Kritische Infrastruktur: EU-Richtlinie nimmt Betreiber in die Pflicht
Das EU-Parlament hat eine Richtlinie zur Resilienz kritischer Einrichtungen beschlossen. Sie gilt für elf Branchen. Manche Betreiber sind besonders wichtig.
Kraftwerke sind kritische Infrastruktur, Backbone-Leitungen aber auch
(Bild: Daniel AJ Sokolov)
Der Schutz kritischer Infrastruktur (Kritis) soll EU-weit verbessert werden. Das Europäische Parlament hat am Dienstag mit großer Mehrheit für eine diesbezügliche Richtlinie gestimmt: 595 zu 17 Stimmen bei 24 Enthaltungen. Betreiber von Anlagen und Systemen der erfassten Branchen müssen künftig Risikobewertungen durchführen, um ihre Widerstandsfähigkeit gegenüber Störungen und Gefahren zu erhöhen. Zudem gibt es künftig EU-weite Mindestregeln, um sicherzustellen, dass verschiedene Mitgliedstaaten dieselben Infrastrukturbetreiber als wesentlich und daher besonders schützenswert einstufen.
Die nun beschlossene Richtlinie "über die Resilienz kritischer Einrichtungen" geht auf die Präsentation einer neuen Cybersicherheitsstrategie der EU-Kommission vom Dezember 2020 zurück. Vertreter des Parlaments, des Ministerrats und der Kommission einigten sich Ende Juni auf einen Text für die Richtlinie. Diesen haben die Volksvertreter am Dienstag bestätigt. Der Ministerrat muss noch zustimmen, was jedoch als Formsache gilt.
Elf Branchen
Elf Branchen werden erfasst: Energie, Verkehr, Banken, Trinkwasser, Abwasser, Produktion und Vertrieb von Lebensmitteln, Gesundheit, Weltraum, Finanzmarktinfrastruktur sowie digitale Infrastruktur. Die Abgeordneten konnten zudem gegenüber den Mitgliedsstaaten durchsetzen, dass auch bestimmte Bereiche der öffentlichen Verwaltung umfasst sind. Die Richtlinie befasst sich auf Drängen des Parlaments zudem mit möglichen Bedrohungen, die das Funktionieren der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit beeinträchtigen. Ausgenommen ist allerdings Weltrauminfrastruktur im Eigentum der EU oder die von der EU respektive ihrem Weltraumprogramm betrieben wird.
Anbieter kritischer Dienste müssen in Zukunft Störfälle und Sicherheitsverletzungen melden. Sie sollen in der Lage sein, Naturkatastrophen im Rahmen des Klimawandels, von Terroranschlägen oder gesundheitlicher Notlagen wie der Coronavirus-Pandemie möglichst zu verhindern, andernfalls angemessen darauf zu reagieren sowie Bürger zu schützen. Dafür müssen Stresstests durchgeführt werden.
Besonders kritische Infrastruktur
Die Richtlinie enthält eine spezielle Einstufung als "kritische Infrastruktur, die von besonderer Bedeutung für Europa" ist. Das betrifft erfasste Infrastrukturbetreiber, die in mindestens sechs Mitgliedstaaten tätig sind. Hunderte Betreiber dürften in diese Spezialkategorie fallen. Für sie gelten beispielsweise spezielle Meldepflichten, ihnen winkt aber auch mehr Unterstützung seitens der EU.
Die EU-Staaten werden verpflichtet, nationale Strategien zur Stärkung der Widerstandsfähigkeit zu verabschieden und ihrerseits regelmäßige Risikobewertungen vorzunehmen. Die nationalen Behörden erhalten die Möglichkeit, kritische Infrastrukturen vor Ort zu inspizieren und gegebenenfalls Sanktionen zu verhängen.
Lesen Sie auch
EU-Kommission will hastig weiteres Cyber Centre aufbauen
Um die Kommunikation zwischen einzelnen Bereichen zu vereinheitlichen, muss jeder Mitgliedstaat eine Kontaktstelle einrichten. Diese soll als Verbindungsglied fungieren und funktionierende grenzüberschreitende Zusammenarbeit gewährleisten.
Weitere Maßnahmen
Gleichzeitig machten sich die Abgeordneten und die nationalen Regierungsvertreter dafür stark, die Kritis-Regeln besser mit der Novelle der Richtlinie zur Netz- und Informationssicherheit (NIS2) abzustimmen. Vor zwei Wochen hat das EU-Parlament die NIS2-Richtlinie verabschiedet. Sie hebt die Mindeststandards für Risikomanagement bei IT-Sicherheit sowie für Meldepflichten bei Online-Attacken und daraus resultierenden Datenpannen. Zudem wird die Identifizierung von Domain-Inhabern verpflichtend.
"Vor dem Hintergrund der Pandemie und des russischen Krieges in der Ukraine hat die Sicherung der kritischen Infrastrukturen in Europa höchste Priorität", betonte der parlamentarische Berichterstatter Michal Šimečka. Die Richtlinie verhindere eine Zersplitterung in nationale Vorschriften, was die Resilienz gegenüber immer häufigere physische und hybride Bedrohungen geschwächt hätte.
Nach Inkrafttreten haben die EU-Länder rund zwei Jahre Zeit, die Vorgaben in nationales Recht umzusetzen. In Deutschland hat der Gesetzgeber die für Kritis-Betreiber geltenden Pflichten, Sicherheitspannen zu melden und Mindestschutzstandards einzuhalten, vergangenes Jahr mit dem IT-Sicherheitsgesetz 2.0 ausgedehnt.
Die Kommission will zudem über einen im Oktober vorgestellten Aktionsplan die Kritis-Resilienz weiter erhöhen und Maßnahmen der Mitgliedsstaaten noch stärker koordinieren und beschleunigen. Auch die NATO soll einbezogen werden, was eine Reaktion auf die Sabotage der Nord-Stream-Pipelines in der Ostsee ist.
(ds)