- RKEG setzt EU-Vorgabe zur Resilienz kritischer Einrichtungen um und betrifft 11 zentrale Sektoren
- Das neue RKEG verpflichtet kritische Einrichtungen, ihre Standorte besser gegen physische Bedrohungen abzusichern und sicherzustellen, dass ihr Betrieb auch in Krisenfällen weiter läuft
- Sicherheitsvorfälle sind unverzüglich, spätestens binnen 24 Stunden zu melden
- RKEG gilt parallel zu den Cybersicherheitsvorgaben der NIS-2-Richtlinie
Wien, 26. Februar 2026. Strom, Trinkwasser, Krankenhäuser, Zahlungsverkehr oder digitale Netze – viele dieser systemkritischen Leistungen werden erst dann sichtbar, wenn sie ausfallen. Mit dem neuen Resilienz kritischer Einrichtungen-Gesetz (RKEG) schafft Österreich nun einen klaren gesetzlichen Rahmen, um genau solche Ausfälle zu verhindern oder ihre Auswirkungen deutlich zu reduzieren.
Das Gesetz tritt am 1. März 2026 in Kraft und setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen in nationales Recht um. Betroffen sind elf zentrale Sektoren: Energie, Gesundheit, Ernährung, Banken, Finanzmärkte, Transport, Raumfahrt, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung. Ziel ist es, sicherzustellen, dass wesentliche Dienste auch in Krisen- oder Katastrophensituationen weiter funktionieren.
Die nationale Strategie definiert dafür einen klaren Rahmen, der auf einer umfassenden staatlichen Risikoanalyse des Innenministeriums basiert und regelmäßig überprüft wird. Diese Analyse dient als einheitliche Grundlage für Österreichs strategische Resilienzplanung, bietet kritischen Einrichtungen Orientierung für ihre eigenen Risikoanalysen (§ 14) und bildet die Basis für sektorübergreifende Maßnahmen – etwa zur Betrachtung von Versorgungsketten oder wechselseitigen Abhängigkeiten. Dabei werden Naturgefahren ebenso berücksichtigt wie technische Störungen, absichtliche Angriffe oder internationale Abhängigkeiten.
Bei Verstößen gegen das RKEG drohen Geldstrafen von bis zu 50.000 Euro bei grundlegenden Verstößen, bis zu 100.000 Euro bei Wiederholung und bis zu 500.000 Euro in schwerwiegenden Fällen.
Mehr als Cybersicherheit: Der Unterschied zu NIS2
In der öffentlichen Diskussion steht derzeit vor allem die Umsetzung der NIS2-Richtlinie im Fokus. NIS2 regelt europaweit die Cybersicherheit von Unternehmen und öffentlichen Einrichtungen und verpflichtet diese zu hohen IT-Sicherheitsstandards, klaren Meldepflichten und Governance-Vorgaben.
Das Risikoverständnis des RKEG geht darüber jedoch deutlich hinaus. Während NIS2 primär auf digitale Risiken abzielt, betrachtet das Resilienzgesetz die Gesamtsicherheit kritischer Einrichtungen. Es umfasst neben Cyberbedrohungen auch physische Sicherheit, bauliche Schutzmaßnahmen, organisatorische Vorsorge, Krisenmanagement und Wiederherstellungsfähigkeit. Auch die dementsprechende Expertise des Personals der Einrichtungen und deren Sensibilisierung und Schulung wird thematisiert. Damit adressiert das Gesetz etwa auch Risiken durch Naturkatastrophen, Sabotage, Versorgungsengpässe oder personelle Schwachstellen.
In der Praxis bedeutet das: Viele Unternehmen, die bereits unter NIS2 fallen, werden künftig zusätzlich Anforderungen aus dem RKEG erfüllen müssen. Die nationale Strategie sieht deshalb eine enge Zusammenarbeit zwischen der RKE-Behörde im Innenministerium und dem Bundesamt für Cybersicherheit vor. Ziel ist es, Doppelstrukturen zu vermeiden und Meldeprozesse so zu gestalten, dass Unternehmen Vorfälle koordiniert an beide Stellen melden können. Damit soll Bürokratie reduziert und die Reaktionsgeschwindigkeit erhöht werden.
„Unternehmen sollten RKEG und NIS2 nicht getrennt betrachten“, sagt Gottfried Tonweber, Leiter Cybersecurity und Partner bei EY Österreich. „Beide Regime greifen ineinander. Wer Sicherheitsorganisation, Risikomanagement und Meldeprozesse integriert aufsetzt, schafft nicht nur Compliance, sondern echte Stabilität.“
Konkrete Pflichten für betroffene Unternehmen
Ob ein Unternehmen als „kritische Einrichtung“ eingestuft wird, entscheidet das Innenministerium per Bescheid. Maßgeblich ist unter anderem, ob ein Ausfall erhebliche Auswirkungen auf die Versorgung oder auf andere wesentliche Dienste hätte. Betroffen sind Organisationen, die zumindest einen wesentlichen Dienst erbringen – und die im Inland tätig sind und ihre Leistungen im Inland erbringen.
Mit der Einstufung gehen klare Verpflichtungen einher. Unternehmen müssen systematisch analysieren, welchen Risiken sie ausgesetzt sind, und auf dieser Basis Resilienzpläne entwickeln. Diese Pläne sollen sicherstellen, dass im Ernstfall rasch reagiert und der Betrieb möglichst schnell wiederhergestellt werden kann. Sicherheitsvorfälle, die die Erbringung eines wesentlichen Dienstes erheblich stören oder stören könnten, sind unverzüglich zu melden, spätestens innerhalb von 24 Stunden. Eine Folgemeldung muss spätestens einen Monat nach Erstmeldung erfolgen. Für die erstmalige Risikoanalyse bleiben nach Einstufung neun Monate Zeit, für die Umsetzung eines Resilienzplans und entsprechender Maßnahmen zehn Monate. Die Risikoanalyse ist anschließend regelmäßig, mindestens alle vier Jahre, zu aktualisieren.
„Die Zeiten, in denen Sicherheit als reine IT-Frage behandelt wurde, sind vorbei“, betont Birgit Eglseer, Senior Manager bei EY Österreich. „Resilienz ist eine Führungsaufgabe. Sie betrifft Strategie, Organisation, Personal und Lieferketten gleichermaßen.“
Resilienz als Antwort auf eine veränderte Risikolage
Hinter dem Gesetz steht eine klare Erkenntnis: Kritische Infrastruktur ist heute stärker vernetzt und komplexer als je zuvor. Energieversorgung, digitale Netze, Finanzsysteme und Gesundheitswesen sind eng miteinander verbunden. Ein Ausfall in einem dieser Bereiche kann rasch weitreichende Folgen haben.
Die nationale Strategie setzt daher auf einen risikobasierten Ansatz, der kontinuierlich überprüft und weiterentwickelt wird. Spätestens alle vier Jahre erfolgt eine Evaluierung, bei Bedarf auch früher, wenn sich die Risikolage wesentlich ändert.
Für Unternehmen bedeutet das einen strukturellen Wandel. Resilienz wird nicht mehr als punktuelle Maßnahme verstanden, sondern als dauerhafte Managementaufgabe. Gleichzeitig eröffnet das Gesetz die Chance, Sicherheits- und Krisenstrukturen neu zu denken und bestehende NIS2-Programme sinnvoll zu erweitern.
„Resilienz ist kein Selbstzweck“, so Tonweber abschließend. „Sie schafft Vertrauen – bei Kund:innen, Partner:innen und Investor:innen. In einer zunehmend unsicheren Welt wird genau das zu einem entscheidenden Wettbewerbsfaktor.“ „Wer seine Abhängigkeiten kennt, klare Krisenstrukturen etabliert und Verantwortung übernimmt, stärkt zudem die eigene Organisation“, ergänzt Eglseer.