Zum Inhalt
Law Blog
Zu allen Blog-Posts
01.10.2025

Wie Europa seine wesentlichen Unternehmen / Einrichtungen widerstandsfähiger machen will

Die Bedrohungslagen in Europa nehmen zu und werden neuartiger. Neben Naturereignissen und Pandemien kommen Angriffe „halbstaatlicher“ Akteure und Sabotageakte (physisch und im Cyber-Bereich), Industriespionage uvm. in Betracht.

Derartige Ereignisse können – wie wir aktuell gerade auf mehreren Ebenen erleben – zum Ausfall essentieller Einrichtungen führen, die sich nicht nur auf Ebene des Mitgliedstaates auswirken, sondern aufgrund der Interoperabilität solcher Einrichtungen Kettenreaktionen im Binnenmarkt auslösen können. Aus diesem Grund haben die EU-Gesetzgeber mehrere Rechtsakte zur Stärkung der Resilienz kritischer Einrichtungen („kE“) erlassen.

Am 24. September 2025 hat der österreichische Nationalrat das „Resilienz kritischer Einrichtungen-Gesetz“ („RKEG“) verabschiedet. Der Titel ist zugleich technisch wie eindrucksvoll. Wir nehmen dies zum Anlass, um die legislativen Maßnahmen der EU in Reaktion auf die geänderten – natürlichen und vom Menschen verursachten –Bedrohungslagen kurz einzuordnen und das geplante RKEG überblicksmäßig vorzustellen.

1 )  CER-RL (samt dem geplanten RKEG)

An oberster Stelle steht die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen („CER-RL“), die nun mit dem RKEG in nationales Recht umgesetzt werden soll.

Unter „Resilienz“ versteht die CER-RL „die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen“. Kurzum: es geht um ein modernes Risikomanagement im Sinne eines erweiterten „All-Gefahren-Ansatzes“ außerhalb der Cybersicherheit.

Als kE gelten öffentliche oder private Einrichtungen, die

  • einen wesentlichen Dienst in einem von 11 Sektoren erbringen und
  • bei denen ein Sicherheitsvorfall (das heißt ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte) eintreten könnte.

Diese 11 Sektoren sind: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum sowie Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

Die Bundesregierung hat eine Strategie zur Stärkung der Resilienz von kE zu beschließen (bis zum 17. Jänner 2026); darauf aufbauend hat der Bundesminister für Inneres („BMI“) eine Risikoanalysen in den genannten Sektoren durchzuführen. Auf dieser Basis identifizierte Unternehmen werden sodann mittels Bescheid als kE eingestuft. Schätzungen gehen von ca. 400 bis 600 Einrichtungen in Österreich aus.

Was tun, wenn Sie als kE eingestuft werden?

Als Erstes sollten Sie den Bescheid auf seine Richtigkeit prüfen. Sofern keine Bedenken gegen die Einstufung als kE bestehen, müssen Sie

  • eine zentrale Kontaktstelle und mindestens eine Ansprechperson benennen,
  • eine Risikoanalyse durchführen,
  • darauf aufbauend technische, sicherheitsbezogene und organisatorische Resilienzmaßnahmen ergreifen,
  • diese Maßnahmen in einem Resilienzplan dokumentieren und
  • bei Eintreten eines Sicherheitsvorfalls diesen unverzüglich an die zuständigen Behörden melden.

Den Zeitplan zur Umsetzung dieser Maßnahmen finden Sie hier dargestellt.

Der BMI soll die kE bei der Umsetzung beraten und unterstützen.

Fokus: Welche Resilienzmaßnahmen sind zu ergreifen?

Gefordert werden solche technischen, sicherheitsbezogenen und organisatorischen Resilienzmaßnahmen, die geeignet und verhältnismäßig sind, um die im geplanten RKEG genannten Zielvorgaben erfüllen zu können. Es geht etwa um den angemessenen physischen Schutz der kritischen Infrastrukturen, Zuverlässigkeitsüberprüfungen des Personals und die möglichst rasche Wiederaufnahme des wesentlichen Dienstes nach Sicherheitsvorfällen

Aus rechtlicher Sicht spannend ist, welche Resilienzmaßnahmen die „Benchmark“ erfüllen. Die Gesetzestechnik mit unbestimmten Rechtsbegriffen ist nachvollziehbar, wird aber in der Praxis zu schwierigen Kosten-Nutzen-Abwägungen im Lichte beschränkter Ressourcen führen. Eine kE wird jedenfalls keinen „Drohnenwall“ installieren müssen, um ihre physische Infrastruktur „angemessen“ zu schützen.

