Die CER-Richtlinie ist die Richtlinie der Europäischen Union über die Resilienz kritischer Einrichtungen. CER steht für Critical Entities Resilience. Gemeint sind Organisationen, Anlagen und Dienste, deren Ausfall erhebliche Folgen für die Versorgung der Bevölkerung, die öffentliche Sicherheit, die Wirtschaft oder staatliche Handlungsfähigkeit haben kann. Die Richtlinie verpflichtet die Mitgliedstaaten, solche kritischen Einrichtungen zu ermitteln, Risiken systematisch zu bewerten und Mindestanforderungen an Schutz, Vorsorge, Reaktionsfähigkeit und Wiederherstellung festzulegen.
Rechtsgrundlage ist die Richtlinie (EU) 2022/2557. Sie ersetzt den älteren europäischen Ansatz zum Schutz kritischer Infrastrukturen, der vor allem ausgewählte europäische Infrastrukturen in Energie und Verkehr betraf. Die CER-Richtlinie ist breiter angelegt. Sie umfasst mehrere Sektoren, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt sowie bestimmte Bereiche der Lebensmittelversorgung. Im Energiesektor betrifft sie insbesondere Einrichtungen, die für Strom, Gas, Öl, Fernwärme oder Fernkälte von hoher Bedeutung sind.
Der Begriff „kritische Einrichtung“ ist dabei nicht identisch mit jeder wichtigen Anlage. Eine Einrichtung wird nicht allein deshalb kritisch, weil sie groß, teuer oder politisch sichtbar ist. Maßgeblich ist, ob ihre Dienstleistung für zentrale gesellschaftliche Funktionen wesentlich ist und ob eine Störung erhebliche Auswirkungen hätte. Diese Bewertung hängt von Schwellenwerten, Sektorlogik, nationaler Risikoanalyse und der Rolle der jeweiligen Einrichtung im Versorgungsnetz ab. Ein Umspannwerk, eine Leitstelle, ein Übertragungsnetzbetreiber, ein großer Energieversorger oder ein Betreiber zentraler Speicher- und Steuerungstechnik können aus sehr unterschiedlichen Gründen relevant sein.
Abgrenzung zu NIS2 und klassischer KRITIS-Regulierung
Die CER-Richtlinie wird häufig mit der NIS2-Richtlinie gleichgesetzt. Beide Regelwerke gehören zusammen, behandeln aber unterschiedliche Risikobereiche. NIS2 richtet den Blick auf Cybersicherheit, also auf digitale Systeme, Netz- und Informationssicherheit, Sicherheitsmanagement, Meldepflichten und organisatorische Anforderungen bei digitalen Risiken. Die CER-Richtlinie behandelt die Widerstandsfähigkeit kritischer Einrichtungen insgesamt. Dazu gehören physische Gefahren, Naturereignisse, Sabotage, Terrorismus, Pandemien, Personalengpässe, Lieferkettenstörungen, Ausfälle von Hilfssystemen, Abhängigkeiten von Dienstleistern und hybride Bedrohungen, bei denen digitale und physische Angriffe zusammenwirken.
Diese Trennung ist für das Stromsystem wichtig. Ein Stromausfall kann durch eine Cyberattacke auf Leittechnik entstehen, aber ebenso durch Hochwasser in einer Schaltanlage, den Ausfall eines Transformators, blockierte Zufahrtswege, fehlende Ersatzteile, einen Brand in einer Leitwarte oder die gleichzeitige Störung von Kommunikation und Personalverfügbarkeit. NIS2 adressiert vor allem die digitale Angriffsfläche. CER fragt zusätzlich, ob eine Einrichtung auch dann betriebsfähig bleibt, wenn Gebäude, Prozesse, Dienstleister, Energieversorgung, Kommunikation oder Personal unter Druck geraten.
Auch der Begriff Kritische Infrastruktur ist nicht deckungsgleich mit der CER-Richtlinie. Kritische Infrastruktur beschreibt den sachlichen Gegenstand: Einrichtungen, Anlagen, Netze und Dienste mit besonderer Bedeutung für das Gemeinwesen. Die CER-Richtlinie beschreibt einen europäischen Rechtsrahmen, mit dem Mitgliedstaaten diese Einrichtungen identifizieren, beaufsichtigen und zu Resilienzmaßnahmen verpflichten. Der Infrastrukturbegriff benennt also das Schutzgut, die Richtlinie ordnet Zuständigkeiten, Verfahren und Pflichten.
