Rechtsgrundlage
Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022, veröffentlicht im Amtsblatt der EU am 27. Dezember 2022. Ersetzt die ECI-Richtlinie 2008/114/EG.
Die EU-Richtlinie 2022/2557 verpflichtet Betreiber kritischer Infrastrukturen in 11 Sektoren zu physischer, organisatorischer und digitaler Resilienz. In Deutschland gilt seit Juli 2025 das KRITIS-Dachgesetz als nationales Umsetzungsgesetz.
Was ist die RCE-Richtlinie?
Die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (Resilience of Critical Entities Directive, RCE) bildet zusammen mit der NIS2-Richtlinie das neue europäische Sicherheitsrahmenwerk. Während NIS2 die Cybersicherheit adressiert, fokussiert RCE auf die physische, organisatorische und systemische Widerstandsfähigkeit kritischer Infrastrukturen gegenüber allen Bedrohungen – ob Naturkatastrophen, Terroranschläge oder hybride Angriffe.
ℹ Hinweis: CER- und RCE-Richtlinie – zwei Namen, ein Gesetz
Es gibt keinen inhaltlichen Unterschied zwischen der CER- und der RCE-Richtlinie; es handelt sich um zwei Bezeichnungen für dasselbe EU-Gesetz. [1] [2]
Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022, veröffentlicht im Amtsblatt der EU am 27. Dezember 2022. Ersetzt die ECI-Richtlinie 2008/114/EG.
Umsetzung in nationales Recht bis 17. Oktober 2024. Deutschland hat das KRITIS-Dachgesetz (KRITIS-DachG) verabschiedet, das seit 4. Juli 2025 in Kraft ist und die RCE-Anforderungen in deutsches Recht überführt.
11 Sektoren, darunter Energie, Verkehr, Banken, Gesundheit und digitale Infrastruktur. Mitgliedstaaten identifizieren bis Oktober 2024 kritische Einrichtungen und notifizieren diese. Besonders kritische Einrichtungen können EU-weit eingestuft werden.
RCE verfolgt einen All-Hazards-Ansatz: Naturkatastrophen, technisches Versagen, Terroranschläge, Sabotage, Insider-Bedrohungen, hybride Angriffe und Pandemien. Erstmals wird physische Resilienz systematisch neben Cybersicherheit geregelt.
Wer ist betroffen?
Anhang I der RCE-Richtlinie definiert 11 Sektoren und 17 Teilsektoren. Mitgliedstaaten identifizieren je Sektor die kritischen Einrichtungen auf Basis nationaler Risikobeurteilungen – und notifizieren betroffene Betreiber offiziell.
Strom, Öl, Gas, Fernwärme, Wasserstoff – Erzeuger, Netzbetreiber, Versorger
Luftfahrt, Schienenverkehr, Wasserstraßen, Straßenverkehr inkl. Infrastruktur
Kreditinstitute im Sinne der CRR-Verordnung, systemrelevante Banken
Handelsplätze, zentrale Gegenparteien (CCPs), Transaktionsregister
Krankenhäuser, Labore, Medizingerätehersteller, Arzneimittelversorgung
Wassergewinnung, Aufbereitung und Verteilung (Trinkwasserversorgung)
Abwassersammlung, -behandlung und -entsorgung (kommunal & industriell)
IXP, DNS-Resolver, TLD-Register, Cloud-Anbieter, Rechenzentren, CDN
Managed Service Provider (MSP), Managed Security Service Provider (MSSP)
Zentral- und Regionalverwaltungen, sofern von den Mitgliedstaaten als kritisch eingestuft
Bodeninfrastrukturen für weltraumgestützte Dienste (neu in RCE gegenüber ECI)
Handlungspflichten
Die RCE-Richtlinie legt einen klaren Pflichtenkatalog für notifizierte kritische Einrichtungen fest. Die Umsetzung muss systematisch und dokumentiert erfolgen.
Innerhalb von 9 Monaten nach Notifizierung: Risikobeurteilung auf Basis des nationalen KRITIS-Risikoprofils. All-Hazards-Ansatz, Abhängigkeiten und Kaskadeneffekte sind zu berücksichtigen.
Physische Zutrittssicherung, Überwachungssysteme, Lieferkettensicherheit, Geschäftskontinuitätsplanung, Krisenmanagement und Wiederanlaufplanung nach Störungen.
Dokumentierter Resilienzplan, der Maßnahmen, Verantwortlichkeiten, Eskalationswege und Testverfahren beschreibt. Der Plan ist regelmäßig zu aktualisieren und der zuständigen Behörde vorzulegen.
Erhebliche Störungen sind unverzüglich, spätestens binnen 24 Stunden, an die zuständige Behörde zu melden. Folgemeldung mit Details innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
Kritische Einrichtungen dürfen für Personen in sensiblen Positionen Hintergrundüberprüfungen beim zuständigen Mitgliedstaat beantragen. Dies umfasst Vorstrafenregister und Sicherheitsüberprüfungen – eine neue Pflicht, die insbesondere für KRITIS-Betreiber in Deutschland über das KRITIS-DachG konkretisiert wird.
Chronologie
Von der Veröffentlichung bis zur vollständigen nationalen Umsetzung und Durchsetzung – die wichtigsten Meilensteine der RCE-Richtlinie.
Die Richtlinie (EU) 2022/2557 wird im Amtsblatt der EU veröffentlicht. Sie ersetzt die ECI-Richtlinie (2008/114/EG) und weitet den Geltungsbereich auf 11 Sektoren aus.
Die RCE-Richtlinie tritt in Kraft. Mitgliedstaaten haben ab diesem Zeitpunkt 21 Monate Zeit zur Umsetzung in nationales Recht.
Mitgliedstaaten müssen nationale Strategien für die Resilienz kritischer Einrichtungen verabschiedet und die Umsetzungsgesetze in Kraft gesetzt haben. Deutschland befand sich im Gesetzgebungsverfahren zum KRITIS-DachG.
Mitgliedstaaten müssen bis zu diesem Datum kritische Einrichtungen in allen Sektoren auf Basis ihrer nationalen Risikobeurteilung identifiziert und notifiziert haben.
Das deutsche KRITIS-Dachgesetz tritt in Kraft und setzt die RCE-Richtlinie im deutschen Recht um. Es definiert Schwellenwerte, zuständige Behörden (BBK) und konkrete Pflichten für KRITIS-Betreiber.
Notifizierte Einrichtungen haben 9 Monate nach ihrer Notifizierung Zeit, eine Risikobeurteilung vorzulegen und erste Resilienzmaßnahmen zu implementieren. CONSUVATION GmbH begleitet Sie durch diesen Prozess.
Zuständige Behörden (in DE: BBK) führen Inspektionen durch, fordern Nachweise ein und verhängen Bußgelder bei Nichterfüllung. EU-weite Koordination besonders kritischer Einrichtungen durch die Kommission.
Nationale Umsetzung
Das KRITIS-Dachgesetz überführt die RCE-Richtlinie in deutsches Recht und schafft erstmals ein sektorübergreifendes Rahmenwerk für die physische Resilienz kritischer Infrastrukturen in Deutschland.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist zentrale Koordinierungsstelle. Betreiber kritischer Anlagen müssen sich registrieren, Risikobeurteilungen vorlegen und Resilienzpläne erarbeiten. Kontaktstellen und Meldewege werden durch das BBK vorgegeben.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) koordiniert die Umsetzung des KRITIS-DachG und dient als zentrale Anlaufstelle. Sektorbehörden bleiben für fachliche Aufsicht zuständig.
Das KRITIS-DachG definiert sektorspezifische Schwellenwerte (z.B. Versorgungskapazitäten, Kundenzahlen), ab denen Einrichtungen als kritisch gelten. Unterhalb der Schwelle können Einrichtungen freiwillig Pflichten übernehmen.
