Die Richtlinie der Europäischen Union über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie, EU 2022/2557) ist eine wegweisende Verordnung, die Europas Fähigkeit stärken soll, systemischen Störungen standzuhalten. Sie tritt im Januar 2023 in Kraft und gilt für 11 zentrale Sektoren – von Energie und Gesundheitswesen über Finanzen und digitale Infrastruktur bis hin zu Verkehr.
Doch die CER-Richtlinie ist mehr als nur eine Compliance-Vorgabe. Sie markiert einen strategischen Wandel im Umgang mit Resilienz: Erstmals wird diese als Verantwortung auf Vorstandsebene verankert – genauso wichtig wie Finanzaufsicht oder ESG-Themen.
Organisationen in den betroffenen Sektoren könnten durch die CER-Richtlinie in den kommenden Jahren vor grundlegend veränderte betriebliche Verpflichtungen gestellt werden. Die nationalen Behörden werden bald festlegen, welche Organisationen als „kritische Einrichtungen“ gelten. Für diese wird die Einhaltung der Richtlinie innerhalb von neun Monaten nach Bekanntgabe verpflichtend sein.
Die CER-Richtlinie bedeutet für Führungskräfte zugleich Herausforderung und Chance:
- Herausforderung: Die Richtlinie verlangt von Organisationen, über das traditionelle Risikomanagement hinauszugehen und einen systemweiten, alle Gefahren umfassenden Ansatz zu verfolgen.
- Chance: Unternehmen, die frühzeitig handeln, können die Einhaltung der Richtlinie in einen Wettbewerbsvorteil verwandeln und gleichzeitig die Widerstandsfähigkeit aufbauen, die Investoren, Aufsichtsbehörden und Kunden zunehmend erwarten.
Diese Seite erklärt, was die CER-Richtlinie ist, für welche Organisationen sie gilt, welche Verpflichtungen und Fristen bestehen und wie Unternehmen die Einhaltung der Richtlinie in strategische Widerstandsfähigkeit überführen können.
Warum die CER-Richtlinie jetzt wichtig ist
Europa steht vor einer Ära zunehmender Risiken. Der Klimawandel führt zu häufigeren Überschwemmungen, Hitzewellen und Stürmen. Geopolitische Spannungen stören globale Energie- und Lebensmittelversorgungsketten. Cyberangriffe verursachen immer häufiger reale Störungen – von Pipelineausfällen bis hin zur Schließung von Krankenhäusern. Diese Risiken sind nicht mehr isoliert; sie wirken über Sektoren und Grenzen hinweg zusammen.
Die CER-Richtlinie ist die Reaktion der EU auf diese vernetzte Risikolandschaft. Sie verlagert den Fokus vom reinen Schutz einzelner Vermögenswerte auf die Widerstandsfähigkeit ganzer Systeme. Öffentliche und private Betreiber sind verpflichtet, Störungen zu antizipieren, ihnen zu widerstehen und sich von ihnen zu erholen.
3 Auswirkungen der Richtlinie auf Organisationen
- :
1. Rechtliche Verpflichtung
Wird eine Einrichtung als kritisch eingestuft, so ist die Einhaltung der Vorschriften obligatorisch und kann auf nationaler Ebene durchgesetzt werden.
- :
2. Strategischer Imperativ
Resilienz ist jetzt eine Aufgabe der Unternehmensführung und kein technischer Zusatzaspekt.
- :
3. Unterscheidungsmerkmal zum Wettbewerb
Frühere Marktteilnehmer können die Widerstandsfähigkeit als Teil ihrer Marktpositionierung, ihrer Beziehungen zu Investoren und ihrer Attraktivität in der Lieferkette nutzen.
Kurz gesagt: Die CER-Richtlinie zu verstehen, ist unerlässlich. Unternehmen und Organisationen, die wesentliche Dienstleistungen in der EU erbringen, sollten die Einhaltung der Richtlinie strategisch planen und gleichzeitig die sich daraus ergebenden Chancen nutzen.
Was ist die CER-Richtlinie?
Die CER-Richtlinie (EU 2022/2557) ersetzt die frühere Richtlinie über kritische Infrastrukturen (2008/114/EG), die nur Energie- und Verkehrsanlagen abdeckte. Im Gegensatz zur alten, eng gefassten Richtlinie, die sich auf einzelne Anlagen konzentrierte, adressiert die CER-Richtlinie das heutige vernetzte Risikoumfeld und stellt einen systemweiten Ansatz zur Widerstandsfähigkeit sicher.
