Neue Maßstäbe für Resilienz: Die CER-Richtlinie im Fokus

In einer Zeit überlappender Krisen – von Cyberangriffen und Klimarisiken bis hin zu geopolitischen Schocks und Pandemien – ist die Resilienz kritischer Infrastrukturen nicht mehr nur eine technische Frage, sondern eine gesellschaftliche Notwendigkeit.

Unsere moderne Lebensweise beruht auf einer sicheren und kontinuierlichen Versorgung mit Strom, Trinkwasser, Gesundheitsdiensten, digitaler Konnektivität und Mobilität. Fällt eines dieser Systeme aus, kann dies weitreichende Dominoeffekte über Sektoren, Grenzen und Bevölkerungsgruppen hinweg auslösen.

Die EU-Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) (EU 2022/2557), die im Januar 2023 in Kraft trat, ist Europas regulatorische Antwort auf ein zunehmend komplexes Risikoumfeld. Sie ersetzt die seit 2008 geltende Richtlinie über kritische Infrastrukturen durch einen breiteren, ambitionierteren und stärker integrierten Ansatz zur Stärkung der Resilienz. Während das frühere Regelwerk vor allem den Schutz einzelner Vermögenswerte in den Fokus stellte, richtet die CER-Richtlinie den Blick auf das gesamte System und dessen Risikobeherrschung.

Im Kern anerkennt die Richtlinie, dass der Schutz der Gesellschaft weit über die Sicherstellung der Betriebskontinuität hinausgeht. Gefordert sind Governance-Rahmen, die Störungen vorausschauend erkennen, sich an systemische Schocks anpassen und koordinierte Reaktionen über physische, digitale und institutionelle Grenzen hinweg ermöglichen.

Die CER-Richtlinie - ein Überblick

Die CER-Richtlinie etabliert einen einheitlichen EU-Rahmen, um die Widerstandsfähigkeit kritischer Einrichtungen gegenüber einem breiten Spektrum von Bedrohungen zu stärken – von Naturereignissen und Unfällen über böswillige Angriffe bis hin zu systemischen Krisen. Sie verankert eine geteilte Verantwortung von Behörden und privaten Betreibern, um die Kontinuität zentraler gesellschaftlicher Funktionen sicherzustellen. Kernbestandteile sind nationale Strategien zur Resilienz kritischer Einrichtungen, die durch regelmäßige Risikobewertungen gestützt werden. Diese Bewertungen dienen dazu, wesentliche Dienste und kritische Einrichtungen zu identifizieren. Darüber hinaus verpflichten sie die benannten Einrichtungen, eigene Risikobewertungen vorzunehmen und konkrete Maßnahmen zur Risikominderung sowie zum Aufbau von Widerstandsfähigkeit umzusetzen.

Die Richtlinie erfasst Unternehmen in elf Sektoren, darunter Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Lebensmittel, Wasser und öffentliche Verwaltung. Die Zugehörigkeit zu einem dieser Sektoren allein führt jedoch nicht automatisch zur Einstufung als kritische Einrichtung. Die Benennung erfolgt durch die nationalen Behörden anhand klarer Kriterien – etwa Größe und operative Reichweite, Verflechtungen mit anderen wesentlichen Diensten, mögliche gesellschaftliche oder wirtschaftliche Auswirkungen einer Störung sowie die Rolle innerhalb kritischer Lieferketten.

Akteure des privaten Sektors, einschließlich multinationaler Unternehmen und wichtiger Zulieferer, können aufgrund ihrer systemischen Bedeutung benannt werden. Sobald ein Unternehmen benannt ist, unterliegt es dem gesamten Pflichtenkatalog der Richtlinie.

Vier Dimensionen der Governance-Innovation

Die CER-Richtlinie markiert einen grundlegenden Wandel in der Betrachtung und Umsetzung von Resilienz in kritischen Infrastrukturen. Resilienz wird nicht länger als rein reaktive Sicherheitsmaßnahme verstanden, sondern als Governance-Imperativ: eine proaktive, erkenntnisgestützte und zukunftsorientierte Fähigkeit, die in strategische Entscheidungen, das Unternehmensrisiko und die gesellschaftliche Vernetzung eingebettet ist.

Die Richtlinie geht damit über den bisherigen Schutzrahmen hinaus und etabliert eine systemische Neukalibrierung, die auf vier Dimensionen der Governance-Innovation basiert.

1. Mehrdimensionale Gefahrenanalyse: Konvergente Risikobewertungen

Die Richtlinie fordert ein umfassendes Risikokonzept, das die bisherigen, einzelbedrohungsspezifischen Modelle – etwa Sicherheitspläne gegen Terrorismus oder Klimaanpassungspläne bei Überschwemmungen – durch einen integrierten Rahmen für multiple Gefahren ersetzt. Kritische Einrichtungen müssen daher über standardisierte Checklisten hinausgehen und:

• probabilistische und nicht-probabilistische Risikobewertungen durchführen, die sowohl häufige als auch seltene, aber hochwirksame Bedrohungen berücksichtigen;
• Wechselwirkungen und kaskadierende Risiken einbeziehen, wie etwa die Kombination von Cyberangriffen auf operative Systeme mit Naturkatastrophen oder Unterbrechungen der Lieferketten im Gesundheitswesen durch soziale Unruhen;
• absichtliche und unabsichtliche Bedrohungen berücksichtigen, wobei böswillige Akteure (z. B. hybride Angriffe) und systembedingte Fehler (z. B. KI-Fehlfunktionen in Kontrollsystemen) vergleichbare Störungen verursachen können.

Auswirkungen auf die Unternehmensführung

Die Verantwortung für Risikomanagement darf nicht allein bei den Abteilungen für physische Sicherheit oder HSE liegen. Vorstände und Exekutivausschüsse müssen sicherstellen, dass die Risikomanagementprozesse des Unternehmens eine funktionsübergreifende Integration sämtlicher Gefahren umfassen, einschließlich regelmäßiger Szenarioübungen und klar definierter Protokolle für den Informationsaustausch.

2. Kartierung vernetzter Risiken: Den Blick von isolierten Einheiten auf das gesamte Ökosystem der Widerstandsfähigkeit erweitern

Während frühere Ansätze Organisationen als isolierte Einheiten betrachteten, fordert die CER-Richtlinie nun eine Verlagerung hin zu einer netzwerkbasierten Resilienz. Unternehmen müssen die Abhängigkeiten identifizieren und analysieren:

• Vorgelagerte Abhängigkeiten: Kritische Dienste oder Inputs (z. B. Cloud-Hosting, Hochspannungsstromversorgung, Arzneimittel), ohne die der Betrieb nicht fortgesetzt werden kann.
• Nachgelagerte Abhängigkeiten: Sektoren oder Gemeinschaften, die auf die Kontinuität lebenswichtiger Dienste angewiesen sind (z. B. regionale Krankenhäuser, die auf die Sauerstoffversorgung angewiesen sind).
• Laterale Schwachstellen: Gemeinsam genutzte Systeme oder Vermögenswerte (z. B. nationale Verkehrskorridore, integrierte Datenplattformen), deren Ausfall kaskadenartige Auswirkungen haben könnte.

Dies erfordert die Erstellung von Risikokarten, also visuellen und analytischen Darstellungen der miteinander verbundenen Abhängigkeiten und sektorübergreifenden Ausfallpunkte.

Auswirkungen auf die Unternehmensführung

Geschäftskontinuität allein reicht nicht mehr aus. Vorstände müssen die Erstellung von Risikoinformationen auf Ökosystemebene anordnen, was unter Umständen die Teilnahme an nationalen oder sektoralen Resilienzplattformen sowie die Zusammenarbeit mit Wettbewerbern, Regulierungsbehörden und Lieferanten in gemeinsamen Risikoumgebungen umfasst.

3. Grenzüberschreitende und geopolitische Bedrohungen – von nationaler Vorsorge zu transnationalem Risikomanagement

Die Richtlinie erkennt an, dass kritische Systeme in Europa zunehmend grenzüberschreitenden Risiken ausgesetzt sind. Ob Energieversorger, der auf Gasimporte angewiesen ist, Logistikunternehmen mit globalen Just-in-Time-Lieferketten oder Datenverarbeiter, deren Cloud-Server im Ausland gehostet werden – wesentliche Funktionen erstrecken sich oft über nationale Grenzen hinaus.

Die Mitgliedstaaten müssen dies bei der Benennung kritischer Einrichtungen berücksichtigen, und die benannten Organisationen sind verpflichtet:

• grenzüberschreitende Inputs und Verteilerknoten zu identifizieren, die für die Kontinuität der Dienste entscheidend sind,
• geopolitische Risiken zu bewerten, z. B. Abhängigkeiten von Materialien aus konfliktbelasteten Regionen oder von Dienstleistern in politisch instabilen Ländern,
• Resilienzstrategien zu entwickeln, die EU-weite Auswirkungen berücksichtigen und die Koordination mit EU-Agenturen wie der Critical Entities Resilience Group (CERG) sicherstellen.

