Zum Inhalt springen

GlossarDefinition

Was ist das Resilienz kritischer Einrichtungen-Gesetz (RKEG)?

Zuletzt aktualisiert:

Kurz erklärt: Das Resilienz kritischer Einrichtungen-Gesetz (RKEG, BGBl. I Nr. 60/2025) setzt in Österreich seit 16. Oktober 2025 die EU-CER-Richtlinie (2022/2557) in nationales Recht um. Es verpflichtet vom Bundesministerium für Inneres als kritisch eingestufte Einrichtungen aus elf Sektoren — von Energie und Trinkwasser über digitale Infrastruktur bis zur öffentlichen Verwaltung — zu Risikoanalysen, physischen Resilienzmaßnahmen, einer benannten Kontaktstelle und der Meldung schwerwiegender Vorfälle binnen 24 Stunden. Anders als NIS2 (Cybersicherheit) deckt das RKEG vorrangig physische und organisatorische Resilienz ab. Bei Meldepflichtverletzungen drohen Geldstrafen bis 500.000 Euro.

Das Resilienz kritischer Einrichtungen-Gesetz (RKEG, formell „Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen”, BGBl. I Nr. 60/2025) ist die österreichische Umsetzung der EU-CER-Richtlinie 2022/2557. Es schafft erstmals einen eigenen nationalen Rechtsrahmen für die physische und organisatorische Resilienz kritischer Einrichtungen — also für Themen, die NIS2 bewusst ausspart, weil sie über reine Cybersicherheit hinausgehen.

Foundational Facts

  • Rechtsgrundlage: BGBl. I Nr. 60/2025, kundgemacht am 16. Oktober 2025
  • EU-Rahmen: Richtlinie (EU) 2022/2557 (CER, Critical Entities Resilience Directive)
  • Gegenstand im Parlament: Regierungsvorlage XXVIII/I/186, Bundesrats-Beschluss 9. Oktober 2025
  • Zuständige Behörde: Bundesminister für Inneres (BMI) — nationale Anlaufstelle nach CER-Richtlinie
  • Sektoren: elf Sektoren aus dem Anhang der CER-Richtlinie
  • Stichtag Bund: Strategie und nationale Risikoanalyse bis spätestens 17. Jänner 2026

Was ist eine „kritische Einrichtung” nach RKEG?

Das RKEG definiert eine kritische Einrichtung nicht über Sektor-Schwellenwerte allein, sondern über einen Einstufungs-Bescheid des Bundesministers für Inneres (§ 3 Z 1). Die vier Einstufungskriterien (§ 11 Abs. 1):

  1. Tätigkeit im Inland
  2. Kritische Infrastruktur im Inland
  3. Erbringung eines wesentlichen Dienstes im Sinne der Delegierten Verordnung (EU) 2023/2450
  4. Möglichkeit erheblicher Sicherheitsvorfälle

Ein „wesentlicher Dienst” ist dabei jeder Dienst zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Wirtschaft, der öffentlichen Gesundheit und Sicherheit oder der Umwelt. Erst der Bescheid des BMI macht eine Einrichtung formal zu einer „kritischen Einrichtung” im Rechtssinn — die Pflichten beginnen mit Rechtskraft des Bescheids zu laufen.

Die elf Sektoren (Anhang CER-RL)

Das RKEG übernimmt die Sektor-Liste direkt aus dem Anhang der EU-CER-Richtlinie:

  1. Energie — Strom, Erdgas, Erdöl, Fernwärme, Wasserstoff
  2. Verkehr — Luft-, Schienen-, Schiff- und Straßenverkehr
  3. Bankwesen — Kreditinstitute
  4. Finanzmarktinfrastrukturen — Handelsplätze, zentrale Gegenparteien
  5. Gesundheit — Krankenhäuser, Referenzlabore, Arzneimittel- und Medizinprodukteversorgung
  6. Trinkwasser — Lieferanten und Versorger
  7. Abwasser — Sammlung, Ableitung und Behandlung
  8. Digitale Infrastruktur — IXPs, DNS-Anbieter, TLD-Registrare, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdiensteanbieter
  9. Öffentliche Verwaltung — zentrale Verwaltungseinheiten
  10. Weltraum — Bodeninfrastruktur für Weltraum-Dienste
  11. Produktion, Verarbeitung und Vertrieb von Lebensmitteln

Für Einrichtungen in digitaler Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen gelten vereinfachte Anforderungen (§ 11 Abs. 4, § 18 Abs. 3), weil diese bereits durch DORA bzw. NIS2 abgedeckt sind und Doppelregulierung vermieden werden soll.

