IT‑Ingenieurin überprüft Sicherheitsprotokolle auf Tablet in einem Rechenzentrum

Das RKEG im Überblick: Was Unternehmen zum neuen Resilienzgesetz wissen müssen

Das neue RKEG tritt am 1. März 2026 in Kraft und verpflichtet kritische Einrichtungen zu umfassenden Resilienzmaßnahmen.


Überblick

  • Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) tritt am 1. März 2026 in Österreich in Kraft.
  • Rund 300–600 Unternehmen in Österreich dürften als kritische Einrichtungen betroffen sein.
  • Sicherheitsvorfälle sind unverzüglich, spätestens binnen 24 Stunden zu melden.
  • Das RKEG ist eng mit der NIS2-Richtlinie zur Cybersicherheit verzahnt und erweitert bestehende IT-Risikomanagement-, Melde- und Governance-Pflichten.
  • Unternehmen müssen Risikoanalysen, Resilienzpläne und geeignete Schutzmaßnahmen umsetzen.

Mit 1. März 2026 tritt in Österreich das Resilienz kritischer Einrichtungen-Gesetz (RKEG) in Kraft. Das Gesetz setzt die EU-Richtlinie 2022/2557 um und schafft erstmals einen verbindlichen Rahmen zur Stärkung der Resilienz kritischer Einrichtungen.

Ziel ist es, die Versorgungssicherheit in zentralen Bereichen wie Energie, Gesundheit, Transport, digitale Infrastruktur oder Finanzwesen langfristig abzusichern. Betroffen sind jene Unternehmen, deren Ausfall erhebliche Auswirkungen auf wesentliche gesellschaftliche oder wirtschaftliche Funktionen hätte. Schätzungen zufolge könnten rund 300 bis 600 Unternehmen in Österreich unter das neue Regime fallen.

Im Folgenden erläutern wir, was das RKEG konkret regelt, wie es sich von der NIS2-Richtlinie unterscheidet, wen es betrifft und welche Handlungsfelder sich für Unternehmen daraus ergeben.

Was ist das RKEG?

Das Resilienz kritischer Einrichtungen-Gesetz verpflichtet bestimmte Unternehmen, ihre organisatorische, physische und digitale Widerstandsfähigkeit systematisch zu stärken. Anders als bisherige Programme ist das RKEG ein verbindliches Gesetz mit klar definierten Pflichten, Fristen und Sanktionen.

Kritische Einrichtungen müssen unter anderem eine Risikoanalyse durchführen, einen Resilienzplan erstellen, geeignete technische, organisatorische und personelle Maßnahmen umsetzen und relevante Sicherheitsvorfälle unverzüglich, spätestens binnen 24 Stunden melden. Bei Nichteinhaltung des RKEG drohen Geldstrafen von bis zu 50.000 Euro bei grundlegenden Verstößen, bis zu 100.000 Euro bei Wiederholung und bis zu 500.000 Euro in schwerwiegenden Fällen.

Die nationale Strategie zur Resilienz kritischer Einrichtungen basiert auf einer umfassenden Risikoanalyse, die Naturgefahren, technische Risiken, absichtliche Angriffe sowie sektorübergreifende und grenzüberschreitende Abhängigkeiten berücksichtigt. Diese Strategie wird mindestens alle vier Jahre überprüft und angepasst.

Im Kern bedeutet das: Resilienz wird zur Management- und Governance-Aufgabe.

RKEG vs. NIS2: Wo sind die Unterschiede?

Im Zusammenhang mit dem RKEG wird häufig die NIS-2-Richtlinie genannt. Beide Regime stehen in engem Zusammenhang, verfolgen jedoch unterschiedliche Schwerpunkte.

Die NIS-2-Richtlinie konzentriert sich primär auf Cybersicherheit. Sie verpflichtet Unternehmen zu robustem IT-Risikomanagement, klaren Verantwortlichkeiten im Management und strengen Meldepflichten bei Cybervorfällen.

Das RKEG hingegen erweitert diese Perspektive. Es adressiert neben Cyberrisiken auch physische Sicherheit, Notfall- und Wiederanlaufplanung, Lieferkettenrisiken, Naturkatastrophen, Stromausfälle oder Sabotage. Digitale und physische Risiken werden nicht getrennt betrachtet, sondern als integriertes System verstanden.

Wichtig ist: Unternehmen, die einen RKEG-Bescheid erhalten, sollten daher – sofern noch nicht erfolgt – prüfen, ob sie zusätzlich unter die Vorgaben der NIS-2-Richtlinie fallen. In diesem Fall entstehen in Bereichen wie Governance, Risikoanalyse und Meldeprozessen inhaltliche Überschneidungen, die bei isolierter Umsetzung schnell zu Doppelstrukturen führen können – während ein integrierter Ansatz Effizienz schafft und strategische Klarheit bringt.

Wen betrifft das RKEG und wie wirkt es sich aus?

Das RKEG betrifft Unternehmen aus elf Sektoren: Energie, Gesundheit, Banken, Finanzmarktinfrastruktur, digitale Infrastruktur, Transport, Wasser, Abwasser, öffentliche Verwaltung, Raumfahrt und Ernährung.


