(1)

Es liegt im Interesse aller Mitgliedstaaten und der Union als Ganzes, relevante kritische Infrastrukturen, die wesentliche Dienste im Binnenmarkt erbringen, insbesondere in Schlüsselsektoren wie Energie, digitale Infrastruktur, Verkehr und Raumfahrt, sowie kritische Infrastrukturen von erheblicher grenzüberschreitender Bedeutung (1), deren Störung sich erheblich auf andere Mitgliedstaaten auswirken könnte, eindeutig zu ermitteln und zu schützen, um das Funktionieren des Binnenmarkts zu gewährleisten.

(2)

Diese Empfehlung, bei der es sich um ein nicht verbindliches Instrument handelt, zeigt den politischen Willen der Mitgliedstaaten zur Zusammenarbeit und ihr Engagement für die empfohlenen Maßnahmen, die in einem Fünf-Punkte-Plan der Präsidentin der Europäischen Kommission hervorgehoben werden, wobei die Zuständigkeiten der Mitgliedstaaten uneingeschränkt geachtet werden. Diese Empfehlung berührt nicht den Schutz der wesentlichen Interessen der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung der Mitgliedstaaten, und von keinem Mitgliedstaat sollte erwartet werden, dass er Informationen weitergibt, die diesen Interessen schaden.

(3)

Während die Hauptverantwortung für die Gewährleistung der Sicherheit kritischer Infrastrukturen und die Erbringung wesentlicher Dienste durch kritische Infrastrukturen weiter bei den Mitgliedstaaten und ihren Betreibern kritischer Infrastrukturen liegt, ist eine stärkere Koordinierung auf Unionsebene angezeigt, insbesondere im Lichte sich weiterentwickelnder Bedrohungen, die möglicherweise mehrere Mitgliedstaaten gleichzeitig betreffen, wie etwa Russlands Angriffskrieg gegen die Ukraine und hybride Kampagnen gegen Mitgliedstaaten, oder die die Resilienz und das Funktionieren der Wirtschaft der Union, des Binnenmarkts und der Gesellschaft als Ganzes beeinträchtigen können. Besonderes Augenmerk sollte auf kritische Infrastrukturen außerhalb des Hoheitsgebiets der Mitgliedstaaten gelegt werden, wie z. B. kritische Untersee-Infrastrukturen oder Offshore-Energieinfrastrukturen.

(4)

Der Europäische Rat hat in seinen Schlussfolgerungen vom 20. und 21. Oktober 2022 die Sabotage kritischer Infrastruktur, etwa der Nord-Stream-Pipelines, nachdrücklich verurteilt und erklärt, dass die Union jeder vorsätzlichen Beschädigung kritischer Infrastruktur oder anderen hybriden Handlungen gemeinsam und entschlossen begegnen wird.

(5)

Angesichts der sich rasch wandelnden Bedrohungslandschaft sollten in Schlüsselsektoren wie beispielsweise Energie, digitale Infrastruktur, Verkehr und Raumfahrt und in anderen von den Mitgliedstaaten ermittelten relevanten Sektoren vorrangig Maßnahmen zur Stärkung der Resilienz ergriffen werden. Diese Maßnahmen sollten sich auf die Stärkung der Resilienz kritischer Infrastrukturen konzentrieren, wobei die einschlägigen Risiken, insbesondere Kaskadeneffekte, Unterbrechungen der Lieferkette, Abhängigkeit, Auswirkungen des Klimawandels, unzuverlässige Anbieter und Partner sowie hybride Bedrohungen und Kampagnen, einschließlich ausländischer Informationsmanipulation und -einmischung, zu berücksichtigen sind. In Bezug auf nationale kritische Infrastrukturen sollten kritische Infrastrukturen mit großer grenzüberschreitender Bedeutung in Anbetracht der möglichen Folgen Vorrang erhalten. Die Mitgliedstaaten werden dazu angehalten, erforderlichenfalls dringend solche Maßnahmen zur Stärkung der Resilienz zu ergreifen und dabei den Ansatz beizubehalten, der in dem sich weiterentwickelnden Rechtsrahmen dargelegt ist.

