Die CER-Richtlinie konzentriert sich auf physische Resilienz, während die NIS-2-Richtlinie die Cybersicherheit kritischer Einrichtungen reguliert. Beide Richtlinien ergänzen sich inhaltlich:
- CER: Schutz vor physischen Bedrohungen wie Sabotage, Naturgefahren oder Lieferkettenstörungen
- NIS-2: Schutz vor Cyberangriffen, IT-Ausfällen und Datenmanipulation
Für Unternehmen ist es wichtig, Synergien zu nutzen und beide Richtlinien gemeinsam zu denken. Eine integrierte Sicherheitsstrategie, die sowohl physische als auch digitale Bedrohungen berücksichtigt, wird dringend empfohlen.
Wann gilt die CER-Richtlinie?
Die CER-Richlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Die Umsetzungsfrist in nationales Recht endete mit dem 17. Oktober 2024. Diese Frist wurde von Deutschland nicht eingehalten. Der Entwurf des KRITIS-Dachgesetzes wurde am 6. November 2024 vom Bundeskabinett beschlossen und befindet sich aktuell im parlamentarischen Verfahren. Eine Verabschiedung wird im Laufe des Jahres 2025 erwartet.
Wichtig für Unternehmen: Nach aktueller Planung wird nach Inkrafttreten des KRITIS-Dachgesetzes eine Registrierungspflicht innerhalb von drei Monaten gelten. Demnach sind Unternehmen verpflichtet, eigenständig zu prüfen, ob sie als Betreiber kritischer Anlagen gelten, und sich innerhalb von drei Monaten beim Bund registrieren zu lassen. Weitere zehn Monate später müssen alle geforderten Resilienzmaßnahmen umgesetzt sein. Unternehmen sollten sich daher bereits jetzt strategisch auf die Anforderungen vorbereiten.
Was sind mögliche Sanktionen bei Nichteinhaltung?
Die Mitgliedstaaten legen eigene Sanktionsmechanismen fest. Diese können u. a. Bußgelder, behördliche Anordnungen oder Betriebseinschränkungen beinhalten. Für das Management betroffener Einrichtungen bedeutet das: Verantwortung trägt die Unternehmensleitung.
Weiterführende Links & Ressourcen
Wenn Sie tiefer in die rechtlichen Grundlagen der CER-Richtlinie und deren nationaler Umsetzung einsteigen möchten, empfehlen wir folgende Quellen:
- Der vollständige Text der EU-Richtlinie 2022/2557 (CER) liefert einen detaillierten Überblick über die europäischen Anforderungen.
- Informationen zur Umsetzung in Deutschland – inklusive dem aktuellen Stand des Gesetzgebungsverfahrens – stellt das Bundesministerium des Innern (BMI) bereit.
