Rahmenwerke

Das dänische CER-System verstehen: Was kritische Einrichtungen wissen müssen

Erfahren Sie, wie sich das dänische CER-Gesetz auf kritische Einrichtungen auswirkt, welche Anforderungen an die Widerstandsfähigkeit es einführt, wie die Einstufung funktioniert und inwiefern sich der Rechtsrahmen hinsichtlich Geltungsbereich, Meldepflichten und Compliance-Verpflichtungen von NIS2 unterscheidet.

Cyberday
5. Juni 2026
@

Inhalt des Artikels

ISO 27001-Sammlung
Das dänische CER-System verstehen: Was kritische Einrichtungen wissen müssen
NIS2-Sammlung
Das dänische CER-System verstehen: Was kritische Einrichtungen wissen müssen
Cyberday Blog
Das dänische CER-System verstehen: Was kritische Einrichtungen wissen müssen

Das dänische Gesetz über die Widerstandsfähigkeit kritischer Einrichtungen (Lov om kritiske enheders modstandsdygtighed, allgemein als dänisches CER-Gesetz bezeichnet) trat am 1. Juli 2025 in Kraft. Das Gesetz setzt die EU-Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie) um und legt Anforderungen für Organisationen fest, die gesellschaftlich wesentliche Dienstleistungen erbringen.

Der Zweck des Rahmenwerks ist klar: Kritische Dienste müssen auch bei schwerwiegenden Störungen funktionsfähig bleiben. Diese Störungen können durch Cyberangriffe, physische Sabotage, extreme Wetterereignisse, Ausfälle in der Lieferkette, Unfälle, Notfälle im Bereich der öffentlichen Gesundheit oder andere Bedrohungen verursacht werden.

Da die dänische CER zeitgleich mit der Umsetzung von NIS2 in Dänemark in Kraft getreten ist, haben Organisationen oft Schwierigkeiten zu verstehen, in welchem Zusammenhang die beiden Rechtsrahmen zueinander stehen. Zwar zielen beide darauf ab, die Widerstandsfähigkeit zu stärken, doch befassen sie sich mit unterschiedlichen Arten von Risiken und sehen unterschiedliche Verpflichtungen vor.

In diesem Artikel wird erläutert, wer von der dänischen CER betroffen sein könnte, was die Einhaltung der Vorschriften beinhaltet und wie sich der Rechtsrahmen von NIS2 unterscheidet.

Das dänische CER deckt kritische Einrichtungen ab

Die dänische CER-Richtlinie gilt für Organisationen, die in Sektoren tätig sind, welche wesentliche Dienstleistungen für die Gesellschaft erbringen. Diese Sektoren entsprechen weitgehend den in der EU-CER-Richtlinie aufgeführten und umfassen:

  • Energie
  • Transport
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Weltraum
  • Lebensmittelproduktion, -verarbeitung und -vertrieb

Im Rahmen des dänischen CER-Systems identifizieren sich die Einrichtungen nicht selbst. Der zuständige Minister des jeweiligen Sektors bestimmt kritische Einrichtungen nach Durchführung nationaler Risikobewertungen offiziell. Die Entscheidungen über die Bestimmung müssen bis zum 17. Juli 2026 getroffen sein.

Bei der Bewertung von Organisationen berücksichtigen die Behörden Faktoren wie:

  • Die angebotenen grundlegenden Dienstleistungen
  • Die potenziellen gesellschaftlichen Auswirkungen von Disruption
  • Wechselwirkungen zwischen den Sektoren
  • Geografische Reichweite
  • Verfügbarkeit alternativer Dienstleister

Einige Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, können darüber hinaus als kritische Einrichtungen von besonderer europäischer Bedeutung eingestuft werden.

Ausnahme für den Energiesektor

Der Energiesektor unterliegt einem eigenen Rahmenwerk für die Notfallvorsorge gemäß dem Gesetz über die verstärkte Notfallvorsorge im Energiesektor, das sowohl die Anforderungen der CER-Richtlinie als auch die der NIS2-Richtlinie durch spezielle sektorspezifische Rechtsvorschriften umsetzt. Daher unterliegen Energieversorger in der Regel nicht direkt der dänischen CER-Richtlinie. Es wird erwartet, dass die sektorspezifischen Vorschriften für den Energie- und Telekommunikationssektor Anforderungen vorgeben werden, die über die Mindestanforderungen der CER-Richtlinie hinausgehen.

Was sind die Anforderungen des dänischen CER?

Der dänische CER basiert auf einem Allgefahren-Ansatz zur Stärkung der Widerstandsfähigkeit. Anstatt sich ausschließlich auf die Cybersicherheit zu konzentrieren, müssen sich Organisationen auf eine Vielzahl von Bedrohungen vorbereiten, die wesentliche Dienste beeinträchtigen könnten.

Nach ihrer Einstufung muss eine kritische Einrichtung:

Eine Risikobewertung durchführen

Organisationen müssen Risiken ermitteln und bewerten, die ihre Fähigkeit zur Erbringung wesentlicher Dienstleistungen beeinträchtigen könnten. Bei diesen Bewertungen sollten folgende Aspekte berücksichtigt werden:

  • Naturgefahren
  • Unfälle
  • Sabotage und Terrorismus
  • Bedrohungen durch Insider
  • Gesundheitsnotfälle
  • Hybride Bedrohungen
  • Störungen in der Lieferkette

Die Risikobewertung bildet die Grundlage für alle nachfolgenden Maßnahmen zur Stärkung der Widerstandsfähigkeit.

Einen Resilienzplan entwickeln und pflegen

Auf der Grundlage der Risikobewertung müssen Organisationen einen Resilienzplan erstellen, in dem beschrieben wird, wie sie Störungen vorbeugen, ihnen standhalten, darauf reagieren und sich davon erholen.

Geeignete Maßnahmen zur Stärkung der Widerstandsfähigkeit umsetzen

Der Rahmen sieht Maßnahmen vor, die den Risiken der Organisation und ihrer Rolle in der Gesellschaft angemessen sind. Dazu gehören in der Regel:

  • Maßnahmen zur physischen Sicherheit
  • Verfahren zur Reaktion auf Vorfälle
  • Maßnahmen zum Krisenmanagement
  • Maßnahmen zur Wiederherstellung und Aufrechterhaltung des Betriebs
  • Maßnahmen zur Personensicherheit
  • Abstimmungsverfahren mit Behörden

Einen Verbindungsbeamten ernennen

Kritische Einrichtungen müssen einen Ansprechpartner benennen, der für die Kommunikation mit der zuständigen Behörde zuständig ist.

Resilienz ist mehr als nur Geschäftskontinuität

Eines der häufigsten Missverständnisse in Bezug auf CER ist, dass es sich dabei in erster Linie um ein Rahmenwerk für die Geschäftskontinuität handelt.

Tatsächlich ist die Geschäftskontinuität nur ein Bestandteil der Widerstandsfähigkeit.

Im Rahmen des dänischen CER-Konzepts bezieht sich Resilienz auf die allgemeine Fähigkeit einer Organisation,

  • Störungen vermeiden
  • Störfälle bewältigen
  • Effektiv reagieren
  • Wiederherstellungsvorgänge
  • Sich auf künftige Bedrohungen einstellen

Die Planung der Geschäftskontinuität unterstützt die Reaktions- und Wiederherstellungsphase, doch die Einhaltung der Vorschriften erfordert darüber hinaus umfassendere Maßnahmen wie physische Sicherheit, Personalsicherheit, Präventionsmaßnahmen und Krisenmanagement.

Ein solider Plan zur Aufrechterhaltung des Geschäftsbetriebs allein reicht nicht aus, um die Anforderungen der CER zu erfüllen. Gefordert wird ein Resilienzplan, der den gesamten Lebenszyklus von Störungen abdeckt.

Dänisches CER vs. NIS2: Was ist der Unterschied?

Obwohl die dänische CER und NIS2 eng miteinander verbunden sind, beziehen sie sich auf unterschiedliche Risiken und Verpflichtungen.

Wann müssen Vorfälle gemeldet werden?

Gemäß dem dänischen CER müssen kritische Einrichtungen Vorfälle melden, die die Erbringung wesentlicher Dienstleistungen erheblich beeinträchtigen oder beeinträchtigen könnten.

Die Berichterstattung erfolgt in der Regel nach folgendem Zeitplan:

  • Erstmeldung innerhalb von 24 Stunden
  • Ausführlicher Bericht innerhalb eines Monats

NIS2 sieht für Cybervorfälle ein anderes Verfahren vor:

  • Frühwarnung innerhalb von 24 Stunden
  • Meldung des Vorfalls innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats

Können beide Rahmenwerke zur Anwendung kommen?

Ja.

Ein Cyberangriff, der einen wesentlichen Dienst beeinträchtigt, kann Verpflichtungen sowohl nach der CER-Richtlinie als auch nach der NIS2-Richtlinie auslösen.

Zum Beispiel:

  • Ein Ransomware-Angriff, der den Betrieb eines Krankenhauses unterbricht, muss möglicherweise nach beiden Rahmenwerken gemeldet werden.
  • Eine Überschwemmung, die eine Wasseraufbereitungsanlage beschädigt, würde in der Regel ausschließlich unter CER fallen.
  • Ein Cybervorfall, von dem eine Organisation betroffen ist, die unter die NIS-2-Richtlinie fällt, aber nicht als kritische Einrichtung eingestuft ist, würde lediglich die Meldepflichten gemäß NIS-2 auslösen.

Ein wichtiger Unterschied besteht darin, dass kritische Einrichtungen im Rahmen der CER nicht mit wesentlichen Einrichtungen im Rahmen von NIS2 identisch sind. Die Kategorien überschneiden sich zwar, werden jedoch durch unterschiedliche rechtliche Mechanismen festgelegt und dienen unterschiedlichen Zwecken.

Weitere Informationen zur Meldung von Vorfällen im Rahmen der NIS2 finden Sie in unserem separaten Blog.

