Zum Inhalt springen

GlossarDefinition

Was ist die CER-Richtlinie (Critical Entities Resilience Directive)?

Zuletzt aktualisiert:

Kurz erklärt: Die CER-Richtlinie (Critical Entities Resilience Directive, Richtlinie EU 2022/2557) ist die EU-Schwester-Vorgabe zur NIS2-Richtlinie und regelt die physische und organisatorische Resilienz kritischer Einrichtungen in elf Sektoren — von Energie und Trinkwasser über digitale Infrastruktur bis Lebensmittel. Sie ersetzt die ältere ECI-Richtlinie 2008/114/EG und musste bis 17. Oktober 2024 in nationales Recht umgesetzt werden. Österreich hat dies über das RKEG (BGBl. I Nr. 60/2025) erfüllt; in Deutschland ist das KRITIS-Dachgesetz Anfang 2026 noch in der parlamentarischen Verhandlung. Mitgliedstaaten müssen bis 17. Juli 2026 ihre kritischen Einrichtungen formell identifizieren.

Die CER-Richtlinie (Critical Entities Resilience Directive, formell Richtlinie (EU) 2022/2557) ist die EU-Vorgabe zur Resilienz kritischer Einrichtungen — der nicht-cyberorientierte Schwester-Rechtsakt zur NIS2-Richtlinie. Sie löst die ältere ECI-Richtlinie 2008/114/EG ab und verschiebt den Fokus von eng definierter grenzüberschreitender Infrastruktur hin zu einer breiten, organisatorisch-physischen Resilienz-Pflicht für elf Sektoren.

Foundational Facts

  • EU-Rechtsakt: Richtlinie (EU) 2022/2557, veröffentlicht am 27. Dezember 2022
  • In Kraft: 16. Januar 2023
  • Umsetzungsfrist: 17. Oktober 2024
  • Anwendung der nationalen Regeln: ab 18. Oktober 2024
  • Vorgänger: Richtlinie 2008/114/EG (ECI — European Critical Infrastructure)
  • Schwester-Rechtsakt: NIS2-Richtlinie (Richtlinie 2022/2555) für Cybersicherheit
  • Sektoren: elf (im Anhang abschließend gelistet)
  • Stichtag MS-Strategie: 17. Januar 2026
  • Stichtag Identifizierung kritischer Einrichtungen: 17. Juli 2026

Die elf CER-Sektoren (Anhang)

#SektorBeispielhafte Teilbereiche
1EnergieStrom, Erdgas, Erdöl, Fernwärme, Wasserstoff
2VerkehrLuft-, Schienen-, Schiff- und Straßenverkehr
3BankwesenKreditinstitute
4FinanzmarktinfrastrukturenHandelsplätze, zentrale Gegenparteien
5GesundheitKrankenhäuser, Referenzlabore, Arzneimittel- und Medizinprodukteversorgung
6TrinkwasserLieferanten und Versorger
7AbwasserSammlung, Ableitung, Behandlung
8Digitale InfrastrukturIXPs, DNS, TLD-Registrare, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdiensteanbieter
9Öffentliche Verwaltungzentrale Verwaltungseinheiten
10WeltraumBodeninfrastruktur für Weltraum-Dienste
11Produktion, Verarbeitung und Vertrieb von LebensmittelnGroßbetriebe, Logistik, Großhandel

Die Sektor-Liste deckt sich weitgehend mit der wesentlichen Einrichtungen-Liste der NIS2-Richtlinie — bewusste Parallelität, damit Mitgliedstaaten und Unternehmen ein konsistentes Bild des „kritischen” Kreises haben.

Schlüsselpflichten

Pflichten der Mitgliedstaaten

PflichtFristQuelle
Umsetzung in nationales Recht17. Oktober 2024Art. 26
Nationale Strategie zur Stärkung der Resilienz17. Januar 2026Art. 4
Nationale Risikobewertungregelmäßig, mindestens alle vier JahreArt. 5
Identifizierung kritischer Einrichtungenbis 17. Juli 2026Art. 6
Benennung einer zuständigen Behörde + zentralen Anlaufstelle17. Oktober 2024Art. 9

Pflichten der kritischen Einrichtungen (nach Identifizierung)

