Glossar · Kritische EU-Infrastruktur CER-Richtlinie (Richtlinie über die Resilienz kritischer Einrichtungen (Richtlinie (EU) 2022/2557))
EU-Richtlinie zur Festlegung harmonisierter Vorschriften zur Stärkung der Resilienz von Einrichtungen, die wesentliche Dienste in 11 kritischen Sektoren erbringen. Schwesterregelung zu NIS2 — während NIS2 die Cybersicherheit adressiert, behandelt die CER-Richtlinie die breitere physische, hybride und operative Resilienz. In Kraft seit Januar 2023, Umsetzung durch die Mitgliedstaaten bis Oktober 2024.
## Was die CER-Richtlinie eigentlich ist
Die Richtlinie über die Resilienz kritischer Einrichtungen (CER, Richtlinie (EU) 2022/2557) ist der EU-Rahmen zur Stärkung der Resilienz von Einrichtungen, die in kritischen Sektoren wesentliche Dienste erbringen. Sie wurde Ende 2022 verabschiedet, ist seit Januar 2023 in Kraft, mit Umsetzung durch die Mitgliedstaaten bis Oktober 2024, und fungiert als **nicht-cyberbezogene Schwesterregelung zu NIS2**.
Während [NIS2](/de/glossary/nis2/) die Cybersicherheit für wesentliche und wichtige Einrichtungen adressiert, behandelt die CER-Richtlinie das breitere Resilienzbild — physische Sicherheit, hybride Bedrohungen, operative Kontinuität, Lieferkettenabhängigkeiten und Wiederherstellungsfähigkeit für dieselbe allgemeine Einrichtungspopulation.
## Welche Sektoren erfasst sind
Die CER-Richtlinie identifiziert 11 kritische Sektoren:
| Sektor | Beispiele |
|--------|----------|
| **Energie** | Strom, Öl, Gas, Fernwärme, Wasserstoff |
| **Verkehr** | Luft, Schiene, Wasser, Straße |
| **Bankwesen** | Kreditinstitute |
| **Finanzmarktinfrastruktur** | Handelsplätze, zentrale Gegenparteien |
| **Gesundheit** | Gesundheitsdienstleister, EU-Referenzlabore |
| **Trinkwasser** | Versorger und Verteiler |
| **Abwasser** | Behandlungsinfrastruktur |
| **Digitale Infrastruktur** | IXPs, DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren |
| **Öffentliche Verwaltung** | Zentrale Verwaltungen der Mitgliedstaaten |
| **Weltraum** | Bodengestützte Infrastruktur für Weltraumdienste |
| **Lebensmittel** | Großproduktion, -verarbeitung, -verteilung |
Die Liste überschneidet sich erheblich mit NIS2 — was beabsichtigt ist, da dieselben Einrichtungen typischerweise sowohl Cybersicherheits- als auch breitere Resilienzfähigkeiten benötigen.
## Was die Richtlinie verlangt
Die CER-Richtlinie erlegt Verpflichtungen auf mehreren Ebenen auf.
### Verpflichtungen der Mitgliedstaaten
Jeder Mitgliedstaat muss:
- **Kritische Einrichtungen** in jedem der 11 Sektoren auf Basis von Kommissionskriterien identifizieren
- **Nationale Risikobewertungen** durchführen, die alle Gefahrenarten abdecken
- **Nationale Resilienzstrategien** verabschieden, die sektorübergreifende Abhängigkeiten adressieren
- **Eine zuständige Behörde** für die Durchsetzung der CER-Richtlinie benennen
- **Grenzüberschreitend kooperieren** über die Gruppe für die Resilienz kritischer Einrichtungen
### Verpflichtungen der kritischen Einrichtungen
Identifizierte kritische Einrichtungen müssen:
- **Risikobewertungen durchführen**, die alle Gefahrenarten berücksichtigen (physisch, hybrid, Lieferkette, operativ)
- **Resilienzmaßnahmen umsetzen**, die den ermittelten Risiken angemessen sind, einschließlich physischer Sicherheit, Betriebskontinuität, Incident Response, Lieferketten-Risikomanagement
- **Vorfälle melden**, die wesentliche Dienste an die zuständigen Behörden stören
- **Hintergrundüberprüfungen** für Personal in sensiblen Rollen durchführen
- **Sich Compliance-Prüfungen** durch zuständige Behörden unterziehen
### Grenzüberschreitende Identifizierung
Die Mitgliedstaaten müssen die Identifizierung kritischer Einrichtungen, die Dienste in mehreren Mitgliedstaaten erbringen, koordinieren. Die Kommission kann Stellungnahmen zur Konsistenz der grenzüberschreitenden Identifizierung abgeben.