Pflichten der kritischen Einrichtung

Nach Zustellung des Einstufungsbescheids beginnen gestaffelte Fristen:

PflichtFristRechtsgrundlage
Kontaktstelle für das BMI benennen4 Wochen§ 11 Abs. 5
Eigene Risikoanalyse durchführen9 Monate§ 14 Abs. 1
Resilienzmaßnahmen umsetzen10 Monate§ 15 Abs. 1
Schwerwiegende Vorfälle meldenunverzüglich, max. 24 Stunden§ 17 Abs. 1

Die Resilienzmaßnahmen (§ 15 Abs. 2) gehen über klassische Cybersicherheit deutlich hinaus:

  • Physischer Schutz der kritischen Infrastruktur (Zutritt, Perimeter, bauliche Maßnahmen)
  • Notfallpläne und Krisenmanagement-Strukturen
  • Personelle Sicherheitsvorkehrungen (Überprüfungen, Berechtigungen, Sensibilisierung)
  • Schulung des Personals in kritischen Funktionen

Meldepflichten — 24-Stunden-Frist

Bei einem schwerwiegenden Sicherheitsvorfall ist die kritische Einrichtung verpflichtet, unverzüglich, längstens innerhalb von 24 Stunden nach Kenntnis, eine strukturierte elektronische Meldung an das Bundesministerium für Inneres zu erstatten (§ 17 Abs. 1). Eine Folgemeldung mit Detailinformationen muss binnen eines Monats nachgereicht werden.

Bei grenzüberschreitenden Auswirkungen informiert das BMI andere EU-Mitgliedstaaten und — wenn mindestens sechs Mitgliedstaaten betroffen sind — die Europäische Kommission (§ 17 Abs. 8). Einrichtungen, die wesentliche Dienste für sechs oder mehr Mitgliedstaaten erbringen, gelten als kritische Einrichtungen besonderer Bedeutung und unterliegen zusätzlichen Meldepflichten (§ 19).

Sanktionen (§§ 23–24)

VerstoßStrafrahmen
Einfacher Verstoßbis 50.000 Euro
Wiederholungsfallbis 100.000 Euro
Schwerer Verstoß (z. B. Verletzung der Meldepflicht)bis 500.000 Euro
Öffentliche StelleVeröffentlichungspflicht statt Geldstrafe

Juristische Personen haften nach § 23 Abs. 3–4 für Verstöße ihrer Führungspersonen — vergleichbar mit der Geschäftsleitungs-Verantwortlichkeit unter NIS2 / NISG 2026.

Abgrenzung RKEG ↔ NIS2 / NISG 2026

AspektRKEG (CER-Umsetzung)NISG 2026 (NIS2-Umsetzung)
EU-RechtsaktRichtlinie 2022/2557Richtlinie 2022/2555
Fokusphysische + organisatorische ResilienzCybersicherheit + Informationssicherheit
Auslöser für ErfassungBescheid des BMISektor + Unternehmensgröße (KMU-Definition)
Zuständige BehördeBundesministerium für InneresAnlaufstelle NISG (BMI/BKA, je nach Stelle)
Meldefrist24 Stunden + Folgemeldung in 1 Monat24 h Frühwarnung + 72 h Vorfallmeldung + 1 Monat Abschluss
Höchste Geldstrafe500.000 Euro10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes

Eine Einrichtung kann gleichzeitig RKEG- und NISG-pflichtig sein. In diesem Fall sind beide Pflichtenkataloge zu erfüllen — die Cyber-Resilienz-Anforderungen aus NISG 2026 ergänzen die physische Resilienz aus dem RKEG.

