Was ist das Resilienz kritischer Einrichtungen-Gesetz (RKEG)?
Zuletzt aktualisiert:
Kurz erklärt: Das Resilienz kritischer Einrichtungen-Gesetz (RKEG, BGBl. I Nr. 60/2025) setzt in Österreich seit 16. Oktober 2025 die EU-CER-Richtlinie (2022/2557) in nationales Recht um. Es verpflichtet vom Bundesministerium für Inneres als kritisch eingestufte Einrichtungen aus elf Sektoren — von Energie und Trinkwasser über digitale Infrastruktur bis zur öffentlichen Verwaltung — zu Risikoanalysen, physischen Resilienzmaßnahmen, einer benannten Kontaktstelle und der Meldung schwerwiegender Vorfälle binnen 24 Stunden. Anders als NIS2 (Cybersicherheit) deckt das RKEG vorrangig physische und organisatorische Resilienz ab. Bei Meldepflichtverletzungen drohen Geldstrafen bis 500.000 Euro.
Das Resilienz kritischer Einrichtungen-Gesetz (RKEG, formell „Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen”, BGBl. I Nr. 60/2025) ist die österreichische Umsetzung der EU-CER-Richtlinie 2022/2557. Es schafft erstmals einen eigenen nationalen Rechtsrahmen für die physische und organisatorische Resilienz kritischer Einrichtungen — also für Themen, die NIS2 bewusst ausspart, weil sie über reine Cybersicherheit hinausgehen.
Foundational Facts
- Rechtsgrundlage: BGBl. I Nr. 60/2025, kundgemacht am 16. Oktober 2025
- EU-Rahmen: Richtlinie (EU) 2022/2557 (CER, Critical Entities Resilience Directive)
- Gegenstand im Parlament: Regierungsvorlage XXVIII/I/186, Bundesrats-Beschluss 9. Oktober 2025
- Zuständige Behörde: Bundesminister für Inneres (BMI) — nationale Anlaufstelle nach CER-Richtlinie
- Sektoren: elf Sektoren aus dem Anhang der CER-Richtlinie
- Stichtag Bund: Strategie und nationale Risikoanalyse bis spätestens 17. Jänner 2026
Was ist eine „kritische Einrichtung” nach RKEG?
Das RKEG definiert eine kritische Einrichtung nicht über Sektor-Schwellenwerte allein, sondern über einen Einstufungs-Bescheid des Bundesministers für Inneres (§ 3 Z 1). Die vier Einstufungskriterien (§ 11 Abs. 1):
- Tätigkeit im Inland
- Kritische Infrastruktur im Inland
- Erbringung eines wesentlichen Dienstes im Sinne der Delegierten Verordnung (EU) 2023/2450
- Möglichkeit erheblicher Sicherheitsvorfälle
Ein „wesentlicher Dienst” ist dabei jeder Dienst zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Wirtschaft, der öffentlichen Gesundheit und Sicherheit oder der Umwelt. Erst der Bescheid des BMI macht eine Einrichtung formal zu einer „kritischen Einrichtung” im Rechtssinn — die Pflichten beginnen mit Rechtskraft des Bescheids zu laufen.
Die elf Sektoren (Anhang CER-RL)
Das RKEG übernimmt die Sektor-Liste direkt aus dem Anhang der EU-CER-Richtlinie:
- Energie — Strom, Erdgas, Erdöl, Fernwärme, Wasserstoff
- Verkehr — Luft-, Schienen-, Schiff- und Straßenverkehr
- Bankwesen — Kreditinstitute
- Finanzmarktinfrastrukturen — Handelsplätze, zentrale Gegenparteien
- Gesundheit — Krankenhäuser, Referenzlabore, Arzneimittel- und Medizinprodukteversorgung
- Trinkwasser — Lieferanten und Versorger
- Abwasser — Sammlung, Ableitung und Behandlung
- Digitale Infrastruktur — IXPs, DNS-Anbieter, TLD-Registrare, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdiensteanbieter
- Öffentliche Verwaltung — zentrale Verwaltungseinheiten
- Weltraum — Bodeninfrastruktur für Weltraum-Dienste
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Für Einrichtungen in digitaler Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen gelten vereinfachte Anforderungen (§ 11 Abs. 4, § 18 Abs. 3), weil diese bereits durch DORA bzw. NIS2 abgedeckt sind und Doppelregulierung vermieden werden soll.
