RKEG tritt 2026 in Kraft und stärkt Österreichs Widerstandsfähigkeit
Ab März 2026 müssen kritische Einrichtungen in Österreich neue Resilienzstandards erfüllen. Das Gesetz betrifft elf Sektoren.
Österreich rüstet sich für besseren Schutz seiner kritischen Infrastruktur: Mit dem neuen Resilienz-kritischer Einrichtungen-Gesetz (RKEG) werden ab 1. März 2026 strengere Vorgaben für systemrelevante Unternehmen und Einrichtungen eingeführt. Das Gesetz setzt die entsprechende EU-Richtlinie zur Resilienz kritischer Einrichtungen in nationales Recht um und schafft einen klaren rechtlichen Rahmen für den Schutz wesentlicher Dienste.
Das RKEG erfasst elf zentrale Bereiche der österreichischen Wirtschaft und Gesellschaft, die als systemkritisch eingestuft werden. Dazu gehören die Energieversorgung, das Gesundheitswesen, die Ernährungsbranche sowie Bank- und Finanzdienstleistungen. Ebenso betroffen sind Transport- und Raumfahrtunternehmen, die Trinkwasser- und Abwasserversorgung, digitale Infrastrukturen und die öffentliche Verwaltung.
Diese Sektoren werden oft erst dann in ihrer Bedeutung wahrgenommen, wenn Störungen oder Ausfälle auftreten. Ein Stromausfall, der Zusammenbruch des Zahlungsverkehrs oder die Unterbrechung der Wasserversorgung können weitreichende gesellschaftliche und wirtschaftliche Folgen haben. Das neue Gesetz soll solche Szenarien verhindern oder deren Auswirkungen deutlich minimieren.
Unternehmen, die unter das RKEG fallen, müssen künftig systematische Risikoanalysen durchführen und detaillierte Resilienzpläne entwickeln. Diese Pläne sollen gewährleisten, dass im Krisenfall schnell und effektiv reagiert werden kann, um den Betrieb möglichst rasch wiederherzustellen.
Ein zentraler Baustein des Gesetzes ist die Meldepflicht bei Sicherheitsvorfällen. Ereignisse, die die Erbringung wesentlicher Dienste erheblich stören oder stören könnten, müssen unverzüglich, spätestens jedoch innerhalb von 24 Stunden gemeldet werden. Eine detaillierte Folgemeldung ist innerhalb eines Monats nach der Erstmeldung zu übermitteln.
Der Gesetzgeber hat realistische Übergangsfristen vorgesehen: Nach der Einstufung als kritische Einrichtung haben Unternehmen neun Monate Zeit für die erstmalige Risikoanalyse. Für die vollständige Umsetzung eines Resilienzplans und entsprechender Schutzmaßnahmen stehen zehn Monate zur Verfügung.
Diese Fristen berücksichtigen, dass die Entwicklung wirksamer Resilienzstrategien Zeit und Ressourcen erfordert. Unternehmen können so ihre bestehenden Sicherheitskonzepte überprüfen und an die neuen rechtlichen Anforderungen anpassen.
Das RKEG sieht ein gestaffeltes Sanktionssystem vor, das die Ernsthaftigkeit der neuen Verpflichtungen unterstreicht. Bei grundlegenden Verstößen drohen Geldstrafen von bis zu 50.000 Euro. Wiederholungstäter müssen mit Bußgeldern von bis zu 100.000 Euro rechnen.
Besonders schwerwiegende Verstöße können mit Strafen von bis zu 500.000 Euro geahndet werden. Diese Höchststrafen sind vor allem für Fälle vorgesehen, in denen grobe Fahrlässigkeit oder vorsätzliche Pflichtverletzungen zu erheblichen Störungen kritischer Dienste führen.
Das österreichische Gesetz basiert auf der EU-Richtlinie zur Resilienz kritischer Einrichtungen, die eine harmonisierte Herangehensweise an den Schutz systemrelevanter Infrastrukturen in allen Mitgliedstaaten zum Ziel hat. Die Richtlinie reagiert auf eine zunehmend komplexe Bedrohungslage, die von Cyberattacken über Naturkatastrophen bis hin zu anderen Krisensituationen reicht.
In einer vernetzten Welt können lokale Störungen schnell überregionale Auswirkungen haben. Die EU-weite Harmonisierung der Resilienzstandards soll dazu beitragen, die Widerstandsfähigkeit der europäischen Wirtschaft und Gesellschaft insgesamt zu stärken.
Für die österreichische Wirtschaft bedeutet das RKEG zunächst zusätzliche Compliance-Anforderungen und Kosten. Gleichzeitig schafft es jedoch auch Planungssicherheit und einheitliche Standards. Unternehmen, die bereits heute hohe Sicherheitsstandards pflegen, werden sich leichter an die neuen Anforderungen anpassen können.
Besonders für kleinere Unternehmen in kritischen Sektoren kann die Umsetzung eine Herausforderung darstellen. Hier werden voraussichtlich spezialisierte Beratungsdienstleistungen und möglicherweise auch staatliche Unterstützungsmaßnahmen eine wichtige Rolle spielen.
Mit dem Inkrafttreten des Gesetzes am 1. März 2026 haben betroffene Unternehmen noch ausreichend Zeit, sich auf die neuen Anforderungen einzustellen. Experten empfehlen, bereits jetzt mit der Vorbereitung zu beginnen und bestehende Risikomanagementsysteme zu überprüfen.
Dabei sollten Unternehmen zunächst klären, ob sie unter das RKEG fallen könnten. Anschließend empfiehlt sich eine umfassende Bestandsaufnahme der aktuellen Sicherheitsmaßnahmen und Notfallpläne. Auf dieser Basis können dann gezielt die Lücken identifiziert werden, die bis zum Inkrafttreten des Gesetzes geschlossen werden müssen.
Trotz der zusätzlichen Belastungen bietet das RKEG auch Chancen. Unternehmen, die ihre Resilienz systematisch stärken, werden nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre Wettbewerbsfähigkeit verbessern. Eine höhere Widerstandsfähigkeit gegenüber Störungen kann langfristig Kosten sparen und das Vertrauen von Kunden und Partnern stärken.
Zudem können die durch das Gesetz angestoßenen Investitionen in Sicherheitstechnologien und Risikomanagement auch Innovationsimpulse setzen. Österreichische Unternehmen könnten so zu Vorreitern bei der Entwicklung von Resilienzlösungen werden, die auch international vermarktet werden können.
Das RKEG markiert einen wichtigen Schritt zur Stärkung der Widerstandsfähigkeit Österreichs gegenüber verschiedenen Bedrohungen. Während die Umsetzung zunächst Aufwand und Kosten verursacht, schafft das Gesetz langfristig die Voraussetzungen für eine stabilere und sicherere Infrastruktur zum Nutzen aller Bürgerinnen und Bürger.