Das RKEG im Überblick: Was Unternehmen zum neuen Resilienzgesetz wissen müssen

Das neue RKEG tritt am 1. März 2026 in Kraft und verpflichtet kritische Einrichtungen zu umfassenden Resilienzmaßnahmen.

Überblick

• Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) tritt am 1. März 2026 in Österreich in Kraft.
• Rund 300–600 Unternehmen in Österreich dürften als kritische Einrichtungen betroffen sein.
• Sicherheitsvorfälle sind unverzüglich, spätestens binnen 24 Stunden zu melden.
• Das RKEG ist eng mit der NIS2-Richtlinie zur Cybersicherheit verzahnt und erweitert bestehende IT-Risikomanagement-, Melde- und Governance-Pflichten.
• Unternehmen müssen Risikoanalysen, Resilienzpläne und geeignete Schutzmaßnahmen umsetzen.

Mit 1. März 2026 tritt in Österreich das Resilienz kritischer Einrichtungen-Gesetz (RKEG) in Kraft. Das Gesetz setzt die EU-Richtlinie 2022/2557 um und schafft erstmals einen verbindlichen Rahmen zur Stärkung der Resilienz kritischer Einrichtungen.

Ziel ist es, die Versorgungssicherheit in zentralen Bereichen wie Energie, Gesundheit, Transport, digitale Infrastruktur oder Finanzwesen langfristig abzusichern. Betroffen sind jene Unternehmen, deren Ausfall erhebliche Auswirkungen auf wesentliche gesellschaftliche oder wirtschaftliche Funktionen hätte. Schätzungen zufolge könnten rund 300 bis 600 Unternehmen in Österreich unter das neue Regime fallen.

Im Folgenden erläutern wir, was das RKEG konkret regelt, wie es sich von der NIS2-Richtlinie unterscheidet, wen es betrifft und welche Handlungsfelder sich für Unternehmen daraus ergeben.

Was ist das RKEG?

Das Resilienz kritischer Einrichtungen-Gesetz verpflichtet bestimmte Unternehmen, ihre organisatorische, physische und digitale Widerstandsfähigkeit systematisch zu stärken. Anders als bisherige Programme ist das RKEG ein verbindliches Gesetz mit klar definierten Pflichten, Fristen und Sanktionen.

Kritische Einrichtungen müssen unter anderem eine Risikoanalyse durchführen, einen Resilienzplan erstellen, geeignete technische, organisatorische und personelle Maßnahmen umsetzen und relevante Sicherheitsvorfälle unverzüglich, spätestens binnen 24 Stunden melden. Bei Nichteinhaltung des RKEG drohen Geldstrafen von bis zu 50.000 Euro bei grundlegenden Verstößen, bis zu 100.000 Euro bei Wiederholung und bis zu 500.000 Euro in schwerwiegenden Fällen.

Die nationale Strategie zur Resilienz kritischer Einrichtungen basiert auf einer umfassenden Risikoanalyse, die Naturgefahren, technische Risiken, absichtliche Angriffe sowie sektorübergreifende und grenzüberschreitende Abhängigkeiten berücksichtigt. Diese Strategie wird mindestens alle vier Jahre überprüft und angepasst.

Im Kern bedeutet das: Resilienz wird zur Management- und Governance-Aufgabe.

RKEG vs. NIS2: Wo sind die Unterschiede?

Im Zusammenhang mit dem RKEG wird häufig die NIS-2-Richtlinie genannt. Beide Regime stehen in engem Zusammenhang, verfolgen jedoch unterschiedliche Schwerpunkte.

Die NIS-2-Richtlinie konzentriert sich primär auf Cybersicherheit. Sie verpflichtet Unternehmen zu robustem IT-Risikomanagement, klaren Verantwortlichkeiten im Management und strengen Meldepflichten bei Cybervorfällen.

Das RKEG hingegen erweitert diese Perspektive. Es adressiert neben Cyberrisiken auch physische Sicherheit, Notfall- und Wiederanlaufplanung, Lieferkettenrisiken, Naturkatastrophen, Stromausfälle oder Sabotage. Digitale und physische Risiken werden nicht getrennt betrachtet, sondern als integriertes System verstanden.

Wichtig ist: Unternehmen, die einen RKEG-Bescheid erhalten, sollten daher – sofern noch nicht erfolgt – prüfen, ob sie zusätzlich unter die Vorgaben der NIS-2-Richtlinie fallen. In diesem Fall entstehen in Bereichen wie Governance, Risikoanalyse und Meldeprozessen inhaltliche Überschneidungen, die bei isolierter Umsetzung schnell zu Doppelstrukturen führen können – während ein integrierter Ansatz Effizienz schafft und strategische Klarheit bringt.

Wen betrifft das RKEG und wie wirkt es sich aus?

Das RKEG betrifft Unternehmen aus elf Sektoren: Energie, Gesundheit, Banken, Finanzmarktinfrastruktur, digitale Infrastruktur, Transport, Wasser, Abwasser, öffentliche Verwaltung, Raumfahrt und Ernährung.

Ob ein Unternehmen tatsächlich als kritische Einrichtung eingestuft wird, entscheidet das Innenministerium per Bescheid. Maßgeblich ist unter anderem, ob ein Sicherheitsvorfall erhebliche Auswirkungen auf die Erbringung wesentlicher Dienste hätte.

Für betroffene Unternehmen bedeutet das in der Praxis einen strukturellen Anpassungsprozess. Bestehende Risikomanagementsysteme müssen überprüft und gegebenenfalls erweitert werden. Governance-Strukturen sind klar zu definieren, Verantwortlichkeiten auf Managementebene zu verankern und Meldeprozesse zu operationalisieren. Damit entsteht ein einheitlicher Rahmen, der Organisationen dabei unterstützt, Störungen frühzeitig zu erkennen, professionell darauf zu reagieren und den Betrieb kritischer Dienste nachhaltig abzusichern.

Fünf zentrale Pflichten zur Resilienz kritischer Einrichtungen nach RKEG

Ein sinnvoller erster Schritt ist eine strukturierte Gap-Analyse, um bestehende Lücken im Vergleich zu den regulatorischen Anforderungen transparent zu machen. Darauf aufbauend lässt sich eine priorisierte Roadmap entwickeln, mit der Unternehmen die erforderlichen Maßnahmen effizient planen und fristgerecht umsetzen können.