EU will Widerstandsfähigkeit kritischer Infrastruktur stärken

Der Vorsitz des Rates und das Europäische Parlament konnten sich in der vergangenen Woche über die Eckpunkte der Richtlinie über die Resilienz kritischer Einrichtungen einigen. Die politische Einigung geht zurück auf einen Richtlinienentwurf der Europäischen Kommission aus Dezember 2020.

„Die geplante Richtlinie ist von großer Bedeutung, insbesondere vor dem Hintergrund der aktuellen weltpolitischen Lage“, so Dr. Sönke Gödeke, Experte für Energierecht bei Pinsent Masons. „Der Krieg in der Ukraine, die Abhängigkeit der EU-Mitgliedsstaaten in Bezug auf die Energieversorgung, aber auch immer häufiger auftretende Cyber- und Hacker-Attacken erhöhen die Bedrohungen von kritischen Infrastrukturen. Umso wichtiger ist ein einheitliches Vorgehen in der EU. Die Richtlinie ist ein wichtiger Schritt, um zukünftigen Krisen begegnen zu können.“

Ziel der vorgeschlagenen Richtlinie ist, sowohl die Anfälligkeit kritischer Einrichtungen zu verringern als auch ihre Resilienz zu erhöhen. Die Richtlinie umfasst Einrichtungen, die elementare Dienstleistungen in Bereichen wie Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser oder Weltraum erbringen. Einige Bestimmungen betreffen auch die Zentralstellen der öffentlichen Verwaltung.

Diese Einrichtungen erbringen laut dem Rat der EU unverzichtbare Dienstleistungen für die Lebensgrundlagen der Bürger der Europäischen Union sowie für einen intakten europäischen Binnenmarkt. Die verstärkte Verflechtung der Mitgliedstaaten, die Digitalisierung der europäischen Wirtschaft, die zunehmenden Auswirkungen des Klimawandels, terroristische Bedrohungen und zuletzt die COVID-19-Pandemie hätten gezeigt, dass die bestehenden Regularien aktualisiert und gestärkt werden müssen, teilte der Rat mit.

Die Richtlinie soll unter anderem regeln, wie Einrichtungen der kritischen Infrastruktur sich vor Naturkatastrophen, terroristischen Bedrohungen, gesundheitlichen Notlagen sowie hybriden Angriffen schützen können und auch, wie sie mit solchen Angriffen umgehen und sich von ihnen erholen.

Konkret müssen die Mitgliedstaaten nach dem Richtlinienentwurf künftig über eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen verfügen, mindestens alle vier Jahre eine Risikobewertung durchführen sowie eine Liste jener kritischen Einrichtungen erstellen, die grundlegende Dienste erbringen. Diese kritischen Einrichtungen müssen die relevanten Risiken ermitteln und geeignete Maßnahmen ergreifen, um ihre Resilienz zu gewährleisten. Zudem müssen sie den zuständigen Behörden Störfälle melden.

Darüber hinaus sollen Einrichtungen von besonderer europäischer Bedeutung identifiziert werden. Eine kritische Einrichtung mit besonderer europäischer Bedeutung erbringt einen wesentlichen Dienst für sechs oder mehr Mitgliedstaaten. In diesen Fällen kommt der Kommission eine Beratungs- oder Bewertungsfunktion zu.

Die vorgeschlagene Richtlinie wird eine von drei neuen Rechtsakten der Europäischen Union sein, die die Mitgliedstaaten koordiniert umsetzen müssen. Die Richtlinie über die Resilienz kritischer Einrichtungen ergänzt damit die Kommissionsvorschläge für die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2) sowie die Verordnung über die Betriebsstabilität digitaler Systeme (DORA). Erstere soll den Schutz europäischer Infrastruktur im Bereich der Cybersicherheit erweitern, während letztere darauf abzielt, die IT-Sicherheit von Finanzunternehmen im Falle einer schwerwiegenden Störung zu stärken.

„Die Richtlinie ergänzt die Linie der EU, physische und digitale kritische Einrichtungen resilienter zu machen“, so Rebecca Trampe-Berger, Expertin für Energie- und Telekommunikationsrecht bei Pinsent Masons. „Bereits im Telekommunikationssektor hat die EU im letzten Jahr die Zertifizierungspflicht für den Einsatz kritischer Komponenten in einem Telekommunikationsnetz eingeführt. Nun werden die weiteren Bereiche der kritischen Infrastrukturen, des Finanzsektors und der Cybersicherheit ergänzt.“

Der Rat der EU treffe somit Maßnahmen, um künftigen Krisen vorzubeugen, aber auch die Reaktionsfähigkeit und Resilienz zu stärken, erläutert Trampe-Berger. „Angesichts der unverzichtbaren Rolle des Binnenmarkts für die EU betont der Rat, dass krisenbezogene Maßnahmen durch die unterschiedlichen Richtlinien so koordiniert sein sollen, dass das normale Funktionieren des Binnenmarkts so bald wie möglich wiederhergestellt werden kann.“

Auf Fachebene soll nun ein vollständiger Rechtstext formuliert werden. Dieser muss anschließend vom Rat sowie vom Europäischen Parlament gebilligt werden. Erst im Anschluss kann das förmliche Annahmeverfahren eingeleitet werden. Die vorgeschlagene Richtlinie wird die geltende Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen aus dem Jahr 2008 ersetzen.