Wenn Realität Risikoanalyse trifft: Neue Resilienzrichtlinie in Österreich
Am 24. September 2025 verabschiedete der österreichische Nationalrat das „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG), das die EU-Richtlinie 2022/2557 umsetzt. Ziel ist es, die Widerstandsfähigkeit (Resilienz) von Einrichtungen zu erhöhen, die essenzielle gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten erbringen. Betroffen sind Unternehmen aus elf Sektoren, darunter Energie, Transport, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Lebensmittel, öffentliche Verwaltung und Weltraum.
Warum ist das relevant?
Das RKEG legt Mindeststandards für den Schutz kritischer Infrastrukturen fest und verpflichtet Betreiber zur Durchführung regelmäßiger Risikoanalysen, Erstellung von Resilienzplänen und Umsetzung geeigneter technischer, organisatorischer und personeller Maßnahmen. Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden, und Resilienzaudits sind durch vom Innenministerium zugelassene Auditor*innen zu ermöglichen.
Was müssen Unternehmen wann tun?
| Maßnahme | Frist nach Einstufung als kritische Einrichtung |
| Risikoanalyse | 9 Monate |
| