Die EU-Kommission verklagt Luxemburg, weil die CER-Richtlinie zur Resilienz kritischer Infrastruktur nicht umgesetzt wurde. Die Frist ist abgelaufen.
Ein Cyberangriff legte im Sommer die Post-Infrastruktur lahm, doch aus Brüssel kommt nun der nächste Weckruf: Die EU-Kommission klagt Luxemburg vor dem Europäischen Gerichtshof, weil das Land die CER-Richtlinie zur Resilienz kritischer Infrastrukturen nicht umgesetzt hat.
Konkret geht es um die EU-Vorgaben, die bereits im Oktober 2024 hätten greifen müssen. Misryoum zufolge folgte auf ein Mahnschreiben und eine formelle Stellungnahme schließlich der Schritt vor Gericht. Damit steht Luxemburg nun nicht nur politisch, sondern auch rechtlich unter Druck.
Das ist vor allem deshalb brisant, weil Resilienz nicht nur im Krisenfall zählt, sondern als Pflicht zur Vorbereitung gedacht ist.
Nach der CER-Richtlinie sollen Betreiber kritischer Dienste systematisch Risiken analysieren, Schwachstellen identifizieren und geeignete Schutz- und Vorsorgemaßnahmen umsetzen.. Der Ansatz ist bewusst breit gefasst und reicht von Naturkatastrophen über Terror und Sabotage bis hin zu Angriffen aus der Cyberwelt.
Im Hintergrund steht dabei auch der Vorfall, der im Juli 2025 als Warnsignal wahrgenommen wurde: Ein Cyberangriff machte in Teilen des Landes zentrale Kommunikations- und Notrufwege zeitweise unzuverlässig.. Die Regierung berief eine Krisenzelle ein, Ermittler arbeiteten unter Hochdruck, doch bis heute ist unklar, wer den Angriff gesteuert hat.
Für Betroffene und Infrastrukturbetreiber zeigt der Fall: Wenn Schutz und Planung fehlen, kann eine Störung schnell zum Dominoeffekt werden.
Luxemburg steht damit nicht allein.. Misryoum berichtet, dass die EU-Kommission auch weitere Mitgliedstaaten verklagt, darunter Frankreich, die Niederlande, Polen, Spanien, Schweden und Bulgarien.. Damit entsteht ein breiteres Bild, dass die Umsetzung der Richtlinie in mehreren Ländern hinter den Erwartungen zurückgeblieben ist.
Was bei Nichterfüllung droht, sind rechtliche und finanzielle Konsequenzen. Die Kommission macht dabei deutlich, dass eine reine Reaktion auf einzelne Ereignisse nicht ausreicht, wenn die Regeln zur Resilienz verpflichtend sind.
Am Ende geht es um mehr als Datenschutz oder einzelne Systeme: Die CER-Richtlinie soll sicherstellen, dass kritische Infrastruktur Angriffe und Störungen auch dann verkraftet, wenn sie mehr als nur eine kurzfristige Störung verursachen.