Was ist eigentlich: Die RCE/CER-Richtlinie und das KRITIS-Dachgesetz?

Was ist eigentlich die RCE/CER-Richtlinie bzw. das KRITIS-Dachgesetz?

Neben der NIS2-Richtlinie gibt es noch weitere wichtige EU-Regulierungsvorhaben, welche die „Security“ regulieren werden. Die RCE/CER-Richtlinie sind verbaschiedet und das KRITIS-Dachgsetz folgt. Security steht hier in Anführungszeichen, denn es geht nicht mehr primär um Cybersicherheit, sondern um die (physische) Sicherheit und die Gesamt-Resilienz des Unternehmens. Betroffene Unternehmen müssen sich zukünftig u. a. mit den Themen BCM (Business Continuity Management), personelle Sicherheit und Krisenmanagement auseinandersetzen

Info vorab: Hier sind zum Glück nicht so viele Unternehmen wie bei der NIS2 betroffen.

Was ist die CER-Richtlinie bzw. die RCE-Richtlinie?
Was ist das KRITIS-Dachgesetz?
Wer ist betroffen?
Welche Anforderungen ergeben sich aus RCE und KRITIS-Dachgesetz?
Zu wann müssen die Pflichten umgesetzt werden?

Hinweis: Die Inhalte dieses Artikels haben keinen Anspruch auf Vollständigkeit, basieren auf teilw. nicht abgestimmten Entwürfen und können sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Was ist die CER-Richtlinie bzw. die RCE-Richtlinie?

Die RCE-Directive bzw. die CER-Richtlinie  (EU 2022/2557) ist eine europäische Richtlinie. Mit ihr wird die Resilienz und (physiche) Ausfallsicherheit von EU-Unternehmen reguliert werden. Die RCE/CER wurde Ende 2022 verabschiedet und muss nun, wie auch die NIS2-Richtlinie, noch in nationales Recht umgesetzt werden. In Deutschland soll die Richtlinie mit dem KRITIS-Dachgesetz umgesetzt werden.

Was ist das KRITIS-Dachgesetz?

Die RCE-Directive wird in Deutschland mit dem KRITIS-Dachgesetz (KRITIS-DachG) in nationales Recht umgesetzt werden. Bisher wurden erste Referentenentwürfe öffentlich. Die deutsche Aufsichtsbehörde für das KRITIS-Dachgesetz wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sein.

Wer ist von der RCE bzw. KRITIS-Dachgesetz betroffen?

Die RCE sieht vor, dass Unternehmen aus insgesamt 11 Sektoren reguliert werden sollen (in der NIS2 sind es 18). Hier gibt es große Überschneidungen mit dem Annex 1 der NIS2-Richtlinie . Es gibt aber auch einige Abweichungen für Sektoren wie z. B. Ernährung (Essential in RCE) oder ÖPNV (ist in RCE nicht enthalten). Der Artikel 6 der RCE beschreibt, wie Aufsichtsbehörden die betroffenen Unternehmen festlegen sollen. Anders als bei der NIS2, sollen mit der RCE außschließlich „essentielle Unternehmen“ erfasst werden.

Welche Anforderungen ergeben sich aus RCE und KRITIS-Dachgesetz?

Die RCE-Richtlinie wird betroffene Unternehmen zu Maßnahmen der Resilienz ihrer kritischen Dienstleistungen verpflichten und soll so die Ausfallrisiken von essentiellen Dienstleistungen mindern. Die Úmsetzung in Deutschalnd mit dem KRITIS-Dachgesetzes (Entwurf) sieht dazu u. a. die folgenden Anforderungen vor.

Risikomanagement (§ 10 KRITIS-DachG): In der Verordnung werden Betreiber kritischer Anlagen verpflich-
ten, Risiken zu identifizieren, zu analysieren und zu bewerten, die die Aufrechterhaltung ihres
Geschäftsbetriebs und damit die Erbringung ihrer kritischen Dienstleistung stören oder un-
terbrechen können. Die geforderten Risikoanalysen müssen dabei, erstmalig 9 Monate nach Inkrafttreten, anschließend, mindestens alle 4 Jahre durchgeführt werden. Die staatliche Risikoanalyse nach § 9 KRITIS-DachG (liegt noch nicht vor), soll dabei Grundlage der im Unternehmen zu planenden Resilienzmaßnahmen sein. In der Konsequenz bedeuten diese Anforderungen, die Notwendigkeit der Einführung eines (unternehmensweiten) Risikomanagements.

Maßnahmen (§ 11 KRITIS-DachG):
Abgeleitet aus der Risikoanalyse müssen Ressilienzmaßnhamen getroffen werden. Die betroffenen Unternehmen müssen dann technische und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz planen und umsetzen.

