You will be redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH: www.schoenherr.eu
Mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG) wurde in Österreich ein eigenständiger Rechtsrahmen geschaffen, der die Widerstandsfähigkeit kritischer Einrichtungen gegenüber Sicherheitsvorfällen nachhaltig stärken soll. Das Gesetz verfolgt einen ganzheitlichen All-Gefahren-Ansatz („All-Hazards-Approach“), der weit über die reine Cybersicherheit hinausgeht.
Im Zentrum stehen dabei insbesondere die Bereiche Prävention, Schutz, Abwehr, Reaktion, Folgenbegrenzung, Bewältigung und Wiederherstellung.
Die wesentlichen materiellen Bestimmungen des RKEG gelten seit 01.03.2026.
Von besonderer Bedeutung ist die klare Abgrenzung zum Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026): Während das RKEG die Resilienz kritischer Einrichtungen im Sinne der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) regelt, definiert das NISG 2026 als eigenständiges Regelwerk die Anforderungen an die Sicherheit von Netz- und Informationssystemen (Cybersicherheit) und knüpft dabei an die Kategorien „wesentliche“ und „wichtige“ Einrichtungen an.
Nach dem RKEG ist der Bundesminister für Inneres die zuständige Behörde und dafür verantwortlich, Einrichtungen gemäß § 11 RKEG durch Bescheid als „kritisch“ einzustufen. Eine „kritische Einrichtung“ liegt somit nur bei Vorliegen eines solchen konstitutiven Verwaltungsakts vor; die bloße Zugehörigkeit zu einer bestimmten Branche und das Erreichen bestimmter Größenschwellen reicht – im Gegensatz zum NISG 2026 – nicht aus.
Vom Anwendungsbereich des Gesetzes ausdrücklich ausgenommen sind die Gerichtsbarkeit (einschließlich der kollegialen und monokratischen Justizverwaltung), die Gesetzgebung (einschließlich der Parlamentsdirektion) sowie die Österreichische Nationalbank.
Zudem enthält das RKEG zentrale Begriffsbestimmungen, insbesondere zu „Resilienz“ und „Sicherheitsvorfall“. Letzterer ist weit gefasst und umfasst nicht nur IT-bezogene Störungen, sondern jedes Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte.
Die Einstufung als „kritische Einrichtung“ erfolgt auf Grundlage einer nationalen Strategie sowie darauf aufbauender Risiko- und Gefährdungsanalysen. Das Gesetz definiert hierfür klare Kriterien, anhand derer potenziell kritische Einrichtungen identifiziert und anschließend formell eingestuft werden.
Für die Praxis ist wesentlich, dass die gesetzlichen Pflichten und Fristen des RKEG nicht bereits mit dem Inkrafttreten des Gesetzes für alle Unternehmen eines Sektors gelten. Sie setzen vielmehr grundsätzlich erst mit Zustellung bzw. Wirksamwerden des jeweiligen Einstufungsbescheids ein; ab diesem Zeitpunkt beginnen die gesetzlichen Fristen zu laufen.
Ergänzend werden die Kriterien zur Beurteilung, ob bei der Erbringung eines wesentlichen Dienstes ein Sicherheitsvorfall eintreten kann, durch Verordnung konkretisiert. Diese Konkretisierung erfolgt durch die Resilienz kritischer Einrichtungen-Verordnung (RKEV), die sektorspezifische Schwellenwerte und Parameter festlegt.
Nach erfolgter Einstufung unterliegen kritische Einrichtungen einem klar strukturierten Pflichtenregime:
4.1 Zentrale Kontaktstelle und Ansprechperson:
Kritische Einrichtungen haben innerhalb von vier Wochen nach bescheidmäßiger Einstufung eine zentrale Kontaktstelle sowie mindestens eine Ansprechperson zu benennen. Änderungen sind unverzüglich, spätestens binnen zwei Wochen bekanntzugeben; die Erreichbarkeit der zentralen Kontaktstelle ist jedenfalls für jenen Zeitraum sicherzustellen, in dem wesentliche Dienste erbracht werden.
Kritische Einrichtungen ohne Niederlassung im Inland haben für die Einhaltung der Verwaltungsvorschriften nach dem RKEG einen verantwortlichen Beauftragten zu bestellen.
4.2 Risikoanalyse:
Die Risikoanalyse ist innerhalb von neun Monaten nach der Einstufung durchzuführen und im Anschluss bei Änderungen der maßgeblichen Risikofaktoren anlassbezogen, längstens jedoch alle vier Jahre, zu aktualisieren.
4.3 Resilienzmaßnahmen und Resilienzplan:
Die Resilienzmaßnahmen sind spätestens mit Ablauf von zehn Monaten nach der bescheidmäßigen Einstufung umzusetzen und in einem Resilienzplan darzulegen.
Die gesetzlichen Vorgaben sind auf eine governance-orientierte Umsetzung ausgerichtet. Im Mittelpunkt stehen insbesondere die klare Zuweisung von Verantwortlichkeiten, die strukturierte Dokumentation von Risiko- und Maßnahmenlogiken sowie die Sicherstellung der Nachweisbarkeit gegenüber der Behörde. Die Maßnahmen sind dabei nicht auf technische Vorkehrungen beschränkt, sondern umfassen organisatorische, technische und sicherheitsbezogene Maßnahmen in angemessener und verhältnismäßiger Ausgestaltung.
Das RKEG sieht eine eigenständige Meldepflicht für Sicherheitsvorfälle vor. Diese Pflicht greift erst nach Ablauf von zehn Monaten nach der bescheidmäßigen Einstufung der jeweiligen Einrichtung. Ab diesem Zeitpunkt sind Sicherheitsvorfälle unverzüglich, längstens jedoch binnen 24 Stunden nach Kenntnis, dem Bundesminister für Inneres strukturiert zu melden, soweit dies aus operativer Sicht möglich ist.
Wann ein Sicherheitsvorfall im Sinne des § 17 RKEG vorliegt und damit die Meldepflicht auslöst, wird sektorspezifisch durch die RKEV konkretisiert.
Ergänzende Informationen sowie Informationen über nachträglich bekannt gewordene Umstände sind längstens binnen eines Monats nach der Erstmeldung in einer Folgemeldung mitzuteilen.
Praktische Umsetzung:
Bereits vor Ablauf der Zehnmonatsfrist sollten interne Prozesse zur Behandlung von Sicherheitsvorfällen etabliert werden. Insbesondere sind folgende Elemente vorzusehen:
· eine verbindliche Klassifikation, ob ein „RKEG-Sicherheitsvorfall“ vorliegt,
· eine 24-Stunden-Meldekette einschließlich klar geregelter Vertretungs- und Eskalationsmechanismen,
· ein strukturiertes Verfahren für die Folgemeldung (insbesondere zur Aufarbeitung, Darstellung der Faktenlage und Dokumentation gesetzter Maßnahmen).
Das RKEG sieht in § 18 Abs 3 eine zentrale Ausnahmeregelung vor. Für kritische Einrichtungen in den nach der CER-Systematik gelisteten Sektoren digitale Infrastruktur, Bankwesen und Finanzmarktinfrastrukturen gelten mehrere Bestimmungen des RKEG nicht.
Von dieser Ausnahme erfasst ist ein ganzer Pflichtenkomplex, insbesondere § 11 Abs 5 bis 7 sowie die §§ 14, 15, 17 und 19 RKEG; damit entfallen für diese Sektoren unter anderem Risikoanalyse-, Maßnahmen- und Meldepflichten nach dem RKEG.
Diese Sonderregelung ist im Rahmen der Betroffenheitsprüfung sorgfältig zu berücksichtigen, weil sie den Umfang der anwendbaren Verpflichtungen erheblich reduzieren kann.
Mit der RKEV wurde das RKEG weiter konkretisiert. Die Verordnung stützt sich auf § 11 Abs 2 sowie § 17 Abs 2 RKEG und präzisiert zentrale Parameter für die Identifikation kritischer Einrichtungen sowie für die Qualifikation meldepflichtiger Sicherheitsvorfälle. Sie ist seit 15.04.2026 in Kraft.
Inhaltlich definiert § 1 RKEV insbesondere Schwellenwerte für die Einstufung kritischer Einrichtungen gemäß § 11 Abs 1 Z 4 RKEG sowie für das Vorliegen meldepflichtiger Sicherheitsvorfälle im Sinne des § 17 Abs 1 RKEG.
