Neben der NIS2-Richtlinie gibt es noch weitere wichtige EU-Regulierungsvorhaben, welche die „Security“ regulieren werden. Die RCE/CER-Richtlinie sind verbaschiedet und das KRITIS-Dachgsetz folgt. Security steht hier in Anführungszeichen, denn es geht nicht mehr primär um Cybersicherheit, sondern um die (physische) Sicherheit und die Gesamt-Resilienz des Unternehmens. Betroffene Unternehmen müssen sich zukünftig u. a. mit den Themen BCM (Business Continuity Management), personelle Sicherheit und Krisenmanagement auseinandersetzen
Info vorab: Hier sind zum Glück nicht so viele Unternehmen wie bei der NIS2 betroffen.
Was ist die CER-Richtlinie bzw. die RCE-Richtlinie?
Was ist das KRITIS-Dachgesetz?
Wer ist betroffen?
Welche Anforderungen ergeben sich aus RCE und KRITIS-Dachgesetz?
Zu wann müssen die Pflichten umgesetzt werden?
Hinweis: Die Inhalte dieses Artikels haben keinen Anspruch auf Vollständigkeit, basieren auf teilw. nicht abgestimmten Entwürfen und können sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.
Die RCE-Directive bzw. die CER-Richtlinie (EU 2022/2557) ist eine europäische Richtlinie. Mit ihr wird die Resilienz und (physiche) Ausfallsicherheit von EU-Unternehmen reguliert werden. Die RCE/CER wurde Ende 2022 verabschiedet und muss nun, wie auch die NIS2-Richtlinie, noch in nationales Recht umgesetzt werden. In Deutschland soll die Richtlinie mit dem KRITIS-Dachgesetz umgesetzt werden.
Die RCE-Directive wird in Deutschland mit dem KRITIS-Dachgesetz (KRITIS-DachG) in nationales Recht umgesetzt werden. Bisher wurden erste Referentenentwürfe öffentlich. Die deutsche Aufsichtsbehörde für das KRITIS-Dachgesetz wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sein.
Die RCE sieht vor, dass Unternehmen aus insgesamt 11 Sektoren reguliert werden sollen (in der NIS2 sind es 18). Hier gibt es große Überschneidungen mit dem Annex 1 der NIS2-Richtlinie . Es gibt aber auch einige Abweichungen für Sektoren wie z. B. Ernährung (Essential in RCE) oder ÖPNV (ist in RCE nicht enthalten). Der Artikel 6 der RCE beschreibt, wie Aufsichtsbehörden die betroffenen Unternehmen festlegen sollen. Anders als bei der NIS2, sollen mit der RCE außschließlich „essentielle Unternehmen“ erfasst werden.
Die RCE-Richtlinie wird betroffene Unternehmen zu Maßnahmen der Resilienz ihrer kritischen Dienstleistungen verpflichten und soll so die Ausfallrisiken von essentiellen Dienstleistungen mindern. Die Úmsetzung in Deutschalnd mit dem KRITIS-Dachgesetzes (Entwurf) sieht dazu u. a. die folgenden Anforderungen vor.
Risikomanagement (§ 10 KRITIS-DachG): In der Verordnung werden Betreiber kritischer Anlagen verpflich-
ten, Risiken zu identifizieren, zu analysieren und zu bewerten, die die Aufrechterhaltung ihres
Geschäftsbetriebs und damit die Erbringung ihrer kritischen Dienstleistung stören oder un-
terbrechen können. Die geforderten Risikoanalysen müssen dabei, erstmalig 9 Monate nach Inkrafttreten, anschließend, mindestens alle 4 Jahre durchgeführt werden. Die staatliche Risikoanalyse nach § 9 KRITIS-DachG (liegt noch nicht vor), soll dabei Grundlage der im Unternehmen zu planenden Resilienzmaßnahmen sein. In der Konsequenz bedeuten diese Anforderungen, die Notwendigkeit der Einführung eines (unternehmensweiten) Risikomanagements.
Maßnahmen (§ 11 KRITIS-DachG):
Abgeleitet aus der Risikoanalyse müssen Ressilienzmaßnhamen getroffen werden. Die betroffenen Unternehmen müssen dann technische und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz planen und umsetzen.
Der Satz 3 des § 11 KRITIS-DachG konkretisiert anschließend, dass die zu treffenden Maßnahmen folgende Aspekte gewährleisten sollen. Hierbei soll der „Stand der Technik“ eingehalten werden. Im Anhang 1 Des KRITIS-DachG, werden dann Beispiele für entsprechende Maßnahmen genannt (nachfolgend kursiv dargestellt)
Weitere Anforderungen:
Resilienzpläne (§ 11 Abs. 6 KRITIS-DachG): Betreiber kritischer Anlagen müssen einen Resilienzplan erstellen und der Aufsichtsbehörde (BBK) alle 2 Jahre vorlegen.
Nachweispflichten (§ 11 Abs. 8 KRITIS-DachG): Hier ist derzeit vorgesehen, dass die Unternehmen die Erfüllung Ihrer Resilienzmaßnahmen alle 2 Jahre ggü. der Aufsichtsbehörde (BBK) nachweisen. Hinsichtlich des Ablaufs orierntieren sich die Formulierungen stark am bisherhigen Wortlaut zu KRITIS-Nachweisen, nach dem BSIG. Die Nachweise sollen dabei durch Audits erfolgen. Es bleibt abzuwarten, ob hier der 2 Jahreszyklus bstehen bleibt, im NIS2-Umsetzungsgesetz hat man sich mitterlweile auf einen nur 2-jährigen Zyklus geeinigt. Zusätzlich ist, wie auch im derzeitigen BSIG, die Erstellung von Sicherheitsstandards (Resilienzstandards) durch Branchenverbände vorgsehen (dann B3R anstatt B3S?).
Meldepflichten & Einrichtung einer Kontaktstelle (§ 12, § 8 Abs. 3 KRITIS-DachG;): Könftig müssen Sicherheitsvorfälle (unverzüglich) gemeldet werden. Meldepflichtig sind dabei Vorfälle, wenn diese die Erbringung einer, mit einer kritischen Anlage erbrachten, kritischen Dienstleistung erheblich stören oder stören könnten. Dazu muss das betroffene Unternehmen eine Kontaktstelle einrichten.
Die RCE/CER wurde Ende 2022 verabschiedet und wird mit dem KRITIS-Dachgesetz in deutsches Recht umgesetzt werden. Grundsätzlich müssen die EU-Mitgliedsstaaten die CER-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 26). D. h. Für diesen Stichtag, oder den 01.10.2024 ist auch das Inkrafttreten des KRITIS-Dachgesetzes zu erwarten. Hinsichtlich der Umsetzungsfristen gibt es vrsl. aber noch mehr Spielraum, als bei der NIS2. Beispielsweise sollen die folgenden Paragraphen sollen erst später in Kraft treten: