Sitemap
Open in app

Sign in

Medium Logo
Write
Search

Sign in

CER-Richtlinie: Resilienz für “alles außer Cyber”

…und was das mit Cybersecurity zu tun hat

5 min readJul 6, 2025

--

Press enter or click to view image in full size
Wenn NIS-2 ein Rennauto werden soll, dann ist CER die Tankstelle; der Ort, wo das Auto den dringend benötigten Sprit bekommt.

Alle reden über NIS-2, keiner redet über CER. Zeit, das zu ändern — und zu lernen, warum CER als Richtlinie für “alles außer Cyber” doch ziemlich viel mit Cybersecurity zu tun hat…

CER ist das Kürzel der Critical Entities Resilience Directive (EU 2022/2557) — es geht um die “Resilienz kritischer Einrichtungen”. Sie ist am 16. Januar 2023 in Kraft getreten und hätte bis 17. Oktober 2024 in deutsches Recht überführt werden müssen — der Entwurf unter der Ampel-Regierung hieß Kritis-Dachgesetz. Und genau wie bei NIS-2 ist die Frist dafür verstrichen und die neue Regierung muss einen neuen Anlauf nehmen.

Die CER-Richtlinie wird im Vergleich zu NIS-2 oft übersehen. Vielleicht, weil sie oft vereinfachend mit “da geht es nur um physische Sicherheit” zusammengefasst wird.

Wer ist betroffen?

Die CER betrifft “critical entities”, kritische Einrichtungen also. Dabei geht es um die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln — eine etwas ausgedehnte Version unserer altbekannten KRITIS.

Das sind durchaus dieselben kritischen Einrichtungen, die auch NIS-2 reguliert; der NIS-2-Geltungsbereich deckt die kritischen Einrichtungen der CER komplett ab und geht darüber hinaus.

Auch sonst ist viel wie bei NIS-2. Betroffene Einrichtungen müssen eine Risikoanalyse machen, Maßnahmen ergreifen, Vorfälle melden.

Was ist der Unterschied zu NIS-2?

CER klammert Cybersecurity aus, da Cybersecurity durch NIS-2 abgedeckt wird — das steht direkt im ersten Artikel (Art. 1 (2)). Bei CER geht es also um die Resilienz der betroffenen Dienstleistungen — gegen alles außer Cyberangriffe.

Verpflichtungen für EU-Mitgliedsstaaten

Dabei enthält die Richtlinie erst einmal ziemlich viele Aufgaben nicht direkt für KRITIS, sondern für die EU-Mitgliedsstaaten: Sie müssen

  • eine Resilienz-Strategie verabschieden,
  • kritische Einrichtungen in ihrem Hoheitsgebiet ermitteln
  • und alle vier Jahre eine Risikobewertung für alle kritischen Dienstleistungen durchführen.

Auch hier wieder: Für “alles außer Cyber” — Unfälle, Naturkatastrophen, Pandemien und auch — und da wird deutlich, warum “alles außer Cyber” so schwierig ist: hybride Bedrohungen. Aber dazu später.

Verpflichtungen für kritische Einrichtungen

Diese Risikobewertung geht dann an die EU-Kommission und an die kritischen Einrichtungen — die auf dieser Basis wiederum alle vier Jahre Risikobewertungen (wieder: für alles außer Cyber) für sich selbst durchführen müssen.

Auf Basis all dieser Risikobewertungen müssen die kritischen Einrichtungen dann Resilienzmaßnahmen ergreifen. Für alles außer Cyber bleiben da:

  1. Katastrophenvorsorge und Krisenmanagement
  2. Business Continuity Management inklusive Wiederanlauf
  3. Physischer Schutz und
  4. Zuverlässigkeitsüberprüfungen und Schulungen für Personal.
  5. Außerdem: Sicherheitsvorfälle müssen an zuständige Behörden in den Mitgliedsstaaten gemeldet werden.

Was hat CER mit Cybersecurity zu tun?

Sehr berechtigte Frage. Denn wenn CER “alles außer Cyber” abdeckt — kann sie uns dann aus Cyberperspektive nicht völlig schnuppe sein?

Ich hätte zwei Gründe im Angebot, warum nicht.

Grund eins: Die CER-Ergebnisse sind das Fundament für NIS-2.

Die Kernanforderung der CER-Richtlinie ist Resilienz, also im Falle eines Sicherheitsvorfalls schnell wieder auf die Beine zu kommen.

Neben der Risikoanalyse macht man im Business Continuity Management dafür eine Business Impact Analyse (BIA): Man analysiert, welche Prozesse laufen müssen, damit die kritische Dienstleistung läuft, und überlegt für jeden Prozess, wie schlimm es wäre, wenn er nicht mehr liefe. Ob der Grund dafür Cyber oder Nicht-Cyber ist? Das ist der BIA (im Gegensatz zur Risikoanalyse!) total egal.

Bei der Business Impact Analyse ist also die Reduktion auf “alles außer Cyber” gar nicht möglich.

Und auch, wenn die Prozessmodelle, die im Rahmen einer BIA entstehen, auf den ersten Blick oft sehr weit weg von “Cyber” sind, weil IT oft nicht prominent vorkommt: Eine BIA ist eine Goldgrube für eine Cybersecurity-Risikobewertung, wie sie in NIS-2 passieren muss. Denn sie stellt sicher, woran es so vielen Cyber-Risikobewertungen fehlt: Dass man gedanklich nicht in den Cyber-Space abhebt, sondern mit beiden Beinen fest auf dem Boden der Tatsachen bleibt. Dort, wo tatsächlich die kritische Dienstleitung erbracht wird.

Wer vor der Cyber-Risikoanalyse seine kritischen Prozesse modelliert hat, kennt die schlimmstmöglichen Auswirkugen eines Cyber-Vorfalls — und kann sich darauf konzentrieren.

Wer vor der Cyber-Risikoanalyse seine kritischen Prozesse modelliert hat, kann die Wichtigkeit von Cyber-Systemen einordnen.

Also: Die BIA aus der CER sollte Pflichtlektüre für alle sein, die NIS-2 umsetzen.

Grund zwei: Angreifer trennen “Cyber” und “Nicht-Cyber” auch nicht.

Kommen wir zurück zu den hybriden Bedrohungen: Die sind längst real, siehe Hardhats-Briefing 12/2024. Die großen Befürchtungen eines Cyberkriegs, bei dem Cyberangriffe statt Bomben eingesetzt werden, sind zwar so bislang nicht eingetreten, aber das ist keine Entwarnung: Hybride Bedrohung meint, dass Cyberangriffe zusätzlich zu physischen Angriffen eingesetzt werden. Eine Bombe zerstört effektiver, aber wenn begleitend noch Kommunikation gestört und Desinformation verbreitet werden, erhöht das die Wirkung der Bombe auf das angegriffene Land. Hybrid heißt: Das eine tun, ohne das andere zu lassen.

Also: Nicht nur, dass Angreifer nicht trennen zwischen “Cyber” und “Nicht-Cyber”: Die Vermischung geschieht bewusst und strategisch. Das muss man mitdenken, gerade auch in Risikobewertungen.

Es wäre also wünschenswert, dass die deutsche Umsetzung von CER und NIS-2 gemeinsam, oder zumindest aufeinander abgestimmt, passiert.

Artikel 1 (2) der CER-Richtlinie verpflichtet die Mitgliedsstaaten auch zu einer “koordinierten Umsetzung” von NIS-2 und CER.

Aber in den neuen Entwürfen zur NIS-2-Umsetzung kommen Kritis-Dachgesetz und die Umsetzung der CER-Richtlinie nicht mehr vor. Während die deutsche NIS-2-Umsetzung gerade mächtig Fahrt aufnimmt, gibt es zur CER-Umsetzung bislang: ohrenbetäubendes Schweigen.

Kurz: Wenn NIS-2 ein Rennauto werden soll, dann ist CER die Tankstelle; der Ort, wo das Auto den dringend benötigten Sprit bekommt. Der Begriff “Kritis-Dachgesetz”? War gar nicht so verkehrt…

Dieser Beitrag ist als Teil des monatlichen “Security-Briefing für Hard Hats” erschienen. Hier können Sie es abonnieren.

European Union
Critical Infrastructure
Resilience
Cybersecurity
Regulation

--

--

Sarah Fluchs
Sarah Fluchs

Written by Sarah Fluchs

594 followers
76 following

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Rules

Terms

Text to speech