Logo Concepture
Menü
Beratung anfordern
  • Fill the Gap, Security Compliance

Die EU CER-Richtlinie erklärt – Was Unternehmen jetzt wissen müssen

Mehr Sicherheit für Europas kritische Infrastrukturen: Die neue EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) bringt klare Vorgaben – auch für Unternehmen in Deutschland. Aber wer ist betroffen und was muss jetzt getan werden? Wir geben einen Überblick.

🔍 Was ist die EU CER-Richtlinie überhaupt?

Die EU CER-Richtlinie (Critical Entities Resilience Directive, Richtlinie (EU) 2022/2557) ist ein europäisches Gesetz, das am 16. Januar 2023 in Kraft getreten ist. Ihr Ziel: Die Widerstandsfähigkeit (Resilienz) sogenannter kritischer Einrichtungen in der EU deutlich zu verbessern.

Kritische Einrichtungen sind Organisationen, deren Ausfall die Gesellschaft massiv beeinträchtigen könnte – etwa durch Störungen in der Stromversorgung, im Verkehr, bei der Wasserversorgung oder in der Gesundheitsversorgung.

Die neue Richtlinie ersetzt die bisherige EU-Richtlinie 2008/114/EG, die nur Energie und Verkehr betraf – und das auch nur unzureichend. Die neue Fassung ist deutlich umfassender.

🛡️ Warum wurde die Richtlinie überarbeitet?

Klimawandel, Cyberangriffe, politische Instabilität, Pandemien – die Risiken für kritische Infrastrukturen haben sich in den letzten Jahren verändert und vervielfacht. Die bisherige Regelung war zu eng gefasst und bot keinen ausreichenden Schutz vor:

  • Naturkatastrophen und Extremwetter
  • Terroristischen oder vorsätzlichen Angriffen
  • Technischen Ausfällen
  • Kaskadeneffekten zwischen Sektoren oder Staaten

Die EU CER-Richtlinie setzt daher auf einen ganzheitlichen Ansatz, der alle Gefahren berücksichtigt – unabhängig davon, ob sie natürlich, technisch oder menschengemacht sind.

🏛️ Was bedeutet das für Deutschland?

Deutschland setzt die CER-Richtlinie aktuell mit dem Kritis-Dachgesetz (KritisDG) um. Ein entsprechender Gesetzesentwurf liegt seit Ende 2024 vor.

Das KritisDG wird zum ersten Mal in einem einheitlichen Gesetz Anforderungen an alle kritischen Sektoren formulieren – darunter:

  • Energie
  • Transport und Verkehr
  • Gesundheit
  • Trinkwasserversorgung
  • IKT und Digitalisierung
  • Finanzwesen
  • Öffentliche Verwaltung
  • Abfall- und Abwasserwirtschaft

👥 Wer ist betroffen?

Nicht jedes Unternehmen in diesen Sektoren fällt automatisch unter die Regelung. Entscheidend sind:

  1. Größe und Bedeutung der Einrichtung (z. B. viele angeschlossene Haushalte, zentrale Rolle im Netz, hohes Störungspotenzial)
  2. Art der Dienstleistung, die für das Funktionieren des Binnenmarkts oder die öffentliche Sicherheit wesentlich ist
  3. Einstufung durch die zuständigen Behörden

Diese Behörden müssen bis spätestens Oktober 2026 eine Liste der betroffenen kritischen Einrichtungen erstellen.

✅ Was müssen betroffene Unternehmen tun?

Sobald ein Unternehmen als „kritische Einrichtung“ gilt, gelten u. a. folgende Pflichten:

  1. Risikobewertung alle 4 Jahre durchführen
    – Welche Gefahren können den Betrieb stören?
  2. Resilienzmaßnahmen ergreifen
    – Organisatorisch, technisch und physisch (z. B. Notfallpläne, Zutrittskontrollen, Redundanzen)
  3. Resilienzplan erstellen
    – Dokumentiert die Maßnahmen zur Risikoabwehr und Wiederherstellung
  4. Verbindungsbeauftragten benennen
    – Ansprechpartner für Behörden
  5. Sicherheitsvorfälle melden
    – Innerhalb von 24 Stunden nach Entdeckung

📆 Bis wann muss das alles umgesetzt sein?

Die Mitgliedstaaten – und damit auch Deutschland – haben bis 17. Januar 2026 Zeit, ihre nationale Strategie zur Umsetzung vorzulegen. Unternehmen, die unter die Regelung fallen, sollten jedoch frühzeitig beginnen, sich auf die Pflichten vorzubereiten.

🔄 Und wie hängt das mit NIS2 zusammen?

Die CER-Richtlinie konzentriert sich auf physische Resilienz, während die NIS2-Richtlinie (EU) 2022/2555 die Cybersicherheit kritischer Einrichtungen regelt. Beide Richtlinien überschneiden sich und sollen komplementär wirken. In der Praxis bedeutet das für viele Unternehmen: doppelte Verantwortung – physisch und digital.

📌 Fazit

Die EU CER-Richtlinie markiert einen Paradigmenwechsel: Kritische Einrichtungen werden künftig nicht nur als schützenswert, sondern als resilient zu gestaltende Systeme betrachtet. Wer frühzeitig Risiken analysiert und Maßnahmen ableitet, hat im Ernstfall die Nase vorn – und erfüllt gleichzeitig regulatorische Anforderungen.

Holger Berens

Holger Berens ist Ihr Ansprechpartner rund um den Themenkomplex der Security Compliance und berät unsere Kunden online und vor Ort.
Weitere Beiträge

Jetzt weiterlesen!

Alle anzeigen

Physical Security

Fahrzeugrückhaltesysteme richtig geplant: Sicherheit beginnt vor dem Zaun

Wenn es um den Schutz von Liegenschaften, Infrastrukturen oder öffentlichen Bereichen geht, denken viele zuerst an Zutrittskontrolle, Videotechnik oder Alarmanlagen. Doch eine zentrale Schwachstelle bleibt oft unbeachtet: die Zufahrt mit einem Fahrzeug – ob durch Unfall, Fahrlässigkeit oder Vorsatz.

Fill the Gap

Roboter auf Patrouille – Wie Robotic und KI die Sicherheitsbranche verändern mit Severin Pfister (Ascento)

Sicherheitsroboter, die eigenständig Gelände überwachen, Anomalien erkennen und mit bestehenden Systemen kommunizieren – was nach Science-Fiction klingt, ist längst Realität. In der aktuellen Folge von FILL THE GAP, der Security Podcast sprechen wir mit Severin Pfister von Ascento, über den Einsatz von Robotik und Künstlicher Intelligenz im Objektschutz.

Security Compliance

NIS 2 und CER: Wie die verzögerte gesetzliche Umsetzung in Deutschland KRITIS-Betreiber unter Druck setzt

Die Resilienz unserer kritischen Infrastrukturen (KRITIS) steht auf dem Spiel. Während andere EU-Staaten längst Fakten geschaffen haben, hinkt Deutschland bei der entscheidenden Umsetzung europäischer Vorgaben zur KRITIS-Sicherheit, insbesondere der NIS 2- und CER-Richtlinie, bedenklich hinterher.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.