PflichtFrist nach Notifizierung
Eigene Risikobewertungspätestens 9 Monate (Art. 12)
Resilienzmaßnahmen umsetzenspätestens 10 Monate (Art. 13)
Vorfallsmeldung an zuständige Behördeunverzüglich, längstens 24 Stunden (Art. 15)
Hintergrundüberprüfung von Personen in sensiblen Positionenje nach nationaler Umsetzung (Art. 14)

Die Resilienzmaßnahmen müssen technische und organisatorische Schutzmaßnahmen, Notfallpläne, Krisenmanagement, personelle Sicherheit und Schulungen abdecken — also genau die Schichten, die NIS2 bewusst ausspart, weil sie nicht primär cyberbezogen sind.

Meldepflichten bei Vorfällen

Bei einem schwerwiegenden Vorfall, der die Erbringung wesentlicher Dienste beeinträchtigt oder zu beeinträchtigen droht, gilt die 24-Stunden-Frist für eine Erstmeldung an die nationale Behörde (Art. 15). Eine detaillierte Folgemeldung muss spätestens einen Monat nach dem Vorfall nachgereicht werden. Bei grenzüberschreitenden Auswirkungen informieren die Mitgliedstaaten einander und gegebenenfalls die Europäische Kommission.

Die Meldefrist ist damit identisch mit der NIS2-Frühwarnung — wer von beiden Richtlinien erfasst ist, muss die 24-h-Pflicht jeweils einmal pro betroffenem Regulator erfüllen (BSI/NISG-Anlaufstelle nach NIS2, sektorale Resilienz-Behörde nach CER).

Abgrenzung CER ↔ NIS2

AspektCER-RichtlinieNIS2-Richtlinie
EU-Rechtsakt2022/25572022/2555
Verabschiedet14. Dezember 2022 (gemeinsam)14. Dezember 2022 (gemeinsam)
Fokusphysische + organisatorische ResilienzCybersicherheit + Informationssicherheit
Auslöser für Erfassungnationale Identifizierung per BescheidSektor + Unternehmensgröße (KMU-Schwellenwerte)
Sektoren11 (Annex)18 (Annex I + II)
Meldefrist24 h Erstmeldung + 1 Monat Folgemeldung24 h Frühwarnung + 72 h Vorfallmeldung + 1 Monat Abschluss
VorgängerECI-Richtlinie 2008/114/EGNIS-Richtlinie 2016/1148/EU

Beide Rechtsakte können parallel gelten. Eine Einrichtung, die NIS2-pflichtig und gleichzeitig national als kritische Einrichtung identifiziert ist, muss beide Pflichten-Kataloge erfüllen — die Cyber-Maßnahmen aus NIS2 und die physisch-organisatorischen Resilienzmaßnahmen aus CER ergänzen sich, ohne sich zu ersetzen.

Umsetzungsstand in DE und AT

  • Österreich: Umsetzung über das Resilienz kritischer Einrichtungen-Gesetz (RKEG), kundgemacht als BGBl. I Nr. 60/2025 am 16. Oktober 2025. Zuständige Behörde: Bundesministerium für Inneres.
  • Deutschland: Umsetzung über das KRITIS-Dachgesetz (formell „Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Einrichtungen”). Stand Anfang 2026 ist das Gesetz noch in der parlamentarischen Verhandlung. Bis zum Inkrafttreten bleibt der bestehende KRITIS-Rahmen aus BSI-Gesetz und BSI-KritisV maßgeblich.

Generell ist die Umsetzung in der EU spät: bis Mitte 2025 hatten nur etwa 10 von 27 Mitgliedstaaten ein Umsetzungsgesetz beschlossen — was die Europäische Kommission seit 2024 mit Vertragsverletzungsverfahren adressiert.

Bedeutung für KMU

Direkt erfasst KMU sind selten — die CER-Schwellenwerte und Sektor-Definitionen zielen auf Versorgungs-, Infrastruktur- und Großbetreiber. Indirekte Betroffenheit entsteht über zwei Wege:

  • Zulieferer-Vertragspflichten. Kritische Einrichtungen müssen ihre Lieferketten-Resilienz absichern — vergleichbar mit dem Mechanismus unter NIS2. Zulieferer sollten damit rechnen, vertraglich auf Resilienz-Standards verpflichtet zu werden.
  • Doppelregulierung in mehrfach erfassten Sektoren. Banken, Finanzmarktinfrastrukturen und digitale Infrastruktur unterliegen oft parallel CER, DORA und NIS2. Ohne ein integriertes ISMS wird die Konsolidierung dieser Anforderungen schnell unübersichtlich.