  • §11 (1): „Betreiber kritischer Anlagen sind verpflichtet, geeignete und verhältnismäßige
    technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ih-
    rer Resilienz zu treffen. Diese Maßnahmen sind auf der Grundlage der nach § 9 bereitge-
    stellten Informationen über die staatlichen Risikoanalysen und -bewertungen sowie den Er-
    gebnissen der eigenen Risikoanalyse und -bewertung nach § 10 zu treffen. Dabei soll der
    Stand der Technik eingehalten werden.“
  • § 11 (2): „Technische, sicherheitsbezogene und organisatorische Maßnahmen sind verhält-
    nismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer
    Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Be-
    einträchtigung angemessen erscheint
    Umsetzung von Resilienzmaßnahmen.“

Der Satz 3 des § 11 KRITIS-DachG konkretisiert anschließend, dass die zu treffenden Maßnahmen folgende Aspekte gewährleisten sollen. Hierbei soll der „Stand der Technik“ eingehalten werden. Im Anhang 1 Des KRITIS-DachG, werden dann Beispiele für entsprechende Maßnahmen genannt (nachfolgend kursiv dargestellt)

  • das Auftreten von Vorfällen verhindern
    • Maßnahmen der Notfallvorsorge
    • Maßnahmen zur Anpassung an den Klimawandel
  • einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Anlagen gewährleisten
    • Maßnahmen des Objektschutzes, u.a. das Aufstellen von Zäunen und Sperren
    • Instrumente und Verfahren für die Überwachung der Umgebung
    • Detektionsgeräte
    • Zugangskontrollen
  • auf Vorfälle reagieren, sie abwehren und die Folgen solcher Vorfälle be-
    grenzen
    • Risiko- und Krisenmanagementverfahren und –protokolle
    • vorgegebene Abläufe im Alarmfall
  • nach Vorfällen die Wiederherstellung gewährleisten
    • Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Notstromversorgung)
    • Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wieder-
      aufzunehmen
  • ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter ge-
    währleisten, einschließlich des Personals externer Dienstleister
    • Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt,
    • Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen
    • Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen; dabei bleiben die Vorschriften der Fachgesetze hinsichtlich der Zuverlässigkeitsüberprüfungen unberührt
    • Festlegung angemessener Schulungsanforderungen und Qualifikationen
  •  das entsprechende Personal für die unter den Nummern 1 bis 5 genannten Maß-
    nahmen durch Informationsmaterialien, Schulungen und Übungen sensibilisieren
    • Schulungen
    • Informationsmaterial
    • Übungen

Weitere Anforderungen:

Resilienzpläne (§ 11 Abs. 6 KRITIS-DachG): Betreiber kritischer Anlagen müssen einen Resilienzplan erstellen und der Aufsichtsbehörde (BBK) alle 2 Jahre vorlegen.

Nachweispflichten (§ 11 Abs. 8 KRITIS-DachG): Hier ist derzeit vorgesehen, dass die Unternehmen die Erfüllung Ihrer Resilienzmaßnahmen alle 2 Jahre ggü. der Aufsichtsbehörde (BBK) nachweisen. Hinsichtlich des Ablaufs orierntieren sich die Formulierungen stark am bisherhigen Wortlaut zu KRITIS-Nachweisen, nach dem BSIG. Die Nachweise sollen dabei durch Audits erfolgen. Es bleibt abzuwarten, ob hier der 2 Jahreszyklus bstehen bleibt, im NIS2-Umsetzungsgesetz hat man sich mitterlweile auf einen nur 2-jährigen Zyklus geeinigt. Zusätzlich ist, wie auch im derzeitigen BSIG, die Erstellung von Sicherheitsstandards (Resilienzstandards) durch Branchenverbände vorgsehen (dann B3R anstatt B3S?).

Meldepflichten & Einrichtung einer Kontaktstelle (§ 12, § 8 Abs. 3 KRITIS-DachG;): Könftig müssen Sicherheitsvorfälle (unverzüglich) gemeldet werden. Meldepflichtig sind dabei Vorfälle, wenn diese die Erbringung einer, mit einer kritischen Anlage erbrachten, kritischen Dienstleistung erheblich stören oder stören könnten. Dazu muss das betroffene Unternehmen eine Kontaktstelle einrichten.

 

Zu wann müssen die RCE-Pflichten umgesetzt werden (Fristen)?

Die RCE/CER wurde Ende 2022 verabschiedet und wird mit dem KRITIS-Dachgesetz in deutsches Recht umgesetzt werden. Grundsätzlich müssen die EU-Mitgliedsstaaten die CER-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 26). D. h. Für diesen Stichtag, oder den 01.10.2024 ist auch das Inkrafttreten des KRITIS-Dachgesetzes zu erwarten. Hinsichtlich der Umsetzungsfristen gibt es vrsl. aber noch mehr Spielraum, als bei der NIS2. Beispielsweise sollen die folgenden Paragraphen sollen erst  später in Kraft treten:

  • § 6 (Anforderungen an Betreiber Kritischer Infrastrukturen)
  • § 7(Kritische Anlagen von besonderer Bedeutung für Europa)
  • § 8 (Registrierung der kritischen Anlage)
  • § 10 (Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen)
  • § 11 (Resilienzmaßnahmen der Betreiber kritischer Anlagen): Die
    Verpflichtung zur Ergreifung und Umsetzung von Resilienzmaßnahmen sollen
    erst nach Ablauf von 10 Monaten nach der Registrierung als kritische Anlage nach § 8 wirksam werden.
  • § 12 (Meldewesen für Störungen )
  • § 19: Die Kritis-DachG-Bußgeldvorschriften sollen erst 2027 in Kraft treten