Kostenloses Tool zum Rahmenvergleich

Sehen Sie, wie sich zwei Cybersicherheitsrahmen überschneiden und unterscheiden.

Probieren Sie das kostenlose Tool aus

Zeitplan und nächste Schritte

Das dänische CER trat am 1 . Juli 2025 in Kraft, doch das Verfahren zur Benennung läuft noch bis 2026.

1. Juli 2025: Das dänische CER tritt in Kraft

17. Juli 2026: Behörden schließen die Einstufung kritischer Einrichtungen ab

Ausweisung + 9 Monate: Risikobewertung abgeschlossen

Bezeichnung + 10 Monate: Resilienzplan und Resilienzmaßnahmen umgesetzt

Unternehmen, die davon ausgehen, dass sie benannt werden, sollten bereits vor Erhalt einer offiziellen Mitteilung mit den Vorbereitungen beginnen. Die Entwicklung eines Resilienzprogramms, die Durchführung von Risikobewertungen und die Dokumentation von Resilienzmaßnahmen erfordern oft eine umfassende Abstimmung zwischen den Teams für Sicherheit, Betrieb, Compliance und Führung.

Wichtigste Erkenntnisse

  • Die dänische CER-Verordnung setzt die EU-CER-Richtlinie um und gilt seit dem 1. Juli 2025.
  • Der Rahmen konzentriert sich auf die Widerstandsfähigkeit wesentlicher Dienste gegenüber allen Arten von Bedrohungen, nicht nur gegenüber Cyberbedrohungen.
  • Kritische Einrichtungen werden von den Behörden benannt.
  • Organisationen müssen Risikobewertungen durchführen, Maßnahmen zur Stärkung der Widerstandsfähigkeit umsetzen und einen Plan zur Stärkung der Widerstandsfähigkeit vorhalten.
  • Geschäftskontinuität ist nur ein Bestandteil des umfassenderen Konzepts der Resilienz.
  • CER und NIS2 gelten parallel zueinander, wobei für beide getrennte Meldewege und Verpflichtungen gelten.
  • Organisationen, bei denen eine Benennung zu erwarten ist, sollten ihre Vorbereitungen rechtzeitig vor Ablauf der Benennungsfrist im Juli 2026 treffen.

Schlussfolgerung

Der dänische CER führt einen strukturierten Ansatz zum Schutz wesentlicher Dienste vor einer Vielzahl von Bedrohungen ein. Er ergänzt zwar die NIS2-Richtlinie, befasst sich jedoch mit einer anderen Herausforderung: der Gewährleistung, dass kritische Dienste verfügbar bleiben, unabhängig davon, ob Störungen durch Cybervorfälle, physische Angriffe, Naturkatastrophen oder Betriebsstörungen verursacht werden.

Für Organisationen, die voraussichtlich als systemrelevante Einrichtungen eingestuft werden, besteht die oberste Priorität darin, ein Resilienzprogramm zu entwickeln, das über die Geschäftskontinuität hinausgeht und die Bereiche Prävention, Schutz, Reaktion und Wiederherstellung als einheitliches Ganzes umfasst.

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Weitere Artikel in der Kategorie

05.06.2026

Das dänische CER-System verstehen: Was kritische Einrichtungen wissen müssen

Erfahren Sie, wie sich das dänische CER-Gesetz auf kritische Einrichtungen auswirkt, welche Anforderungen an die Widerstandsfähigkeit es einführt, wie die Einstufung funktioniert und inwiefern sich der Rechtsrahmen hinsichtlich Geltungsbereich, Meldepflichten und Compliance-Verpflichtungen von NIS2 unterscheidet.
09.04.2026

Das EU-KI-Gesetz: Was es bedeutet und wie es umgesetzt wird

Leitfaden zur Einhaltung des EU-Gesetzes über künstliche Intelligenz (KI-Gesetz): Rollen zuordnen, Risiken und Governance verwalten, risikoreiche KI klassifizieren, Transparenz- und CE-Kennzeichnungspflichten erfüllen.
01.04.2026

Das EU-KI-Gesetz und ISO 42001: Unterschiede, Überschneidungen und wie man sie gemeinsam nutzt

Das EU-KI-Gesetz im Vergleich zu ISO 42001: Erfahren Sie mehr über die wichtigsten Unterschiede, die Überschneidungen und wie Sie beide Standards nutzen können, um eine praxisorientierte und konforme KI-Governance aufzubauen.
Mühelose Verbesserung der Compliance
Größte Rahmenbibliothek in der EU
Umfassende Unterstützung

Legen Sie in wenigen Minuten den Grundstein für Ihr Compliance-
.

Erfahren Sie, wie ein KI-gestütztes ISMS in der Praxis aussieht.
Starten Sie eine kostenlose Testversion und sehen Sie, wie Ihre Compliance-Arbeit in wenigen Minuten beginnt.

Kostenlose Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagenTrust Center
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung von VermögenswertenDatenschutz-ManagementBewertungen von AnbieternInterne Audits
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseTrust CenterInhalt der BibliothekLeitfädenNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
tcyberdayerday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit