Zum Inhalt Zum Footer

Stärkung der Resilienz kritischer Einrichtungen – ein Fahrplan für betroffene Unternehmen

Gesamtes Team

Wir haben bereits mehrfach über Maßnahmen zur Stärkung der Resilienz in kritischen Sektoren berichtet (hier ein Überblick). Mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG) und der am 14. April 2026 kundgemachten Resilienz kritischer Einrichtungen-Verordnung (RKE-VO) wird nun auch der rechtliche Rahmen zum physischen Schutz kritischer Einrichtungen (kE) „scharf“ gestellt. Betroffene Unternehmen müssen einen Fahrplan befolgen, den wir im Folgenden grafisch (hier) und etwas detaillierter darstellen.

I. Ist mein Unternehmen betroffen?

Betroffen sind Einrichtungen,

  • die im Inland tätig sind, 

  • deren kritische Infrastruktur sich im Inland befindet, 

  • die einen wesentlichen Dienst in einem von elf Sektoren erbringen und

  • bei denen ein Sicherheitsvorfall eintreten kann.

Die RKE-VO konkretisiert die vierte Voraussetzung (möglicher Eintritt eines Sicherheitsvorfalls im jeweiligen Sektor bei Erbringung eines wesentlichen Dienstes). Ein Beispiel aus dem Sektor „Energie“: Eine Einrichtung, welche die Elektrizitätsversorgung wahrnimmt, muss im vorangegangenen Kalenderjahr durchschnittlich Elektrizität an mehr als 92.000 Zählpunkte geliefert haben, um als kE zu gelten. 

Die Einstufung als kE erfolgt allerdings nicht durch das Unternehmen selbst, sondern durch Bescheid des Bundesministers für Inneres (BMI). 

Einrichtungen erhalten vorab ein Informationsschreiben und ein Auskunftsverlangen; sie sind zur Mitwirkung verpflichtet. 

Nach Informationen des BMI sollen die ersten Bescheide bereits Ende des Sommers 2026 erlassen werden. Dies würde bedeuten, dass der BMI die ersten Schreiben noch in Q2/2026 an potenziell betroffene Unternehmen versendet. 

II. Was ist zu tun, wenn mein Unternehmen bescheidmäßig als kE eingestuft wurde?

Als Erstes ist der Bescheid auf seine Richtigkeit zu prüfen. Ist die Einstufung richtig, sind diverse Schritte zu setzen. In der Österreichischen Strategie für die Resilienz kE kündigte der BMI an, kritische Einrichtungen durch Schulungen, Muster für Risikoanalysen und Resilienzpläne, etc. zu unterstützen. Wir sind schon gespannt. 

Wurden Einrichtungen bescheidmäßig als kritisch eingestuft, haben sie diverse Verpflichtungen innerhalb einer vorgegebenen Frist zu erfüllen:

1) Benennung der relevanten Personen

Innerhalb von vier Wochen nach bescheidmäßiger Einstufung ist gegenüber dem BMI eine zentrale Kontaktstelle und eine Ansprechperson zu benennen. kE ohne Abgabestelle im Inland müssen einen Zustellbevollmächtigten, kE ohne Niederlassung im Inland einen verantwortlichen Beauftragten (Verwaltungsstrafgesetz) namhaft machen.

2) Risikoanalyse

Innerhalb von neun Monaten nach bescheidmäßiger Einstufung haben kE eine Risikoanalyse durchzuführen und diese zu dokumentieren. Als Grundlage dafür dient die nationale Risikoanalyse des BMI, an deren Aufbau sich auch die Risikoanalyse der kE orientieren kann. ISO 31000 sowie ÖNORM-Reihe D 4900 bieten kE zusätzliche Standards bei der Erstellung der Risikoanalyse. Hier ein Überblick:

  • Risikoidentifikation: Die nationale Risikoanalyse enthält im Anhang einen nationalen Gefahrenkatalog mit 113 identifizierten Gefahren (z.B. Hochwasser, fehlendes Fachpersonal oder Russland-Konfrontation mit Europa). Diese werden den jeweiligen Sektoren zugeordnet. Im Sektor Energie – Teilsektor Strom werden Risiken wie z.B. Rohstoffmangel, Drohnenangriffe oder Blackouts identifiziert. Zu berücksichtigen sind auch wechselseitige Abhängigkeiten zwischen wesentlichen Diensten von kE. 

Risikoanalyse und -bewertung: Ziel ist es, die identifizierten Gefahren systematisch hinsichtlich ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen auf kE zu bewerten. Die nationale Risikoanalyse enthält auch hier eine Hilfestellung zur Skalierung von Eintrittswahrscheinlichkeit und Auswirkungen (Auszug).

Die Ergebnisse lassen sich anschließend in einer Risikomatrix z.B. grafisch wie folgt darstellen.

Die Risikoanalyse ist anlassfallbezogen, jedenfalls aber alle vier Jahre zu aktualisieren.

3) Resilienzmaßnahmen und Resilienzplan

Innerhalb von zehn Monaten nach bescheidmäßiger Einstufung und ausgehend vom Ergebnis der Risikoanalyse müssen Resilienzmaßnahmen erarbeitet werden. Dabei gilt, dass Risiken 

  • im grünen Bereich (niedriges Risiko) keine sofortigen Maßnahmen erfordern – ein  Monitoring ist ausreichend.

  • im gelben Bereich (mittleres Risiko) eine nähere Betrachtung, aber noch nicht zwingend Maßnahmen erfordern. Maßnahmen sind insbesondere unter einer Kosten-Nutzen-Abwägung zu evaluieren.

  • im roten Bereich (hohes Risiko) unmittelbar bzw. zeitnah Maßnahmen gesetzt werden müssen.

Aus rechtlicher Sicht besteht nun die Crux darin zu analysieren, welche technischen, sicherheitsbezogenen und organisatorischen Maßnahmen geeignet und verhältnismäßig sind. Hilfestellung soll jedoch von der Europäischen Kommission kommen: Unverbindliche Leitlinien sollen die Maßnahmen näher spezifizieren.

Die Österreichische Strategie für die Resilienz kE umschreibt einzelne Maßnahmen (ein Auszug):

  • Organisatorische Maßnahmen: risikoorientierte Managementprozesse, klare Verantwortlichkeiten, interne Kommunikations- und Meldewege sowie Notfallvorsorge- und Kontinuitätsprozesse.

  • Technische und strukturelle Maßnahmen: bauliche, technische oder digitale Schutzmechanismen sowie robuste und redundante Systeme.

  • Maßnahmen zur Stärkung der betrieblichen Resilienz: Schulungen, Übungen und Personalqualifikation.

  • Kooperative und koordinative Maßnahmen durch Austausch zwischen kE untereinander sowie mit Behörden.

  • Internationalen Gefahren soll insbesondere durch Unterstützungs- und Schutzmaßnahmen von Sicherheitsbehörden begegnet werden. 

4) Meldepflicht

Nach Ablauf von zehn Monaten ab bescheidmäßiger Einstufung müssen kE Sicherheitsvorfälle unverzüglich, längstens jedoch binnen 24 Stunden strukturiert an den BMI melden. Ergänzende Informationen sind binnen eines Monats in einer Folgemeldung zu übermitteln. 

Die RKE-VO legt fest, wann ein meldepflichtiger Sicherheitsvorfall vorliegt. Zum Beispiel liegt ein derartiger Sicherheitsvorfall im Sektor Energie – Teilsektor Strom vor, wenn die Elektrizitätsversorgung für jeweils mehr als 250.000 Zählpunktstunden ausfällt oder nur eingeschränkt verfügbar ist.

III. Ausblick

Das RKEG ist – neben dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), wir berichteten in unserem Law Blog – eine weitere Säule, um die Widerstandsfähigkeit in kritischen Sektoren zu stärken. Betroffene Unternehmen sollten ihre Verpflichtungen jedenfalls ernst nehmen, drohen doch hohe Geldbußen. 

Wir stehen an Ihrer Seite. 

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.