Zum Inhalt springen
Zwei IT-Spezialisten analysieren ein Serverrack in einem modernen Rechenzentrum. Sie verwenden einen Laptop zur Überprüfung von Systemen und Netzwerken.
© Gorodenkoff | stock.adobe.com

Resilienz kritischer Einrichtungen-Gesetz

Neue Regeln für kritische Infrastruktur

Lesedauer: 1 Minute

23.10.2025

Das "Resilienz kritischer Einrichtungen-Gesetz " (RKEG) dient der innerstaatlichen Umsetzung der RKE-Richtlinie, die angesichts europaweit einheitliche Mindeststandards für Einrichtungen vorsieht, die im Binnenmarkt unerlässliche Dienste erbringen. 

Ziel

Erhöhung der Widerstandsfähigkeit („Resilienz“) von Einrichtungen, die essenzielle gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten erbringen

Betroffenheit

Kritische Einrichtungen werden durch den Innenminister bescheidmäßig festgelegt. In Österreich werden ein paar hundert Unternehmen aus folgenden Sektoren betroffen sein:

  • Energie
  • Transport
  • Bankwesen und Finanzmarktinfrastrukturen (hier bestehen Ausnahmen für die Verpflichtungen)
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (hier bestehen Ausnahmen für die Verpflichtungen)
  • Lebensmittel
  • Öffentliche Verwaltung
  • Weltraum

Einrichtungen, die gemäß RKEG mittels Bescheid als kritische Einrichtungen eingestuft werden, gelten damit auch als wesentliche Einrichtungen im Sinne der NIS-2-Gesetzgebung und müssen damit entsprechende Vorgaben im Bereich Cybersicherheit erfüllen.

Pflichten für Unternehmen

Betroffene Unternehmen und Organisationen müssen:

  • Regelmäßige Risikoanalysen durchführen
  • Resilienzpläne erstellen und geeignete technische, organisatorische und personelle Maßnahmen umsetzen
  • Zuverlässigkeitsüberprüfungen für sicherheitsrelevantes Personal veranlassen
  • Sicherheitsvorfälle binnen 24 Stunden melden
  • Resilienzaudits durch vom Innenministerium zugelassene Auditoren ermöglichen
  • Meldepflichten bei Sicherheitsvorfällen binnen 24 Stunden

Zuständigkeiten und Aufsicht

Zentrale Behörde ist der Bundesminister für Inneres, unterstützt durch die Landespolizeidirektionen. Er erstellt zudem alle vier Jahre eine nationale Strategie zur Resilienz kritischer Einrichtungen und führt Risikoanalysen auf Sektorebene durch.

Zeitplan

  • Erste Risikoanalysen müssen binnen neun Monaten nach offizieller Einstufung einer Einrichtung vorliegen
  • Resilienzpläne sind nach zehn Monaten vorzulegen
  • Die Bestimmungen des Gesetzes treten grundsätzlich ab 1.3.2026 in Kraft

Weitere Informationen

» RKE-Gesetz (ris.bka.gv.at)
» Infos zur Cybersicherheitsgesetzgebung NIS-2
» Schulungsangebote zu NIS-2 und Cyber Resilience Act

Weitere interessante Artikel
  • Vektor-Illustration eines blauen Hintergrunds bestehend aus den Buchstaben null und eins. In der Mitte ist ein weißes Schloss. Um das Schloss ist ein Kreis aus gelben Sternen
    Durchführungsverordnung zur NIS-2 Richtlinie für digitale Infrastruktur
    Weiterlesen
  • Drei Personen mit gelben Schutzwesten inspizieren Kartonagen, eine Person trägt gelben Helm am Kopf, eine andere bedient ein Tablet
    Die Sicherheit der Lieferkette im NISG 2026
    Weiterlesen
  • Default Veranstaltungsbild Artikelseite mit grafischen Elementen
    Warnsignale für Malware-Befall der Unternehmens-IT
    Weiterlesen