Auswirkungen auf die Unternehmensführung

Risikokomitees und leitende Führungskräfte müssen geostrategische Vorausschau-Fähigkeiten entwickeln. Dazu gehören Stresstests des Unternehmens unter makroökonomischen Szenarien wie einer möglichen Abkopplung zwischen der EU und China, regionalen Konflikten oder politischen Divergenzen zwischen den Mitgliedstaaten.

4. Vorausschauende Anpassungsfähigkeit: Von statischer Risikokontrolle zu dynamischer Resilienz

Vielleicht am tiefgreifendsten ist, dass die Richtlinie Resilienz von einer rein retrospektiven Compliance-Übung zu einem proaktiven, adaptiven Governance-Modell transformiert. Sie fordert kritische Einrichtungen auf, Resilienz als dynamische Fähigkeit zu begreifen, die sich kontinuierlich an neue Bedrohungen, technologische Entwicklungen und gesellschaftliche Veränderungen anpasst. Dazu gehören:

• Horizon Scanning und Zukunftsanalysen, um schwache Signale frühzeitig zu erkennen und Störungen vorzubeugen – etwa durch KI-Sicherheitsrisiken, Engpässe bei kritischen Mineralien oder Pandemien.
• Einsatz von Stresstests und systemischen Simulationswerkzeugen, um Wechselwirkungen von Risikofaktoren unter verschiedenen sozio-politischen oder klimatischen Szenarien zu modellieren.
• Integration von Resilienz in strategische Planungsprozesse, sodass neue Investitionen, Übernahmen und Produktlinien von Beginn an auf ihre Widerstandsfähigkeit geprüft werden.

Auswirkungen auf die Unternehmensführung

Der Vorstand muss Resilienz als strategischen Leistungsfaktor behandeln, gleichberechtigt mit Rentabilität und ESG-Zielen. Der Rahmen für die Rechenschaftspflicht der Geschäftsleitung sollte dabei Resilienz-KPIs, adaptive Strategieüberprüfungen und Eskalationsprotokolle für neu auftretende Risiken umfassen.

Fazit - Resilienz als strategisches Mandat

Die CER-Richtlinie markiert einen Wendepunkt in der Steuerung wesentlicher europäischer Systeme. Durch die gesetzliche Verankerung eines vierdimensionalen Resilienzmodells – bestehend aus Integration mehrerer Risiken, systemischer Interdependenz, grenzüberschreitender Vorausschau und adaptiver Governance – wird Resilienz zu einem strategischen Eckpfeiler der Unternehmensführung.

Es geht dabei nicht um reine Vorschriftenerfüllung, sondern um eine grundlegende Neudefinition, wie kritische Unternehmen in einer Welt agieren sollen, die von systemischen Risiken und kaskadierenden Störungen geprägt ist. Die Richtlinie fordert Organisationen auf, über fragmentierte Risikorahmen und rein reaktive Kontinuitätsmodelle hinauszugehen. Stattdessen sollen kohärente, erkenntnisgestützte und zukunftsorientierte Governance-Systeme entwickelt werden, die Störungen antizipieren, Schocks abfedern und sich kontinuierlich anpassen können.

Resilienz, früher oft als Kostenstelle betrachtet, wird heute als strategischer Wert verstanden: Sie sichert die betriebliche Kontinuität, stärkt das Vertrauen von Aufsichtsbehörden, trägt zur gesellschaftlichen Stabilität bei und fördert langfristige Wertschöpfung. Dabei ist sie nicht länger allein Aufgabe von Krisenmanagern, sondern gehört auf die Agenda von Geschäftsleitungen und Aufsichtsräten.

Die Richtlinie fordert kritische Unternehmen zu einem strategischen Wandel auf:

• Von reiner Vorschriftserfüllung zur Kompetenz: Aufbau institutionellen Wissens und von Entscheidungskapazitäten, die über die gesetzlichen Mindestanforderungen hinausgehen.
• Von Kontrolle zur Koordinierung: Engagement über Netzwerke, Lieferketten, Sektoren und Gerichtsbarkeiten hinweg, um systemische Risiken gemeinsam zu bewältigen.
• Von reaktiver Kontinuität zur antizipativen Transformation: Integration von Vorausschau, Simulation und Szenarioplanung in die strategische Steuerung.

Unternehmen, die diesen Wandel proaktiv gestalten, demonstrieren nicht nur ihre Führungsrolle im Bereich Regulierung, sondern entwickeln zugleich die notwendige Anpassungsfähigkeit, um in einer volatilen, vernetzten und dynamischen Welt erfolgreich zu agieren.