Resiliente Gesellschaft und Lebensqualität
Karin Palmblad, Mads Østerby
29. Oktober 2025
EU-CER-Richtlinie: Grundlagen einfach erklärt
Was die Richtlinie 2022/2557 für kritische Einrichtungen bedeutet: Anforderungen, Fristen und Resilienz als Führungsaufgabe.
Die Richtlinie der Europäischen Union über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie, EU 2022/2557) ist ein wegweisender Rechtsrahmen zur Stärkung der europäischen Resilienz gegenüber systemischen Störungen und Krisen. Sie trat im Januar 2023 in Kraft und betrifft elf zentrale Sektoren – darunter Energie, Gesundheitswesen, Finanzwesen, Verkehr und digitale Infrastruktur.
Doch die CER-Richtlinie geht weit über reine Compliance-Anforderungen hinaus. Sie markiert einen strategischen Wandel im Verständnis von Resilienz: Erstmals wird Resilienz als Verantwortung auf Vorstandsebene verankert – und damit ebenso relevant wie Finanzaufsicht oder ESG-Themen.
Organisationen in den betroffenen Sektoren könnten durch die CER-Richtlinie in den kommenden Jahren vor grundlegend veränderte betriebliche Verpflichtungen gestellt werden. Die nationalen Behörden werden bald festlegen, welche Organisationen als „kritische Einrichtungen“ gelten. Für diese wird die Einhaltung der Richtlinie innerhalb von neun Monaten nach Bekanntgabe verpflichtend sein.
Die CER-Richtlinie bedeutet für Führungskräfte zugleich Herausforderung und Chance:
- Herausforderung: Die Richtlinie verlangt von Organisationen, über das traditionelle Risikomanagement hinauszugehen und einen systemweiten, alle Gefahren umfassenden Ansatz zu verfolgen.
- Chance: Unternehmen, die frühzeitig handeln, können die Einhaltung der Richtlinie in einen Wettbewerbsvorteil verwandeln und gleichzeitig die Widerstandsfähigkeit aufbauen, die Investoren, Aufsichtsbehörden und Kunden zunehmend erwarten.
Diese Seite erklärt, was die CER-Richtlinie ist, für welche Organisationen sie gilt, welche Verpflichtungen und Fristen bestehen und wie Unternehmen die Einhaltung der Richtlinie in strategische Widerstandsfähigkeit überführen können.
Warum die CER-Richtlinie jetzt wichtig ist
Europa steht vor einer Ära zunehmender Risiken. Der Klimawandel führt zu häufigeren Überschwemmungen, Hitzewellen und Stürmen. Geopolitische Spannungen stören globale Energie- und Lebensmittelversorgungsketten. Cyberangriffe verursachen immer häufiger reale Störungen – von Pipelineausfällen bis hin zur Schließung von Krankenhäusern. Diese Risiken sind nicht mehr isoliert; sie wirken über Sektoren und Grenzen hinweg zusammen.
Die CER-Richtlinie ist die Antwort der EU auf eine zunehmend vernetzte und komplexe Risikolandschaft. Sie verschiebt den Fokus weg vom Schutz einzelner Vermögenswerte hin zur Widerstandsfähigkeit ganzer Systeme. Öffentliche und private Betreiber kritischer Infrastrukturen sind verpflichtet, Störungen frühzeitig zu erkennen, ihnen standzuhalten und sich schnell davon zu erholen.
3 Auswirkungen der Richtlinie auf Organisationen
- Fakt:
1. Rechtliche Verpflichtung
Wird eine Einrichtung als kritisch eingestuft, so ist die Einhaltung der Vorschriften obligatorisch und kann auf nationaler Ebene durchgesetzt werden.
- Fakt:
2. Strategischer Imperativ
Resilienz ist jetzt eine Aufgabe der Unternehmensführung und kein technischer Zusatzaspekt.
- Fakt:
3. Unterscheidungsmerkmal zum Wettbewerb
Frühere Marktteilnehmer können die Widerstandsfähigkeit als Teil ihrer Marktpositionierung, ihrer Beziehungen zu Investoren und ihrer Attraktivität in der Lieferkette nutzen.
Kurz gesagt: Die CER-Richtlinie zu verstehen ist unerlässlich. Unternehmen und Organisationen, die essenzielle Dienstleistungen in der EU erbringen, sollten ihre Umsetzung strategisch planen und zugleich die daraus entstehenden Chancen aktiv nutzen.
Was ist die CER-Richtlinie?