Was Resilienz hier konkret bedeutet
Resilienz meint in der CER-Richtlinie nicht bloß Robustheit. Eine robuste Anlage hält bestimmten Belastungen stand. Eine resiliente Einrichtung kann Risiken erkennen, Vorfälle verhindern oder begrenzen, ihren Betrieb unter erschwerten Bedingungen fortsetzen, nach einer Störung wieder funktionsfähig werden und aus Vorfällen organisatorisch lernen. Die Richtlinie verwendet damit einen Ablauf, der von Risikoanalyse über Prävention und Schutzmaßnahmen bis zu Notfallmanagement und Wiederherstellung reicht.
Im Stromsystem betrifft das mehrere Ebenen. Technisch geht es etwa um physische Sicherung von Standorten, Redundanzen in Leittechnik und Kommunikation, Schutz kritischer Knotenpunkte, Notstromversorgung, Ersatzteilstrategien, Schwarzstartfähigkeit, Wiederaufbaupläne und Übungsszenarien. Organisatorisch geht es um klare Verantwortlichkeiten, Meldewege, Lagebilder, Krisenstäbe, Lieferantenmanagement und die Abstimmung mit Behörden. Institutionell geht es um die Frage, welche Behörde zuständig ist, welche Informationen ein Betreiber liefern muss, welche Mindeststandards gelten und wie vertrauliche Sicherheitsinformationen geschützt werden.
Die Richtlinie verlangt keine absolute Sicherheit. Das wäre technisch und wirtschaftlich nicht erreichbar. Sie verlangt eine nachvollziehbare, risikobasierte Vorsorge. Betreiber müssen ihre Gefährdungen kennen, geeignete Maßnahmen festlegen, deren Wirksamkeit überprüfen und erhebliche Vorfälle melden. Nationale Behörden müssen kritische Einrichtungen bestimmen, unterstützen, beaufsichtigen und bei grenzüberschreitenden Abhängigkeiten mit anderen Mitgliedstaaten kooperieren.
Bedeutung für das Stromsystem
Elektrizität ist eine Infrastruktur, von der viele andere Infrastrukturen abhängen. Wasserwerke, Krankenhäuser, Telekommunikation, Verkehr, Zahlungssysteme, öffentliche Verwaltung und große Teile der Wärmeversorgung benötigen Strom. Dadurch hat das Stromsystem eine doppelte Rolle: Es ist selbst kritische Infrastruktur und zugleich Voraussetzung für die Funktionsfähigkeit anderer kritischer Einrichtungen. Ein Ausfall im Strombereich kann deshalb weit über den Energiesektor hinauswirken.
Die CER-Richtlinie macht solche Abhängigkeiten sichtbarer. Für die Stromversorgung reicht es nicht, nur Kraftwerke, Netze oder Marktprozesse getrennt zu betrachten. Ein Übertragungsnetzbetreiber kann technisch gut vorbereitet sein und trotzdem von externen Kommunikationsdiensten, Spezialtransformatoren, Softwarelieferanten, Transportwegen oder Personalverfügbarkeit abhängig bleiben. Ein Verteilnetzbetreiber kann viele dezentrale Anlagen integrieren, benötigt aber zuverlässige Leit- und Schutztechnik. Ein Kraftwerksbetreiber kann Leistung bereitstellen, ist aber unter Umständen von Brennstofflogistik, Kühlwasser, Genehmigungen, Dienstleistern oder Netzanschlüssen abhängig.
Damit berührt die CER-Richtlinie auch die Versorgungssicherheit, erklärt sie aber nicht vollständig. Versorgungssicherheit umfasst im Stromsystem die Fähigkeit, Nachfrage und Angebot jederzeit technisch zuverlässig zu decken. Dazu gehören Erzeugungsleistung, Netze, Systemdienstleistungen, Marktregeln, Reserven und Betriebsführung. CER behandelt die Widerstandsfähigkeit der dafür wichtigen Einrichtungen gegenüber Störungen. Eine Anlage kann für Versorgungssicherheit relevant sein, ohne dass jede Frage ihrer Wirtschaftlichkeit oder Marktrolle unter CER fällt. Umgekehrt kann eine CER-Pflicht bestehen, obwohl die konkrete Einrichtung im normalen Marktbetrieb kaum öffentlich wahrgenommen wird.
Typische Missverständnisse
Ein häufiges Missverständnis besteht darin, die CER-Richtlinie als reines Sicherheitsgesetz für Zäune, Kameras und Zutrittskontrollen zu lesen. Physischer Schutz gehört dazu, bildet aber nur einen Teil. Die Richtlinie verlangt eine Betrachtung der gesamten Betriebsfähigkeit. Ein gut gesicherter Standort bleibt verwundbar, wenn Wiederanlaufpläne fehlen, Schlüsselpersonal nicht verfügbar ist, Ersatzteile nur aus einer fragilen Lieferkette kommen oder die Zusammenarbeit mit Behörden ungeübt bleibt.
Eine zweite Verkürzung liegt in der Annahme, CER sei vor allem eine weitere Meldepflicht. Meldepflichten sind wichtig, weil Behörden und andere Betreiber ein Lagebild benötigen. Die eigentliche Wirkung entsteht jedoch aus der Pflicht zur Risikoanalyse und zur Umsetzung geeigneter Resilienzmaßnahmen. Eine Meldung nach einem Vorfall ersetzt keine Vorsorge. Sie kann aber helfen, Muster zu erkennen, Abhängigkeiten offenzulegen und Schutzanforderungen weiterzuentwickeln.
Problematisch ist auch die Gleichsetzung von Resilienz mit Redundanz. Redundante Technik kann Ausfälle abfangen, verursacht aber Kosten und kann selbst abhängig von denselben Standorten, Lieferanten oder Steuerungssystemen sein. Resilienz kann auch durch organisatorische Verfahren, Diversifizierung von Dienstleistern, Übung, Ersatzteilhaltung, räumliche Trennung, klare Priorisierung im Krisenfall oder schnellere Wiederherstellung entstehen. Welche Maßnahme geeignet ist, hängt vom Risiko, von der Funktion der Einrichtung und von den Folgen eines Ausfalls ab.
Eine weitere Fehlinterpretation betrifft die Rolle des Marktes. Viele Energieeinrichtungen handeln in Märkten, sind aber zugleich Träger einer öffentlichen Versorgungsfunktion. Marktpreise bilden Sicherheitsreserven, physische Härtung, Notfallübungen oder selten benötigte Ersatzkapazitäten nur begrenzt ab. Die CER-Richtlinie verschiebt diese Aufgaben nicht vollständig auf den Staat, sie macht aber deutlich, dass Resilienzanforderungen nicht allein aus kurzfristigen Erlösen entstehen. Aus dieser Ordnung folgt ein Spannungsfeld zwischen Kosten, Regulierung, Betreiberpflichten und öffentlichem Interesse.
Kosten, Zuständigkeiten und Governance
CER-Anforderungen erzeugen Kosten. Betreiber müssen Risiken analysieren, Maßnahmen dokumentieren, Personal schulen, Standorte sichern, Notfallprozesse testen und gegebenenfalls Technik nachrüsten. Im regulierten Netzbereich stellt sich die Frage, wie solche Kosten anerkannt und über Netzentgelte finanziert werden. Bei wettbewerblichen Unternehmen stellt sich die Frage, welche Sicherheitskosten betriebswirtschaftlich tragbar sind und welche Anforderungen gesetzlich vorgegeben werden müssen, weil der gesellschaftliche Schaden eines Ausfalls größer ist als der einzelwirtschaftliche Anreiz zur Vorsorge.
Die Richtlinie löst diese Finanzierungsfragen nicht im Detail. Sie legt den Rahmen fest, den die Mitgliedstaaten in nationales Recht übersetzen müssen. Dort werden zuständige Behörden, Schwellenwerte, Prüfverfahren, Aufsichtsinstrumente, Unterstützungspflichten und Sanktionen konkretisiert. Für Betreiber ist deshalb nicht nur der europäische Text relevant, sondern die nationale Umsetzung in KRITIS-Recht, Energierecht, Sicherheitsrecht und sektorspezifischer Aufsicht.
Für das Stromsystem ist diese institutionelle Ebene keine Nebensache. Netzbetreiber, Kraftwerksbetreiber, Speicherbetreiber, Behörden, Katastrophenschutz, Sicherheitsbehörden und europäische Koordinierungsstellen arbeiten mit unterschiedlichen Mandaten. Der Konflikt entsteht dort, wo technische Möglichkeit, Marktregel und politische Zuständigkeit auseinanderfallen. Eine Leitstelle kann technische Maßnahmen vorbereiten, darf aber bestimmte Informationen nicht frei teilen. Eine Behörde kann Anforderungen formulieren, muss aber Verhältnismäßigkeit, Geheimschutz und Zuständigkeitsgrenzen beachten. Ein Betreiber kann Resilienz verbessern, benötigt dafür aber Investitionssicherheit und klare Anerkennung der Kosten.
Die CER-Richtlinie bezeichnet daher keinen einzelnen technischen Standard, sondern einen Ordnungsrahmen für die Widerstandsfähigkeit kritischer Einrichtungen. Im Stromsystem präzisiert sie, dass Versorgung nicht nur durch verfügbare Kilowattstunden, Leitungen und Marktprozesse gesichert wird. Sie hängt auch davon ab, ob die Einrichtungen, die diese Funktionen tragen, Störungen antizipieren, aushalten und geordnet bewältigen können.