Für österreichische KMU ist die konkrete Wirkung der CER-Richtlinie über das RKEG greifbar — dort sind die nationalen Pflichten ausformuliert. Für deutsche KMU bleibt bis zum KRITIS-Dachgesetz eine Übergangsphase, in der die NIS2-Pflichten aus NIS2UmsuCG den Großteil der Resilienz-Anforderungen abdecken.

Häufige Fragen

Was ist die CER-Richtlinie und wofür steht die Abkürzung?
CER steht für „Critical Entities Resilience" — die EU-Richtlinie über die Resilienz kritischer Einrichtungen. Es handelt sich um die Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022, die die ältere ECI-Richtlinie 2008/114/EG ablöst. Anders als ihre Vorgängerin deckt die CER nicht nur grenzüberschreitende Energie- und Verkehrsinfrastruktur ab, sondern erfasst breit elf Sektoren mit Schwerpunkt auf physische und organisatorische Resilienz — als Schwester-Rechtsakt zur NIS2-Richtlinie, die parallel die Cybersicherheits-Seite regelt.
Seit wann gilt die CER-Richtlinie und wie ist der Umsetzungsstand?
Die CER-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist am 16. Januar 2023 in Kraft getreten. Die Umsetzungsfrist für die Mitgliedstaaten endete am 17. Oktober 2024, die Anwendung der nationalen Regeln begann am 18. Oktober 2024. Tatsächlich hatten bis Mitte 2025 nur etwa 10 von 27 Mitgliedstaaten ihre Umsetzungsgesetze beschlossen. Österreich hat die Richtlinie am 16. Oktober 2025 über das RKEG (BGBl. I Nr. 60/2025) umgesetzt; Deutschland verhandelt das KRITIS-Dachgesetz Anfang 2026 noch.
Welche Sektoren erfasst die CER-Richtlinie?
Im Anhang der CER-Richtlinie sind elf Sektoren gelistet — Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Welche konkreten Einrichtungen innerhalb dieser Sektoren tatsächlich als „kritisch" gelten, entscheidet jeder Mitgliedstaat in einem nationalen Identifizierungsprozess — bis spätestens 17. Juli 2026. Ab Notifikation haben die identifizierten Einrichtungen typischerweise 10 Monate Zeit, die Resilienzanforderungen zu erfüllen.
Wie unterscheidet sich die CER-Richtlinie von NIS2?
Beide Rechtsakte wurden gemeinsam am 14. Dezember 2022 verabschiedet, decken aber unterschiedliche Resilienz-Dimensionen ab. NIS2 (Richtlinie 2022/2555) reguliert Cybersicherheit, IT-Risikomanagement und digitale Vorfallsmeldungen. CER reguliert physische Resilienz — also Schutz vor Sabotage, Spionage, Naturereignissen und Versorgungsausfällen — sowie organisatorische Aspekte wie Notfallpläne, Personalsicherheit und Krisenmanagement. Eine Einrichtung kann gleichzeitig NIS2- und CER-pflichtig sein; dann sind beide Pflichtenkataloge zu erfüllen. Die Sektor-Listen beider Richtlinien überschneiden sich weitgehend, was die parallele Anwendbarkeit erleichtert.
Wie wird die CER-Richtlinie in Deutschland und Österreich umgesetzt?
Österreich hat die CER-Richtlinie als einer der ersten Mitgliedstaaten umgesetzt — mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG, BGBl. I Nr. 60/2025) vom 16. Oktober 2025; zuständige Behörde ist das Bundesministerium für Inneres. Deutschland setzt die Richtlinie über das KRITIS-Dachgesetz um, formell „Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Einrichtungen". Stand Anfang 2026 ist das KRITIS-Dachgesetz noch in der parlamentarischen Verhandlung. In beiden Ländern bleibt die existierende NIS2-Umsetzung (NIS2UmsuCG in Deutschland, NISG 2026 in Österreich) parallel bestehen — CER ergänzt sie, ersetzt sie nicht.
Kategorie