Die CER erweitert sowohl den Anwendungsbereich als auch den Anspruch und gilt für 11 Sektoren:
Mit der CER-Richtlinie wird ein All-Gefahren-Ansatz eingeführt. Statt sich ausschließlich auf Terrorismus oder physische Sabotage zu konzentrieren, erfasst sie das gesamte Risikospektrum: Naturkatastrophen, Industrieunfälle, cyber-physikalische Angriffe, Systemausfälle in Lieferketten und geopolitische Schocks.
Wesentlich ist, dass die CER-Richtlinie als Ergänzung zur NIS2-Richtlinie konzipiert ist. Zusammen bilden die beiden Regelwerke den umfassendsten Resilienzrahmen Europas: Die CER-Richtlinie adressiert die physische und operationelle Widerstandsfähigkeit, während NIS2 die Cybersicherheit abdeckt.
Jetzt CER-Kurzleitfaden herunterladen
Im Kurzleitfaden sind alle wesentlichen Informationen zur CER-Richtlinie kompakt zusammengefasst. Der Leitfaden steht kostenlos zur Verfügung und bietet einen Überblick über kritische Stellen sowie die Anforderungen der Richtlinie.
Wer fällt in den Geltungsbereich?
Nicht jede Organisation in einem erfassten Sektor wird automatisch als „kritisch“ eingestuft. Die Richtlinie überträgt den Mitgliedstaaten die Verantwortung, anhand risikobasierter Kriterien zu bestimmen, welche Unternehmen betroffen sind.
Die Einstufung richtet sich nach:
- Umfang der erbrachten Dienstleistungen und Anzahl der Nutzer, die davon abhängig sind
- Geografische Ausdehnung, einschließlich grenzüberschreitender Aktivitäten
- Grad der Verflechtung mit anderen wesentlichen Diensten
- Verfügbarkeit von Alternativen, falls der Dienst ausfällt
Einrichtungen, die in sechs oder mehr Mitgliedstaaten tätig sind, erhalten auf EU-Ebene Beratungsunterstützung, um ihrer gesamteuropäischen Bedeutung gerecht zu werden.
Dieser Ansatz unterstreicht, dass Resilienz ein gemeinsames europäisches Anliegen ist: Störungen in einem Mitgliedstaat können sich grenzüberschreitend auswirken, sodass eine koordinierte Reaktion erforderlich ist.
Wichtiger Zeitplan für CER
Die Einführung der Richtlinie erfolgt schrittweise, um Regierungen und Organisationen Zeit zur Vorbereitung zu geben:
- 16. Januar 2023 - Die Richtlinie tritt in Kraft.
- 18. Oktober 2024 - Die Mitgliedsstaaten müssen die CER in nationales Recht umsetzen.
- 17. Januar 2026 - Die Mitgliedstaaten müssen die nationalen Risikobewertungen abschließen.
- 17. Juli 2026 - Die Mitgliedstaaten beginnen mit der Ausweisung kritischer Einrichtungen.
- 9 Monate nach der Ausweisung - Kritische Stellen müssen ihren Verpflichtungen nachkommen.
Diese Termine schaffen einen klaren Fahrplan. Das Zeitfenster für die Einhaltung der Vorschriften ist jedoch knapp: Nach der Benennung haben Organisationen weniger als ein Jahr, um alle Verpflichtungen zu erfüllen. Eine frühzeitige Vorbereitung ist daher unverzichtbar.
Einhaltungspflichten für Organisationen
Die CER-Richtlinie etabliert eine doppelte Verpflichtungsebene: auf Seiten der Mitgliedstaaten und der als kritisch eingestuften Einrichtungen.
Verpflichtungen der Mitgliedstaaten:
- Entwicklung einer nationalen Strategie für die Widerstandsfähigkeit
- Durchführung einer umfassenden nationalen Risikobewertung
- Identifizierung und Meldung kritischer Einrichtungen
- Einrichtung zuständiger Behörden zur Überwachung und Durchsetzung der Vorschriften
Die benannten Organisationen müssen ein robustes Bündel von Resilienzmaßnahmen umsetzen.