Die CER-Richtlinie (EU 2022/2557) ersetzt die frühere Richtlinie über kritische Infrastrukturen (2008/114/EG), die nur Energie- und Verkehrsanlagen abdeckte. Im Gegensatz zur alten, eng gefassten Richtlinie, die sich auf einzelne Anlagen konzentrierte, adressiert die CER-Richtlinie das heutige vernetzte Risikoumfeld und stellt einen systemweiten Ansatz zur Widerstandsfähigkeit sicher.
Die CER-Richtlinie erweitert sowohl den Anwendungsbereich als auch den Anspruch und gilt für 11 Sektoren:
Mit der CER-Richtlinie wird ein sogenannter All-Gefahren-Ansatz eingeführt. Statt sich ausschließlich auf Terrorismus oder physische Sabotage zu konzentrieren, deckt sie das gesamte Spektrum relevanter Risiken ab: Naturkatastrophen, Industrieunfälle, cyber-physische Angriffe, Störungen in Lieferketten sowie geopolitische Schocks.
Wichtig ist zudem, dass die CER-Richtlinie als Ergänzung zur NIS2-Richtlinie konzipiert ist. Gemeinsam bilden beide Regelwerke den umfassendsten Resilienzrahmen Europas: Während die CER-Richtlinie die physische und operative Widerstandsfähigkeit adressiert, fokussiert sich NIS2 auf die Cybersicherheit.
Jetzt CER-Kurzleitfaden herunterladen
Im Kurzleitfaden sind alle wesentlichen Informationen zur CER-Richtlinie kompakt zusammengefasst. Der Leitfaden steht kostenlos zur Verfügung und bietet einen Überblick über kritische Stellen sowie die Anforderungen der Richtlinie.
Wer fällt in den Geltungsbereich?
Nicht jede Organisation in einem erfassten Sektor wird automatisch als „kritisch“ eingestuft. Die Richtlinie überträgt den Mitgliedstaaten die Verantwortung, auf Basis risikobasierter Kriterien festzulegen, welche Unternehmen tatsächlich unter den Anwendungsbereich fallen.
Die Einstufung richtet sich nach:
- Umfang der erbrachten Dienstleistungen und Anzahl der Nutzer, die davon abhängig sind
- Geografische Ausdehnung, einschließlich grenzüberschreitender Aktivitäten
- Grad der Verflechtung mit anderen wesentlichen Diensten
- Verfügbarkeit von Alternativen, falls der Dienst ausfällt
Einrichtungen, die in sechs oder mehr Mitgliedstaaten tätig sind, erhalten auf EU-Ebene beratende Unterstützung, um ihrer gesamteuropäischen Bedeutung gerecht zu werden.
Dieser Ansatz verdeutlicht, dass Resilienz ein gemeinsames europäisches Anliegen ist: Störungen in einem Mitgliedstaat können grenzüberschreitende Auswirkungen haben und erfordern daher eine koordinierte Reaktion auf europäischer Ebene.
Wichtiger Zeitplan für die CER-Richtlinie
Die Umsetzung der Richtlinie erfolgt schrittweise, um Mitgliedstaaten und Organisationen ausreichend Zeit zur Vorbereitung zu geben:
- 16. Januar 2023 - Die Richtlinie tritt in Kraft.
- 18. Oktober 2024 - Die Mitgliedsstaaten müssen die CER in nationales Recht umsetzen.
- 17. Januar 2026 - Die Mitgliedstaaten müssen die nationalen Risikobewertungen abschließen.
- 17. Juli 2026 - Die Mitgliedstaaten beginnen mit der Ausweisung kritischer Einrichtungen.
- 9 Monate nach der Ausweisung - Kritische Stellen müssen ihren Verpflichtungen nachkommen.
Diese Meilensteine schaffen einen klaren Fahrplan für die Umsetzung. Das Zeitfenster zur Einhaltung der Anforderungen ist jedoch eng: Nach der Einstufung und Benennung bleiben Organisationen weniger als ein Jahr, um alle Pflichten zu erfüllen. Eine frühzeitige Vorbereitung ist daher entscheidend.
Einhaltungspflichten für Organisationen
Die CER-Richtlinie etabliert eine doppelte Verpflichtungsebene: auf Seiten der Mitgliedstaaten und der als kritisch eingestuften Einrichtungen.
Verpflichtungen der Mitgliedstaaten:
- Entwicklung einer nationalen Strategie für die Widerstandsfähigkeit
- Durchführung einer umfassenden nationalen Risikobewertung
- Identifizierung und Meldung kritischer Einrichtungen
- Einrichtung zuständiger Behörden zur Überwachung und Durchsetzung der Vorschriften
Die benannten Organisationen müssen ein robustes Bündel von Resilienzmaßnahmen umsetzen.