(6)

Der Schutz kritischer europäischer Infrastrukturen im Energie- und Verkehrssektor wird derzeit durch die Richtlinie 2008/114/EG des Rates (2) geregelt, und die auf Cyberbedrohungen ausgerichtete Sicherheit von Netz- und Informationssystemen in der gesamten Union wird durch die Richtlinie 2016/1148 des Europäischen Parlaments und des Rates (3) gewährleistet. Um ein höheres gemeinsames Niveau der Resilienz und des Schutzes kritischer Infrastrukturen, der Cybersicherheit und des Finanzmarkts zu gewährleisten, wird der bestehende Rechtsrahmen geändert und ergänzt, indem neue Vorschriften für kritische Einrichtungen („CER-Richtlinie“), strengere Vorschriften für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union („NIS-2-Richtlinie“) und neue Vorschriften über die Betriebsstabilität digitaler Systeme des Finanzsektors („DORA“) erlassen werden.

(7)

Die Mitgliedstaaten sollten im Einklang mit dem Unionsrecht und dem nationalen Recht alle verfügbaren Instrumente nutzen, um Fortschritte zu erzielen und einen Beitrag zur Stärkung der physischen Resilienz und Cyberresilienz zu leisten. In diesem Zusammenhang sollten „kritische Infrastrukturen“ relevante kritische Infrastrukturen, die von einem Mitgliedstaat auf nationaler Ebene ermittelt oder gemäß der Richtlinie 2008/114/EG als europäische kritische Infrastrukturen ausgewiesen wurden, wie auch kritische Einrichtungen, die gemäß der CER-Richtlinie zu ermitteln sind, oder gegebenenfalls Einrichtungen gemäß der NIS-2-Richtlinie umfassen. Der Ausdruck „Resilienz“ sollte verstanden werden als die Fähigkeit einer kritischen Infrastruktur, Ereignisse, die die Erbringung wesentlicher Dienste im Binnenmarkt erheblich stören oder erheblich stören könnten, d. h. Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Funktionen, der öffentlichen Sicherheit und Gesundheit oder für die Umwelt von entscheidender Bedeutung sind, zu verhindern, sich davor zu schützen, darauf zu reagieren, sie abzuwehren, ihre Folgen zu begrenzen, sie aufzufangen, sie zu bewältigen oder sich von ihnen zu erholen.

(8)

Nationale Experten sollten zusammengebracht werden, um die Arbeit an der Erreichung eines höheren gemeinsamen Maßes an Resilienz und Schutz kritischer Infrastrukturen zu koordinieren, das durch die neuen Vorschriften für kritische Einrichtungen eingeführt werden soll. Dieses koordinierte Arbeiten würde eine Zusammenarbeit zwischen den Mitgliedstaaten und die gemeinsame Nutzung von Informationen über Tätigkeiten wie die Ausarbeitung von Methoden zur Ermittlung wesentlicher Dienste, die von kritischen Infrastrukturen erbracht werden, ermöglichen. Die Kommission hat bereits begonnen, diese Experten zusammenzubringen und ihre Arbeit zu unterstützen, und sie beabsichtigt, weiter auf diese Weise vorzugehen. Sobald die CER-Richtlinie in Kraft getreten und eine Gruppe für die Resilienz kritischer Einrichtungen im Rahmen dieser Richtlinie eingerichtet ist, sollte die Gruppe diese Vorarbeit im Rahmen ihrer Aufgaben fortsetzen.

(9)

Angesichts der veränderten Bedrohungslage sollte das Potenzial zur Durchführung von Stresstests für kritische Infrastrukturen auf nationaler Ebene weiterentwickelt werden, da diese Tests für die Stärkung der Resilienz kritischer Infrastrukturen nützlich sein könnten. Im Hinblick auf die besondere Bedeutung des Energiesektors und die unionsweiten Folgen einer möglichen Störung könnte dieser Sektor am meisten von der Durchführung von Stresstests auf der Grundlage gemeinsam vereinbarter Grundsätze profitieren. Diese Tests fallen in die Zuständigkeit der Mitgliedstaaten, die die Betreiber kritischer Infrastrukturen ermutigen und unterstützen sollten, diese Tests durchzuführen, sofern dies als vorteilhaft bewertet wird und im Einklang mit ihrem nationalen Rechtsrahmen steht.

