{"id":3949,"date":"2026-04-23T17:34:57","date_gmt":"2026-04-23T15:34:57","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=3949"},"modified":"2026-04-23T18:38:17","modified_gmt":"2026-04-23T16:38:17","slug":"rkeg-resilienz-ganzheitlich-betrachtet","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/rkeg-resilienz-ganzheitlich-betrachtet\/","title":{"rendered":"RKEG: Resilienz ganzheitlich betrachtet"},"content":{"rendered":"\n<p>Der Klimawandel und geopolitische Krisen stellen die kritische Infrastruktur und die Daseinsvorsorge vor gro\u00dfe Herausforderungen. Naturkatastrophen, Terroranschl\u00e4ge, Cyberangriffe und physische Sabotageakte wie vor Kurzem, als in Italien eine Stromleitung zu einer Pumpstation f\u00fcr eine f\u00fcr \u00d6sterreich essenzielle \u00d6l-Pipeline gekappt wurde, zeigen die enge Vernetzung und gro\u00dfe Verwundbarkeit des Systems.<\/p>\n\n\n\n<p>Als Reaktion auf diese Gefahrenlage hat die EU eine Richtlinie entwickelt, die sicherstellen soll, dass wesentliche Dienste auch in Krisen- oder Katastrophensituationen weiter funktionieren. In \u00d6sterreich trat das \u201eResilienz kritischer Einrichtungen-Gesetz\u201c (RKEG) am 1. M\u00e4rz 2026 in Kraft und am 15. April folgte die \u201eResilienz kritischer Einrichtungen-Verordnung\u201c (RKEV), in der das Bundesministerium f\u00fcr Inneres (BMI) festlegt, welche Einrichtungen besonders gesch\u00fctzt werden m\u00fcssen und welche Pflichten auf diese zukommen.<\/p>\n\n\n\n<p><strong>Ganzheitliches Sicherheitsregime als Asset<\/strong><\/p>\n\n\n\n<p>NIS2 legt den Fokus auf Cybersicherheit, w\u00e4hrend das RKEG auch physische Sicherheit, bauliche Schutzma\u00dfnahmen, organisatorische Vorsorge, Krisenmanagement und Wiederherstellungsf\u00e4higkeit in den Blick nimmt. Damit geben die beiden Gesetzeswerke im Zusammenspiel den Betreibern kritischer Infrastruktur einen Ansto\u00df, Resilienz als ganzheitlich organisiertes Sicherheitsregime weiterzuentwickeln und ihre Widerstandsf\u00e4higkeit gegen\u00fcber St\u00f6rungen und Krisen systematisch sicherzustellen.<\/p>\n\n\n\n<p>Zwar drohen bei grundlegenden Verst\u00f6\u00dfen gegen das RKEG Geldstrafen von bis zu 50.000 Euro, bei Wiederholung kann die Strafe bis zu 100.000 Euro betragen und in schwerwiegenden F\u00e4llen sind bis zu 500.000 Euro zu zahlen, doch dies sollte nicht der alleinige Grund f\u00fcr Gesetzestreue sein. Die Unternehmen und Organisationen profitieren n\u00e4mlich selbst von der Umsetzung: Das RKEG verschafft einen ganzheitlichen Blick auf Risiken und Abh\u00e4ngigkeiten, bietet dem Management klare Entscheidungsgrundlagen, sorgt f\u00fcr eine effiziente Umsetzung regulatorischer Anforderungen, st\u00e4rkt die Krisenfestigkeit der Organisation und erm\u00f6glicht eine gegen\u00fcber Beh\u00f6rden nachweisbare Compliance.<\/p>\n\n\n\n<p><strong>Der Countdown l\u00e4uft<\/strong><\/p>\n\n\n\n<p>Derzeit erfasst das Innenministerium rund 500 bis 600 Einrichtungen, die f\u00fcr die Daseinsvorsorge unverzichtbar sind, insbesondere wenn sie wesentliche Versorgungsfunktionen erf\u00fcllen, eine kritische Infrastruktur betreiben und eine relevante Gr\u00f6\u00dfe oder Bedeutung f\u00fcr die Gesellschaft haben. Betroffen sind Energie, Gesundheit, Ern\u00e4hrung, Banken, Finanzm\u00e4rkte, Transport, Raumfahrt, Trinkwasser, Abwasser, digitale Infrastruktur und \u00f6ffentliche Verwaltung.<\/p>\n\n\n\n<p>Die Unternehmen und Organisationen erhalten die Einstufung ihres Status als kritische Infrastruktur per Bescheid, wobei die ersten Bescheide f\u00fcr Ende Sommer 2026 geplant sind. Danach starten klare Fristen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Innerhalb von <strong>vier Wochen<\/strong> muss dem BMI eine zentrale Kontaktstelle sowie mindestens eine Ansprechperson benannt werden, wobei die Erreichbarkeit der zentralen Kontaktstelle jedenfalls f\u00fcr jenen Zeitraum sicherzustellen ist, in dem kritische Einrichtungen ihre wesentlichen Dienste erbringen.<\/li>\n\n\n\n<li>Nach <strong>neun Monaten<\/strong> muss die interne Risikoanalyse abgeschlossen sein<\/li>\n\n\n\n<li>Nach <strong>zehn Monaten<\/strong> sind der Resilienzplan zu finalisieren sowie die technischen, sicherheitsbezogenen und organisatorischen Ma\u00dfnahmen umzusetzen.<\/li>\n\n\n\n<li>Danach muss der Plan <strong>innerhalb eines Monats<\/strong> ans BMI \u00fcbermittelt werden.