Die jüngsten Bedrohungen für kritische Infrastrukturen in der EU haben versucht, die kollektive Sicherheit zu untergraben. Bereits im Jahr 2020 hatte die Kommission eine deutliche Verbesserung der EU-Vorschriften für die Widerstandsfähigkeit kritischer Einrichtungen und die Sicherheit von Netz- und Informationssystemen vorgeschlagen, auch in Bezug auf Transport.

Heute treten zwei wichtige Richtlinien zu kritischen und digitalen Infrastrukturen in Kraft, die die Widerstandsfähigkeit der EU gegenüber Online- und Offline-Bedrohungen - von Cyberangriffen bis hin zu Kriminalität, Risiken für die öffentliche Gesundheit oder Naturkatastrophen - stärken werden: die Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union (NIS-2-Richtlinie) und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie).

Die NIS-2-Richtlinie wird ein sichereres und stärkeres Europa gewährleisten, indem sie die Sektoren und die Art der kritischen Einrichtungen, die in ihren Anwendungsbereich fallen, erheblich erweitert. Dazu gehören Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten, Rechenzentrumsdienste, Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste und Einrichtungen der öffentlichen Verwaltung sowie der Gesundheitssektor im weiteren Sinne. Darüber hinaus werden die Anforderungen an das Cybersicherheits-Risikomanagement, die Unternehmen erfüllen müssen, verschärft und die Meldepflichten für Vorfälle durch präzisere Bestimmungen über die Berichterstattung, den Inhalt und den Zeitplan gestrafft. Die NIS2-Richtlinie ersetzt die Vorschriften zur Sicherheit von Netz- und Informationssystemen, die ersten EU-weiten Rechtsvorschriften zur Cybersicherheit.

Vor dem Hintergrund einer immer komplexeren Risikolandschaft ersetzt die neue CER-Richtlinie die europäische Richtlinie über kritische Infrastrukturen von 2008. Die neuen Vorschriften werden die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber einer Reihe von Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insider-Bedrohungen oder Sabotage stärken. Es werden 11 Sektoren abgedeckt: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastrukturen, öffentliche Verwaltung, Raumfahrt und Lebensmittel. Die Mitgliedstaaten müssen eine nationale Strategie verabschieden und regelmäßige Risikobewertungen durchführen, um Einrichtungen zu ermitteln, die als kritisch oder lebenswichtig für die Gesellschaft und die Wirtschaft gelten.

Die Mitgliedstaaten haben 21 Monate Zeit, um die beiden Richtlinien in nationales Recht umzusetzen. Während dieser Zeit müssen die Mitgliedstaaten die erforderlichen Maßnahmen zur Umsetzung der Richtlinien erlassen und veröffentlichen.

Im Dezember 2022 hat der Rat eine Empfehlung für ein unionsweites Koordinierungskonzept zur Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen angenommen, in der die Mitgliedstaaten aufgefordert werden, die Vorbereitungsarbeiten für die Umsetzung und Anwendung der NIS 2 und der Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) zu beschleunigen.

Weitere Informationen über die NIS2-Richtlinie finden Sie hier, in diesen Fragen und Antworten und in diesem Factsheet, und über die CER-Richtlinie hier.

WKZ, Quelle EU-Kommission