Die Vorreiter der EU-Resilienzgesetzgebung – und was Sie als Unternehmen daraus lernen können
Während viele westeuropäische Staaten noch an der Umsetzung arbeiten, haben die Länder Mittel- und Osteuropas bei der CER-Richtlinie überraschend die Nase vorn. Die Slowakei gehört zu den ersten EU-Mitgliedstaaten mit einer vollständigen nationalen Umsetzung, und die Tschechische Republik hat einen wegweisenden Paradigmenwechsel vollzogen. Auch Polen treibt die Integration voran. Was bedeutet das für Unternehmen, die in dieser Region operieren?
Slowakei: Der europäische Vorreiter
Die Slowakei hat mit dem Gesetz Nr. 367/2024 Slg. (žákon č. 367/2024 Z. z.) als eines der ersten EU-Länder die CER-Richtlinie vollständig in nationales Recht umgesetzt. Das Gesetz zeichnet sich durch besonders klare Fristen und eindeutige Anforderungen an die Personalintegrität aus.
Für Unternehmen, die als Betreiber kritischer Infrastruktur (Kritická infraštruktúra) eingestuft werden, gelten strenge Vorgaben für Risikobewertungen und Personalprüfungen. Die Slowakei hat dabei besonders früh auf den „menschlichen Faktor“ gesetzt – ein Signal, das der gesamten Region zeigt, wohin die Reise geht.
Tschechische Republik: Vom Objektschutz zum Serviceschutz
Tschechien hat mit dem Gesetz Nr. 266/2025 Slg. (Zákon č. 266/2025 Sb.) einen fundamentalen Paradigmenwechsel vollzogen: Der Fokus verschiebt sich vom Schutz physischer „Objekte“ hin zum Schutz kritischer „Dienstleistungen“. Dieser Ansatz ist näher am Geist der europäischen CER-Richtlinie und hat weitreichende Konsequenzen.
Besonders relevant: Die Registrierung kritischer Einrichtungen muss bis zum 1. März 2026 abgeschlossen sein. Für Unternehmen mit tschechischen Standorten oder Partnern läuft die Uhr bereits. Die Personalprüfung wird als integraler Bestandteil der Resilienzmaßnahmen verankert.
Polen: NIS2 und CER wachsen zusammen
Polen arbeitet derzeit an einer Novellierung des NCSSA (National Cybersecurity System Act), die sowohl NIS2- als auch CER-Anforderungen integriert. Obwohl die Umsetzung noch nicht abgeschlossen ist, zeichnet sich ein besonderer Schwerpunkt ab: die Überprüfung von Lieferketten und Drittanbietern.
Für Unternehmen, die polnische Arbeitskräfte beschäftigen oder mit polnischen Zulieferern arbeiten, wird die Verifizierung von Drittparteien zum zentralen Compliance-Thema. Die Kombination aus Cyber- und physischer Sicherheit macht die polnische Umsetzung besonders umfassend.
Die Herausforderung: Grenzüberschreitende Compliance in der CEE-Region
Unternehmen, die in mehreren Ländern Mittel- und Osteuropas operieren, stehen vor einer besonderen Komplexität: Drei Länder, drei unterschiedliche Umsetzungsstände, drei verschiedene Detailgrade bei den Screening-Anforderungen. Die Slowakei verlangt bereits jetzt umfassende Prüfungen, Tschechien fokussiert auf die Serviceebene, und Polen integriert Lieferketten-Checks.
Hinzu kommt: Viele Unternehmen in der Region haben gleichzeitig DACH-Muttergesellschaften oder westeuropäische Partner. Die CER-Compliance muss also nicht nur innerhalb der MOE-Region konsistent sein, sondern auch mit den Anforderungen in Deutschland (über das KRITIS-Dachgesetz) oder Österreich (über NISG 2026) harmonieren.
Die CEE-Vorreiter zeigen den Weg – sind Sie vorbereitet?
Die CER-Richtlinie ist 2026 geltendes Recht. Die Slowakei und Tschechien beweisen, dass schnelle Umsetzung möglich ist – und erwartet wird. Validato hilft Ihnen, länderübergreifende Hintergrundüberprüfungen strukturiert, rechtskonform und effizient zu gestalten – von Bratislava bis Warschau.