Logo von PREVISEC, einer Software für Incident Management und Krisenmanagement

NIS2 und Krisenmanagement Grundlage: CER-Richtlinie der Europäischen Union

Krisenmanagement im Rahmen von NIS2 ist bald Pflicht: Im Dezember 2022 hat die Europäische Union mit der CER-Richtlinie (EU) 2022/2557 den Rahmen für den Schutz kritischer Einrichtungen in Europa neu definiert. Ziel dieser Richtlinie ist es, ein hohes Maß an Resilienz gegenüber physischen und hybriden Bedrohungen sicherzustellen – etwa durch Naturkatastrophen, Sabotage, technisches Versagen oder gezielte Angriffe. Dabei stehen nicht nur digitale Gefahren im Fokus, sondern vor allem auch die Fähigkeit von Organisationen, auf schwerwiegende Störungen zu reagieren und ihre Dienste aufrechtzuerhalten.

Die Richtlinie verpflichtet die Mitgliedstaaten, geeignete Maßnahmen zu treffen, um Betreiber kritischer Einrichtungen zur systematischen Risikobewertung, Prävention und Krisenvorbereitung anzuhalten. In Deutschland erfolgt die Umsetzung dieser Anforderungen durch das geplante NIS2-Umsetzungsgesetz.

Ein zentrales Element dieser europäischen Vorgaben ist das Krisenmanagement. Denn trotz aller Sicherheitsmaßnahmen: Eine hundertprozentige Vermeidung von Vorfällen ist unmöglich. Umso wichtiger ist es, vorbereitet zu sein – mit klaren Abläufen, definierten Verantwortlichkeiten und einer trainierten Reaktionsfähigkeit. Krisenmanagement wird damit nicht nur zur gesetzlichen Pflicht, sondern zur Grundvoraussetzung für die Widerstandsfähigkeit moderner Organisationen.

Kernbausteine und Anforderungen der CER-Verordnung

1. Geltungsbereich und Sektoren (Art. 1–3)

  • Betrifft öffentliche und private Betreiber aus 11 kritischen Sektoren, u. a. Energie, Verkehr, Wasser, Gesundheit, Finanzwesen, öffentliche Verwaltung und digitale Infrastruktur.

  • Gilt für Einrichtungen mit erheblicher Bedeutung für die Aufrechterhaltung kritischer Dienste in einem Mitgliedstaat.

2. Pflichten für Betreiber kritischer Einrichtungen

(Art. 11–13)

  • Risikoanalyse: Betreiber müssen Risiken für ihre physische Infrastruktur systematisch identifizieren und bewerten – inklusive Naturkatastrophen, Sabotage und Pandemien.

  • Resilienzmaßnahmen: Umsetzung technischer, organisatorischer und physischer Schutzmaßnahmen zur Stärkung der Betriebs- und Ausfallsicherheit.

  • Business Continuity: Einführung von BCM-Maßnahmen, z. B. Notfallpläne, Wiederherstellungsstrategien, regelmäßige Übungen.

  • Meldepflichten: Meldepflicht bei erheblichen Störungen an nationale Behörden binnen 24 Stunden.

  • Zulassungspflicht: Kritische Einrichtungen können durch Mitgliedstaaten offiziell benannt und überwacht werden.

3. Aufgaben der Mitgliedstaaten

(Art. 4–10, 14–17)

  • Einrichtung von nationalen Behörden für kritische Infrastrukturen.

  • Erstellung nationaler Strategien zur Resilienz kritischer Einrichtungen.

  • Durchführung von Risikoanalysen auf staatlicher Ebene.

  • Unterstützung der Betreiber bei der Umsetzung.

  • Sicherstellung von Schulungen, Audits und Inspektionen.

4. Aufsicht, Sanktionen und Durchsetzung

(Art. 18–20)

  • Behörden erhalten umfassende Befugnisse zur Kontrolle und Durchsetzung.

  • Verstöße können zu behördlichen Anordnungen, Auflagen oder Bußgeldern führen.

  • Mitgliedstaaten sind verpflichtet, ein nationales Sanktionssystem zu etablieren.

Relevanz für Unternehmen

Unternehmen, die als kritische Einrichtung eingestuft werden, müssen ein belastbares System zur Aufrechterhaltung ihrer Dienste nachweisen. Die Verordnung stellt klare Anforderungen an:

  • Krisenvorsorge und Reaktionsfähigkeit

  • physische Sicherheitsmaßnahmen

  • Wiederanlauf und Notfallplanung (BCM)

  • Zusammenarbeit mit Behörden

 

Insbesondere Artikel 21 (2) führt bereits in der CER konkrete Maßnahmen bzw. Aktivitätsbereiche auf und legt den Fokus auf einem gefahrenübergreifenden Ansatz. Im Wortlaut:

  1. […]
  2. Die in Absatz 1 genannten Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf
    abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen,
    und zumindest Folgendes umfassen:
    a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
    b) Bewältigung von Sicherheitsvorfällen;
    c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und
    Krisenmanagement;
    d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen
    Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
    e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich
    Management und Offenlegung von Schwachstellen;
    f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der
    Cybersicherheit;
    g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
    h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
    i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
    j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte
    Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb
    der Einrichtung.