(10)

Um eine koordinierte und wirksame Reaktion auf aktuelle und zu erwartende Bedrohungen zu gewährleisten, wird die Kommission dazu angehalten, die Mitgliedstaaten zusätzlich zu unterstützen, indem sie ihnen insbesondere mit Briefings, nicht verbindlichen Handbüchern und Leitlinien einschlägige Informationen liefert. Der Europäische Auswärtige Dienst (EAD) sollte insbesondere über sein EU-Zentrum für Informationsgewinnung und Lageerfassung und dessen Analyseeinheit für hybride Bedrohungen – mit Unterstützung der Abteilung „Aufklärung“ des Militärstabs der Europäischen Union (EUMS) im Rahmen des Einheitlichen Analyseverfahrens (SIAC) – Bedrohungsanalysen erstellen. Die Kommission wird ferner ersucht, in Zusammenarbeit mit den Mitgliedstaaten die Übernahme von von der Union finanzierten Forschungs- und Innovationsprojekten zu fördern.

(11)

Angesichts der zunehmenden wechselseitigen Abhängigkeiten zwischen physischer und digitaler Infrastruktur ist es möglich, dass auf kritische Bereiche gerichtete böswillige Cyberaktivitäten zu Störungen oder Schäden an physischer Infrastruktur führen, oder dass die Sabotage physischer Infrastruktur digitale Dienste unzugänglich macht. Die Mitgliedstaaten werden ersucht, die Vorbereitungsarbeiten für die Umsetzung in Rechtsvorschriften und die Anwendung des neuen Rechtsrahmens für kritische Einrichtungen und des gestärkten Rechtsrahmens für die Cybersicherheit zu beschleunigen und dabei so bald wie möglich auf den Erfahrungen der mit der Richtlinie (EU) 2016/1148 eingerichteten Kooperationsgruppe („NIS-Kooperationsgruppe“) aufzubauen, wobei die Fristen für die Umsetzung in Rechtsvorschriften zu berücksichtigen sind, und diese Vorbereitungsarbeiten parallel und kohärent voranschreiten sollten.

(12)

Neben der Verbesserung der Abwehrbereitschaft ist es auch wichtig, die Kapazitäten für eine rasche und wirksame Reaktion auf die Unterbrechung der Erbringung wesentlicher Dienste durch kritische Infrastrukturen zu stärken. Daher enthält diese Empfehlung Maßnahmen auf Unionsebene und auf nationaler Ebene, einschließlich durch Betonung der Unterstützungsrolle und des Mehrwerts, der dadurch erreicht werden kann, dass eine stärkere Zusammenarbeit und ein intensiverer Informationsaustausch im Rahmen des mit dem Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates (4) eingerichteten Katastrophenschutzverfahrens der Union (UCPM) eingeführt werden und dass die einschlägigen Instrumente des im Rahmen der Verordnung (EU) 2021/696 des Europäischen Parlaments und des Rates (5) eingerichteten Weltraumprogramms der Union eingesetzt werden.

(13)

Die Kommission, der Hohe Vertreter der Union für Außen- und Sicherheitspolitik (im Folgenden „Hoher Vertreter“) und die NIS-Kooperationsgruppe sollen in Zusammenarbeit mit einschlägigen zivilen und militärischen Stellen und Einrichtungen und den etablierten Netzwerken, darunter das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe), eine Risikobewertung durchführen und Risikoszenarien erstellen. Nach dem gemeinsamen Ministeraufruf von Nevers wird derzeit eine Risikobewertung von der NIS-Kooperationsgruppe mit Unterstützung der Kommission und der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie in Zusammenarbeit mit dem Gremium europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) durchgeführt. Diese beiden Arbeitsstränge werden aufeinander abgestimmt sein und auch mit der Erstellung von Szenarien im Rahmen des UCPM koordiniert werden, einschließlich Cybersicherheitsvorfällen und deren reale Auswirkungen, wie derzeit von der Kommission und den Mitgliedstaaten entwickelt. Aus Gründen der Effizienz, Wirksamkeit und Kohärenz und im Hinblick auf die gute Anwendung dieser Empfehlung sollten sich die Ergebnisse dieser Arbeiten auf nationaler Ebene widerspiegeln.

