Die CER-Richtlinie (Critical Entities Resilience Directive)

Mit der CER (Critical Entities Resilience Directive/ Richtlinie zur Resilienz kritischer Einrichtungen – kurz auch RKE) vom 14.12.2022 setzt die EU einen wichtigen Meilenstein zur Stärkung des physischen Schutzes kritischer Infrastrukturen. Ziel dieser Richtlinie ist es, die Widerstandsfähigkeit („Resilienz“) kritischer Einrichtungen bzw. deren Dienste gegenüber Bedrohungen wie Naturgefahren, Terrorismus und Sabotage zu erhöhen. Im Fokus stehen dabei europaweit Einrichtungen, die essenzielle gesellschaftliche Funktionen und/oder wirtschaftliche Tätigkeiten bzw. Dienstleistungen erbringen. Ziel der CER-Richtlinie ist es insgesamt, die Versorgungssicherheit und Funktionsfähigkeit zentraler Dienste auch in Krisenzeiten zu gewährleisten.

Hintergrundinfos

Angesichts globaler Krisen, Naturkatastrophen und geopolitischer Spannungen ist die Sicherung kritischer Infrastrukturen zu einer zunehmend zentralen Herausforderung geworden. Wesentliche Dienste von Unternehmen aus Sektoren wie Energieversorgung, öffentlicher Verkehr, Gesundheitsversorgung oder digitale Infrastruktur bilden das Rückgrat moderner Gesellschaften und ihr Ausfall kann weitreichende Folgen für Wirtschaft, öffentliche Sicherheit und das tägliche Leben haben.

Um diesen Risiken entgegenzuwirken, hat die Europäische Union im Dezember 2022 die CER-Richtlinie verabschiedet. Sie schafft einen einheitlichen europäischen Rechtsrahmen und stärkt die Resilienz kritischer Einrichtungen. Weiters schafft sie einen Rahmen harmonisierter grenzüberschreitender Mindestschutzmaßnahmen, um etwaige Schwachstellen gegenüber zuvor genannten Bedrohungen zu verringern und fördert die Zusammenarbeit zwischen den Mitgliedstaaten, um nationale und grenzüberschreitende Auswirkungen besser zu bewältigen.

Die CER-Richtlinie vom Dezember 2022 löst die European Critical Infrastructures Directive (ECI) von 2008 ab.

Ein wesentlicher Schritt bei der Umsetzung der CER-Richtlinie ist, dass die Mitgliedstaaten festlegen, welche Einrichtungen als kritisch eingestuft werden. Bis zum 17. Juli 2026 müssen die Mitgliedstaaten eine nationale Resilienzstrategie erarbeiten, die beschreibt, mit welchen Maßnahmen die Resilienz dieser kritischen Infrastrukturen gegenüber verschiedenen Bedrohungen gestärkt werden soll. Konkret geht es darum, Schutzstrategien gegen Naturkatastrophen, Sabotage, Terroranschläge oder schwere Gesundheitskrisen wie Pandemien zu entwickeln.

Darüber hinaus sind die Mitgliedstaaten verpflichtet, Risikobewertungen durchzuführen, um systematisch zu ermitteln, welchen Gefahren die kritischen Einrichtungen in ihrem Land tatsächlich ausgesetzt sind. Auf dieser Grundlage müssen sie eine Liste der kritischen Einrichtungen erstellen und die passenden Schutzmaßnahmen festlegen.

Die Mitgliedstaaten mussten die Vorgaben bis Oktober 2024 in nationales Recht umsetzen. Österreich ist in der Umsetzung in nationales Recht säumig. Ein Vertragsverletzungsverfahren gegen Österreich und insgesamt 24 Mitgliedsstaaten wurde von der Europäischen Kommission bereits eingeleitet.

Seit 17.12.2024 liegt ein Begutachtungsentwurf des sogenannten „RKE-Gesetz (RKEG) vor. Im Entwurf ist die Richtlinie der EU nahezu vollständig abgebildet. Geplant ist außerdem noch eine Verordnung, die Schwellenwerte festlegt, damit die Bestimmungen aus dem RKEG nicht zu umfassend gelten.

Wann das RKE-Gesetz tatsächlich in Österreich in Kraft tritt, ist abhängig vom politischen und parlamentarischen Prozess und derzeit noch nicht absehbar. Es sind daher auch noch Änderungen möglich.

Eine kritische Einrichtung ist eine öffentliche oder private Einrichtung, die zumindest einen wesentlichen Dienst erbringt, die im Inland tätig ist, deren kritische Infrastruktur sich im Inland befindet und bei der ein Sicherheitsvorfall eintreten könnte. Alle Voraussetzungen müssen kumulativ vorliegen.

Nach der CER-Richtlinie gelten Einrichtungen als kritisch, wenn sie wesentliche Dienste in einem der elf definierten Sektoren erbringen, ihre Geschäftstätigkeit und Infrastruktur in mindestens einem EU-Mitgliedstaat betreiben und deren Ausfall die Erbringung dieser Dienste erheblich beeinträchtigen würde.

