RKEG einfach erklärt

Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) verpflichtet kritische Betreiber, ihre physische und organisatorische Resilienz systematisch zu stärken: Risiken strukturiert analysieren, geeignete Maßnahmen umsetzen, Resilienzpläne dokumentieren und relevante Vorfälle meldefähig managen. Für Sicherheitsverantwortliche bedeutet das vor allem auditfähige Nachweise, klare Zuständigkeiten und praxistaugliche Krisen- und Kontinuitätsprozesse.

RKEG im Überblick – Was Sicherheitsverantwortliche wissen sollten

Was ist das RKEG?

Das Resilienz kritischer Einrichtungen-Gesetz (RKEG) ist der österreichische Rechtsrahmen zur Stärkung der Resilienz kritischer Einrichtungen. Es verpflichtet betroffene Organisationen, Risiken strukturiert zu analysieren, geeignete Resilienzmaßnahmen umzusetzen und relevante Sicherheitsvorfälle zu melden. Im Fokus stehen vor allem physische und organisatorische Resilienz (Standorte, Betrieb, Prozesse, Personal, Kontinuität) – nicht ausschließlich IT-/Cyberthemen.

Wer ist betroffen?

Betroffen sind Betreiber „wesentlicher Dienste“, die in der Regel formell als kritische Einrichtung eingestuft werden. Entscheidend ist daher nicht nur die Branche, sondern auch die Rolle der Organisation in der Versorgung und ihre systemische Bedeutung.

Wann wird es relevant?

Praktisch relevant wird das RKEG ab dem Zeitpunkt, an dem eine Organisation als kritische Einrichtung identifiziert/eingestuft ist. Ab dann greifen definierte Anforderungen an Risikoanalyse, Resilienzplan, Maßnahmenumsetzung sowie Vorfalls- und Meldeprozesse.

Warum gibt es das Gesetz?

Kritische Dienste sind stark vernetzt und voneinander abhängig. Störungen können kaskadieren: Ein Ausfall in einem Bereich (z. B. Energie) kann andere Sektoren (Telekom, Verkehr, Gesundheitsversorgung) in Mitleidenschaft ziehen. Das RKEG soll durch einheitliche Mindestanforderungen Kettenreaktionen reduzieren und die Handlungsfähigkeit des Systems erhöhen.

Ziel des RKEG

Ziel ist ein hohes Resilienzniveau: Wesentliche Dienste sollen auch unter Belastung weiter erbracht bzw. kontrolliert aufrechterhalten und danach rasch wiederhergestellt werden können. Resilienz wird damit zu einer nachweis- und prüffähigen Governance-Aufgabe.

Welche Branchen sind betroffen?

Das RKEG orientiert sich an Sektoren kritischer Dienstleistungen. Typischerweise relevant sind insbesondere Bereiche wie Energie, Verkehr, Gesundheit, Trinkwasser und Abwasser sowie weitere gesellschaftlich essenzielle Versorgungs- und Infrastrukturleistungen. Ob ein konkretes Unternehmen tatsächlich erfasst ist, hängt von der formellen Einstufung als kritische Einrichtung ab und nicht allein vom Branchenetikett.

Was müssen betroffene Unternehmen tun?

Sobald die Einstufung vorliegt, müssen Unternehmen Resilienz als Managementsystem aufsetzen. Kern ist erstens eine Risikoanalyse, die Bedrohungen, Verwundbarkeiten, Auswirkungen und insbesondere Abhängigkeiten (z. B. Energie, Telekom, Lieferketten, Schlüsselpersonal, kritische Dienstleister) nachvollziehbar bewertet. Zweitens sind geeignete und verhältnismäßige Resilienzmaßnahmen umzusetzen und in einem Resilienzplan zu dokumentieren. Drittens braucht es eine belastbare Vorfall- und Meldefähigkeit: Sicherheitsrelevante Ereignisse müssen nach einem klaren Prozess erkannt, bewertet, intern eskaliert und – wenn erforderlich – an zuständige Stellen gemeldet werden. Ergänzend sind Nachweise so zu führen, dass Audits und Kontrollen organisatorisch und dokumentarisch bestanden werden können.

Was muss der Sicherheitsverantwortliche beachten?

Für Sicherheitsverantwortliche ist das RKEG vor allem eine Frage der Nachweisfähigkeit und operativen Umsetzbarkeit. Entscheidend ist, dass Sicherheitsorganisation, BCM/Notfallmanagement und Krisenmanagement nicht nebeneinander existieren, sondern als integrierter Resilienzrahmen funktionieren. Besonders kritisch sind dabei drei Punkte: Erstens die saubere Scope-Definition (kritische Prozesse, Standorte, Zonen, Assets, „essential services“), weil davon die Risikoanalyse und Maßnahmenpriorisierung abhängt. Zweitens ein praxistauglicher Resilienzplan als „single source of truth“, der Rollen, Zuständigkeiten, Alarmierung, Entscheidungswege, Ersatzbetrieb und Wiederanlauf so beschreibt, dass er im Ereignisfall tatsächlich funktioniert. Drittens ein robustes Incident- und Meldewesen mit klaren Schwellenwerten („was ist meldewürdig?“), 24/7-Erreichbarkeit/Vertretungslogik sowie definierten Informationspaketen für Erst- und Folgemeldungen.

Zusätzlich sollte der Sicherheitsverantwortliche People-Security-relevante Aspekte (rollenbasierte Berechtigungen, Zutrittsregime, sensible Funktionen, Schulungs- und Übungsstand) so aufsetzen, dass sie im Audit als konsistent, verhältnismäßig und wirksam nachvollziehbar sind. Kurz gesagt: Nicht nur „Sicherheit machen“, sondern Resilienz steuerbar, überprüfbar und kontinuierlich verbesserbar organisieren.

Weiterführende Quellen:

Resilienz kritischer Einrichtungen-Gesetz (RKEG) ist in folgenden Materialien und Rechtsgrundlagen geregelt:

Nationales Gesetz: Das RKEG wurde als Bundesgesetz in BGBl. I Nr. 60/2025 im Rechtsinformationssystem des Bundes (RIS) kundgemacht. Es tritt am 1. März 2026 in Kraft.
Parlamentarische Materialien: Der Gesetzwerdungsprozess sowie die erläuternden Bemerkungen, Ausschussberichte und Stellungnahmen finden sich auf der Website des Österreichischen Parlaments unter der Regierungsvorlage 186 d.B. (XXVIII. GP).
Europäische Grundlage: Das Gesetz dient der Umsetzung der EU-Richtlinie 2022/2557 (RKE-RL) über die Resilienz kritischer Einrichtungen.
Strategische Begleitdokumente: Ergänzend dazu gibt es die Nationale Risikoanalyse und die Österreichische Strategie für die Resilienz kritischer Einrichtungen, die als methodische Rahmen für die Umsetzung dienen.