IT-Recht & Datenschutz

Die EU Richtlinie über die Resilienz kritischer Einrichtungen – Ist Ihr Unternehmen betroffen?

Veröffentlicht am 29th Juli 2025

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen zielt darauf ab, die physische Widerstandsfähigkeit kritischer Einrichtungen gegenüber verschiedenen Bedrohungen zu verbessern. Dieser Artikel beschreibt die wichtigsten Anforderungen der Richtlinie und gibt Unternehmen Hinweise zu den erforderlichen Maßnahmen zur Einhaltung der Vorschriften im Rahmen der laufenden Umsetzung in nationales Recht.

Virtual map of the world

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Richtlinie (EU) 2022/2557, CER-Richtlinie) legt den Schwerpunkt auf physische Sicherheit und Resilienz. Sie hat damit einen anderen Fokus als die auf Cybersicherheit ausgerichtete NIS-2-Richtlinie. Obwohl die Umsetzungsfrist der CER-Richtlinie am 17. Oktober 2024 ablief, haben bisher nur 10 von 27 EU-Mitgliedstaaten Gesetze zur Umsetzung der CER-Richtlinie in ihr nationales Recht verabschiedet. Wichtige EU-Mitgliedstaaten wie Deutschland, Frankreich, die Benelux-Länder und Spanien diskutieren noch über ihre Gesetzesentwürfe, die voraussichtlich bis Ende 2025 verabschiedet werden sollen.

Was regelt die CER-Richtlinie und warum könnte sie für Ihr Unternehmen relevant sein?

Die CER-Richtlinie soll dazu beitragen, für bestimmte kritische Einrichtungen ein hohes Maß an Resilienz zu erreichen. Betroffene Einrichtungen sollen in ihrer Fähigkeit gestärkt werden, Sicherheitsvorfälle zu verhindern, sich davor zu schützen und sich von solchen Vorfällen zu erholen. Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung sind (wesentliche Dienste), sollen so ständig verfügbar bleiben.

Als mögliche Sicherheitsvorfälle gelten alle Ereignisse, die die Erbringung eines wesentlichen Dienstes erheblich stören (können), insbesondere

  • Naturkatastrophen,
  • Terroranschläge,
  • Gesundheitliche Notlagen oder
  • hybride Kriegsführung durch ausländische Staaten.

Die CER-Richtlinie ersetzt die europäische Richtlinie über kritische Infrastrukturen aus dem Jahr 2008, die nur für die Sektoren Energie und Verkehr galt. Die CER-Richtlinie erweitert den Anwendungsbereich nun auf elf Sektoren, darunter Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastruktur sowie die Produktion, Verarbeitung und den Vertrieb von Lebensmitteln.

Wie ist das Verhältnis zwischen der CER-Richtlinie und der NIS-2-Richtlinie?

Sowohl die CER-Richtlinie als auch die NIS-2-Richtlinie zielen darauf ab, Schwachstellen kritischer und digitaler Infrastrukturen zu verringern und ihre Widerstandsfähigkeit gegen Offline- bzw. Online-Bedrohungen zu stärken. Während die NIS-2-Richtlinie Anforderungen zur Gewährleistung von Cybersicherheit und zum Schutz vor Cyber-Bedrohungen aufstellt, schafft die CER-Richtlinie einen übergreifenden Rahmen zur Stärkung der Resilienz kritischer Einrichtungen gegenüber allen durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen Gefahren (All-Gefahren-Ansatz). Unternehmen können folglich unter beide Richtlinien fallen. Kritische Einrichtungen im Sinne der CER-Richtlinie gelten gleichzeitig auch als "wesentliche Einrichtungen" im Sinne der NIS-2-Richtlinie.

Wie stellen Sie fest, ob Ihr Unternehmen eine kritische Einrichtung ist?

Kritische Einrichtungen im Sinne der CER-Richtlinie sind öffentliche oder private Einrichtungen, die zu einem der im Anhang der CER-Richtlinie aufgeführten Sektoren, Teilsektoren und Kategorien gehören und die von einem EU-Mitgliedstaat gemäß Artikel 6 der CER-Richtlinie ermittelt wurden. Kritische Einrichtungen sind ferner durch folgende Kriterien gekennzeichnet:

  • Sie erbringen einen oder mehrere wesentliche Dienste,
  • sie sind im Hoheitsgebiet des betreffenden EU-Mitgliedstaates tätig, und ihre kritische Infrastruktur befindet sich dort, und
  • ein Zwischenfall hätte erhebliche störende Auswirkungen auf die Erbringung eines oder mehrerer wesentlichen Dienste.

Die Mitgliedstaaten müssen diese Einrichtungen bis zum 17. Juli 2026 identifizieren. Innerhalb eines Monats nach dieser Identifizierung müssen die Mitgliedstaaten dann eine Liste der kritischen Einrichtungen erstellen und sie über ihre jeweiligen Verpflichtungen nach der CER-Richtlinie informieren. Diese kritischen Einrichtungen haben ab dieser Benachrichtigung dann zehn Monate Zeit, um die Resilienzanforderungen zu erfüllen.

Wichtigste Anforderungen an die Resilienz kritischer Einrichtungen gemäß der CER-Richtlinie

  • Durchführung einer umfassenden Bewertung aller relevanten natürlichen und vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen könnten, sowie Erneuerung dieser Risikobewertung mindestens alle vier Jahre;
  • Umsetzung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen zur Gewährleistung der Resilienz der kritischen Einrichtung auf Grundlage der Risikobewertung, d.h. Sicherstellung ihrer Fähigkeiten, einen Sicherheitsvorfall insbesondere zu verhindern, sich davor zu schützen, darauf zu reagieren, ihn abzumildern, zu bewältigen und sich davon zu erholen;
  • Durchführung von Zuverlässigkeitsüberprüfungen in hinreichend begründeten Fällen (vorbehaltlich spezifischer, von den einzelnen Mitgliedstaaten hierzu festgelegter Bestimmungen), insbesondere bei Personen, die in der kritischen Einrichtung oder zugunsten der kritischen Einrichtung sensible Funktionen innehaben, und
  • Unverzüglich Benachrichtigung der zuständigen Behörde über alle Sicherheitsvorfälle, welche die Erbringung wesentlicher Dienste erheblich stören (könnten). Eine erste Meldung muss innerhalb von 24 Stunden und ein umfassender Bericht innerhalb eines Monats nach Bekanntwerden des Vorfalls erfolgen.

Zusätzliche Verpflichtungen können gelten, wenn kritische Einrichtungen als von besonderer Bedeutung für Europa eingestuft werden. Den Mitgliedstaaten steht es außerdem frei, in ihren nationalen Rechtsvorschriften zusätzliche Bestimmungen zu erlassen, um ein höheres Maß an Resilienz kritischer Einrichtungen zu erreichen (Mindestharmonisierung).

Was sollten Unternehmen jetzt tun, um wesentliche Pflichten für kritische Einrichtungen zu erfüllen?

Prüfung der Anwendbarkeit der CER-Richtlinie: Auch wenn viele Mitgliedstaaten die CER-Richtlinie noch nicht in nationales Recht umgesetzt haben, sollten Unternehmen proaktiv prüfen, ob sie möglicherweise als kritische Einrichtung gelten. Hierfür müssen Unternehmen in einem der im Anhang der CER-Richtlinie aufgeführten elf Sektoren und Teilsektoren tätig sein sowie unter die dort genannten Kategorien von Einrichtungen fallen. Angesichts der Komplexität der Risikobewertung und des Aufwands für die Umsetzung der erforderlichen Maßnahmen wird ein Zeitraum von nur zehn Monaten nach der Meldung durch den Mitgliedstaat wahrscheinlich nicht ausreichen, um die Anforderungen der CER-Richtlinie an die Resilienz zu erfüllen.

Ressourcenplanung: Die Durchführung einer Risikobewertung und die Umsetzung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen können erhebliche zusätzliche Ressourcen erfordern. Unternehmen sollten daher schon jetzt prüfen, ob zusätzliche finanzielle und personelle Ressourcen erforderlich sind, um ihren jeweiligen Verpflichtungen aus der CER-Richtlinie nachzukommen:

  • Für die Risikobewertung sollten die Unternehmen kritisch analysieren, welche potenziellen Risiken bestehen, die die Erbringung ihrer wesentlichen Dienste (erheblich) stören könnten. Bei dieser Bewertung müssen auch etwaige Abhängigkeiten zwischen der von der kritischen Einrichtung erbrachten wesentlichen Diensten und den von anderen kritischen Einrichtungen in anderen Sektoren erbrachten wesentlichen Dienste berücksichtigt werden. Die Bewertung sollte auch Backup-Pläne für den Fall umfassen, dass bestehende Sicherheitssysteme ausfallen. Der Schulungsbedarf von Mitarbeitern im Hinblick auf Sicherheitsrisiken sollte ebenfalls berücksichtigt werden. Risikobewertungen und ähnliche Dokumente, die auf Grundlage anderer Vorgaben erstellt wurden, können ggf. genutzt werden, wenn sie für die Risikobewertung im Rahmen der CER-Richtlinie relevant sind. Einmal abgeschlossene Risikobewertungen müssen mindestens alle vier Jahre überarbeitet werden.
  • Geeignete Maßnahmen, die als Ergebnis einer solchen Risikobewertung implementiert werden können, sind insbesondere Maßnahmen, um
  • zukünftige Vorfälle zu verhindern,
  • einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Einrichtung zu gewährleisten,
  • auf Sicherheitsvorfälle zu reagieren und die Folgen von solchen Vorfällen zu begrenzen,
  • ein angemessenes Sicherheitsmanagement für Mitarbeiter mit sensiblen Funktionen zu etablieren und
  • Mitarbeiter für diese Maßnahmen zu sensibilisieren.

Kritische Einrichtungen müssen außerdem einen Resilienzplan erstellen, in dem die getroffenen Maßnahmen beschrieben werden, und eine Kontaktstelle für die zuständigen Behörden benennen.

Umsetzungsstrategie: Um die Einhaltung ihrer Verpflichtungen aus der CER-Richtlinie zu gewährleisten, sollten betroffenen Unternehmen

  1. einen Governance-Prozess entwickeln und umsetzen, mit dem die Einhaltung aller relevanten Verpflichtungen gewährleistet werden kann;
  2. bestehende Sicherheitsmaßnahmen ermitteln und gegebenenfalls aktualisieren, um sicherzustellen, dass sie die Anforderungen der CER-Richtlinie erfüllen;
  3. analysieren, welche zusätzlichen Sicherheitsmaßnahmen gegebenenfalls ergriffen werden müssen, und alle ergriffenen Sicherheitsmaßnahmen dokumentieren;
  4. bestehende Verfahren zur Erkennung und Meldung von Sicherheitsvorfällen überprüfen und verbessern, um sicherzustellen, dass Meldeanforderungen erfüllt werden können; und
  5. eine Kontaktperson benennen, die den zuständigen Behörden für Fragen nach der Meldung eines Sicherheitsvorfalls zur Verfügung steht.

Gesetzgebungsprozess verfolgen und über den Tellerrand blicken: Schließlich sollten Unternehmen mit Sitz in einem Mitgliedstaat, der die CER-Richtlinie noch nicht in nationales Recht umgesetzt habt, den nationalen Gesetzgebungsprozess genau verfolgen, um alle relevanten Entwicklungen im Auge zu behalten. Unter Umständen kann es auch hilfreich sein, einen Blick auf solche Mitgliedstaaten zu werfen, die die CER-Richtlinie bereits in nationales Recht umgesetzt haben, um ein besseres Verständnis davon zu bekommen, wie die Umsetzung der CER-Richtlinie in der Praxis aussehen kann.

Related articles
Data Act: Teil 6 – Der Dateninhaber und der Nutzer als Zentralfiguren der Datenverordnung
26/06/2025 10 mins
Irische Datenschutzaufsichtsbehörde verhängt Bußgeld im Zusammenhang mit der Übermittlung personenbezogener Daten in die China
11/06/2025 6 mins
Data Act: Teil 5 – Datenbereitstellung an den Staat und die EU
13/05/2025 9 mins
Data Act: Teil 4 – Der Data Act reguliert das Cloud Switching – und beeinflusst das Verhältnis von Kunden und Cloud-Anbietern
22/04/2025 11 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden