Neben der viel diskutierten NIS2-Richtlinie gibt es eine zweite EU-Vorgabe, die im deutschen Mittelstand bisher wenig Beachtung findet: die CER-Richtlinie (Critical Entities Resilience Directive). Während NIS2 Cyberresilienz adressiert, geht es bei CER um physische und operative Resilienz kritischer Einrichtungen — also Naturgefahren, Sabotage, Stromausfall, Lieferkettenstörungen, hybride Bedrohungen.
Dieser Artikel ordnet ein, wer betroffen ist, was umzusetzen ist und wie sich CER zur NIS2 verhält — sachlich, ohne erfundene Bußgeldzahlen.
Was ist die CER-Richtlinie?
Die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (kurz CER) wurde am 14. Dezember 2022 verabschiedet und ist Teil eines Pakets mit der NIS2-Richtlinie. Sie löst die alte EPSKI-Richtlinie (Europäische Kritische Infrastrukturen) aus dem Jahr 2008 ab und erweitert deren Anwendungsbereich erheblich.
Kerngedanke: Bestimmte Einrichtungen sind so wichtig für das Funktionieren des Binnenmarkts und der Gesellschaft, dass sie aktiv resilient gehalten werden müssen — gegen alle Arten von Bedrohungen, nicht nur Cyber.
Umsetzung in Deutschland: Das CER-Umsetzungsgesetz (CER-UmsG) befindet sich Stand 2026 im Gesetzgebungsverfahren. Der Bundesinnenminister hat die Umsetzung mehrfach verzögert; mit dem Inkrafttreten ist im Laufe von 2026 zu rechnen. Wer betroffen ist, sollte den Stand der Gesetzgebung aktiv verfolgen — am besten über die offiziellen Mitteilungen des BMI und des BSI.
Geltungsbereich: Welche Sektoren?
Die CER-Richtlinie nennt elf Sektoren mit kritischen Einrichtungen:
- Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheit (Krankenhäuser, Hersteller von Medizinprodukten, Pharma)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDNs, Vertrauensdiensteanbieter)
- Öffentliche Verwaltung
- Weltraum (Bodeninfrastruktur für Raumfahrt)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
Im Vergleich zur alten EPSKI-Richtlinie (nur Energie und Verkehr) ist das eine deutliche Erweiterung — insbesondere durch die Aufnahme von Trinkwasser, Abwasser, öffentlicher Verwaltung und Lebensmitteln.
Schwellenwerte: Wer gilt als “kritische Einrichtung”?
Im Unterschied zur NIS2 werden bei CER keine pauschalen Größenkriterien (z.B. “mehr als 50 Mitarbeiter”) angelegt. Stattdessen identifiziert jeder Mitgliedstaat die kritischen Einrichtungen einzeln auf Basis von:
- Bedeutung der von der Einrichtung erbrachten Dienste für die Aufrechterhaltung kritischer Funktionen
- Abhängigkeit anderer Sektoren von der Einrichtung
- Geografische Reichweite der erbrachten Dienste
- Auswirkungen eines Ausfalls auf Gesellschaft und Wirtschaft
- Verfügbarkeit alternativer Anbieter
Konkret heißt das: Ein mittelständischer Wasserversorger kann CER-pflichtig sein, wenn er für die Region ohne Alternative ist. Ein gleich großer industrieller Lebensmittelhersteller kann ebenfalls in den Geltungsbereich fallen, wenn er einen relevanten Anteil an einer Lieferkette stellt.
Behörden teilen die Einstufung mit. Die Identifizierung erfolgt durch die zuständige nationale Behörde — Unternehmen erhalten eine Mitteilung über ihre Einstufung als kritische Einrichtung. Anders als bei NIS2 ist hier also keine reine Selbstprüfung gefragt; aber wer in einem der elf Sektoren tätig ist und nicht ganz klein ist, sollte mit einer Einstufung rechnen.
Abgrenzung zu NIS2
Die häufigste Verwechslung im Markt:
| Aspekt | NIS2 | CER |
|---|---|---|
| Schwerpunkt | Cybersicherheit | Physische und operative Resilienz |
| Bedrohungstyp | IT-Sicherheitsvorfälle | Alle Bedrohungen (Naturgefahren, Sabotage, hybride Angriffe, technische Ausfälle) |
| Identifikation | Selbstprüfung mit Schwellenwerten | Behördliche Mitteilung |
| Sektoren | 18 (Anhang I + II) | 11 |
| Umsetzungsgesetz DE | NIS2UmsuCG | CER-UmsG (im Verfahren) |
| Behörde | BSI | BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), in Abstimmung mit BSI |
Wichtig: Viele kritische Einrichtungen werden gleichzeitig unter NIS2 und CER fallen — ein Krankenhaus ist sowohl wesentliche Einrichtung nach NIS2 als auch kritische Einrichtung nach CER. Die Pflichten ergänzen sich; doppelte Berichtswege werden in der Praxis durch koordinierte Behördenkommunikation entschärft, aber das Risiko-Assessment muss beide Dimensionen abdecken.
Pflichten für kritische Einrichtungen
Die CER-Richtlinie verpflichtet kritische Einrichtungen zu:
1. Risikoabschätzung
Eine systematische Bewertung aller relevanten Risiken, die die Erbringung kritischer Dienste beeinträchtigen können. Das beinhaltet ausdrücklich:
- Naturgefahren (Hochwasser, Sturm, Hitze, Erdbeben — je nach Region)
- Technische Ausfälle (Stromausfall, Lieferkettenstörung)
- Vorsätzliche Handlungen (Sabotage, Terrorismus, Cyberangriffe mit physischen Auswirkungen)
- Hybride Bedrohungen (Kombination aus Cyber + Physisch + Desinformation)
- Pandemische Lagen
Die Risikoabschätzung muss mindestens alle vier Jahre aktualisiert werden — bei wesentlichen Veränderungen häufiger.
2. Resilienzplan / Resilienzmaßnahmen
Auf Basis der Risikoabschätzung müssen die Einrichtungen angemessene und verhältnismäßige Maßnahmen ergreifen, um:
- Vorfälle zu verhindern
- Den Schutz von Räumlichkeiten und kritischer Ausrüstung sicherzustellen
- Auf Vorfälle zu reagieren und sich davon zu erholen
- Folgen für die Allgemeinheit zu minimieren
- Mitarbeiter zu schulen
Die Richtlinie ist hier bewusst technologieoffen — sie schreibt keine konkreten Werkzeuge vor, sondern setzt auf einen risikobasierten Ansatz mit Stand-der-Technik-Maßnahmen.
3. Sicherheitsüberprüfungen von Personal
Einrichtungen dürfen für sicherheitsrelevante Positionen Hintergrundüberprüfungen anfordern. Was genau “sicherheitsrelevant” ist, definiert der Mitgliedstaat. In Deutschland wird das voraussichtlich an bestehende Strukturen der Sicherheitsüberprüfung anschließen.
4. Meldepflicht für erhebliche Vorfälle
Erhebliche Vorfälle, die die Erbringung kritischer Dienste beeinträchtigen, müssen der zuständigen Behörde unverzüglich gemeldet werden. Die genauen Fristen ergeben sich aus dem CER-UmsG; das Modell wird sich voraussichtlich an die NIS2-Fristen (Frühwarnung innerhalb 24h, Meldung innerhalb 72h, Abschlussbericht innerhalb 1 Monat) anlehnen.
5. Sektorenübergreifender Informationsaustausch
Kritische Einrichtungen sollen sich an freiwilligen oder verpflichtenden Informationsaustausch-Netzwerken beteiligen — sowohl national als auch grenzüberschreitend bei besonders kritischen Einrichtungen.
Was bedeutet das konkret für den Mittelstand?
Drei Szenarien, die wir aus DATAZONE-Kundengesprächen kennen:
Szenario 1: Mittelständischer Wasserversorger (250 MA, 80.000 Einwohner Versorgungsgebiet)
- Sektor: Trinkwasser — eindeutig CER-relevant
- Gleichzeitig NIS2-pflichtig (wesentliche Einrichtung im Wassersektor)
- Maßnahmen: Risiko-Assessment für Anlagen (SCADA, Pumpwerke), Notfallpläne für Stromausfall (Diesel-USV, Inselbetrieb), redundante Trinkwasseraufbereitung, Sabotage-Schutz physischer Anlagen, Cyber-Resilience der Steuerungstechnik
Szenario 2: Klinikum (450 Betten)
- Sektor: Gesundheit — CER-relevant
- Gleichzeitig NIS2-pflichtig
- Maßnahmen: Notstromversorgung > 72h, Wasserspeicher, Lieferkettenredundanz für Medikamente, IT-Resilience inkl. Klinikinformationssystem, Personalschulung für hybride Krisenlagen
Szenario 3: Lebensmittelhersteller, regionaler Marktführer (180 MA)
- Sektor: Lebensmittel — CER-Einstufung möglich, aber abhängig von behördlicher Bewertung
- Maßnahmen-Vorbereitung sinnvoll auch ohne Einstufung: Kühlketten-Resilience, Energieversorgung, Lieferketten-Risk-Assessment, IT-Sicherheit der Produktionssteuerung
Konkrete Maßnahmen — ein pragmatischer Startpunkt
Wer als Mittelständler mit CER-Einstufung rechnet, sollte schon vor dem Inkrafttreten des CER-UmsG die Hausaufgaben machen. Empfohlene Reihenfolge:
- Sektorale Selbsteinschätzung. Sind wir in einem der elf Sektoren? Falls ja: wie groß ist unsere Bedeutung in der Region / im Markt?
- Risk Assessment. All-Hazards-Ansatz: nicht nur Cyber, sondern auch Strom, Wasser, Personal, Lieferkette, Naturgefahren der Region. Methodisch hilfreich: BSI-Standard 200-3 als Rahmen.
- Bestandsaufnahme der Resilience-Maßnahmen. Was haben wir? Notstrom (wie lange?), redundante Standorte, Vertretungsregelungen, Cyber-Sicherheit (siehe NIS2-Pflichten, Linux-Server-Hardening).
- Lücken-Analyse. Was fehlt? Priorisierung nach Risiko-Score x Eintrittswahrscheinlichkeit.
- Resilienzplan dokumentieren. Schriftlich, mit Verantwortlichkeiten, Eskalationsstufen, Aktualisierungsrhythmus.
- Übungen. Mindestens jährlich eine Tabletop-Übung (Krisenszenario im Konferenzraum durchsprechen), alle zwei Jahre eine echte Stab- oder Vollübung.
- Lieferketten-Resilience. Single-Source-Abhängigkeiten identifizieren und entschärfen (Alternativ-Lieferanten, Pufferbestände, Verträge mit Eskalationsregeln).
Die meisten dieser Schritte sind unabhängig von der formalen CER-Einstufung sinnvoll. Wer sie hat, ist auch bei NIS2-, ISO-27001- und Versicherungs-Audits in einer deutlich besseren Position.
Was ist mit Bußgeldern?
Die CER-Richtlinie überlässt die Festlegung der Sanktionen den Mitgliedstaaten. Der deutsche Entwurf des CER-UmsG sieht abgestufte Bußgelder vor. Konkrete Höhen sind im laufenden Gesetzgebungsverfahren noch in Bewegung und können sich bis zur Verabschiedung ändern.
Wir verzichten bewusst auf konkrete Zahlen in diesem Artikel — wer abschließende Bußgeldrahmen prüfen will, sollte den finalen Gesetzestext und die Erläuterungen aus dem BMI heranziehen. Die Größenordnung wird sich voraussichtlich am NIS2-Niveau orientieren (also signifikante Summen für mittelständische Bilanzen).
DATAZONE-Empfehlung
CER ist keine reine Cyber-Diskussion — es ist eine Resilience-Diskussion. Wer NIS2 schon angegangen ist, hat einen Teil der Hausaufgaben erledigt (Cybersicherheit ist eines der adressierten Risiken), aber die physisch-operative Dimension kommt zusätzlich hinzu.
Pragmatischer Pfad für Mittelständler in CER-Sektoren:
- Risk Assessment all-hazards beauftragen (intern oder mit Beratung)
- Notstrom- und Notwasser-Konzepte überprüfen
- Lieferketten-Single-Sources identifizieren
- Cyber-Resilience (NIS2-Maßnahmen) auf das Niveau bringen, das auch CER abdecken wird
- Krisenkommunikation und Stabsorganisation einüben
- Dokumentation pflegen — Audits werden kommen
Wir bei DATAZONE unterstützen bei der technischen Resilience-Ebene (Backup-Strategien, redundante IT-Infrastruktur, Disaster-Recovery-Planung, Compliance-Berichte) und arbeiten bei Bedarf mit spezialisierten Compliance-Beratern für die organisatorische Seite.
Quellen und weiterführende Artikel
Weitere Artikel
Cyberversicherung 2026: Was Versicherer von KMU fordern
Versicherer verlangen 2026 immer detailliertere Mindeststandards — MFA überall, dokumentiertes Patch-Management, EDR, Immutable-Backups, Schulungen, Incident-Response-Plan, Segmentierung. Was im Fragebogen vor Abschluss steht und worauf im Schadensfall geprüft wird.
Backup-Verschlüsselung: Schlüsselverwaltung richtig
Verschlüsselte Backups sind nutzlos, wenn die Schlüsselverwaltung nicht stimmt. Symmetrisch vs. asymmetrisch, Tresor-Optionen, Rotation, Recovery-Szenarien und die Tool-Praxis bei PBS, Restic und TrueNAS.
ISO 27001 für KMU: Ein realistischer Einstieg
Wie ein mittelständisches Unternehmen ISO/IEC 27001 angeht — Aufwand, Annex-A-Controls, Statement of Applicability, Tools wie verinice. Ein nüchterner Pfad ohne erfundene Statistiken.