Beratung anfordern
  • Fill the Gap, Security Compliance

Die EU CER-Richtlinie erklärt – Was Unternehmen jetzt wissen müssen

Mehr Sicherheit für Europas kritische Infrastrukturen: Die neue EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) bringt klare Vorgaben – auch für Unternehmen in Deutschland. Aber wer ist betroffen und was muss jetzt getan werden? Wir geben einen Überblick.

🔍 Was ist die EU CER-Richtlinie überhaupt?

Die EU CER-Richtlinie (Critical Entities Resilience Directive, Richtlinie (EU) 2022/2557) ist ein europäisches Gesetz, das am 16. Januar 2023 in Kraft getreten ist. Ihr Ziel: Die Widerstandsfähigkeit (Resilienz) sogenannter kritischer Einrichtungen in der EU deutlich zu verbessern.

Kritische Einrichtungen sind Organisationen, deren Ausfall die Gesellschaft massiv beeinträchtigen könnte – etwa durch Störungen in der Stromversorgung, im Verkehr, bei der Wasserversorgung oder in der Gesundheitsversorgung.

Die neue Richtlinie ersetzt die bisherige EU-Richtlinie 2008/114/EG, die nur Energie und Verkehr betraf – und das auch nur unzureichend. Die neue Fassung ist deutlich umfassender.

🛡️ Warum wurde die Richtlinie überarbeitet?

Klimawandel, Cyberangriffe, politische Instabilität, Pandemien – die Risiken für kritische Infrastrukturen haben sich in den letzten Jahren verändert und vervielfacht. Die bisherige Regelung war zu eng gefasst und bot keinen ausreichenden Schutz vor:

  • Naturkatastrophen und Extremwetter
  • Terroristischen oder vorsätzlichen Angriffen
  • Technischen Ausfällen
  • Kaskadeneffekten zwischen Sektoren oder Staaten

Die EU CER-Richtlinie setzt daher auf einen ganzheitlichen Ansatz, der alle Gefahren berücksichtigt – unabhängig davon, ob sie natürlich, technisch oder menschengemacht sind.

🏛️ Was bedeutet das für Deutschland?

Deutschland setzt die CER-Richtlinie aktuell mit dem Kritis-Dachgesetz (KritisDG) um. Ein entsprechender Gesetzesentwurf liegt seit Ende 2024 vor.

Das KritisDG wird zum ersten Mal in einem einheitlichen Gesetz Anforderungen an alle kritischen Sektoren formulieren – darunter:

  • Energie
  • Transport und Verkehr
  • Gesundheit
  • Trinkwasserversorgung
  • IKT und Digitalisierung
  • Finanzwesen
  • Öffentliche Verwaltung
  • Abfall- und Abwasserwirtschaft

👥 Wer ist betroffen?

Nicht jedes Unternehmen in diesen Sektoren fällt automatisch unter die Regelung. Entscheidend sind:

  1. Größe und Bedeutung der Einrichtung (z. B. viele angeschlossene Haushalte, zentrale Rolle im Netz, hohes Störungspotenzial)
  2. Art der Dienstleistung, die für das Funktionieren des Binnenmarkts oder die öffentliche Sicherheit wesentlich ist
  3. Einstufung durch die zuständigen Behörden

Diese Behörden müssen bis spätestens Oktober 2026 eine Liste der betroffenen kritischen Einrichtungen erstellen.

✅ Was müssen betroffene Unternehmen tun?

Sobald ein Unternehmen als „kritische Einrichtung“ gilt, gelten u. a. folgende Pflichten:

  1. Risikobewertung alle 4 Jahre durchführen
    – Welche Gefahren können den Betrieb stören?
  2. Resilienzmaßnahmen ergreifen
    – Organisatorisch, technisch und physisch (z. B. Notfallpläne, Zutrittskontrollen, Redundanzen)
  3. Resilienzplan erstellen
    – Dokumentiert die Maßnahmen zur Risikoabwehr und Wiederherstellung
  4. Verbindungsbeauftragten benennen
    – Ansprechpartner für Behörden
  5. Sicherheitsvorfälle melden
    – Innerhalb von 24 Stunden nach Entdeckung

📆 Bis wann muss das alles umgesetzt sein?

Die Mitgliedstaaten – und damit auch Deutschland – haben bis 17. Januar 2026 Zeit, ihre nationale Strategie zur Umsetzung vorzulegen. Unternehmen, die unter die Regelung fallen, sollten jedoch frühzeitig beginnen, sich auf die Pflichten vorzubereiten.

🔄 Und wie hängt das mit NIS2 zusammen?

Die CER-Richtlinie konzentriert sich auf physische Resilienz, während die NIS2-Richtlinie (EU) 2022/2555 die Cybersicherheit kritischer Einrichtungen regelt. Beide Richtlinien überschneiden sich und sollen komplementär wirken. In der Praxis bedeutet das für viele Unternehmen: doppelte Verantwortung – physisch und digital.

📌 Fazit

Die EU CER-Richtlinie markiert einen Paradigmenwechsel: Kritische Einrichtungen werden künftig nicht nur als schützenswert, sondern als resilient zu gestaltende Systeme betrachtet. Wer frühzeitig Risiken analysiert und Maßnahmen ableitet, hat im Ernstfall die Nase vorn – und erfüllt gleichzeitig regulatorische Anforderungen.

Holger Berens

Holger Berens ist Ihr Ansprechpartner rund um den Themenkomplex der Security Compliance und berät unsere Kunden online und vor Ort.
Beratung anfordern
Weitere Beiträge

Jetzt weiterlesen!

Alle anzeigen

Cybersicherheit

GPS-Spoofing und Drohnen

Ob bei automatisierten Inspektionsflügen oder in der Überwachung großer Areale – Drohnen sind stark auf GPS angewiesen. Wird dieses Signal manipuliert, kann GPS-Spoofing die Fluggeräte gezielt in die Irre führen. Die Folgen reichen von Kontrollverlust und Fehlflügen bis hin zu Sicherheitsrisiken und finanziellen Schäden.

Cybersicherheit

Deepfake Experiment Teil 1

Deep Fake lässt sich immer weniger erkennen. In einem Selbstexperiment spricht mein Avatar nun Japanisch. Auf Deep Fake folgt so Deep Fraud - immer mehr Menschen fallen darauf hinein und zahlen Geldbeträge an Cyberkriminelle.

Cybersicherheit

GPS-Spoofing in der Logistik: Unsichtbare Gefahr für Lieferketten

Ob im Navigationssystem moderner Fahrzeuge oder im Tracking-Chip auf der Frachtpalette – GPS (Global Positioning System) ist heute ein unverzichtbarer Bestandteil globaler Lieferketten und Mobilitätslösungen. Doch was passiert, wenn diese Technologie manipuliert wird? GPS-Spoofing ermöglicht es Angreifern, Positionsdaten gezielt zu fälschen – mit potenziell fatalen Folgen für Unternehmen, Sicherheit und Wirtschaftlichkeit.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.