Bedeutung für KMU

Klassische Klein- und Mittelbetriebe sind vom RKEG selten direkt erfasst, weil die CER-Sektoren primär auf Versorgungs- und Infrastruktur-Betreiber zielen. Indirekte Betroffenheit entsteht jedoch über zwei Kanäle:

  • Zulieferer-Anforderungen. Kritische Einrichtungen werden im Rahmen ihrer Resilienzmaßnahmen Lieferketten-Sicherheits-Pflichten an Zulieferer durchreichen — vergleichbar mit dem Mechanismus unter NIS2.
  • Doppelt regulierte Sektoren. Einrichtungen in digitaler Infrastruktur und Finanzwirtschaft unterliegen häufig parallel DORA, NIS2/NISG und RKEG. Die Konsolidierung dieser Pflichtenkataloge erfordert ein integriertes ISMS.

Für KMU im Cyber-Risiko-Umfeld lohnt sich daher ein NIS2-Reifegrad-Check, der die Schnittstellen zwischen NIS2/NISG, RKEG und vertraglichen Sicherheitsanforderungen mitdenkt.

Häufige Fragen

Wer ist vom RKEG betroffen?
Das RKEG erfasst öffentliche und private Einrichtungen, die der Bundesminister für Inneres gemäß § 11 als „kritische Einrichtung" einstuft. Grundlage sind die elf Sektoren des Anhangs der EU-CER-Richtlinie (2022/2557) — Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Die Einstufung erfolgt per Bescheid, nicht automatisch — eine Einrichtung weiß erst nach Bescheid des BMI sicher, dass sie erfasst ist.
Seit wann gilt das RKEG?
Das RKEG wurde am 9. Juli 2025 als Regierungsvorlage eingebracht, am 9. Oktober 2025 vom Bundesrat beschlossen und am 16. Oktober 2025 als BGBl. I Nr. 60/2025 kundgemacht. Die Strategie zur Stärkung der Resilienz kritischer Einrichtungen und die nationale Risikoanalyse durch den Bund müssen bis spätestens 17. Jänner 2026 vorliegen (§ 29). Für eingestufte Einrichtungen beginnen die Pflichten erst nach Bescheid — 9 Monate Frist für die Risikoanalyse, 10 Monate für die Resilienzmaßnahmen.
Wie unterscheidet sich das RKEG von der NIS2-Umsetzung in Österreich (NISG 2026)?
NIS2 / NISG 2026 reguliert Cybersicherheit und Informationssicherheit, das RKEG reguliert physische und organisatorische Resilienz — also Schutz vor Sabotage, Spionage, Naturereignissen, Personalrisiken und Versorgungsausfällen. Beide Gesetze setzen Schwester-Rechtsakte der EU um (NIS2 = Richtlinie 2022/2555, CER = Richtlinie 2022/2557) und können parallel gelten. Eine Einrichtung kann gleichzeitig NIS2-pflichtig und vom BMI als kritisch eingestuft sein — dann sind beide Pflichtenkataloge einzuhalten, mit jeweils eigener Meldepflicht.
Welche Pflichten hat eine vom RKEG erfasste Einrichtung?
Nach Einstufung muss die kritische Einrichtung binnen 4 Wochen eine Kontaktstelle benennen (§ 11 Abs. 5), binnen 9 Monaten eine eigene Risikoanalyse durchführen (§ 14) und binnen 10 Monaten Resilienzmaßnahmen umsetzen (§ 15). Die Maßnahmen müssen physischen Schutz der Infrastruktur, Notfallpläne und Krisenmanagement, personelle Sicherheitsvorkehrungen und Schulungen für Personal in kritischen Funktionen abdecken. Schwerwiegende Sicherheitsvorfälle sind unverzüglich, längstens innerhalb von 24 Stunden, an das Bundesministerium für Inneres zu melden (§ 17).
Welche Strafen drohen bei Verstößen gegen das RKEG?
Bei einfachen Verstößen drohen Geldstrafen bis 50.000 Euro, im Wiederholungsfall bis 100.000 Euro (§ 23 Abs. 1). Bei schweren Verstößen — insbesondere bei Verletzung der Meldepflicht — sind Geldstrafen bis 500.000 Euro vorgesehen (§ 23 Abs. 2). Juristische Personen haften nach § 23 Abs. 3 und 4 für Verstöße ihrer Führungspersonen. Für öffentliche Stellen gilt anstelle der Geldstrafe eine Veröffentlichungspflicht des Verstoßes bei Nichtbehebung (§ 24).
Kategorie