Bei der Bewertung berücksichtigen die nationalen Behörden Faktoren wie die Anzahl der betroffenen Nutzer*innen, die Auswirkungen auf andere wesentliche Dienste, die gesellschaftlichen und wirtschaftlichen Folgen, die geografische Reichweite sowie mögliche grenzüberschreitende Effekte innerhalb der EU. Entscheidend ist dabei, ob eine Störung des Unternehmens schwerwiegende Auswirkungen auf die Verfügbarkeit oder Qualität der angebotenen Dienste hätte. Die genauen Schwellenwerte, nach denen künftig entschieden wird, ob eine Einrichtung als kritisch gilt, sollen in einer nationalen Verordnung festgelegt werden, die derzeit erarbeitet wird und an das RKEG anknüpft.

Die nationalen Behörden der EU-Mitgliedstaaten sind für die Identifikation kritischer Einrichtungen zuständig. Die vom zukünftigen RKEG betroffenen Einrichtungen werden zukünftig von der zuständigen Behörde des jeweiligen Mitgliedstaats per Bescheid über deren Betroffenheit verständigt.

Die Mitgliedsstaaten müssen alle vier Jahre eine Risikoanalyse durchführen und eine erste Auflistung mit den identifizierten kritischen Einrichtungen bis spätestens Juli 2026 vorlegen.

Sobald eine Einrichtung als kritisch eingestuft wurde, muss sie innerhalb eines Monats offiziell darüber informiert werden. Ab diesem Zeitpunkt beginnt die zehnmonatige Frist zur Umsetzung der vorgeschriebenen Resilienzmaßnahmen.

Die CER-Richtlinie richtet sich an Unternehmen, die wesentliche Dienstleistungen in elf kritischen Sektoren erbringen. Dazu gehören:

  • Energieversorgung
  • Transport und Verkehr
  • Banken
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasserversorgung
  • Abwasserentsorgung
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Raumfahrt
  • Lebensmittelversorgung

Durch einen Bescheid von der zuständigen Behörde wird offiziell festgestellt, ob eine betroffene Einrichtung unter den Anwendungsbereich fällt oder nicht.

Betreiber*innen kritischer Einrichtungen müssen Maßnahmen ergreifen, um ihre Infrastrukturen und Dienste vor Risiken wie Naturkatastrophen, Sabotage oder technischen Störungen zu schützen. Zu den wichtigsten Anforderungen gehören:

  • Durchführung von Risikoanalysen
  • Resilienzplan: Alle Schutzmaßnahmen müssen dokumentiert, regelmäßig überprüft und getestet sowie eine Kontaktstelle genannt werden.
  • Physische Sicherheitsmaßnahmen: Zutrittskontrollen, Überwachung und Schutzmaßnahmen zur Sicherung kritischer Anlagen und Standorte.
  • Response- und Krisenmanagement: Notfallpläne, Alarmierungssysteme und Strategien zur schnellen Wiederherstellung des Betriebs (Business Continuity).
  • Personalüberprüfung: Zuverlässigkeitsüberprüfungen für Mitarbeitende in sensiblen Positionen und externes Personal.
  • Meldepflicht: Erhebliche Störungen, die den Betrieb beeinträchtigen könnten, müssen innerhalb von 24 Stunden gemeldet (Erstmeldung) und innerhalb eines Monats detailliert dokumentiert werden (Folgemeldung).
  • Behördliche Kontrollen: Regelmäßige Inspektionen, Audits und Prüfungen durch nationale Behörden zur Sicherstellung der Einhaltung der Vorgaben.
  • Schulungen und Sensibilisierung:  Regelmäßige Trainings, Informationen und Übungen für Mitarbeiter*innen, um eine sicherheitsbewusste Organisationskultur zu verankern.

Die Betreiber müssen sicherstellen, dass alle Maßnahmen fristgerecht umgesetzt werden, da Verstöße zu Sanktionen und zusätzlichen Auflagen führen können.

Um die grenzüberschreitende Koordination zu stärken, hat die EU die Critical Entities Resilience Group (CERG) eingerichtet. Die Gruppe unterstützt bei Risikoanalysen und entwickelt Empfehlungen zur Stärkung der Resilienz. Besonders wichtig ist die Zusammenarbeit bei Infrastrukturen mit länderübergreifender Bedeutung, wie etwa internationalen Stromnetzen oder Verkehrskorridoren.

Die CER-Richtlinie selbst legt keine einheitlichen Sanktionen auf EU-Ebene fest. Stattdessen ist es Aufgabe der Mitgliedstaaten, im Rahmen der nationalen Umsetzung festzulegen, welche Maßnahmen bei Verstößen gelten. Entsprechend können Art und Höhe der Sanktionen von Land zu Land unterschiedlich ausfallen. Klar ist aber: Die Sanktionen sollen wirksam sein, abschrecken, aber zugleich verhältnismäßig bleiben. Unternehmen müssen sich also darauf einstellen, dass Verstöße nicht folgenlos bleiben.

