Zum Inhalt springen
Zwei IT-Spezialisten analysieren ein Serverrack in einem modernen Rechenzentrum. Sie verwenden einen Laptop zur Überprüfung von Systemen und Netzwerken.
© Gorodenkoff | stock.adobe.com

Resilienz kritischer Einrichtungen-Gesetz

Neue Regeln für kritische Infrastruktur

Lesedauer: 1 Minute

24.10.2025

Das "Resilienz kritischer Einrichtungen-Gesetz " (RKEG) dient der innerstaatlichen Umsetzung der RKE-Richtlinie, die angesichts europaweit einheitliche Mindeststandards für Einrichtungen vorsieht, die im Binnenmarkt unerlässliche Dienste erbringen. 

Ziel

Erhöhung der Widerstandsfähigkeit („Resilienz“) von Einrichtungen, die essenzielle gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten erbringen

Betroffenheit

Kritische Einrichtungen werden durch den Innenminister bescheidmäßig festgelegt. In Österreich werden ein paar hundert Unternehmen aus folgenden Sektoren betroffen sein:

  • Energie
  • Transport
  • Bankwesen und Finanzmarktinfrastrukturen (hier bestehen Ausnahmen für die Verpflichtungen)
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (hier bestehen Ausnahmen für die Verpflichtungen)
  • Lebensmittel
  • Öffentliche Verwaltung
  • Weltraum

Einrichtungen, die gemäß RKEG mittels Bescheid als kritische Einrichtungen eingestuft werden, gelten damit auch als wesentliche Einrichtungen im Sinne der NIS-2-Gesetzgebung und müssen damit entsprechende Vorgaben im Bereich Cybersicherheit erfüllen.

Pflichten für Unternehmen

Betroffene Unternehmen und Organisationen müssen:

  • Regelmäßige Risikoanalysen durchführen
  • Resilienzpläne erstellen und geeignete technische, organisatorische und personelle Maßnahmen umsetzen
  • Zuverlässigkeitsüberprüfungen für sicherheitsrelevantes Personal veranlassen
  • Sicherheitsvorfälle binnen 24 Stunden melden
  • Resilienzaudits durch vom Innenministerium zugelassene Auditoren ermöglichen
  • Meldepflichten bei Sicherheitsvorfällen binnen 24 Stunden

Zuständigkeiten und Aufsicht

Zentrale Behörde ist der Bundesminister für Inneres, unterstützt durch die Landespolizeidirektionen. Er erstellt zudem alle vier Jahre eine nationale Strategie zur Resilienz kritischer Einrichtungen und führt Risikoanalysen auf Sektorebene durch.

Zeitplan

  • Erste Risikoanalysen müssen binnen neun Monaten nach offizieller Einstufung einer Einrichtung vorliegen
  • Resilienzpläne sind nach zehn Monaten vorzulegen
  • Die Bestimmungen des Gesetzes treten grundsätzlich ab 1.3.2026 in Kraft

Weitere Informationen

» RKE-Gesetz (ris.bka.gv.at)
» Infos zur Cybersicherheitsgesetzgebung NIS-2
» Schulungsangebote zu NIS-2 und Cyber Resilience Act