Kritische Anlagen sind beim BBK zu registrieren. Erhebliche Störungen sind innerhalb von 24 Stunden zu melden. Das KRITIS-DachG definiert Erheblichkeitsschwellen und Meldewege analog zur RCE-Richtlinie.
Das KRITIS-DachG sieht empfindliche Bußgelder bei Nichterfüllung vor. Behörden können Inspektionen anordnen, Nachbesserungsfristen setzen und im Extremfall den Betrieb untersagen.
Regulierungslandschaft
RCE ist kein Einzelregelwerk. Viele Betreiber kritischer Infrastrukturen fallen gleichzeitig unter mehrere EU-Verordnungen – Synergien nutzen spart Aufwand.
RCE und NIS2 bilden das europäische Sicherheits-Zwillingspaar: NIS2 für Cybersicherheit, RCE für physische Resilienz. Viele Betreiber fallen gleichzeitig unter beide Richtlinien. Synergien in der Dokumentation und Risikobeurteilung sind ausdrücklich vorgesehen und sollten genutzt werden.
DORA (EU 2022/2554) gilt für Finanzunternehmen und adressiert deren digitale operative Resilienz. Für Banken und Finanzmarktinfrastrukturen, die unter RCE fallen, ergänzen sich DORA und RCE: DORA für IKT-Risiken, RCE für physische Bedrohungen.
Im Energiesektor existieren sektorspezifische Resilienzpflichten (z.B. Versorgungssicherheitsverordnungen). RCE überlagert und ergänzt diese – Betreiber müssen prüfen, welche Anforderungen spezifischer sind und Vorrang haben.
Der CRA richtet sich an Produkthersteller mit digitalen Elementen. Für KRITIS-Betreiber, die selbst Produkte entwickeln oder beschaffen, entstehen Wechselwirkungen: Produktsicherheit (CRA) und Betreiberresilienz (RCE) müssen aufeinander abgestimmt werden.
Warum CONSUVATION GmbH
CONSUVATION GmbH berät Betreiber kritischer Infrastrukturen seit Jahren zu physischer Sicherheit, Informationssicherheit und regulatorischer Compliance. Mit dem Inkrafttreten von RCE und KRITIS-DachG erweitern wir unser bewährtes Beratungsportfolio um dedizierte RCE-Leistungen.
Wir kennen die Anforderungen in allen 11 Sektoren und begleiten Sie von der Ersteinschätzung über die Risikobeurteilung bis zur behördenfesten Dokumentation. Auf Wunsch koordinieren wir auch mit Sektorbehörden und dem BBK.
Kostenloses ErstgesprächVollständige RCE-Expertise inkl. nationaler Umsetzung
Integrierte Beratung für Cyber- und physische Resilienz
All-Hazards-Risikoanalysen für KRITIS-Betreiber
Behördenfeste Resilienzpläne & BCM-Dokumentation
Unsere Leistungen
Von der ersten Einschätzung Ihrer RCE-Betroffenheit bis zum abnahmereifen Resilienzplan – wir begleiten Sie durch jeden Schritt.
Schnelle Ersteinschätzung, ob Ihre Einrichtung unter die RCE-Richtlinie bzw. das KRITIS-DachG fällt – mit Handlungsempfehlungen.
Vollständige Analyse Ihrer aktuellen Resilienzmaßnahmen gegen RCE-Anforderungen – mit priorisiertem Maßnahmenplan und Resilienzplan-Erstellung.
Kombinierte Umsetzung von RCE (physische Resilienz) und NIS2 (Cybersicherheit) in einem integrierten Programm – Synergien nutzen, Aufwand halbieren.
Häufige Fragen
Die häufigsten Fragen zur RCE-Richtlinie, zum KRITIS-DachG und zu den Pflichten kritischer Einrichtungen – beantwortet von unseren Experten.
Kontaktieren Sie CONSUVATION GmbH für eine kostenlose Erstberatung. Wir klären Ihre Betroffenheit und zeigen Ihnen den effizientesten Weg zur RCE- und KRITIS-DachG-Compliance.