Die Kommission schlägt heute vor, die Resilienz der kritischen Infrastruktur der EU zu stärken. Der Vorschlag für eine Empfehlung des Rates baut auf dem Fünf-Punkte-Plan für eine resiliente kritische Infrastruktur auf, den Präsidentin von der Leyen am 5. Oktober im Europäischen Parlament vorgelegt hat. Die kritischen Einrichtungen Europas sind in größerem Maße miteinander verbunden und voneinander abhängig, wodurch sie stärker und effizienter, aber im Falle eines Sicherheitsvorfalls auch anfälliger geworden sind. Der Angriffskrieg Russlands gegen die Ukraine hat neue Risiken, physische Angriffe und Cyberangriffe mit sich gebracht, die oft kombiniert als hybride Bedrohung auftreten. Die Sabotage an den Nord-Stream-Gaspipelines und andere Sicherheitsvorfälle in jüngster Zeit haben deutlich gemacht, dass die Resilienz der kritischen Infrastruktur der EU bedroht ist. Die Fähigkeit der EU, sich vor Angriffen auf kritische Infrastruktur sowohl in der EU selbst als auch in ihrer unmittelbaren Nachbarschaft zu schützen, muss dringend gestärkt werden.
Als zentrales Element der Arbeiten der EU am Aufbau einer Sicherheitsunion hat die Kommission bereits 2020 aktualisierte Vorschriften zur Stärkung der Resilienz kritischer Einrichtungen vorgeschlagen. Mit der kürzlich vereinbarten Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) und der überarbeiteten Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2-Richtlinie) wird die EU bald über einen aktualisierten und umfassenden Rechtsrahmen verfügen, um sowohl die physische als auch die Cyberresilienz kritischer Infrastruktur zu stärken. In Anbetracht der sich rasch ändernden Bedrohungslage muss die Anwendung der neuen Vorschriften jedoch beschleunigt werden.
Die im Entwurf vorliegende Empfehlung zielt darauf ab, die Arbeiten zum Schutz kritischer Infrastruktur in drei Schwerpunktbereichen zu maximieren und zu beschleunigen: Abwehrbereitschaft, Reaktionsfähigkeit und internationale Zusammenarbeit. Zu diesem Zweck ist darin eine stärkere Unterstützungs- und Koordinierungsfunktion der Kommission vorgesehen, um die Abwehrbereitschaft und Reaktionsfähigkeit gegenüber den derzeitigen Bedrohungen zu verbessern, sowie eine verstärkte Zusammenarbeit zwischen den Mitgliedstaaten und mit benachbarten Drittländern. Vorrang sollten die Schlüsselbereiche Energie, digitale Infrastruktur, Verkehr und Raumfahrt erhalten.
Der EU kommt in Bezug auf Infrastruktur, die Grenzen überschreitet oder mit der grenzüberschreitende Dienste erbracht werden und die somit die Interessen mehrerer Mitgliedstaaten berührt, eine besondere Rolle zu. Die eindeutige Ermittlung dieser Infrastruktur und der sie betreibenden Einrichtungen und eine kollektive Verpflichtung zu ihrem Schutz liegen im Interesse aller Mitgliedstaaten. Die Kommission fordert die Mitgliedstaaten auf, Einrichtungen, die kritische Infrastruktur betreiben, Stresstests auf der Grundlage gemeinsamer, auf Unionsebene erarbeiteter Grundsätze zu unterziehen.
Die Stresstestreihe wird durch die Ausarbeitung eines Konzeptpapiers zu Sicherheitsvorfällen und Krisen bei kritischer Infrastruktur ergänzt. Darin werden die Ziele und Methoden der Zusammenarbeit zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU bei der Reaktion auf Anschläge auf kritische Infrastruktur beschrieben und festgelegt, insbesondere wenn diese erhebliche Störungen bei der Bereitstellung von für den Binnenmarkt wesentlichen Diensten verursachen. Dieses Konzeptpapier wird von der Kommission in Zusammenarbeit mit dem Hohen Vertreter und Vizepräsidenten, in Abstimmung mit den Mitgliedstaaten und mit Unterstützung der zuständigen Agenturen ausgearbeitet. Darin wird auf die bestehende Integrierte Regelung für die politische Reaktion auf Krisen (IPCR) für die Koordinierung der Reaktion zurückgegriffen.
Die im Entwurf vorliegende Empfehlung zielt darauf ab, die Frühwarn- und Reaktionsfähigkeit bei Störungen kritischer Infrastruktur im Rahmen des Katastrophenschutzverfahrens der Union zu stärken. Die Kommission wird regelmäßig die Angemessenheit und Einsatzbereitschaft der bestehenden Bewältigungskapazitäten überprüfen und Tests für die sektorübergreifende Zusammenarbeit auf EU-Ebene organisieren.
In dem Empfehlungsentwurf wird auch zu einer verstärkten Zusammenarbeit mit wichtigen Partnern und Nachbarländern im Hinblick auf die Resilienz kritischer Infrastruktur aufgerufen. Die Kommission und der Hohe Vertreter werden die Koordinierung mit der NATO im Rahmen des strukturierten Dialogs zwischen der EU und der NATO über Resilienz verstärken und zu diesem Zweck eine Taskforce einsetzen.
