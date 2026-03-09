Konzerne & Krisen. Von Strom, Trinkwasser und Krankenhäusern bis digitale Netze und Zahlungsverkehr: Das neue Resilienz kritischer Einrichtungen-Gesetz (RKEG) ist am 1. März 2026 in Österreich in Kraft getreten.

Das neue Resilienz kritischer Einrichtungen-Gesetz (RKEG) ist am 1. März 2026 in Österreich in Kraft getreten und setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen in nationales Recht um.

Betroffen sind elf zentrale Sektoren: Energie, Gesundheit, Ernährung, Banken, Finanzmärkte, Transport, Raumfahrt, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung. Ziel ist es, sicherzustellen, dass wesentliche Dienste auch in Krisen- oder Katastrophensituationen weiter funktionieren.

„Die nationale Strategie definiert dafür einen klaren Rahmen, der auf einer umfassenden staatlichen Risikoanalyse des Innenministeriums basiert und regelmäßig überprüft wird. Diese Analyse dient als einheitliche Grundlage für Österreichs strategische Resilienzplanung, bietet kritischen Einrichtungen Orientierung für ihre eigenen Risikoanalysen und bildet die Basis für sektorübergreifende Maßnahmen – etwa zur Betrachtung von Versorgungsketten oder wechselseitigen Abhängigkeiten. Dabei werden Naturgefahren ebenso berücksichtigt wie technische Störungen, absichtliche Angriffe oder internationale Abhängigkeiten“, so Gottfried Tonweber, Leiter Cybersecurity und Partner bei EY Österreich, in einer Aussendung.

Bei Verstößen gegen das RKEG drohen Geldstrafen von bis zu 50.000 Euro bei grundlegenden Verstößen, bis zu 100.000 Euro bei Wiederholung und bis zu 500.000 Euro in schwerwiegenden Fällen, so Tonweber.

Der Unterschied zu NIS2

In der öffentlichen Diskussion steht derzeit vor allem die Umsetzung der NIS2-Richtlinie im Fokus. NIS2 regelt europaweit die Cybersicherheit von Unternehmen und öffentlichen Einrichtungen und verpflichtet diese zu hohen IT-Sicherheitsstandards, klaren Meldepflichten und Governance-Vorgaben.

„Das Risikoverständnis des RKEG geht darüber jedoch deutlich hinaus. Während NIS2 primär auf digitale Risiken abzielt, betrachtet das Resilienzgesetz die Gesamtsicherheit kritischer Einrichtungen. Es umfasst neben Cyberbedrohungen auch physische Sicherheit, bauliche Schutzmaßnahmen, organisatorische Vorsorge, Krisenmanagement und Wiederherstellungsfähigkeit. Auch die dementsprechende Expertise des Personals der Einrichtungen und deren Sensibilisierung und Schulung wird thematisiert. Damit adressiert das Gesetz etwa auch Risiken durch Naturkatastrophen, Sabotage, Versorgungsengpässe oder personelle Schwachstellen“, so der EY Partner.

In der Praxis bedeutet das: Viele Unternehmen, die bereits unter NIS2 fallen, werden künftig zusätzlich Anforderungen aus dem RKEG erfüllen müssen. Die nationale Strategie sieht deshalb eine enge Zusammenarbeit zwischen der RKE-Behörde im Innenministerium und dem Bundesamt für Cybersicherheit vor. „Ziel ist es, Doppelstrukturen zu vermeiden und Meldeprozesse so zu gestalten, dass Unternehmen Vorfälle koordiniert an beide Stellen melden können. Damit soll Bürokratie reduziert und die Reaktionsgeschwindigkeit erhöht werden“, so Tonweber.

Unternehmen sollten in seinen Augen deswegen RKEG und NIS2 nicht getrennt betrachten: „Beide Regime greifen ineinander. Wer Sicherheitsorganisation, Risikomanagement und Meldeprozesse integriert aufsetzt, schafft nicht nur Compliance, sondern echte Stabilität.“

Pflichten für Unternehmen

Ob ein Unternehmen als „kritische Einrichtung“ eingestuft wird, entscheidet das Innenministerium per Bescheid. Maßgeblich ist unter anderem, ob ein Ausfall erhebliche Auswirkungen auf die Versorgung oder auf andere wesentliche Dienste hätte. Betroffen sind Organisationen, die zumindest einen wesentlichen Dienst erbringen – und die im Inland tätig sind und ihre Leistungen im Inland erbringen.

Mit der Einstufung gehen klare Verpflichtungen einher. Unternehmen müssen systematisch analysieren, welchen Risiken sie ausgesetzt sind, und auf dieser Basis Resilienzpläne entwickeln.

Diese Pläne sollen sicherstellen, dass im Ernstfall rasch reagiert und der Betrieb möglichst schnell wiederhergestellt werden kann.

Sicherheitsvorfälle, die die Erbringung eines wesentlichen Dienstes erheblich stören oder stören könnten, sind unverzüglich zu melden, spätestens innerhalb von 24 Stunden.

Eine Folgemeldung muss spätestens einen Monat nach Erstmeldung erfolgen.

Für die erstmalige Risikoanalyse bleiben nach Einstufung neun Monate Zeit,

für die Umsetzung eines Resilienzplans und entsprechender Maßnahmen zehn Monate.

Die Risikoanalyse ist anschließend regelmäßig, mindestens alle vier Jahre, zu aktualisieren.

„Die Zeiten, in denen Sicherheit als reine IT-Frage behandelt wurde, sind vorbei“, so Birgit Eglseer, Senior Manager bei EY Österreich: „Resilienz ist eine Führungsaufgabe. Sie betrifft Strategie, Organisation, Personal und Lieferketten gleichermaßen.“

Antwort auf veränderte Risikolage

Kritische Infrastruktur ist heute stärker vernetzt und komplexer als je zuvor, heißt es weiter: Energieversorgung, digitale Netze, Finanzsysteme und Gesundheitswesen sind eng miteinander verbunden. Ein Ausfall in einem dieser Bereiche kann rasch weitreichende Folgen haben.

„Die nationale Strategie setzt daher auf einen risikobasierten Ansatz, der kontinuierlich überprüft und weiterentwickelt wird. Spätestens alle vier Jahre erfolgt eine Evaluierung, bei Bedarf auch früher, wenn sich die Risikolage wesentlich ändert“, so Eglseer: „Für Unternehmen bedeutet das einen strukturellen Wandel. Resilienz wird nicht mehr als punktuelle Maßnahme verstanden, sondern als dauerhafte Managementaufgabe. Gleichzeitig eröffnet das Gesetz die Chance, Sicherheits- und Krisenstrukturen neu zu denken und bestehende NIS2-Programme sinnvoll zu erweitern.“