Der Vorsitz des Rates der EU und das Europäische Parlament haben sich politisch geeinigt, wie eine Richtlinie über die Resilienz kritischer Einrichtungen aussehen soll. Künftig müssen die Mitgliedstaaten der EU eine nationale Strategie vorweisen, wie sie solche Einrichtungen widerstandsfähiger machen. Damit sind Einrichtungen in Bereichen wie Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser und Weltraum gemeint. Einige Bestimmungen des Richtlinienentwurfs betreffen auch Zentralstellen der öffentlichen Verwaltung. Mit der neuen Richtlinie sollen die seit 2008 bestehenden Pflichten für Betreiber kritischer Einrichtungen erweitert werden. Dazu gehört, dass die EU-Staaten eine Liste solcher Einrichtungen erstellen müssen und mindestens alle vier Jahre die Risiken bewerten, durch die ihre Dienste beeinträchtigt werden könnten. Zudem müssen sie „geeignete Maßnahmen ergreifen, um ihre Resilienz zu gewährleisten, und den zuständigen Behörden Störfälle melden“, heißt es in einer Mitteilung. Der Richtlinienvorschlag enthält auch Vorschriften dafür, wie kritische Einrichtungen von besonderer europäischer Bedeutung ermittelt werden. Das sind jene, die einen wesentlichen Dienst für sechs oder mehr Mitgliedstaaten erbringen. Hier können die Mitgliedstaaten die EU-Kommission ersuchen, eine Beratung zu organisieren oder selbst beurteilen, ob und wie der betreffende Mitgliedsstaat seinen Verpflichtungen nachkommt. Die Beratungen zu dieser Richtlinie werden nun auf fachlicher Ebene fortgesetzt, um einen vollständigen Rechtstext zu schaffen. Diese Einigung muss dann vom Rat und vom Europäischen Parlament gebilligt werden, bevor sie in einem weiteren Verfahren förmlich angenommen werden kann. Die EU-Kommission hatte im Dezember 2020 den Vorschlag für eine Richtlinie über die Resilienz kritischer Einrichtungen vorgelegt. Im Jahr zuvor hatte sich gezeigt, dass die seit 2008 bestehenden Vorschriften vor dem Hintergrund der wachsenden digitalen Wirtschaft, den zunehmenden Auswirkungen des Klimawandels und den terroristischen Bedrohungen aktualisiert und weiter gestärkt werden müssten. Auch habe die Coronavirus-Pandemie besonders deutlich gemacht, wie anfällig kritische Infrastrukturen und Gesellschaften sein können, wie sehr EU-Mitgliedstaaten voneinander abhängig sind. Für den Bereich der Cybersicherheit hatten sich im Mai 2022 EU-Rat und -Parlament über einen Vorschlag der EU-Kommission für eine Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2) geeinigt. Im September 2020 hatte die EU-Kommission eine Verordnung über die Betriebsstabilität digitaler Systeme (DORA) vorgeschlagen, mit dem die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen gestärkt werden soll. Über diesen Vorschlag haben sich ebenfalls im Mai Rat und Parlament geeinigt.