Was verlangt die RCE-Richtlinie?
Im Grunde ist ein Business Continuity Management System (BCMS) gefragt
Wir helfen Ihnen die NIS2-Anforderungen umzusetzen ....
Richtlinie für Resillenz von kritischen Betreibern (RCE-Richtlinie)
Zusammenfassung RCE-Richtlinie
Die RCE-Richtlinie baut auf der bis jetzt gültigen European Critical Infrastructure Richtlinie (CI) auf. Die EU-Kommision hat am 16.12.2020 den Vorschlag vorgelegt, der derzeit bearbeitet wird.
Dabei ist die RCE-Richtlinie ein Teil eines großen Maßnahmenpakets zur ständigen Verbesserung der Widerstandsfähigkeit und Reaktionsfähigkeit im Bereich der Cybersicherheit und Aufrechterhaltung kritischer Strukturen.
Hierzu gehört auch die EU-NIS2-Richtlinie für die Sicherheit von Netz- und Informationssystemen.
Der Entwurf der RCE-Richtlinie wird demnächst freigegeben und muss nun noch verabschiedet werden. Es ist damit zu rechnen, dass die RCE-Richtlinie noch in 2022 in Kraft treten wird.
Innerhalb von 18 Monaten ist die EU-NIS2-Richtlinie in nationales Recht umzusetzen. Man geht davon aus, dass diese sofort wirkt und keine Umsetzungsfrist gilt – analog zur Datenschutz Grundverordnung (DS GVO).
Was ist neu in der RCE-Richtline?
Von ursprünglich zwei Sektoren Energie und Transport, wird die RCE-Richtlinie die zehn Sektoren der NIS2-Richtlinie übernehmen.RCE Sektoren | Konkretisiert | KRITIS | Bemerkungen |
Kritische Sektoren (bezieht sich auf die NIS2-Sektoren) | |||
[1] Abwasser | Abwasserentsorgung | Trinkwasserversorgung Abwasserbeseitigung | Neu |
[2] Banken | Kreditinstitute | Bargeldversorgung Kartengestützter ZahlungsverkehrKonventioneller Zahlungsverkehr Wertpapier- und Derivalgeschäft Versicherungsleistungen, SozialveStromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgung Stromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgungrsicherung, Grundversicherung | |
[3] Digitale Infrastruktur | IXPs DNS TLD Registries Cloud Provider Rechenzentren CDNs TSPs Elektr. Kommunikation | Sprach- und Datenübertragung Datenspeicherung und -verarbeitung | |
[4] Energie | Elektrizität Fernwärme Öl Gas Wasserstoff | Stromversorgung Gasversorgung Kraftstoff- und Heizölverorgung Fernwärmeversorgung | |
[5] Finanzmärkte | Handelsplätze Gegenpartien (CCPs) | Bargeldversorgung Kartengestützter Zahlungsverkehr Konventioneller Zahlungsverkehr Wertpapier- und Derivalgeschäft Versicherungsleistungen, Sozialversicherung, Grundversicherung | |
[6] Gesundheit | Gesundheitsdienstleister EU Labore Medizinforschung Pharmazeutik Medizingeräte | Stationäre medizinische Versorgung Versorgung mit lebenserhaltenden Medizinprodukte Versorgung mit Arzneien und Blut/Plasma Laboratoriumdiagnostik | |
[7] Transport | Luft Schiene Wasser Straße | Luftverkehr Schienenverkehr Binnen und Seeschifffahrt Straßenverkehr Öffentlicher Personennahverkehr, Netze, Verkehrssteuerung und Leitzentralen Übergreifend Wetter und Satellitennavigation | |
[8] Trinkwasser | Wasserversorgung | Trinkwasserversorgung Abwasserbeseitigung | |
[9] Raumfahrt | Bodeninfrastruktur | Transport (Bodeninfrastruktur) | Neu |
[10] Öffentliche Verwaltung | Zentralregierung Landesregierung Regierungsbezirke | Neu |
Welche Maßnahmen verlangt die RCE-Richtlinie
Die kritischen Betreiber müssen innerhalb von sechs Wochen nach ihrer eigenen Identikation die Ausfallrisiken mittels einer eigenen Risikobeurteilung identifizieren und beurteilen. Dabei sind auch Koppelungen zu anderen kritischen Betreibern, Sektoren oder Ländern mit einzubeziehen. Die Risikobeurteilung ist innerhalb vier Jahren zu wiederholen. Für die Risiken müssen Risiko-Gegenmaßnahmen festgelegt werden und in einem Resillenz-Plan dokumentiert werden. Die EU Kommision kann diesen Prozess überwachen.Folgende Maßnahmen stellen das Minium dar:
- Vorsorge: Es sind Präventionsmaßnahmen gegen Disaster und zur Anpassung an den Klimawandel festzulegen und abzusichern,
- Physische Sicherheit: Die sensiblen Bereiche der kritischen Dienstleistungen sind als Sicherheitszonen mittels physischen Schutzmaßnahmen wie
Perimeterüberwachung , Detektion und Zutrittskontrolle abzusichern.
- Personal: Es ist ein Sicherheitsmanagement und besondere personelle Sicherheit für sensible und Schutzbereiche der Kritischen
Dienstleistungen in Form von Zutrittskontrollen etc. einzurichten. - Krisen: Es ist ein Risiko- und Krisenmangement zur Bewältigung von Krisen einzurichten
- Organisation: Es sind Prozesse, Prozeduren, Protokolle und Alarmierungsverfahren umzusetzen
- Awareness: Das Personal ist entsprechend zu schulen
Einsatz von Standards zur Erfüllung der RCE-Richtlinie
Die Systeme sind nach dem Stand der Technik aufzubauen.Bußgelder / Strafen nach der RCE-Richtlinie
Für Verstöße gegen die RCE Vorgaben sollen durch nationale Behörden angemessene Sanktionen verhängt werden.
Empfehlungen für Unternehmen
Da die die Marktlage bei der Verfügbarkeit für Spezialisten für BCM knapp sind und die Vorlaufzeit für ggf. notwendigen Maßnahmen erheblich sein können, sollten Unternehmen spätestens mit der Verabschiedung der NRCE-Richtlinie in der EU prüfen, welche neuen rechtlichen Pflichten sie beachten müssen.
Hierfür sind dann auch notwendige interne Kapazitäten einzuplanen und das Vorhaben sollte offiziell in die Projektplanung 2023 aufgenommen werden.
Prüfen Sie unsere Portale ISO27001 und TISAX, Prozessmodell und e-Learning
Hier finden Sie Informationen zur EU-NIS2-Richtlinie. Gilt RCE für Sie, dann gilt die NIS2-Richtlinie ebenfalls für die Umsetzung für Sie.
Kontaktinformationen
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
MONTAG-FREITAG 09:00 - 17:00
SAMSTAG-SONNTAG geschlossen