Schwachstellen verringern und die physikalische Resistenz1 stärken von kritischen Einrichtungen in der Europäischen Union (EU), um die ununterbrochene Bereitstellung von Dienstleistungen sicherzustellen, die für die Wirtschaft und Gesellschaft insgesamt von wesentlicher Bedeutung sind;
die Resilienz der kritischen Einrichtungen, die diese Dienste erbringen, stärken.
WICHTIGE ECKPUNKTE
Die Mitgliedstaaten der EU müssen im Anschluss an eine Risikobewertung kritische Einrichtungen ermitteln, die Dienstleistungen erbringen, die für die Aufrechterhaltung wesentlicher Funktionen für die Gesellschaft, die Wirtschaft, die öffentliche Gesundheit und die Sicherheit oder die Umwelt von wesentlicher Bedeutung sind, und ermitteln, in denen ein Vorfall erhebliche Störungen für diese wesentlichen Dienste zur Folge hätte. Dies gilt für Einrichtungen in den folgenden Sektoren:
Energie, einschließlich Betreiber von Strom, Fernwärme, Öl, Gas und Wasserstoff;
Verkehr auf dem Luft-, Schienen-, Wasser- und Straßenweg, einschließlich des öffentlichen Verkehrs;
Bankwesen, das auch der Verordnung (EU) 2022/2554 (dem Gesetz über die digitale operationale Resilienz – siehe Zusammenfassung) unterliegt;
Finanzmarktinfrastruktur, einschließlich der Handelsplätze, die ebenfalls dem Gesetz über die digitale operationale Resilienz unterliegt;
Gesundheitswesen, einschließlich Gesundheitsdienstleistern, Herstellern grundlegender Arzneimittel und kritischer Produkte, sowie Forschung und Entwicklung von Arzneimitteln;
Versorger und Verteiler von Trinkwasser;
Entsorgung und Aufbereitung von Abwasser;
digitale Infrastruktur, einschließlich elektronischer Kommunikationsdienste und Datenzentren, die ebenfalls der Richtlinie (EU) 2022/2555 (siehe Zusammenfassung) unterliegt;
Einrichtungen der öffentlichen Verwaltung auf zentralstaatlicher Ebene, ausgenommen nationale Sicherheit, öffentliche Sicherheit, Verteidigung und Strafverfolgung;
Raumfahrt-Betreiber von Bodeninfrastrukturen; und
Lebensmittel-Unternehmen, die ausschließlich in der Logistik und dem Großhandelsvertrieb sowie in der groß angelegten Industrieproduktion und -verarbeitung tätig sind.
Es ist zu beachten, dass bestimmte Teile der Richtlinie nicht für Unternehmen in den Sektoren Banken, Finanzmarktinfrastruktur und digitale Infrastruktur gelten.
Jeder Mitgliedstaat muss:
eine nationale Strategie verabschieden und regelmäßige Risikobewertungen durchführen;
die Ergebnisse der Risikobewertungen berücksichtigen, Einrichtungen ermitteln, die auf kritische Infrastrukturen bauen, die wesentliche Dienstleistungen für die Gesellschaft, die Wirtschaft, die öffentliche Gesundheit und die Sicherheit oder die Umwelt erbringen;
die identifizierten kritischen Einrichtungen bei der Verbesserung ihrer Resilienz unterstützen, z. B. durch Leitfäden, Übungen, Beratung und Schulung;
sicherstellen, dass die nationalen Behörden über die Befugnisse, Ressourcen und Mittel verfügen, um ihre Aufsichtsaufgaben wahrzunehmen, einschließlich der Durchführung von Kontrollen vor Ort bei kritischen Einrichtungen und der Einführung von Sanktionen für Verstöße im Rahmen eines Durchsetzungsmechanismus;
die Bedingungen festlegen, unter denen eine kritische Einrichtung Anträge auf Hintergrundprüfungen von Personal mit sensiblen Funktionen stellen kann.
Die Mitgliedstaaten müssen bis zum die kritischen Einrichtungen für die im Anhang der Richtlinie aufgeführten Sektoren und Teilsektoren bestimmen.
Kritische Einrichtungen müssen:
eigene Risikobewertungen durchführen, um Risiken zu ermitteln, die ihre Fähigkeit zur Bereitstellung wesentlicher Dienste beeinträchtigen könnten;
technische, sicherheitspolitische und organisatorische Maßnahmen ergreifen, um ihre Resilienz zu stärken;
den nationalen Behörden erhebliche Störfälle melden.
Wenn kritische Einrichtungen in sechs oder mehr Mitgliedstaaten wesentliche Dienstleistungen erbringen, könnten sie zusätzliche Beratung in Form von Beratenden Missionen erhalten, die die Risikobewertung und die Maßnahmen zur Stärkung der Resilienz der Einrichtung evaluieren.
Die Europäische Kommission hat die Delegierte Verordnung (EU) 2023/2450 angenommen, mit der eine nicht erschöpfende Liste der wesentlichen Dienstleistungen in den oben genannten Sektoren und Teilsektoren festgelegt wird. Die zuständigen Behörden der Mitgliedstaaten verwenden diese Liste für die Durchführung einer Risikobewertung, die dann zur Ermittlung kritischer Einrichtungen verwendet wird.