(14)

Um die Abwehrbereitschaft und Reaktionsfähigkeit bei großen Cybersicherheitsvorfällen umgehend zu stärken, hat die Kommission ein kurzfristiges Unterstützungsprogramm für die Mitgliedstaaten eingerichtet und ENISA zusätzliche Mittel zugewiesen. Zu den vorgeschlagenen Unterstützungsdiensten gehören unter anderem Vorsorgemaßnahmen wie Penetrationstests von Einrichtungen zur Ermittlung von Schwachstellen. Außerdem können im Programm zusätzliche Möglichkeiten vorgesehen werden, um Mitgliedstaaten im Falle eines großen Sicherheitsvorfalls bei einer kritischen Einrichtung zu unterstützen. Dies ist ein erster Schritt gemäß den Schlussfolgerungen des Rates vom 23. Mai 2022 zur Entwicklung der Cyberabwehr der Europäischen Union („Schlussfolgerungen des Rates zur Cyberabwehr der EU“), in denen die Kommission aufgefordert wurde, einen Vorschlag für einen Notfallfonds für Cybersicherheit vorzulegen. Die Mitgliedstaaten sollten diese Möglichkeiten im Einklang mit den geltenden Anforderungen in vollem Umfang nutzen und werden ermutigt, die Arbeit im Bereich des Cyberkrisenmanagements der Union fortzusetzen, insbesondere durch regelmäßige Überwachung und Bestandsaufnahme der Fortschritte bei der Umsetzung des kürzlich im Rat entwickelten Fahrplans für das Cyberkrisenmanagement. Dieser Fahrplan ist ein dynamisches Dokument und sollte bei Bedarf überprüft und aktualisiert werden.

(15)

Die weltweiten Unterseekommunikationskabel sind für die globale und innereuropäische Konnektivität von entscheidender Bedeutung. Wegen der erheblichen Länge dieser Kabel und ihres Verlaufs am Meeresboden ist eine visuelle Überwachung unter Wasser für die meisten Kabelabschnitte äußerst schwierig. Die geteilte Zuständigkeit und andere Fragen der Zuständigkeit im Zusammenhang mit diesen Kabeln stellen für die europäische und internationale Zusammenarbeit beim Schutz und der Wiederherstellung der Infrastruktur eine spezifische Herausforderung dar. Die Risikobewertungen, die für digitale und physische Infrastruktur, die digitalen Diensten zugrunde liegt, derzeit laufen und noch geplant sind, müssen daher durch spezifische, auf Unterseekommunikationskabel abzielende Risikobewertungen und Optionen für Risikominderungsmaßnahmen ergänzt werden. Die Mitgliedstaaten ersuchen die Kommission, zu diesem Zweck Studien durchzuführen und die Mitgliedstaaten über ihre Ergebnisse zu informieren.

(16)

Die Bereiche Energie und Verkehr können auch Bedrohungen im Zusammenhang mit digitaler Infrastruktur ausgesetzt sein, beispielsweise im Zusammenhang mit Energietechnologien, die digitale Komponenten beinhalten. Für die Aufrechterhaltung der Erbringung wesentlicher Dienste und für die strategische Kontrolle der kritischen Infrastrukturen im Energiesektor ist auch die Sicherheit der einschlägigen Lieferketten von Belang. Diesen Umständen sollte Rechnung getragen werden, wenn zur Stärkung der Resilienz von kritischen Infrastrukturen gemäß dieser Empfehlung Maßnahmen ergriffen werden.

(17)

Die zunehmende Bedeutung von Weltrauminfrastrukturen, weltraumbezogener Bodenbetriebsmittel einschließlich Produktionsstätten und weltraumgestützter Dienste für sicherheitsbezogene Maßnahmen macht es unerlässlich, die Resilienz und den Schutz des Weltraums der Union und seiner bodengestützten Betriebsmittel und Dienste in der Union zu gewährleisten. Aus denselben Gründen ist es auch von wesentlicher Bedeutung, im Rahmen dieser Empfehlung weltraumgestützte Daten und Dienste, die von Weltraumsystemen und programmen für die Beobachtung und Verfolgung und für den Schutz kritischer Infrastruktur in anderen Sektoren bereitgestellt werden, systematischer einzusetzen. In der neuen EU-Weltraumstrategie für Sicherheit und Verteidigung werden diesbezüglich geeignete Maßnahmen vorgeschlagen, die bei der Umsetzung der vorliegenden Empfehlung berücksichtigt werden sollten.