<\/li>\n<\/ul>\n\n\n\n<p><strong>Die Anforderungen des RKEG<\/strong><\/p>\n\n\n\n<p>Das Gesetz verfolgt einen risikobasierten Ansatz, der kontinuierlich \u00fcberpr\u00fcft und weiterentwickelt werden soll. Betroffene Unternehmen und Organisationen m\u00fcssen dabei f\u00fcnf Aktionsfelder beachten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Risikoanalysen<\/strong>: Regelm\u00e4\u00dfige systematische Identifikation von Gefahren und Schwachstellen im gesamten Betrieb<\/li>\n\n\n\n<li><strong>Resilienzpl\u00e4ne<\/strong>:&nbsp; Erstellung und konsequente Umsetzung technischer, organisatorischer und personeller Schutzma\u00dfnahmen<\/li>\n\n\n\n<li><strong>Zuverl\u00e4ssigkeitspr\u00fcfungen<\/strong>: Umfassende \u00dcberpr\u00fcfung von sicherheitsrelevantem Personal zur Vermeidung von Risiken<\/li>\n\n\n\n<li><strong>Vorfallmeldung<\/strong>: Schnelle Meldung von Sicherheitsvorf\u00e4llen innerhalb von 24 Stunden an das BMI. Der Detailbericht muss sp\u00e4testens nach einem Monat \u00fcbermittelt werden.<\/li>\n\n\n\n<li><strong>Resilienzaudits<\/strong>: Erm\u00f6glichung regelm\u00e4\u00dfiger \u00dcberpr\u00fcfungen durch staatlich zugelassene Auditoren; sp\u00e4testens alle vier Jahre, bei Bedarf auch fr\u00fcher, wenn sich die Risikolage wesentlich \u00e4ndert.<\/li>\n<\/ul>\n\n\n\n<p><strong>Die L\u00f6sung: Resilienz systematisch aufbauen<\/strong><\/p>\n\n\n\n<p>Das RKEG ist eine Reaktion auf den immer st\u00e4rker werdenden Druck auf kritische Infrastruktur und markiert einen Paradigmenwechsel: Es geht nicht mehr um punktuelle, einzelne Ma\u00dfnahmen, sondern um systematische Resilienz auf Organisationsebene, die durch das koordinierte Zusammenwirken mehrerer Disziplinen in einem \u00fcbergreifenden Ordnungsrahmen gew\u00e4hrleistet wird.<\/p>\n\n\n\n<p>Um ihre Handlungsf\u00e4higkeit in Krisensituationen nachhaltig zu st\u00e4rken, sollten Betreiber kritischer Infrastruktur ihre Resilienzstrategie strukturiert aufbauen, bei Bedarf auch mit Unterst\u00fctzung unserer spezialisierten Expert:innen. Vier Handlungsfelder sind dabei zentral:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Transparenz schaffen<\/strong>: Betroffenheitsanalyse gem\u00e4\u00df RKEG\/RKEV, Identifikation kritischer Prozesse und Abh\u00e4ngigkeiten, Analyse bestehender Strukturen und Ma\u00dfnahmen<\/li>\n\n\n\n<li><strong>L\u00fccken erkennen<\/strong>: Resilienz- und Gap-Analyse, Bewertung der aktuellen Krisenf\u00e4higkeit, Ableitung konkreter Handlungsfelder<\/li>\n\n\n\n<li><strong>Ma\u00dfnahmen umsetzen<\/strong>: Aufbau von Resilienz- und Krisenstrukturen, Integration in bestehende Organisation und Governance, Dokumentation und Nachweisf\u00fchrung<\/li>\n\n\n\n<li><strong>Resilienz weiterentwickeln<\/strong>: Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung und Anpassung, Tests und \u00dcbungen (z. B. Krisenszenarien), Vorbereitung auf regulatorische Pr\u00fcfungen<\/li>\n<\/ul>\n\n\n\n<p>So wird aus regulatorischem Druck im besten Fall ein strategischer Fortschritt: mehr \u00dcberblick, mehr Handlungsf\u00e4higkeit und mehr Sicherheit f\u00fcr Organisationen, die f\u00fcr das Funktionieren unserer Gesellschaft unverzichtbar sind.<\/p>\n\n\n\n<p>Interessieren Sie sich f\u00fcr das Thema oder ben\u00f6tigen Sie Unterst\u00fctzung? <a href=\"https:\/\/certitude.consulting\/contact.html\">Kontaktieren<\/a> Sie uns f\u00fcr ein unverbindliches Gespr\u00e4ch.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Klimawandel und geopolitische Krisen stellen die kritische Infrastruktur und die Daseinsvorsorge vor gro\u00dfe Herausforderungen. Naturkatastrophen, Terroranschl\u00e4ge, Cyberangriffe und physische Sabotageakte wie vor Kurzem, als in Italien eine Stromleitung zu einer Pumpstation f\u00fcr eine f\u00fcr \u00d6sterreich essenzielle \u00d6l-Pipeline gekappt wurde, zeigen die enge Vernetzung und gro\u00dfe Verwundbarkeit des Systems. Als Reaktion auf diese Gefahrenlage hat [&hellip;]<\/p>\n","protected":false},"author":23,"featured_media":3586,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34],"tags":[508,793,795,693,791],"class_list":["post-3949","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert","tag-cybersecurity","tag-cybersicherheit","tag-kritische-infrastruktur","tag-nis2-de","tag-rkeg"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=3949"}],"version-history":[{"count":2,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3949\/revisions"}],"predecessor-version":[{"id":3952,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3949\/revisions\/3952"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/3586"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=3949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=3949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=3949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}