## CER-Richtlinie vs NIS2
Die beiden Richtlinien sind eng aufeinander abgestimmt und viele Einrichtungen fallen unter beide:
| Aspekt | CER-Richtlinie | NIS2 |
|--------|---------------|------|
| Gegenstand | All-Gefahren-Resilienz | Cybersicherheit |
| Sektoren | 11 kritische | 18+ (wesentlich + wichtig) |
| Einrichtungsgranularität | Einzelne kritische Einrichtungen | Sektorweit |
| Physische Sicherheit | Kernbestandteil | Außerhalb des Anwendungsbereichs |
| Hybride Bedrohungen | Ja | Begrenzt |
| Lieferkettenrisiko | Ja | Ja |
| Meldeschwelle | Erheblicher Vorfall | Erheblicher Vorfall |
| Sanktionen | Umsetzung durch die Mitgliedstaaten | Bis zu 10 Mio. € / 2 % Umsatz |
| In Kraft | Januar 2023, Umsetzung Oktober 2024 | Januar 2023, Umsetzung Oktober 2024 |
Die Richtlinien teilen abgestimmte Zeitpläne, komplementären Anwendungsbereich und koordinierte Umsetzung. Mehrere Mitgliedstaaten haben einheitliche zuständige Behörden geschaffen, die sowohl CER- als auch NIS2-Compliance bearbeiten.
## Warum die CER-Richtlinie wichtig ist
### 1. Resilienzlehren aus der Post-COVID-Zeit institutionalisiert
Die CER-Richtlinie entstand aus der ausdrücklichen Erkenntnis, dass die Resilienz kritischer EU-Infrastrukturen angesichts von COVID-19, Energiemarktstörungen und geopolitischer Instabilität unzureichend war. Die Richtlinie institutionalisiert die aus diesen Schocks gezogenen Lehren.
### 2. Hybride Bedrohungen anerkannt
Die Richtlinie adressiert ausdrücklich „hybride Bedrohungen" — Kombinationen aus Cyberangriff, Desinformation, physischer Sabotage und Lieferkettenstörung, die staatliche und nicht-staatliche Akteure zunehmend gegen europäische kritische Infrastrukturen einsetzen. Dies unterscheidet sich materiell von rein cyber-fokussierten Rahmenwerken.
### 3. Grenzüberschreitende Koordination operationalisiert
Europäische kritische Infrastruktur operiert zunehmend über die Grenzen der Mitgliedstaaten hinweg. Strominterkonnektoren, Verkehrsnetze und Finanzmarktinfrastruktur überschreiten alle nationale Zuständigkeiten. Die Bestimmungen zur grenzüberschreitenden Koordination der CER-Richtlinie adressieren dies strukturell.
### 4. Resilienzebene der Lieferkette
Kritische Einrichtungen müssen Lieferkettenrisiken explizit adressieren — auch für Technologieanbieter. Dies betrifft die EU-Beschaffung von Cloud-Diensten, Software-Plattformen und digitaler Infrastruktur, bei denen Lieferkettenstörungen wesentliche Dienste beeinträchtigen könnten.
### 5. Digitale Infrastruktur als kritisch
Die CER-Richtlinie weist digitale Infrastruktur (IXPs, DNS, Cloud-Anbieter, Rechenzentren) ausdrücklich als kritischen Sektor aus. Dies formalisiert, was operativ bereits zutraf, und schafft direkte regulatorische Verpflichtungen für europäische Cloud- und Infrastrukturanbieter.
## Wie die CER-Richtlinie die Tech-Beschaffung beeinflusst
### Für europäische Cloud-Anbieter und Rechenzentren
Im Rahmen der CER identifizierte kritische Einrichtungen (in der digitalen Infrastruktur oder anderen Sektoren) müssen Lieferkettenrisiken für Technologiedienste adressieren. Dies treibt Beschaffungspräferenzen hin zu Anbietern mit starker Resilienzdokumentation, EU-Jurisdiktion und nachgewiesener Kontinuitätsfähigkeit.