Die CER-Richtlinie und die NIS-2-Richtlinie verfolgen beide das Ziel, die Resilienz kritischer Einrichtungen zu stärken, setzen jedoch unterschiedliche Schwerpunkte. Während sich NIS-2 auf die Cybersicherheit und den Schutz kritischer Sektoren konzentriert, adressiert die CER-Richtlinie physische und operative Risiken wie Naturkatastrophen, Sabotage und Terroranschläge.

Einrichtungen, die nach der CER-Richtlinie als „kritisch“ gelten, werden automatisch auch als „wesentlich“ im Sinne der NIS-2-Richtlinie eingestuft und müssen die Anforderungen beider Regelwerke erfüllen. Der kombinierte Ansatz stellt sicher, dass Unternehmen sowohl vor Cyberangriffen als auch vor physischen Störungen geschützt sind.

Die nationale Umsetzung der CER-Richtlinie hätte laut Vorgabe bereits bis zum 17.10.2024 abgeschlossen sein müssen, steht jedoch noch aus. Die CER-Richtlinie soll in Österreich durch das Resilienz Kritischer Einrichtungen-Gesetz (RKEG) umgesetzt werden. Der Gesetzentwurf wurde bereits am 17.12.2024 im Nationalrat eingebracht, die Begutachtungsfrist endete am 14.01.2025, und seit dem 15.01.2025 befindet sich der Gesetzesentwurf zur weiteren Bearbeitung und Überprüfung beim Bundesministerium für Inneres (BMI).

Nächste Schritte & wesentliche Fristen laut RKE-Richtlinie:

  • Bis zum 01.2026: Durchführung einer staatlichen Risikoanalyse durch das BMI sowie die Ermittlung kritischer Einrichtungen (§§ 10, 11 RKEG).
  • Bis zum 08.2026: Erteilung entsprechender Bescheide an betroffene kritische Einrichtungen (§ 11 RKEG).
  • Innerhalb von 9 Monaten nach Bescheiderlassung (frühestens Anfang 2027): Durchführung eigener Risikoanalysen und Implementierung spezifischer Resilienzmaßnahmen durch die Einrichtungen selbst (§§ 14, 15 RKEG).

Zentrale Inhalte der österreichischen Umsetzung laut aktuellem Gesetzesentwurf (RKEG):

  • Zuständigkeit: Der*die Bundesminister*in für Inneres ist für Umsetzung, Aufsicht und Kontrolle verantwortlich (§ 4 RKEG).
  • Kritische Einrichtungen: Unternehmen, darunter z.B. Wien Energie, Wiener Linien, Wien IT und Wiener Netze, die für gesellschaftlich essenzielle Funktionen verantwortlich sind, werden als kritische Einrichtungen klassifiziert und müssen definierte Sicherheitsmaßnahmen implementieren.
  • Pflichten kritischer Einrichtungen umfassen:
    • Durchführung regelmäßiger Risikoanalysen (§ 14 RKEG),
    • Erstellung und Umsetzung von Resilienzplänen, inklusive technischer und organisatorischer Maßnahmen (§ 15 RKEG),
    • Etablierung von Meldesystemen zur Benachrichtigung des BMI bei Sicherheitsvorfällen innerhalb von 24 Stunden (§ 17 RKEG).
  • Aufsicht & Sanktionen: Verstöße gegen Melde- und Umsetzungspflichten können zu Geldstrafen von bis zu 7 Mio. Euro führen (§ 22 RKEG). Die Kontrollen erfolgen durch regelmäßige Audits und Vor-Ort-Überprüfungen (§ 20 RKEG).

Voraussichtlich betroffen sind jene Konzernunternehmen der Wiener Stadtwerke, die den Sektoren Energie (z. B. Wien Energie, Wiener Netze), Verkehr (Wiener Linien, Wiener Lokalbahnen) oder Digitale Infrastruktur (WienIT) zuzuordnen sind.

Mit der Umsetzung der CER-Richtlinie gehen voraussichtlich zusätzliche personelle und finanzielle Anforderungen einher. Finanzielle Mittel werden vor allem für Maßnahmen zur physischen Sicherheit benötigt, beispielsweise für bauliche Vorkehrungen wie Zäune, Alarmanlagen, elektronische Zutrittskontrollen oder Videoüberwachung.

Zusätzlich entstehen neue oder erweiterte Aufgaben im Bereich der organisatorischen Resilienz, darunter:

  • die Durchführung von Risikoanalysen und Risikobewertungen,
  • die Erstellung von Resilienzplänen,
  • die Weiterentwicklung bestehender Business Continuity Management- (BCM) und Krisenpläne,
  • sowie die Anpassung von Prozessen, insbesondere im BCM und Krisenmanagement, bei der Meldung von Sicherheitsvorfällen und im Personalbereich mit Blick auf Zuverlässigkeitsprüfungen.