Der für die Förderung unserer europäischen Lebensweise zuständige Vizepräsident Margaritis Schinas erklärte dazu: „Die kritischen Infrastrukturen sind immer stärker miteinander verknüpft worden und hängen zunehmend voneinander ab. Ganz gleich, ob es sich um Pipelines, Verkehrswege oder Unterseekabel handelt, eine Störung in einem Land kann einen Kaskadeneffekt mit weitreichenden Folgen für die gesamte Union haben. Die Kommission hat frühzeitig gemäß ihrem Auftrag gehandelt, ein robustes System aufzubauen, das die Infrastruktur online und offline schützt. Die Nord-Stream-Sabotage und andere Sicherheitsvorfälle in jüngster Zeit zeigen, dass wir die Einrichtung dieses neuen Systems beschleunigen und starke Krisenkoordinierungsmechanismen aufbauen müssen, um jetzt handeln zu können.“
Die für Inneres zuständige EU-Kommissarin Ylva Johansson erläuterte: „Angesichts der sich rasch ändernden Bedrohungen, des Angriffskriegs Russlands gegen die Ukraine und der Sabotage an Nord Stream und am deutschen Schienennetz müssen wir unsere Arbeiten zum Schutz unserer Infrastruktur beschleunigen. Das Europäische Parlament und der Rat haben sich bereits darauf geeinigt, den Rechtsrahmen zu vertiefen, um die Resilienz von Einrichtungen, die kritische Infrastruktur betreiben, zu stärken. In Anbetracht der Bedrohungen, die wir heute sehen, müssen wir jedoch die Anwendung der neuen Vorschriften beschleunigen und unsere Arbeiten durch zusätzliche Maßnahmen und eine engere Zusammenarbeit intensivieren.“
Der für den Binnenmarkt zuständige Kommissar Thierry Breton fügte hinzu: „Die geopolitische Realität zwingt uns, die Resilienz der kritischen Infrastruktur Europas in allen Dimensionen – im Cyber- und im physischen Bereich – zu stärken. Die beiden neuen Richtlinien, die NIS2- und die CER-Richtlinie, die zwei Seiten derselben Medaille sind, wollen wir nun noch schneller umsetzen. Wir haben bereits die Grundlagen für Zusammenarbeit, Koordinierung und Abwehrbereitschaft im Cyberbereich geschaffen und können uns von ihnen inspirieren lassen. Die Kommission hat auch ein kurzfristiges Notfallprogramm eingerichtet, um die Mitgliedstaaten bei der Stärkung ihrer Cyberabwehr zu unterstützen, z. B. durch Förderung von Penetrationstests.“
Nächste Schritte
Präsidentin von der Leyen wird den Vorschlag für eine Empfehlung des Rates zur Resilienz kritischer Infrastruktur auf der Tagung des Europäischen Rates am 20./21. Oktober den Spitzen der EU und der Mitgliedstaaten vorlegen.
Hintergrund
Im Sommer 2022 erzielten die beiden gesetzgebenden Organe eine politische Einigung über die Vertiefung des EU-Rechtsrahmens zur Stärkung der Resilienz von Einrichtungen, die kritische Infrastruktur betreiben. Eine Verständigung wurde über die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) und die überarbeitete Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2-Richtlinie) erreicht. Die neuen Rechtsvorschriften werden voraussichtlich Ende 2022 oder Anfang 2023 in Kraft treten, und die Mitgliedstaaten sollten ihrer Umsetzung und Anwendung Vorrang einräumen. Die CER-Richtlinie enthält einen neuen Rahmen für die Zusammenarbeit sowie Verpflichtungen für Mitgliedstaaten und kritische Einrichtungen zur Stärkung der physischen, nicht cyberbezogenen Resilienz. Erfasst sind nun elf Bereiche: Energie, Verkehr, digitale Infrastruktur, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, öffentliche Verwaltung, Raumfahrt und Lebensmittel. Mit der NIS2-Richtlinie wird ein breiter sektoraler Geltungsbereich der Verpflichtungen im Hinblick auf die Cybersicherheit festgelegt. Dazu gehört eine neue Verpflichtung für die Mitgliedstaaten, Unterseekabel gegebenenfalls in ihre Cybersicherheitsstrategien aufzunehmen.
Nach den Sabotageakten gegen die Nord-Stream-Pipelines legte Präsidentin von der Leyen am 5. Oktober 2022 einen Fünf-Punkte-Plan für eine resiliente kritische Infrastruktur vor. Seine Kernpunkte sind bessere Abwehrbereitschaft, Zusammenarbeit mit den Mitgliedstaaten bei Stresstests, denen ihre kritische Infrastruktur zunächst im Energiebereich und dann in anderen Bereichen mit hohem Risiko unterzogen werden soll, Verbesserung der Reaktionsfähigkeit, insbesondere durch das Katastrophenschutzverfahren der Union, sinnvolle Nutzung der Satellitenkapazitäten zur Erkennung potenzieller Bedrohungen sowie Verstärkung der Zusammenarbeit mit der NATO und wichtigen Partnern im Hinblick auf die Resilienz kritischer Infrastruktur.
Interview mit Claudia Zimmermann