Ergänzend definiert § 2 RKEV zentrale operative Begriffe, insbesondere Nutzerstunden und Zählpunktstunden, und konkretisiert in den sektorspezifischen Bestimmungen der §§ 3 bis 14 RKEV sowohl die jeweiligen Ermittlungsschwellen als auch die Trigger für meldepflichtige Sicherheitsvorfälle.
Im Zusammenhang mit dem RKEG wird häufig auch die NIS-2-Richtlinie bzw deren Umsetzung durch das NISG 2026 genannt. Beide Regelwerke stehen in engem Zusammenhang, setzen jedoch unterschiedliche Schwerpunkte.
Das Verhältnis zwischen RKEG und NISG 2026 ist nicht als Alternativverhältnis ausgestaltet, sondern kann zu einer parallelen Anwendung führen. Gemäß § 24 Abs 1 Z 1 lit f NISG 2026 gelten Einrichtungen, die als kritische Einrichtungen gemäß der CER-Richtlinie ermittelt wurden, als „wesentliche Einrichtungen“. Für die Praxis bedeutet dies, dass beide Regelungsregime parallel zu berücksichtigen sind.
Das NISG 2026 konzentriert sich auf die Cybersicherheit. Es verpflichtet Unternehmen zu einem wirksamen IT-Risikomanagement, klar geregelten Verantwortlichkeiten auf Managementebene sowie zu strengen Meldepflichten bei Cybervorfällen.
Das RKEG verfolgt demgegenüber einen umfassenderen Resilienzansatz. Es bezieht neben Cyberrisiken auch physische Gefahren wie Naturkatastrophen, Stromausfälle, Sabotage und Lieferkettenrisiken ein und stellt Anforderungen an Notfall- und Wiederanlaufplanung. Digitale und physische Risiken werden dabei nicht getrennt, sondern als Teil eines integrierten Gesamtsystems betrachtet.
Vor diesem Hintergrund normiert das RKEG insbesondere Vorgaben zur Resilienz-Governance, zu Risikoanalysen sowie zu Resilienzmaßnahmen und -plänen, ergänzt um ein ganzheitliches, nicht ausschließlich cyberbezogenes Vorfallmeldesystem. Das NISG 2026 konkretisiert und erweitert diese Anforderungen im Bereich der Cybersicherheit und des Vorfallsmanagements.
Das NISG 2026 tritt am 01.10.2026 in Kraft.
Aus Compliance-Sicht empfiehlt sich ein gestuftes Vorgehen:
· Zunächst sollte intern geprüft werden, ob der eigene Betrieb einem typischen kritischen Sektor zuzuordnen ist und ob eine behördliche Einstufung nach dem RKEG absehbar ist.
· Parallel dazu empfiehlt sich der Aufbau eines umfassenden Resilienzprogramms. Dieses sollte insbesondere die Durchführung von Risikoanalysen, ein strukturiertes Maßnahmenmanagement sowie eine belastbare Nachweisführung umfassen.
· Darauf aufbauend sind die Vorfallsprozesse so zu gestalten, dass die gesetzlich vorgesehene 24-Stunden-Erstmeldung sowie die Folgemeldung binnen eines Monats organisatorisch zuverlässig sichergestellt werden können, sobald die Meldepflicht wirksam wird.
· Gleichzeitig sollte die künftige Betroffenheit durch das NISG 2026 frühzeitig in die Planung einbezogen werden, insbesondere im Hinblick auf die automatische Einstufung als „wesentliche Einrichtung“ für nach dem CER-System als „kritisch“ eingestufte Betreiber. Dadurch lassen sich Doppel- und Parallelpflichten in Governance-, Risiko- und Maßnahmenstrukturen sowie im Vorfallsmanagement konsistent und effizient steuern.
· Zusätzlich sollten unmittelbar nach einer Einstufung die organisatorischen Mindestpflichten (insbesondere Benennung einer zentralen Kontaktstelle und mindestens einer Ansprechperson) fristgerecht umgesetzt werden. Im Vorfallsmanagement ist frühzeitig sicherzustellen, dass die Prozesse sowohl die RKEG-Meldelogik für Sicherheitsvorfälle als auch – ab Anwendbarkeit des einschlägigen NISG 2026-Teils – die NISG 2026-Logik für erhebliche Cybersicherheitsvorfälle abdecken, weil Meldegegenstand und Terminologie nicht deckungsgleich sind.
Felix
Schneider
Attorney at Law
austria vienna