Zu den Verpflichtungen für kritische Einrichtungen gehören:
- Risikobewertungen, die ein breites Spektrum von Gefahren abdecken, einschließlich voneinander abhängiger und grenzüberschreitender Risiken
- Resilienzplanung und -maßnahmen in den Bereichen Unternehmensführung, Betriebsabläufe, Lieferketten und physische Infrastruktur
- Meldung von Vorfällen an die Behörden im Falle erheblicher Unterbrechungen
- Koordinierung mit den NIS2-Verpflichtungen zur Gewährleistung einer integrierten cyber-physischen Widerstandsfähigkeit
Das Besondere an der CER-Richtlinie ist, dass Resilienz nicht als einmaliger Plan verstanden wird, sondern als kontinuierliche Governance-Verantwortung. Vorstände müssen sicherstellen, dass Resilienz in Risikobereitschaftserklärungen, Investitionsentscheidungen und Leistungsmetriken verankert ist.
Kritische Unternehmen sind verpflichtet, Resilienzmaßnahmen in der gesamten Unternehmensführung, in Lieferketten und in der Infrastruktur umzusetzen.
Diese Governance-Perspektive hebt Resilienz auf eine Ebene mit Finanzmanagement und Nachhaltigkeit. Vorstände, die Resilienz nicht aktiv verankern, setzen ihre Organisationen potenziell regulatorischen, reputativen und strategischen Risiken aus.
Von der Einhaltung der Vorschriften zur Wettbewerbsfähigkeit
Die CER-Richtlinie bringt zwar Verpflichtungen mit sich, eröffnet aber auch Chancen. Widerstandsfähige Organisationen haben klare Vorteile:
- Geringere Ausfallzeiten und geringere finanzielle Verluste im Falle einer Störung
- Stärkeres Vertrauen bei Regulierungsbehörden, Investoren und Kunden
- Verbesserte Positionierung in der Lieferkette, da Resilienz ein Beschaffungskriterium wird
- Abstimmung mit ESG- und anderen nicht-finanziellen Berichtsrahmen
Für zukunftsorientierte Organisationen bedeutet die Einhaltung der CER-Richtlinie nicht nur die Vermeidung von Sanktionen, sondern vor allem die Stärkung der eigenen Resilienz sowie die Sicherung einer wettbewerbsfähigen Position in zunehmend volatilen Märkten.
Fahrplan für die ersten Schritte
Die Vorbereitung auf die Einhaltung der CER-Richtlinie erfordert einen strukturierten Ansatz. Zu den wichtigsten Schritten gehören:
- Lückenanalyse - Vergleich der aktuellen Resilienzpraktiken mit den CER-Verpflichtungen
- Abbildung von Abhängigkeiten - Identifikation von vor- und nachgelagerten sowie grenzüberschreitenden Abhängigkeiten
- Szenarienplanung und Stresstests - Prüfung der Widerstandsfähigkeit in realistischen Störungsszenarien
- Verankerung in der Führung - Sicherstellung der Rechenschaftspflicht auf Vorstandsebene über Belastbarkeits-KPIs
- Zusammenarbeit mit den Behörden - Frühzeitiger Dialog zur Abstimmung der Erwartungen
Aufbau einer starken Koalition
Für eine erfolgreiche Umsetzung ist der Aufbau einer belastbaren Koalition entscheidend, die über die erforderlichen Kompetenzen verfügt. Eine zentrale Rolle spielt dabei die Auswahl eines geeigneten Projektmanagements, das die Koordination und Steuerung des Vorhabens übernimmt.
Zu den erforderlichen Fachkenntnissen gehören unter anderem:
- Risikoanalyse, Risikomanagement und Recht
- Planung der Geschäftskontinuität
- Schulung und Aufbau von Fähigkeiten
- Projekt-/Programmmanagement
- Cybersicherheit und NIS2
- Klimaanpassung und -abschwächung
- Notfallvorbereitung und Reaktionsplanung
- Physische Sicherheit, Zugangskontrolle und Perimetersicherheit
Organisationen, die frühzeitig handeln, sind nicht nur besser auf die Einhaltung der Vorschriften vorbereitet, sondern profitieren auch schneller als Wettbewerber von den Vorteilen einer gestärkten Widerstandsfähigkeit.
CER-Richtlinie FAQ
Möchten Sie mehr erfahren?
Karin Palmblad
Local Service Lead, Resilience & Risk
+46 70 724 70 00
Mads Østerby
Market Director, Local Service Practice Lead Sustainable Consulting & ESG
+45 51 61 03 67
Dirk Joachim Markgraf
Senior Manager Ramboll Management Consulting, Local Lead Germany Sustainability Consulting & ESG
+49 40 350814522