Zu den Verpflichtungen für kritische Einrichtungen gehören:
- Risikobewertungen, die ein breites Spektrum von Gefahren abdecken, einschließlich voneinander abhängiger und grenzüberschreitender Risiken
- Resilienzplanung und -maßnahmen in den Bereichen Unternehmensführung, Betriebsabläufe, Lieferketten und physische Infrastruktur
- Meldung von Vorfällen an die Behörden im Falle erheblicher Unterbrechungen
- Koordinierung mit den NIS2-Verpflichtungen zur Gewährleistung einer integrierten cyber-physischen Widerstandsfähigkeit
Das Besondere an der CER-Richtlinie ist, dass Resilienz nicht als einmaliger Plan verstanden wird, sondern als kontinuierliche Governance-Verantwortung. Vorstände müssen sicherstellen, dass Resilienz in Risikobereitschaftserklärungen, Investitionsentscheidungen und Leistungsmetriken verankert ist.
Kritische Unternehmen sind verpflichtet, Resilienzmaßnahmen in der gesamten Unternehmensführung, in Lieferketten und in der Infrastruktur umzusetzen.
Diese Governance-Perspektive stellt Resilienz auf die gleiche Ebene wie Finanzmanagement und Nachhaltigkeit. Vorstände, die Resilienz nicht aktiv verankern, setzen ihre Organisationen potenziell regulatorischen, rufschädigenden und strategischen Risiken aus.
Von der Einhaltung der Vorschriften zur Wettbewerbsfähigkeit
Die CER-Richtlinie bringt zwar Verpflichtungen mit sich, eröffnet aber auch Chancen. Widerstandsfähige Organisationen haben klare Vorteile:
- Geringere Ausfallzeiten und geringere finanzielle Verluste im Falle einer Störung
- Stärkeres Vertrauen bei Regulierungsbehörden, Investoren und Kunden
- Verbesserte Positionierung in der Lieferkette, da Resilienz ein Beschaffungskriterium wird
- Abstimmung mit ESG- und anderen nicht-finanziellen Berichtsrahmen
Für zukunftsorientierte Organisationen bedeutet die Einhaltung der CER-Richtlinie nicht nur die Vermeidung von Strafen, sondern vor allem die Stärkung der Resilienz und die Sicherung einer wettbewerbsfähigen Position in volatilen Märkten.
Fahrplan für die ersten Schritte
Die Vorbereitung auf die Einhaltung der CER erfordert einen strukturierten Ansatz. Zu den wichtigsten Schritten gehören:
- Lückenanalyse - Vergleich der aktuellen Resilienzpraktiken mit den CER-Verpflichtungen
- Abbildung von Abhängigkeiten - Identifikation von vor- und nachgelagerten sowie grenzüberschreitenden Abhängigkeiten
- Szenarienplanung und Stresstests - Prüfung der Widerstandsfähigkeit in realistischen Störungsszenarien
- Verankerung in der Führung - Sicherstellung der Rechenschaftspflicht auf Vorstandsebene über Belastbarkeits-KPIs
- Zusammenarbeit mit den Behörden - Frühzeitiger Dialog zur Abstimmung der Erwartungen
Aufbau einer starken Koalition
Für den erfolgreichen Fortschritt ist der Aufbau einer starken Koalition entscheidend, die über die passenden Kompetenzen verfügt. Dabei spielt die Auswahl eines geeigneten Projektmanagers eine zentrale Rolle für das Management.
Zu den erforderlichen Fachkenntnissen gehören unter anderem:
- Risikoanalyse, Risikomanagement und Recht
- Planung der Geschäftskontinuität
- Schulung und Aufbau von Fähigkeiten
- Projekt-/Programmmanagement
- Cybersicherheit und NIS2
- Klimaanpassung und -abschwächung
- Notfallvorbereitung und Reaktionsplanung
- Physische Sicherheit, Zugangskontrolle und Perimetersicherheit
Organisationen, die frühzeitig handeln, sind nicht nur besser auf die Einhaltung der Vorschriften vorbereitet, sondern profitieren auch schneller als Wettbewerber von den Vorteilen einer gestärkten Widerstandsfähigkeit.
CER-Richtlinie FAQ
Möchten Sie mehr erfahren?
Karin Palmblad
Local Service Lead, Resilience & Risk
+46 70 724 70 00
Mads Østerby
Market Director, Local Service Practice Lead Sustainable Consulting & ESG
+45 51 61 03 67
Dirk Joachim Markgraf
Senior Manager Ramboll Management Consulting, Local Lead Germany Sustainability Consulting & ESG
+49 40 350814522