Kategorien

RKEG: Resilienz ganzheitlich betrachtet

Geschrieben von Markus Hefler am

Der Klimawandel und geopolitische Krisen stellen die kritische Infrastruktur und die Daseinsvorsorge vor große Herausforderungen. Naturkatastrophen, Terroranschläge, Cyberangriffe und physische Sabotageakte wie vor Kurzem, als in Italien eine Stromleitung zu einer Pumpstation für eine für Österreich essenzielle Öl-Pipeline gekappt wurde, zeigen die enge Vernetzung und große Verwundbarkeit des Systems.

Als Reaktion auf diese Gefahrenlage hat die EU eine Richtlinie entwickelt, die sicherstellen soll, dass wesentliche Dienste auch in Krisen- oder Katastrophensituationen weiter funktionieren. In Österreich trat das „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) am 1. März 2026 in Kraft und am 15. April folgte die „Resilienz kritischer Einrichtungen-Verordnung“ (RKEV), in der das Bundesministerium für Inneres (BMI) festlegt, welche Einrichtungen besonders geschützt werden müssen und welche Pflichten auf diese zukommen.

Ganzheitliches Sicherheitsregime als Asset

NIS2 legt den Fokus auf Cybersicherheit, während das RKEG auch physische Sicherheit, bauliche Schutzmaßnahmen, organisatorische Vorsorge, Krisenmanagement und Wiederherstellungsfähigkeit in den Blick nimmt. Damit geben die beiden Gesetzeswerke im Zusammenspiel den Betreibern kritischer Infrastruktur einen Anstoß, Resilienz als ganzheitlich organisiertes Sicherheitsregime weiterzuentwickeln und ihre Widerstandsfähigkeit gegenüber Störungen und Krisen systematisch sicherzustellen.

Zwar drohen bei grundlegenden Verstößen gegen das RKEG Geldstrafen von bis zu 50.000 Euro, bei Wiederholung kann die Strafe bis zu 100.000 Euro betragen und in schwerwiegenden Fällen sind bis zu 500.000 Euro zu zahlen, doch dies sollte nicht der alleinige Grund für Gesetzestreue sein. Die Unternehmen und Organisationen profitieren nämlich selbst von der Umsetzung: Das RKEG verschafft einen ganzheitlichen Blick auf Risiken und Abhängigkeiten, bietet dem Management klare Entscheidungsgrundlagen, sorgt für eine effiziente Umsetzung regulatorischer Anforderungen, stärkt die Krisenfestigkeit der Organisation und ermöglicht eine gegenüber Behörden nachweisbare Compliance.

Der Countdown läuft

Derzeit erfasst das Innenministerium rund 500 bis 600 Einrichtungen, die für die Daseinsvorsorge unverzichtbar sind, insbesondere wenn sie wesentliche Versorgungsfunktionen erfüllen, eine kritische Infrastruktur betreiben und eine relevante Größe oder Bedeutung für die Gesellschaft haben. Betroffen sind Energie, Gesundheit, Ernährung, Banken, Finanzmärkte, Transport, Raumfahrt, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung.

Die Unternehmen und Organisationen erhalten die Einstufung ihres Status als kritische Infrastruktur per Bescheid, wobei die ersten Bescheide für Ende Sommer 2026 geplant sind. Danach starten klare Fristen:

  • Innerhalb von vier Wochen muss dem BMI eine zentrale Kontaktstelle sowie mindestens eine Ansprechperson benannt werden, wobei die Erreichbarkeit der zentralen Kontaktstelle jedenfalls für jenen Zeitraum sicherzustellen ist, in dem kritische Einrichtungen ihre wesentlichen Dienste erbringen.
  • Nach neun Monaten muss die interne Risikoanalyse abgeschlossen sein
  • Nach zehn Monaten sind der Resilienzplan zu finalisieren sowie die technischen, sicherheitsbezogenen und organisatorischen Maßnahmen umzusetzen.
  • Danach muss der Plan innerhalb eines Monats ans BMI übermittelt werden.

Die Anforderungen des RKEG

Das Gesetz verfolgt einen risikobasierten Ansatz, der kontinuierlich überprüft und weiterentwickelt werden soll. Betroffene Unternehmen und Organisationen müssen dabei fünf Aktionsfelder beachten:

  • Risikoanalysen: Regelmäßige systematische Identifikation von Gefahren und Schwachstellen im gesamten Betrieb
  • Resilienzpläne:  Erstellung und konsequente Umsetzung technischer, organisatorischer und personeller Schutzmaßnahmen
  • Zuverlässigkeitsprüfungen: Umfassende Überprüfung von sicherheitsrelevantem Personal zur Vermeidung von Risiken
  • Vorfallmeldung: Schnelle Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden an das BMI. Der Detailbericht muss spätestens nach einem Monat übermittelt werden.
  • Resilienzaudits: Ermöglichung regelmäßiger Überprüfungen durch staatlich zugelassene Auditoren; spätestens alle vier Jahre, bei Bedarf auch früher, wenn sich die Risikolage wesentlich ändert.

Die Lösung: Resilienz systematisch aufbauen

Das RKEG ist eine Reaktion auf den immer stärker werdenden Druck auf kritische Infrastruktur und markiert einen Paradigmenwechsel: Es geht nicht mehr um punktuelle, einzelne Maßnahmen, sondern um systematische Resilienz auf Organisationsebene, die durch das koordinierte Zusammenwirken mehrerer Disziplinen in einem übergreifenden Ordnungsrahmen gewährleistet wird.

Um ihre Handlungsfähigkeit in Krisensituationen nachhaltig zu stärken, sollten Betreiber kritischer Infrastruktur ihre Resilienzstrategie strukturiert aufbauen, bei Bedarf auch mit Unterstützung unserer spezialisierten Expert:innen. Vier Handlungsfelder sind dabei zentral:

  • Transparenz schaffen: Betroffenheitsanalyse gemäß RKEG/RKEV, Identifikation kritischer Prozesse und Abhängigkeiten, Analyse bestehender Strukturen und Maßnahmen
  • Lücken erkennen: Resilienz- und Gap-Analyse, Bewertung der aktuellen Krisenfähigkeit, Ableitung konkreter Handlungsfelder
  • Maßnahmen umsetzen: Aufbau von Resilienz- und Krisenstrukturen, Integration in bestehende Organisation und Governance, Dokumentation und Nachweisführung
  • Resilienz weiterentwickeln: Regelmäßige Überprüfung und Anpassung, Tests und Übungen (z. B. Krisenszenarien), Vorbereitung auf regulatorische Prüfungen

So wird aus regulatorischem Druck im besten Fall ein strategischer Fortschritt: mehr Überblick, mehr Handlungsfähigkeit und mehr Sicherheit für Organisationen, die für das Funktionieren unserer Gesellschaft unverzichtbar sind.

Interessieren Sie sich für das Thema oder benötigen Sie Unterstützung? Kontaktieren Sie uns für ein unverbindliches Gespräch.