Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 4 Strategien für die Resilienz kritischer Einrichtungen
Summary What does Article 4 of the CER directive say?
This article places a foundational obligation on Member States to develop and maintain a national strategy for enhancing the resilience of critical entities.
It is a planning and governance article that sits upstream of the more operational obligations in the Directive — the strategy produced here feeds directly into the risk assessment process under Article 5 and the identification of critical entities under Article 6.
The article is notably detailed in specifying what the strategy must contain, covering everything from governance frameworks and risk assessments to coordination with cybersecurity authorities and support measures for small and medium-sized enterprises identified as critical entities.
Important points:
- Member States must adopt a national resilience strategy by 17 January 2026, following a stakeholder consultation, and update it at least every four years.
- The strategy must include a policy framework for coordination between competent authorities under this Directive and those under Directive (EU) 2022/2555, covering both cyber and non-cyber risks, threats, and incidents.
- Member States are required to communicate their strategies, and any substantial updates, to the Commission within three months of adoption.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, verabschiedet jeder Mitgliedstaat spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“). In der Strategie sind — aufbauend auf den bestehenden entsprechenden nationalen und sektorspezifischen Strategien, Plänen oder ähnlichen Dokumenten — die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll und mindestens die im Anhang festgelegten Sektoren abgedeckt werden sollen.
Jede Strategie enthält mindestens folgende Elemente:
strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten;
einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure;
eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung nach Artikel 5;
eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen;
eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen gemäß diesem Kapitel, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;
eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern — bei denen es sich nicht um kritische Einrichtungen handelt —, die an der Umsetzung der Strategie beteiligt sind;
einen politischen Rahmen für die Koordinierung zwischen den gemäß der vorliegenden Richtlinie zuständigen Behörden (im Folgenden „zuständige Behörden“) und den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben;
eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III der vorliegenden Richtlinie durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission(31), die von den betreffenden Mitgliedstaaten als kritische Einrichtungen eingestuft wurden.
Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, aktualisieren die Mitgliedstaaten ihre Strategien mindestens alle vier Jahre.
Die Mitgliedstaaten teilen der Kommission ihre Strategien und deren wesentlichen Aktualisierungen innerhalb von drei Monaten nach ihrer Verabschiedung mit.
Relevant recitals
Erwägungsgrund 13 Strategy for resilience of critical entities
Im Hinblick auf die Gewährleistung eines umfassenden Ansatzes in Bezug auf die Resilienz kritischer Einrichtungen sollte jeder Mitgliedstaat über eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“) verfügen. Die Strategien sollten die umzusetzenden strategischen Ziele und politischen Maßnahmen festlegen. Im Interesse von Kohärenz und Effizienz sollte die Strategie so konzipiert sein, dass bestehende politische Strategien nahtlos einbezogen werden, wobei nach Möglichkeit auf entsprechenden bestehenden nationalen und sektorbezogenen Strategien, Plänen oder ähnlichen Dokumenten aufgebaut werden sollte. Zur Verwirklichung eines umfassenden Ansatzes sollten die Mitgliedstaaten sicherstellen, dass ihre Strategien in Bezug auf den Informationsaustausch über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie im Zusammenhang mit der Wahrnehmung von Aufsichtsaufgaben einen Rahmen für eine verstärkte Koordinierung zwischen der gemäß der vorliegenden Richtlinie zuständigen Behörde und der gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörde vorsehen. Bei der Einführung ihrer Strategien sollten die Mitgliedstaaten dem hybriden Charakter von Bedrohungen für kritische Einrichtungen gebührend Rechnung tragen.
Erwägungsgrund 14 Communication of strategies to the European Commission
Die Mitgliedstaaten sollten der Kommission ihre Strategien und deren wesentliche Aktualisierungen mitteilen, um insbesondere die Kommission in die Lage zu versetzen, die ordnungsgemäße Anwendung dieser Richtlinie in Bezug auf politische Ansätze für die Resilienz kritischer Einrichtungen auf nationaler Ebene zu bewerten. Die Strategien könnten erforderlichenfalls als Verschlusssache übermittelt werden. Die Kommission sollte einen zusammenfassenden Bericht über die von den Mitgliedstaaten übermittelten Strategien erstellen, der als Grundlage für den Austausch dienen soll, um bewährte Verfahren und Fragen von gemeinsamem Interesse im Rahmen einer Gruppe für die Resilienz kritischer Einrichtungen zu ermitteln. In Anbetracht der Sensibilität der im zusammenfassenden Bericht enthaltenen aggregierten Informationen — unabhängig davon, ob sie als Verschlusssache eingestuft sind oder nicht —, sollte die Kommission den zusammenfassenden Bericht mit dem angemessenen Maß an Bewusstsein für die Sicherheit der kritischen Einrichtungen, der Mitgliedstaaten und der Union verwalten. Damit die Ziele dieser Richtlinie erreicht werden, sollten der zusammenfassende Bericht und die Strategien vor rechtswidrigen oder böswilligen Handlungen geschützt werden und nur befugten Personen zugänglich sein. Die Übermittlung der Strategien und ihrer wesentlichen Aktualisierungen sollte auch dazu beitragen, dass die Kommission, die Entwicklungen bei den Ansätzen für die Resilienz kritischer Einrichtungen versteht, und in die Überwachung der Auswirkungen und des Mehrwerts dieser Richtlinie einfließen, die die Kommission regelmäßig zu überprüfen hat.
Erwägungsgrund 24 Relation to requirements and competent authorities under the NIS 2 directive
Die gemäß der vorliegenden Richtlinie und gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, und in Bezug auf entsprechende Maßnahmen, die von gemäß der vorliegenden Richtlinie und der Richtlinie 2022/2555 zuständigen Behörden ergriffen werden, zusammenarbeiten und Informationen austauschen. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Risikobewertung
(En. risk assessment)
Definition
Resilienz
(En. resilience)
Definition
Risiko
(En. risk)
Definition
Sicherheitsvorfall
(En. incident)
Definition
kritische Einrichtung
(En. critical entity)
Footnote 31