Die EU hatte im Jahr 2006 das Europäische Programm für den Schutz kritischer Infrastrukturen (EPSKI) aufgelegt und 2008 eine Richtlinie über europäische kritische Infrastrukturen verabschiedet, die jedoch nur für den Energie- und den Verkehrssektor galt und seitdem nicht aktualisiert wurde. Vor einigen Tagen ist die EU-Kommission zum Thema Kritische Infrastrukturen an die Öffentlichkeit getreten.

Insbesondere der Angriffskrieg Russlands gegen die Ukraine hat neue Risiken, physische Zerstörungen und Cybergefahren mit sich gebracht, die oft kombiniert als hybride Bedrohung auftreten. Die Sabotage an den Nord-Stream-Gaspipelines und andere Sicherheitsvorfälle in jüngster Zeit haben deutlich gemacht, dass die Resilienz der kritischen Infrastrukturen der EU erheblich verstärkt werden muss. Die in den vergangenen Wochen durchgeführten Angriffe auf die ukrainische Energieinfrastruktur haben zudem gezeigt, wie fragil insbesondere die Energienetze als elementarer Eckpfeiler der kritischen Infrastruktur sind.

Als zentrales Element der Arbeiten am Aufbau einer Sicherheitsunion hat die EU-Kommission bereits 2020 aktualisierte Vorschriften zur Stärkung der Resilienz kritischer Einrichtungen vorgeschlagen. Mit der kürzlich vereinbarten Richtlinie über die Resilienz kritischer Einrichtungen (die sogenannte CER-Richtlinie) und der überarbeiteten Richtlinie über die Sicherheit von Netzund Informationssystemen (die sogenannte NIS2-Richtlinie) strebt die EU einen aktualisierten und umfassenden Rechtsrahmen an, um sowohl die physische als auch die Cyberresilienz kritischer Infrastrukturen zu stärken. In Anbetracht der sich rasch ändernden Bedrohungslage soll die Umsetzung dieser neuen Vorschriften zudem erheblich beschleunigt werden. Die CER-Richtlinie wird die Richtlinie über kritische europäische Infrastrukturen aus dem Jahr 2008 ablösen.

Der Anwendungsbereich bezieht weitere Branchen ein und soll es den Mitgliedstaaten und kritischen Einrichtungen ermöglichen, gegenseitige Abhängigkeiten und mögliche Kaskadeneffekte eines Sicherheitsvorfalls besser zu steuern. Erfasst sind neben den Ursprungssektoren Energie und Verkehr jetzt auch das Bankenwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und die Lieferketten der Lebensmittelindustrie.

Könnte man die Bereiche nicht in einer Regulierung zusammenfassen? Theoretisch ja, da beide Richtlinien die Resilienz von kritischen Infrastrukturen zum Ziel haben und ähnliche Koordinierungsmechanismen zwischen Betreibern von kritischen Infrastrukturen aber auch den Mitgliedstaaten enthalten. Praktisch würde aber die Integration dieser beiden Regelwerke eine immens hohe Komplexität bei der Auslegung und Umsetzung der Richtlinien erzeugen. Die Pakete sind bereits einzeln „schwere Kost“ und werden lange Umsetzungsprojekte in den beteiligten Sektoren aber auch in den Verwaltungsapparaten der Mitgliedstaaten nach sich ziehen - und diese sind auch nur die „Spitze des Eisbergs“.

Eine oft gestellte Frage ist, ob die Maßnahmen einen wirklichen Schutz von kritischen Assets erreichen und so die Bevölkerung in Gefährdungssituationen optimal schützen. Aufgrund der Funktion der EU-Kommission kann sie nur grobe Leitlinien zum Schutz der kritischen Infrastrukturen entwerfen. Sie muss dafür Sorge tragen, dass die wesentlichen Sektoren berücksichtigt werden, wichtige Schaltstellen und Sabotageziele klar identifiziert sind und ein Netz von Frühwarnsystemen und Indikatoren in den Mitgliedstaaten aufgebaut werden, die dann im Ernstfall auch einen europäischen Datenaustausch und eine Koordinierung sowie schnelle Wiederherstellung von Systemen und Versorgungsprozessen ermöglichen.

Viele Mitgliedstaaten und Regierungen fliegen immer noch im „Schönwettermodus“. Der Ausfall von kritischen Systemen und Lieferketten sowie potenzielle Kaskadeneffekte wurden bislang nicht ausreichend analysiert und risikotechnisch abgesichert. Bislang ist es glücklicherweise in Europa kaum zu flächendeckenden Ausfällen von Strom- oder anderen Versorgungsnetzen gekommen. Viele Staaten wiegen sich daher immer noch in hoher, aber trügerischer Sicherheit. Die verschärften Vorschläge der Kommission kommen leider viel zu spät, sie sind aber eine solide Basis, um integrierte Frühwarnsysteme aufzubauen.

Zunächst einmal werden die Mitgliedstaaten aufgefordert eine nationale Strategie aufzusetzen und regelmäßig Risikobewertungen durchführen, um zu ermitteln, welche Einrichtungen als kritisch oder lebenswichtig für Gesellschaft und Wirtschaft zu betrachten sind. Kritische Branchen und Betreiber von Einrichtungen müssen zudem eigene Risikobewertungen vornehmen, technische und organisatorische Maßnahmen ergreifen, um ihre Widerstandsfähigkeit zu erhöhen und Sicherheitsvorfälle melden.

Kritische Einrichtungen, die in der EU in den erfassten Sektoren tätig sind und in sechs oder mehr Mitgliedstaaten wesentliche Dienste erbringen, erhalten eine zusätzliche Beratung darüber, wie sie ihren Verpflichtungen zur Risikobewertung und zur Ergreifung von Maßnahmen zur Stärkung der Widerstandsfähigkeit am besten nachkommen können.

Zudem soll eine neue Koordinationsgruppe für die Resilienz kritischer Einrichtungen die Zusammenarbeit zwischen den Mitgliedstaaten und den Austausch von Informationen und bewährten Verfahren erleichtern.

Um ein kurzfristiges Gefahrenpotential zu mindern, werden die Maßnahmen nicht ausreichen. Denn die neuen Vorschläge werden erst in 2023 in Kraft treten und die Umsetzung wird auf EU-Ebene bereits viele Monate dauern - wenn die Beteiligten schnell sind. Bis diese Maßnahmen in den Zielbranchen und betroffenen Unternehmen ankommen und in funktionierende Prozesse umgesetzt sind, wird es viele Jahre dauern.

Es bleibt nur zu hoffen, dass die Betreiber von kritischen Infrastrukturen, beispielsweise die Stromnetzbetreiber bis dahin keinen schwerwiegenden Cyberoder Sabotageangriffe abwehren müssen, für die sie derzeit noch nicht ausreichend vorbereitet sind. Auch eine Umsetzung der NIS2 oder auch des für die Energie- und Netzwirtschaft spezifischen Network Code für Cybersicherheit wird an dieser Situation nicht viel ändern, da die Unternehmen die Gefährdungen immer noch nicht ernst genug nehmen und meistens erst in einem akuten Bedrohungsszenario nachhaltig aktiv werden.

Weitere Informationen: https://digital-strategy.ec.europa.eu