iStock photo Getty images plus
Die jüngsten Bedrohungen der kritischen Infrastruktur der EU haben versucht, unsere kollektive Sicherheit zu untergraben. Bereits 2020 hatte die Kommission eine erhebliche Verbesserung der EU-Vorschriften über die Resilienz kritischer Einrichtungen und die Sicherheit von Netz- und Informationssystemen vorgeschlagen.
Bei den beiden Richtlinien, die in Kraft treten, handelt es sich um:
- Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
- Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie)
Die NIS-2-Richtlinie wird ein sichereres und stärkeres Europa gewährleisten, indem die Sektoren und Arten kritischer Einrichtungen, die in ihren Anwendungsbereich fallen, erheblich ausgeweitet werden. Dazu gehören Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Rechenzentren, Abwasser- und Abfallwirtschaft, Herstellung kritischer Produkte, Post- und Kurierdienste, Einrichtungen der öffentlichen Verwaltung sowie das Gesundheitswesen im weiteren Sinne. Darüber hinaus werden die Anforderungen an das Cybersicherheitsrisikomanagement, die Unternehmen erfüllen müssen, verschärft und die Meldepflichten für Sicherheitsvorfälle mit präziseren Bestimmungen über die Berichterstattung, den Inhalt und den Zeitplan gestrafft. Die NIS2-Richtlinie ersetzt die Vorschriften über die Sicherheit von Netz- und Informationssystemen, die erste EU-weite Rechtsvorschrift zur Cybersicherheit.
Angesichts einer immer komplexeren Risikolandschaft ersetzt die neue CER-Richtlinie die Richtlinie über kritische europäische Infrastrukturen aus dem Jahr 2008. Die neuen Vorschriften werden die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber einer Reihe von Bedrohungen, darunter Naturkatastrophen, Terroranschläge, Insider-Bedrohungen oder Sabotage, stärken. Es werden 11 Sektoren abgedeckt: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und Lebensmittel. Die Mitgliedstaaten müssen eine nationale Strategie annehmen und regelmäßige Risikobewertungen durchführen, um Einrichtungen zu ermitteln, die für die Gesellschaft und die Wirtschaft als kritisch oder lebenswichtig gelten.
Die Mitgliedstaaten haben 21 Monate Zeit, um beide Richtlinien in nationales Recht umzusetzen. Während dieser Zeit erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Maßnahmen, um diesen Maßnahmen nachzukommen.
Im Dezember 2022 nahm der Rat eine Empfehlungfür ein unionsweites Koordinierungskonzept zur Stärkung der Resilienz kritischer Infrastrukturen an, in der die Mitgliedstaaten aufgefordert werden, die Vorbereitungsarbeiten für die Umsetzung und Anwendung der NIS-2-Richtlinie und der Richtlinie über die Resilienz kritischer Einrichtungen zu beschleunigen.