Europäische Cloud-Anbieter (Infomaniak, OVHcloud, Scaleway u. a.), die in Resilienzdokumentation investiert haben, sind als bevorzugte Lieferanten positioniert. US-Hyperscaler stehen vor struktureller Compliance-Komplexität, wenn sie CER-identifizierte Einrichtungen bedienen.
### Für SaaS-Anbieter mit Kunden unter den kritischen Einrichtungen
Wenn Ihr SaaS-Produkt den Betrieb CER-identifizierter kritischer Einrichtungen unterstützt — Krankenhäuser, Banken, Energieunternehmen, Verkehrsbetreiber —, haben Ihre Lieferantenbeziehungen nun direkte regulatorische Implikationen im Rahmen der CER.
### Für europäische Tech-Beschaffungsteams
CER-Compliance-Überlegungen integrieren sich neben NIS2-, DORA- und KI-Verordnungs-Compliance in Beschaffungsprozesse. Der kombinierte Regulierungsrahmen schafft eine kohärente Beschaffungsbewertungsmatrix, die Anbieter mit nachgewiesener EU-Jurisdiktion, Resilienzfähigkeit und Lieferkettentransparenz bevorzugt.
### Für die Incident-Response-Planung
Die Meldepflichten der CER für Vorfälle interagieren mit NIS2, DORA, DSGVO und sektoralen Anforderungen. Kritische Einrichtungen pflegen zunehmend koordinierte Incident-Response-Playbooks, die alle relevanten regulatorischen Meldefristen abdecken.
## CER und digitale Souveränität
Die CER-Richtlinie operationalisiert eine strukturelle Souveränitätsdimension, die rein cybersicherheitsbezogene Rahmenwerke nicht adressieren:
- **Physische Sicherheit der digitalen Infrastruktur** — Rechenzentren, IXPs, Unterseekabel
- **Lieferkettenabhängigkeiten** — Halbleiter, Hardware, Rohstoffrückverfolgbarkeit
- **Grenzüberschreitende Kontinuität** — Dienste, die über Mitgliedstaaten hinausgehen
- **Vorbereitung auf hybride Bedrohungen** — Desinformation, Sabotage, koordinierte Störung
Diese Dimensionen interagieren mit der breiteren EU-Souveränitätsagenda — und verbinden NIS2-Cybersicherheit, CRMA-Rohstoffsouveränität und die Positionierung des Strategischen Kompasses zu einer kohärenten Haltung.
## Umsetzungsstand (2026)
- **Richtlinie in Kraft** seit Januar 2023
- **Umsetzungsfrist der Mitgliedstaaten** war Oktober 2024 — die meisten Mitgliedstaaten haben umgesetzt; einige schließen die Umsetzung noch ab
- **Identifizierung kritischer Einrichtungen** läuft — Mitgliedstaaten identifizieren Einrichtungen nach risikobasierten Kriterien
- **Erste Vorfallmeldungen** laufen über zuständige Behörden
- **Gruppe für die Resilienz kritischer Einrichtungen** operativ mit regelmäßiger Koordination der Mitgliedstaaten
- **Stellungnahmen der Kommission zur grenzüberschreitenden Identifizierung** beginnen zu erscheinen
## Praktische Implikationen
- **Für Betreiber in kritischen Sektoren**: ermitteln Sie Ihren CER-Status und bereiten Sie sich auf Compliance-Verpflichtungen vor
- **Für Technologieanbieter**: Lieferkettenoffenlegung und Resilienzdokumentation werden für die Beschaffung zunehmend relevant
- **Für europäische Cloud-Anbieter**: strukturelle Chance aus Beschaffungspräferenzen für Resilienz unter EU-Jurisdiktion
- **Für Anbieter mit Sitz in den USA**: strukturelle Compliance-Komplexität bei Bedienung CER-identifizierter Einrichtungen
- **Für Policy- und Compliance-Teams**: integrieren Sie das CER-Rahmenwerk neben NIS2 in eine koordinierte Compliance-Arbeit
Die CER-Richtlinie ist die operativ bedeutendste nicht-cyberbezogene Regulierung kritischer Infrastruktur der EU in den 2020er Jahren. Kombiniert mit NIS2 schafft sie den kohärenten Resilienzrahmen, den europäische kritische Infrastruktur angesichts des post-COVID- und post-Ukraine-geopolitischen Kontexts operativ benötigt.
War das hilfreich?
Danke für Ihr Feedback!