Reuschlaw

NIS‑2 und CER

Doppel-Wumms zur Abwehr hybri­der Bedrohungen

In den letz­ten Jah­ren gab es zahl­rei­che Fäl­le, in denen kri­ti­sche Infra­struk­tu­ren in Euro­pa unter Beschuss gera­ten sind. Nicht zuletzt der Angriff auf die Ost­see­pipe­line Nord­stream 2 hat für Schlag­zei­len gesorgt. Die Euro­päi­sche Uni­on (EU) hat unter ande­rem mit zwei Rechts­ak­ten reagiert, um die Abwehr­kräf­te kri­ti­scher Infra­struk­tu­ren zu stär­ken und die EU vor hybri­den Angrif­fen zu schützen.

Hybri­der Bedrohungsschutz

Die Cri­ti­cal Enti­ties Resi­li­ence Direc­ti­ve (CER-Richtlinie) und die Neu­fas­sung der Richt­li­nie über Maß­nah­men zur Gewähr­leis­tung eines hohen gemein­sa­men Sicher­heits­ni­veaus von Netz- und Infor­ma­ti­ons­sys­te­men in der Uni­on (im Fol­gen­den: NIS-2-Richtlinie) bil­den eine Ein­heit. Die NIS-2-Richtlinie ver­pflich­tet wich­ti­ge und wesent­li­che Ein­rich­tun­gen, Maß­nah­men zur Mini­mie­rung von Cyber­si­cher­heits­ri­si­ken zu ergrei­fen. Da der bes­te Schutz vor Cyber­be­dro­hun­gen gegen phy­si­sche Sabo­ta­ge nutz­los sein kann, zielt die CER-Richtlinie auf klas­si­sche Bedro­hun­gen für kri­ti­sche Infra­struk­tu­ren ab. Zusam­men sol­len die Richt­li­ni­en für einen umfas­sen­den Schutz bedeu­ten­der Infra­struk­tur sor­gen, indem die­se zu Resi­li­enz ver­pflich­tet wer­den. Der Begriff der Resi­li­enz ist in Art. 2 Nr. 2 der CER-Richtlinie ins­be­son­de­re  defi­niert als Fähig­keit einer kri­ti­schen Ein­rich­tung, einen Sicher­heits­vor­fall zu ver­hin­dern, sich davor zu schüt­zen, dar­auf zu reagie­ren und einen sol­chen abzuwehren.

Anwen­dungs­be­reich

Die Anwen­dungs­be­rei­che der CER- und der NIS-2-Richtlinie ähneln sich. Bei­de Richt­li­ni­en ent­hal­ten Anhän­ge mit regu­lier­ten Sek­to­ren. Der Anhang der CER-Richtlinie stimmt dabei in gro­ßen Tei­len mit Anhang 1 der NIS-2-Richtlinie über­ein. Den­noch ist der Anwen­dungs­be­reich der CER-Richtlinie enger, denn die­se adres­siert nur kri­ti­sche Ein­rich­tun­gen. Um als kri­ti­sche Ein­rich­tung zu gel­ten, muss gemäß Art. 2 Nr. 1 der CER-Richtlinie eine ent­spre­chen­de Ein­stu­fung durch einen Mit­glied­staat erfol­gen. Die Richt­li­nie nennt auch Kri­te­ri­en für eine Ein­stu­fung, wonach die Mit­glied­staa­ten gemäß Art. 6 Abs. 2 lit. c) etwa zu berück­sich­ti­gen haben, ob ein Sicher­heits­vor­fall bei der Ein­rich­tung zu einer erheb­li­chen Stö­rung füh­ren wür­de. Im Kon­text der NIS-2-Richtlinie kommt es jedoch gera­de nicht dar­auf an, ob die Tätig­keit in einem der regu­lier­ten Sek­to­ren gewich­tig genug ist, um zu einer erheb­li­chen Stö­rung füh­ren zu können.

Same Same But Different

Obwohl die Richt­li­ni­en unter­schied­li­che Zie­le haben, ähneln sich die in ihnen fest­ge­leg­ten Anfor­de­run­gen: Nach Art. 12 Abs. 1 der CER-Richtlinie müs­sen Mit­glied­staa­ten kri­ti­sche Ein­rich­tun­gen zu regel­mä­ßi­gen Risi­ko­be­wer­tun­gen ver­pflich­ten. Zudem müs­sen kri­ti­sche Ein­rich­tun­gen gemäß Art. 13 Abs. 1 der CER-Richtlinie geeig­ne­te und ver­hält­nis­mä­ßi­ge tech­ni­sche, sicher­heits­be­zo­ge­ne und orga­ni­sa­to­ri­sche Maß­nah­men zur Gewähr­leis­tung von Resi­li­enz ergrei­fen, dar­un­ter auch sol­che Maß­nah­men, die die gesam­te Lie­fer­ket­te in den Blick neh­men. Dabei sind schon die Begrif­fe ähn­lich zur NIS-2-Richtlinie. Auch letz­te­re macht in ihrem Art. 21 ver­hält­nis­mä­ßi­ge tech­ni­sche, ope­ra­ti­ve und orga­ni­sa­to­ri­sche Maß­nah­men zur Beherr­schung von Risi­ken für die Sicher­heit von Netz- und Infor­ma­ti­ons­sys­te­men ver­pflich­tend. Den Drei­klang aus Risi­ko­be­wer­tung, Maß­nah­men zum Risi­ko­ma­nage­ment (bzw. zur Stär­kung der Resi­li­enz) und Mel­de­pflich­ten bei Sicher­heits­vor­fäl­len haben bei­de Rechts­ak­te gemein – ein Umstand, dem Unter­neh­men bei ihren inter­nen Pro­zes­sen Rech­nung tra­gen sollten.

Fazit

Im Okto­ber endet für die Mit­glied­staa­ten die Frist zur Umset­zung der CER- und der NIS-2-Richtlinie. Damit müs­sen sich Unter­neh­men auf eine Umset­zung der erfor­der­li­chen Maß­nah­men ein­stel­len. Die Tat­sa­che, dass bei­de Richt­li­ni­en Ein­rich­tun­gen expli­zi­te Ver­pflich­tun­gen für die Lie­fer­ket­te auf­er­le­gen, erfor­dert ein Umden­ken. Sofern noch nicht gesche­hen, soll­ten Unter­neh­men prü­fen, ob sie betrof­fen sind. Im Zwei­fels­fall soll­te eine Umset­zung erfol­gen, denn auch wenn kein gesetz­li­cher Zwang besteht: An der Abwehr hybri­der Bedro­hun­gen, soll­ten Unter­neh­men auch ein (wirt­schaft­li­ches) Eigen­in­ter­es­se haben.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.