Was ist die CER-Richtlinie?
Die CER-Richtlinie (EU 2022/2557) stärkt die physische Resilienz kritischer Einrichtungen in der EU. Sie ergänzt NIS2 durch die Einführung von Maßnahmen zum Schutz vor physischen Bedrohungen wie Naturkatastrophen, Sabotage und Terroranschlägen.
Hintergrund: Von CIIP zu CER
CER löste die Richtlinie über Europäische Kritische Infrastrukturen (EPCIP) von 2008 ab, die nur die Sektoren Energie und Verkehr abdeckte. CER erweitert den Anwendungsbereich erheblich auf 11 Sektoren und führt einen modernen, risikobasierten Ansatz für physische Resilienz ein.
Im Gegensatz zu NIS2, das größen-schwellwertbasiert gilt, verwendet CER einen Designierungsansatz: Die Mitgliedstaaten müssen eine nationale Risikobewertung durchführen und auf dieser Grundlage kritische Einrichtungen designieren.
Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Kernpflichten nach CER
Risikobewertung
Alle 4 Jahre oder nach wesentlichen Änderungen eine Risikobewertung aller relevanten physischen, cyber und hybriden Bedrohungen durchführen.
Resilienzmaßnahmen
Physische Sicherheitsmaßnahmen (Zugangskontrollen, Überwachung), Betriebspläne und Redundanzen implementieren.
Vorfallmeldung
Erhebliche physische Vorfälle, die Dienstleistungen beeinträchtigen, innerhalb von 24 Stunden an die zuständige Behörde melden.
Personalsicherheit
Zuverlässigkeitsüberprüfungen für kritische Mitarbeiter (soweit national zulässig) und Schulungen zur Sensibilisierung.
Lieferkette
Sicherheitsrisiken in der physischen Lieferkette bewerten, insbesondere für kritische Güter und Dienstleistungen.
Behördenkooperation
An regelmäßigen Sicherheitsprüfungen teilnehmen und behördliche Inspektionen und Bewertungen ermöglichen.
Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Überschneidung von CER und NIS2
Die folgende Matrix zeigt, welche Sektoren unter NIS2, CER oder beide Richtlinien fallen. Einrichtungen in Überschneidungssektoren sollten eine integrierte Compliance-Strategie entwickeln.
| Sektor | NIS2 🔐 | CER 🏗️ | Beide? |
|---|---|---|---|
| Energy | ✅ | ✅ | Dual |
| Transport | ✅ | ✅ | Dual |
| Banking | ✅ | ✅ | Dual |
| Financial Markets | ✅ | ✅ | Dual |
| Health | ✅ | ✅ | Dual |
| Drinking Water | ✅ | ✅ | Dual |
| Wastewater | ✅ | ✅ | Dual |
| Digital Infrastructure | ✅ | ✅ | Dual |
| Public Administration | ✅ | ✅ | Dual |
| Space | ✅ | ✅ | Dual |
| Food | ✅ | ✅ | Dual |
| Postal Services | ✅ | - | Nur NIS2 |
| Waste Management | ✅ | - | Nur NIS2 |
| Chemicals | ✅ | - | Nur NIS2 |
| Manufacturing | ✅ | - | Nur NIS2 |
| Digital Providers | ✅ | - | Nur NIS2 |
| Research | ✅ | - | Nur NIS2 |
Integrierte Compliance-Strategie
Für Einrichtungen, die unter beide Richtlinien fallen, empfiehlt die EU-Kommission ausdrücklich einen integrierten Ansatz. Viele Maßnahmen – wie Risikobewertungen, Business-Continuity-Pläne und Lieferkettensicherheit – lassen sich für beide Rahmenwerke nutzen.
Betroffenheitsanalyse
Bestimmen Sie, ob Ihre Einrichtung unter NIS2, CER oder beide Richtlinien fällt. Kontaktieren Sie ggf. Ihre nationale Behörde für die CER-Designierung.
Integrierte Risikobewertung
Führen Sie eine einzige, umfassende Risikobewertung durch, die sowohl Cyber- als auch physische Risiken abdeckt und die Anforderungen beider Richtlinien erfüllt.
Maßnahmenplanung
Entwickeln Sie einen Maßnahmenplan, der die NIS2 Artikel 21-Kontrollen und die CER-Resilienzmaßnahmen in einem einzigen Rahmenwerk integriert.
Governance & Berichterstattung
Richten Sie eine einzige Governance-Struktur für beide Richtlinien ein, mit klaren Verantwortlichkeiten auf Vorstands- und Betriebsebene.
Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Häufig gestellte Fragen (FAQ)
Was ist die CER-Richtlinie?
Die CER-Richtlinie (EU 2022/2557) – die Richtlinie zur Resilienz kritischer Einrichtungen – legt Pflichten für Einrichtungen fest, die wesentliche Dienste in 11 kritischen Sektoren erbringen, um ihre Widerstandsfähigkeit gegen physische Vorfälle, einschließlich Naturkatastrophen, Terroranschläge und Sabotage, zu stärken.
Welche Sektoren deckt CER ab?
CER deckt 11 Sektoren ab: Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel. CER umfasst diese Sektoren für physische Resilienz, während NIS2 den digitalen/cyber Bereich über 18 Sektoren abdeckt.
Was ist der Unterschied zwischen CER und NIS2?
NIS2 konzentriert sich auf Cyber-/Digitalsicherheit. CER konzentriert sich auf physische Resilienz (Gebäude, Personal, Lieferketten und Betrieb). Viele Einrichtungen in den Bereichen Energie, Verkehr, Gesundheit und digitale Infrastruktur fallen jedoch unter BEIDE Richtlinien.
Was sind die Hauptpflichten unter CER?
Kritische Einrichtungen müssen: alle 4 Jahre Risikobewertungen durchführen, Resilienzmaßnahmen umsetzen, erhebliche Vorfälle innerhalb von 24 Stunden melden, mit Behörden kooperieren und Geschäftskontinuitätspläne entwickeln und testen.
Wie definiert CER eine ‚kritische Einrichtung'?
Unter CER wird eine Einrichtung von ihrem Mitgliedstaat als "kritisch" eingestuft, wenn sie einen wesentlichen Dienst in einem abgedeckten Sektor erbringt und wenn die Unterbrechung dieses Dienstes erhebliche grenzüberschreitende oder gesellschaftliche Auswirkungen hätte.
Quellen
Diese Seite basiert auf folgenden EU-Rechtsquellen:
- ↗CER Directive (EU 2022/2557) — Richtlinie über die Resilienz kritischer Einrichtungen — Volltext im Amtsblatt der EU
- ↗NIS2 Directive (EU 2022/2555) — Für Sektoren mit Überschneidung zwischen CER und NIS2 (Anhang I)
- ↗ENISA CER Resources — Leitlinien und Ressourcen der EU-Agentur für Cybersicherheit zur CER-Richtlinie
Auch NIS2-Anforderungen verstehen
Wenn Ihr Unternehmen unter die CER-Richtlinie fällt, fällt es höchstwahrscheinlich auch unter NIS2. Lesen Sie unseren vollständigen NIS2-Leitfaden.
NIS2-Leitfaden lesen →