Risikobewertung & Stresstest: EU verschärft Regeln für kritische Infrastrukturen

Der EU-Rat hat eine Richtlinie und einen Aktionsplan angenommen mit dem Ziel, Schwachstellen kritischer Einrichtungen zu reduzieren und Resilienz zu stärken.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Mast einer Überlandstromleitung mit stilisiertem Hintergrund und den sichtbaren Worten "Cyber Attack".

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 2 Min.

Der Schutz kritischer Infrastrukturen (Kritis) soll in der EU verbessert werden. Der Ministerrat hat dazu am Donnerstag Richtlinie zur Stärkung der Resilienz kritischer Einrichtungen sowie eine Empfehlung gebilligt, die auf einem Aktionsplan der EU-Kommission basiert. Kritis-Betreiber müssen demnach künftig in der Lage sein, hybride Angriffe, Naturkatastrophen infolge des Klimawandels, terroristische Bedrohungen und Notlagen im Bereich der öffentlichen Gesundheit wie Pandemien möglichst zu verhindern, die Bürger vor den Auswirkungen zu schützen und entsprechende Krisensituationen gegebenenfalls zeitnah zu bewältigen.

Die neuen Vorgaben gelten für elf Sektoren. Dazu gehören Energie, Verkehr, Banken, Finanzmarkt, digitale Infrastrukturen, Gesundheit, Trink- und Abwasser, die Produktion und der Vertrieb von Lebensmitteln sowie Komponenten der Raumfahrt. Bei letzter sind nur Dienste erfasst, die von Bodeninfrastrukturen abhängig sind und von den Mitgliedstaaten oder privaten Parteien betrieben werden. Das EU-weite Weltraumprogramm bleibt außen vor. Das EU-Parlament konnte durchsetzen, dass auch Teile der öffentlichen Verwaltung eingeschlossen sind.

Die EU-Länder müssen fortan über eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen verfügen, mindestens alle vier Jahre eine Risikobewertung durchführen und eine Liste der kritischen Einrichtungen erstellen, die grundlegende Kritis-Dienste erbringen. Auch für Betreiber gilt die Pflicht, relevante Risiken zu ermitteln. Sie müssen geeignete Maßnahmen wie Stresstests ergreifen, um ihre Widerstandsfähigkeit zu gewährleisten, und den zuständigen Behörden Störfälle melden.

Als Reaktion auf die Sabotageakte gegen die Nord Stream-Pipelines in der Ostsee und den Angriffskrieg Russlands gegen die Ukraine zielt die zugleich angenommene Empfehlung darauf ab, die Arbeiten zur Umsetzung der in der neuen Richtlinie sowie mit der Novelle der Richtlinie zur Netz- und Informationssicherheit (NIS2) festgelegten Ziele zu beschleunigen. Vor allem im Energiesektor sollen die EU-Länder zeitnah der Infrastruktur auf den Zahn fühlen. Vorgesehen ist, ein Konzept für eine koordinierte Reaktion zu erstellen und die Zusammenarbeit mit der NATO im Kritis-Bereich zu verstärken.

Der Gesetzgebungsprozess für die Richtlinie zur Stärkung der Resilienz kritischer Einrichtungen ist mit dem Plazet des Rates abgeschlossen. Die neuen Vorschriften treten nach der Veröffentlichung im EU-Amtsblatt in Kraft. Die reguläre Umsetzungszeit ins nationale Recht beträgt rund zwei Jahre.

(bme)