Ob ein Unternehmen tatsächlich als kritische Einrichtung eingestuft wird, entscheidet das Innenministerium per Bescheid. Maßgeblich ist unter anderem, ob ein Sicherheitsvorfall erhebliche Auswirkungen auf die Erbringung wesentlicher Dienste hätte.

Für betroffene Unternehmen bedeutet das in der Praxis einen strukturellen Anpassungsprozess. Bestehende Risikomanagementsysteme müssen überprüft und gegebenenfalls erweitert werden. Governance-Strukturen sind klar zu definieren, Verantwortlichkeiten auf Managementebene zu verankern und Meldeprozesse zu operationalisieren. Damit entsteht ein einheitlicher Rahmen, der Organisationen dabei unterstützt, Störungen frühzeitig zu erkennen, professionell darauf zu reagieren und den Betrieb kritischer Dienste nachhaltig abzusichern.

Fünf zentrale Pflichten zur Resilienz kritischer Einrichtungen nach RKEG

Wellenförmige Infografik zeigt fünf Pflichten nach dem RKEG

Ein sinnvoller erster Schritt ist eine strukturierte Gap-Analyse, um bestehende Lücken im Vergleich zu den regulatorischen Anforderungen transparent zu machen. Darauf aufbauend lässt sich eine priorisierte Roadmap entwickeln, mit der Unternehmen die erforderlichen Maßnahmen effizient planen und fristgerecht umsetzen können.

Worauf sollten betroffene Unternehmen noch achten?

Ein zentrales Thema ist die Integration physischer und digitaler Resilienz. Naturkatastrophen, Extremwetterereignisse, Stromausfälle oder systemische Störungen sind ebenso zu berücksichtigen wie Cyberangriffe. Hier spielen physische Resilienzmaßnahmen eine wesentliche Rolle – etwa bauliche Schutzkonzepte, Notfallplanung oder Szenarioanalysen.

 

Auch die Betrachtung von Abhängigkeiten gewinnt an Bedeutung. Kritische Einrichtungen stehen in engem Zusammenhang mit anderen Sektoren. Lieferketten, Energieversorgung, digitale Netze und Personalverfügbarkeit müssen ganzheitlich analysiert werden.

 

Zudem ist die Verzahnung von RKEG und NIS2 strategisch zu denken. Unternehmen sollten ihre bestehenden Cybersicherheits- und Governance-Strukturen nicht doppelt aufbauen, sondern harmonisieren. Das reduziert Aufwand und erhöht die Wirksamkeit.

 

Nicht zuletzt ist Resilienz ein laufender Prozess. Risikoanalysen müssen regelmäßig aktualisiert, Resilienzpläne überprüft und Maßnahmen getestet werden. Die Einführung eines klaren Governance-Rahmens und die frühzeitige Einbindung des Top-Managements sind entscheidend.

 

Die Umsetzung des RKEG folgt einem klar definierten Zeitplan, der sowohl Behörden als auch Unternehmen konkrete Fristen vorgibt. Vom Inkrafttreten des Gesetzes über die Einstufungsbescheide bis hin zu Risikoanalysen, Resilienzplänen und Meldepflichten: Die nächsten Monate sind entscheidend, um die neuen gesetzlichen Anforderungen rechtzeitig und vollständig zu erfüllen. Die folgenden Meilensteine geben einen kompakten Überblick über die wichtigsten Schritte:


Fazit: Resilienz als strategischer Erfolgsfaktor

Das RKEG markiert einen Wendepunkt im Umgang mit kritischer Infrastruktur in Österreich. Resilienz ist nicht länger ein freiwilliges Zusatzthema, sondern gesetzliche Pflicht. Für Unternehmen bedeutet das zunächst erhöhten Aufwand. Gleichzeitig eröffnet sich die Chance, Risiken systematisch zu identifizieren, Strukturen zu stärken und Wettbewerbsvorteile durch stabile Prozesse zu erzielen. Ein integrierter Ansatz, der Cyber- und physische Sicherheit verbindet, Governance-Strukturen klar definiert und Abhängigkeiten transparent macht, schafft nicht nur Compliance – sondern nachhaltige Stabilität.

Jetzt ist der richtige Zeitpunkt, bestehende Strukturen zu analysieren und Resilienz strategisch zu verankern.


Bereit fürs RKEG?
Wir unterstützen Sie bei Gap- und Risikoanalysen, Resilienzplanung & Compliance. Kontaktieren Sie uns!

Mehr zum Thema

EY Cybersecurity Studie 2025: Wie gut Österreichs Unternehmen auf Cyberangriffe vorbereitet sind

Die Studie von EY über Cybersicherheit von Unternehmen • Bedrohungslage & Schutzmaßnahmen • KI als Risiko & Potenzial ➜ Mehr erfahren!

Cyber Incident Response: Was Unternehmen im Falle eines Cyberangriffs tun können

Unternehmen vs. Cyberangriffe: Was tun bei digitaler Geiselnahme? • So funktioniert die Cyber Incident Response ➜ Mehr erfahren!

Arten von Cyberangriffen: Wie sich Kriminelle den Weg ins Unternehmen bahnen

Wie sich Cyberkriminelle Zugang zu Daten verschaffen: alles zu Phishing, Darknet & Co. • was Unternehmen tun können ➜ Mehr erfahren!

    Über diesen Artikel

    Autoren