(18)

Um Risiken für kritische Infrastrukturen unter anderem in internationalen Gewässern wirksam anzugehen, ist auch Zusammenarbeit auf internationaler Ebene erforderlich. Daher sind die Mitgliedstaaten aufgefordert, mit der Kommission und dem Hohen Vertreter zusammenzuarbeiten, um auf dem Weg zur Verwirklichung dieser Zusammenarbeit bestimmte Schritte zu unternehmen, wobei solche Schritte nur im Einklang mit ihren im Unionsrecht und insbesondere in den Bestimmungen der Verträge zu den Außenbeziehungen festgelegten Aufgaben und Zuständigkeiten unternommen werden dürfen.

(19)

Wie in der Mitteilung der Kommission vom 15. Februar 2022 mit dem Titel „Beitrag der Kommission zur europäischen Verteidigung“ dargelegt wurde, wird die Kommission in Zusammenarbeit mit dem Hohen Vertreter und den Mitgliedstaaten zur Unterstützung des „Strategischen Kompasses für Sicherheit und Verteidigung – Für eine Europäische Union, die ihre Bürgerinnen und Bürger, Werte und Interessen schützt und zu Weltfrieden und internationaler Sicherheit beiträgt“ in Bezug auf hybride Bedrohungen die sektorspezifischen Referenzwerte für die Resilienz bewerten und dazu bis 2023 Lücken, Bedarf und Lösungsschritte ermitteln. Diese Initiative dürfte die Arbeit im Rahmen der vorliegenden Empfehlung zur Stärkung der Resilienz, einschließlich der Resilienz kritischer Infrastruktur, unterstützen, indem sie dazu beiträgt, den Informationsaustausch und die Koordinierung der Maßnahmen zu verbessern.

(20)

In der Strategie der Europäischen Union für maritime Sicherheit aus dem Jahr 2014 und dem zugehörigen überarbeiteten Aktionsplan wurde ein erhöhter Schutz kritischer maritimer Infrastruktur, einschließlich der Unterseeinfrastruktur und insbesondere der maritimen Infrastruktur in den Bereichen Verkehr, Energie und Kommunikation, gefordert, indem unter anderem die maritime Lageerfassung durch eine bessere Interoperabilität und einen optimierten (verpflichtenden und freiwilligen) Informationsaustausch verbessert wird. Diese Strategie und dieser Aktionsplan werden derzeit aktualisiert und um verstärkte Maßnahmen zum Schutz kritischer maritimer Infrastruktur erweitert. Diese Maßnahmen sollten die vorliegende Empfehlung ergänzen.

(21)

Die Stärkung der Resilienz kritischer Infrastrukturen trägt zu umfassenderen Bemühungen um die Abwehr hybrider Bedrohungen und Kampagnen gegen die Union und ihre Mitgliedstaaten bei. Diese Empfehlung baut auf der Gemeinsamen Mitteilung an das Europäische Parlament und den Rat mit dem Titel „Gemeinsamer Rahmen für die Abwehr hybrider Bedrohungen – eine Antwort der Europäischen Union“ auf. Maßnahme 1 des Gemeinsamen Rahmens, nämlich die Untersuchung über hybride Risiken, spielt eine Schlüsselrolle bei der Ermittlung von Schwachstellen, von denen die nationalen und gesamteuropäischen Strukturen und Netze betroffen sein könnten. Darüber hinaus wird die Umsetzung der Schlussfolgerungen des Rates vom 21. Juni 2022 über einen Rahmen für eine koordinierte Reaktion der EU auf hybride Kampagnen ein stärkeres koordiniertes Vorgehen durch die Anwendung des EU-Instrumentariums zur Abwehr hybrider Bedrohungen in allen betroffenen Bereichen ermöglichen —

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

Bei der Arbeit der betreffenden benannten Experten sollte sektorübergreifenden Abhängigkeiten und kritischen Infrastrukturen von erheblicher grenzüberschreitender Bedeutung besondere Aufmerksamkeit gelten, und sie sollte gegebenenfalls im Rat und von der Kommission weiterverfolgt werden.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.

33.

34.

35.

36.

37.

38.