Aus: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555

Welchen Beitrag liefert PREVISEC in der operativen Bewältigung
von Vorfällen und Notfällen?

Einfachste Planung und Einleitung von Maßnahmen zu Incidents und Krisen

Möglichkeit der Automatisierung zur Einhaltung von Meldepflichten

Schnellste Reaktion (autom. Alarmierung), sichere und einfache Zusammenarbeit 

Revisionssichere Dokumentation, datenbasierte Optimierung zu Vermeidung von Incidents und ihren Auswirkungen.

Jetzt Produkt-tour starten

Krisenmanagement im Kontext von NIS2 / CER

Solange NIS2 nicht in Kraft ist, können die Erwartungen und Anforderungen nur anhand der CER und ggf. Entwürfen zum NIS2-Umsetzungsgesetz festgemacht werden. Artikel 21 Absatz 2 der CER-Verordnung erweitert das Verständnis von Krisenmanagement deutlich über klassische BCM-Strukturen hinaus. Er verankert eine sicherheitsorientierte Gesamtsicht, insbesondere mit Fokus auf Cyberresilienz, physische Sicherheit und Lieferketten.

Die konkreten Anforderungen der CER an das Krisenmanagement finden sich in Artikel 21 Absatz 2 der Richtlinie 2022/2557 (CER). Dieser Abschnitt legt fest, dass kritische Einrichtungen geeignete technische, operative und organisatorische Maßnahmen ergreifen müssen, um auf Sicherheitsvorfälle vorbereitet zu sein und im Krisenfall reagieren zu können.

Die Maßnahmen zielen ausdrücklich darauf ab, Netz- und Informationssysteme sowie die physische Infrastruktur zu schützen und müssen mindestens folgende Aspekte abdecken:

Pflichtinhalte laut Artikel 21 Absatz 2 CER:

  1. Risikobasierte Sicherheitskonzepte für Informationssysteme

  2. Bewältigung von Sicherheitsvorfällen

  3. Aufrechterhaltung des Betriebs inkl. Backup-Management, Notfallwiederherstellung und Krisenmanagement

  4. Sicherheit in der Lieferkette, auch in Bezug auf Dienstleister

  5. Sichere Entwicklung, Wartung und Beschaffung von IT-Systemen

  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

  7. Cyberhygiene und Schulung des Personals

  8. Einsatz von Kryptografie, insbesondere Verschlüsselung

  9. Personal- und Zugangssicherheit

  10. Verwendung von MFA und gesicherter (Notfall-)Kommunikation

Rechtliche Unklarheit? Mögliches Vorgehen:

Empfehlung zum Umgang mit der CER-Richtlinie

Die CER ist eine EU-Richtlinie und gilt nicht unmittelbar. Eine nationale Umsetzung in Deutschland steht noch aus. Dennoch sollten Sie sich frühzeitig vorbereiten, wenn Ihr Unternehmen potenziell als kritische Einrichtung einzustufen ist.
Ein Gespür für die Position des Deutschen Gesetzgebers können Sie den veröffentlichen und kommentierten Entwürfen entnehmen.

Empfohlene Schritte:

  1. Prüfen Sie, ob Ihr Unternehmen in einen der elf CER-Sektoren fällt und kritische Dienste erbringt. Die Definition im nationalen Kontext dürfte nicht stark abweichen.

  2. Bewerten Sie bestehende Strukturen im Krisenmanagement, der physischen Sicherheit und der IT-Risikovorsorge.

  3. Planen Sie Maßnahmen, z. B. zur Meldefähigkeit, Sicherung von Netz- und Informationssystemen, Lieferkettensicherheit und Schulung.

  4. Behalten Sie nationale Entwicklungen im Blick um die Feinabstimmung rechtzeitig einleiten zu können, sollten sich Änderungen oder Abweichungen ergeben.

Mit einem frühzeitigen Einstieg schaffen Sie Sicherheit und Handlungsspielraum, bevor regulatorischer Druck entsteht.

Digitale Dokumentation bei Notfällen und Krisen

Bild das für "tüftlerisch" steht
Mehr

Der digitale Krisenraum in PREVISEC

mehr

Vorbereitet? Unsere Checkliste Krisenmanagement

Eine Checkliste aus dem Notfall- und Krisenmanagement
Mehr

Kochbuch Notfall und Krise

Ein aufgeschlagenes Kochbuch als Symbol für ein Kochbuch für Notfall und Krise
mehr