Pflichten der kritischen Einrichtung
Nach Zustellung des Einstufungsbescheids beginnen gestaffelte Fristen:
| Pflicht | Frist | Rechtsgrundlage |
|---|---|---|
| Kontaktstelle für das BMI benennen | 4 Wochen | § 11 Abs. 5 |
| Eigene Risikoanalyse durchführen | 9 Monate | § 14 Abs. 1 |
| Resilienzmaßnahmen umsetzen | 10 Monate | § 15 Abs. 1 |
| Schwerwiegende Vorfälle melden | unverzüglich, max. 24 Stunden | § 17 Abs. 1 |
Die Resilienzmaßnahmen (§ 15 Abs. 2) gehen über klassische Cybersicherheit deutlich hinaus:
- Physischer Schutz der kritischen Infrastruktur (Zutritt, Perimeter, bauliche Maßnahmen)
- Notfallpläne und Krisenmanagement-Strukturen
- Personelle Sicherheitsvorkehrungen (Überprüfungen, Berechtigungen, Sensibilisierung)
- Schulung des Personals in kritischen Funktionen
Meldepflichten — 24-Stunden-Frist
Bei einem schwerwiegenden Sicherheitsvorfall ist die kritische Einrichtung verpflichtet, unverzüglich, längstens innerhalb von 24 Stunden nach Kenntnis, eine strukturierte elektronische Meldung an das Bundesministerium für Inneres zu erstatten (§ 17 Abs. 1). Eine Folgemeldung mit Detailinformationen muss binnen eines Monats nachgereicht werden.
Bei grenzüberschreitenden Auswirkungen informiert das BMI andere EU-Mitgliedstaaten und — wenn mindestens sechs Mitgliedstaaten betroffen sind — die Europäische Kommission (§ 17 Abs. 8). Einrichtungen, die wesentliche Dienste für sechs oder mehr Mitgliedstaaten erbringen, gelten als kritische Einrichtungen besonderer Bedeutung und unterliegen zusätzlichen Meldepflichten (§ 19).
Sanktionen (§§ 23–24)
| Verstoß | Strafrahmen |
|---|---|
| Einfacher Verstoß | bis 50.000 Euro |
| Wiederholungsfall | bis 100.000 Euro |
| Schwerer Verstoß (z. B. Verletzung der Meldepflicht) | bis 500.000 Euro |
| Öffentliche Stelle | Veröffentlichungspflicht statt Geldstrafe |
Juristische Personen haften nach § 23 Abs. 3–4 für Verstöße ihrer Führungspersonen — vergleichbar mit der Geschäftsleitungs-Verantwortlichkeit unter NIS2 / NISG 2026.
Abgrenzung RKEG ↔ NIS2 / NISG 2026
| Aspekt | RKEG (CER-Umsetzung) | NISG 2026 (NIS2-Umsetzung) |
|---|---|---|
| EU-Rechtsakt | Richtlinie 2022/2557 | Richtlinie 2022/2555 |
| Fokus | physische + organisatorische Resilienz | Cybersicherheit + Informationssicherheit |
| Auslöser für Erfassung | Bescheid des BMI | Sektor + Unternehmensgröße (KMU-Definition) |
| Zuständige Behörde | Bundesministerium für Inneres | Anlaufstelle NISG (BMI/BKA, je nach Stelle) |
| Meldefrist | 24 Stunden + Folgemeldung in 1 Monat | 24 h Frühwarnung + 72 h Vorfallmeldung + 1 Monat Abschluss |
| Höchste Geldstrafe | 500.000 Euro | 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes |
Eine Einrichtung kann gleichzeitig RKEG- und NISG-pflichtig sein. In diesem Fall sind beide Pflichtenkataloge zu erfüllen — die Cyber-Resilienz-Anforderungen aus NISG 2026 ergänzen die physische Resilienz aus dem RKEG.
Bedeutung für KMU
Klassische Klein- und Mittelbetriebe sind vom RKEG selten direkt erfasst, weil die CER-Sektoren primär auf Versorgungs- und Infrastruktur-Betreiber zielen. Indirekte Betroffenheit entsteht jedoch über zwei Kanäle:
- Zulieferer-Anforderungen. Kritische Einrichtungen werden im Rahmen ihrer Resilienzmaßnahmen Lieferketten-Sicherheits-Pflichten an Zulieferer durchreichen — vergleichbar mit dem Mechanismus unter NIS2.