Kommen wir zu den Sicherheitsmaßnahmen im Bereich Cybersecurity:

2 )  NIS-2 RL (das nationale Umsetzungsgesetz fehlt noch)

Während die CER-RL den Fokus auf die physische Resilienz legt, will die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU („NIS-2-RL“) die unionsweite Resilienz im Bereich Cybersicherheit stärken. Unser IP-/IT Team hat dazu bereits im Law Blog ausführlich berichtet. Die NIS-2-RL erfasst neben kE auch noch weitere (wesentliche und wichtige) Einrichtungen. Zur Definition und Einstufung dieser Einrichtungen verweisen wir ebenfalls auf unseren Law Blog

Die NIS-2-RL hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Österreich ist jedoch säumig.

3 )  DORA

Mit der Verordnung (EU) 2022/2554 über digitale operationale Resilienz im Finanzsektor („DORA“) wurden einheitliche Vorschriften für die Sicherheit von Netz- und Informationssystemen von Finanzunternehmen festgelegt. Unsere Experten im Bankaufsichtsrecht und IT-Recht haben ausführlich im Law Blog berichtet.

4 )  CRA

Auch auf produktrechtlicher Ebene hat das Thema „Resilienz“ Einzug gefunden. Die Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen („CRA“) soll die Cyberresilienz von Produkten selbst verbessern. Betroffen sind Software- und Hardwareprodukte mit einer digitalen Komponente (z.B. Smartwatches, Chipkartenlesegeräte, Firewalls, Buchhaltungssoftware). Abhängig von ihrer Einordnung (allgemeine, wichtige und kritische Produkte) gelten unterschiedliche Anforderungen, welche erfüllt sein müssen, damit diese Produkte in Verkehr gebracht werden dürfen.

Conclusio

Während die Gefahrenabwehr in der Vergangenheit als rein staatliche Aufgabe angesehen wurde, sind mittlerweile auch Unternehmen selbst verpflichtet, gemeinsam mit den Mitgliedstaaten für ihre Sicherheit (verstanden im weiteren Sinn) und einen funktionierenden Binnenmarkt zu sorgen.

Vor dem Hintergrund der politischen Agenda ProtectEU (Europäische Strategie für die innere Sicherheit) der Europäischen Kommission erwarten wir eine weitere Regulierung in diesem Bereich. Unternehmen sollten dies im Auge haben und sich vorbereiten.

Wir stehen an Ihrer Seite.

 

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.

Weitere Blog-Posts dieses Fachgebietes

MAL-TAming

21.05.2025
"MAL-TAming" - Das Urteil des Europäischen Gerichtshofs in der Rechtssache Kommission gegen Malta (Staatsbürgerschaft durch Investitionen) und seine Auswirkungen auf das österreichische Recht

Das Sanktionengesetz 2024

24.03.2025
Das Sanktionengesetz 2024

Leitfaden für zukünftige Wirtschaftspolitik der EU

21.02.2025
EU-Kompass für Wettbewerbsfähigkeit
Weitere Blog-Posts dieses Fachgebietes

Verwendung von Cookies

Diese Website verwendet Cookies zu Analysezwecken und um die Benutzerfreundlichkeit zu erhöhen.

Sie können der Verwendung von Cookies zustimmen oder diese individuell konfigurieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Einstellungen

Sie können die verwendete Dienste und deren Cookies hier individuell aktivieren oder deaktivieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Cookies in dieser Kategorie sind für die einwandfreie Funktion der Website erforderlich und können deshalb nicht deaktiviert werden.

Cookies in dieser Kategorie dienen der Analyse des Nutzerverhaltens und helfen uns die Benutzerfreundlichkeit der Website zu verbessern.

Service zur Analyse des Nutzungsverhaltens.