Die Gruppe für Resilienz in kritischen Einrichtungen ermöglicht die Zusammenarbeit zwischen den Mitgliedstaaten, einschließlich des Austauschs von Informationen und bewährten Verfahren.
Die Kommission bietet Unterstützung, unter anderem in Bezug auf sektorübergreifende Risiken, bewährte Verfahren, Methoden, grenzüberschreitende Ausbildung und Übungen, um die Resilienz kritischer Einrichtungen zu testen.
WANN TRETEN DIE VORSCHRIFTEN IN KRAFT?
Die Richtlinie musste bis in nationales Recht umgesetzt werden. Diese Vorschriften werden ab dem gelten.
Diese Richtlinie ist Teil eines Pakets legislativer Maßnahmen zur Verbesserung der Resilienz und der Reaktionsfähigkeit öffentlicher und privater Einrichtungen in der EU im Bereich der Cybersicherheit und des Schutzes kritischer Infrastrukturen.
Im Januar 2023 gab der Rat außerdem eine Empfehlung zu einem EU-weiten koordinierten Ansatz für die Stärkung der Resilienz kritischer Infrastruktur heraus.
Resilienz. Die Fähigkeit, Vorfällen, die unter anderem durch Naturkatastrophen wie Krisen im Bereich der öffentlichen Gesundheit oder von Menschen ausgehende Bedrohungen wie Terrorismus, Sabotage oder hybride Bedrohungen verursacht werden können, vorzubeugen, sich davor zu schützen, darauf zu reagieren, Widerstand zu leisten, sie abzumildern, sie abzufedern, sich für sie zu wappnen und sich von ihnen zu erholen. Hybride Bedrohungen treten auf, wenn staatliche oder nichtstaatliche Akteure versuchen, die Schwachstellen kritischer Infrastrukturen auszunutzen, indem sie auf koordinierte Weise eine Mischung aus Maßnahmen (z. B. diplomatische, militärische, wirtschaftliche, technologische) verwenden und dabei unter der Schwelle der formalen Kriegsführung bleiben – wie etwa Massen-Desinformationskampagnen, die den demokratischen Prozess bei Wahlen behindern.
HAUPTDOKUMENT
Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates (ABl. L 333 vom , S. 164-198).
VERBUNDENE DOKUMENTE
Delegierte Verordnung (EU) 2023/2450 der Kommission vom zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste (ABl. L, 2023/2450 vom ).
Empfehlung des Rates vom für eine unionsweite koordinierte Vorgehensweise zur Stärkung der Resilienz kritischer Infrastruktur (ABl. C 20 vom , S. 1-11).
Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom , S. 1-79).
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom , S. 80-152).
Mitteilung der Kommission an das Europäische Parlament, den Europäischen Rat, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Eine EU-Agenda für Terrorismusbekämpfung: Antizipieren, verhindern, schützen und reagieren (COM(2020) 795 final vom ).
Mitteilung der Kommission an das Europäische Parlament, den Europäischen Rat, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – EU-Strategie für eine Sicherheitsunion (COM(2020) 605 final vom )
Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates vom mit gemeinsamen Vorschriften für den Elektrizitätsbinnenmarkt und zur Änderung der Richtlinie 2012/27/EU (Neufassung) (ABl. L 158 vom , S. 125-199).
Nachfolgende Änderungen der Richtlinie (EU) 2019/944 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.
Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates vom über den Elektrizitätsbinnenmarkt (Neufassung) (ABl. L 158 vom , S. 54-124).
Verordnung (EU) 2019/941 des Europäischen Parlaments und des Rates vom über die Risikovorsorge im Elektrizitätssektor und zur Aufhebung der Richtlinie 2005/89/EG (ABl. L 158 vom , S. 1-21).
Richtlinie (EU) 2018/2001 des Europäischen Parlaments und des Rates vom zur Förderung der Nutzung von Energie aus erneuerbaren Quellen (Neufassung) (ABl. L 328 vom , S. 82-209).
Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom , S. 6-21).
Verordnung (EU) 2017/1938 des Europäischen Parlaments und des Rates vom über Maßnahmen zur Gewährleistung der sicheren Gasversorgung und zur Aufhebung der Verordnung (EU) Nr. 994/2010 (ABl. L 280 vom , S. 1-56).
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom , S. 1-88).
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom , S. 89-131).
Richtlinie 2012/18/EU des Europäischen Parlaments und des Rates vom zur Beherrschung der Gefahren schwerer Unfälle mit gefährlichen Stoffen, zur Änderung und anschließenden Aufhebung der Richtlinie 96/82/EG des Rates (ABl. L 197 vom , S. 1–37).
Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom , S. 12-33).
Richtlinie 2009/73/EG des Europäischen Parlaments und des Rates vom über gemeinsame Vorschriften für den Erdgasbinnenmarkt und zur Aufhebung der Richtlinie 2003/55/EG (ABl. L 211 vom , S. 94-136).
Richtlinie 2007/60/EG des Europäischen Parlaments und des Rates vom über die Bewertung und das Management von Hochwasserrisiken (ABl. L 288 vom , S. 27-34).
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom , S. 37-47).