- Doppelt regulierte Sektoren. Einrichtungen in digitaler Infrastruktur und Finanzwirtschaft unterliegen häufig parallel DORA, NIS2/NISG und RKEG. Die Konsolidierung dieser Pflichtenkataloge erfordert ein integriertes ISMS.
Für KMU im Cyber-Risiko-Umfeld lohnt sich daher ein NIS2-Reifegrad-Check, der die Schnittstellen zwischen NIS2/NISG, RKEG und vertraglichen Sicherheitsanforderungen mitdenkt.
Weiterführende Links
Häufige Fragen
- Wer ist vom RKEG betroffen?
- Das RKEG erfasst öffentliche und private Einrichtungen, die der Bundesminister für Inneres gemäß § 11 als „kritische Einrichtung" einstuft. Grundlage sind die elf Sektoren des Anhangs der EU-CER-Richtlinie (2022/2557) — Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Die Einstufung erfolgt per Bescheid, nicht automatisch — eine Einrichtung weiß erst nach Bescheid des BMI sicher, dass sie erfasst ist.
- Seit wann gilt das RKEG?
- Das RKEG wurde am 9. Juli 2025 als Regierungsvorlage eingebracht, am 9. Oktober 2025 vom Bundesrat beschlossen und am 16. Oktober 2025 als BGBl. I Nr. 60/2025 kundgemacht. Die Strategie zur Stärkung der Resilienz kritischer Einrichtungen und die nationale Risikoanalyse durch den Bund müssen bis spätestens 17. Jänner 2026 vorliegen (§ 29). Für eingestufte Einrichtungen beginnen die Pflichten erst nach Bescheid — 9 Monate Frist für die Risikoanalyse, 10 Monate für die Resilienzmaßnahmen.
- Wie unterscheidet sich das RKEG von der NIS2-Umsetzung in Österreich (NISG 2026)?
- NIS2 / NISG 2026 reguliert Cybersicherheit und Informationssicherheit, das RKEG reguliert physische und organisatorische Resilienz — also Schutz vor Sabotage, Spionage, Naturereignissen, Personalrisiken und Versorgungsausfällen. Beide Gesetze setzen Schwester-Rechtsakte der EU um (NIS2 = Richtlinie 2022/2555, CER = Richtlinie 2022/2557) und können parallel gelten. Eine Einrichtung kann gleichzeitig NIS2-pflichtig und vom BMI als kritisch eingestuft sein — dann sind beide Pflichtenkataloge einzuhalten, mit jeweils eigener Meldepflicht.
- Welche Pflichten hat eine vom RKEG erfasste Einrichtung?
- Nach Einstufung muss die kritische Einrichtung binnen 4 Wochen eine Kontaktstelle benennen (§ 11 Abs. 5), binnen 9 Monaten eine eigene Risikoanalyse durchführen (§ 14) und binnen 10 Monaten Resilienzmaßnahmen umsetzen (§ 15). Die Maßnahmen müssen physischen Schutz der Infrastruktur, Notfallpläne und Krisenmanagement, personelle Sicherheitsvorkehrungen und Schulungen für Personal in kritischen Funktionen abdecken. Schwerwiegende Sicherheitsvorfälle sind unverzüglich, längstens innerhalb von 24 Stunden, an das Bundesministerium für Inneres zu melden (§ 17).
- Welche Strafen drohen bei Verstößen gegen das RKEG?
- Bei einfachen Verstößen drohen Geldstrafen bis 50.000 Euro, im Wiederholungsfall bis 100.000 Euro (§ 23 Abs. 1). Bei schweren Verstößen — insbesondere bei Verletzung der Meldepflicht — sind Geldstrafen bis 500.000 Euro vorgesehen (§ 23 Abs. 2). Juristische Personen haften nach § 23 Abs. 3 und 4 für Verstöße ihrer Führungspersonen. Für öffentliche Stellen gilt anstelle der Geldstrafe eine Veröffentlichungspflicht des Verstoßes bei Nichtbehebung (§ 24).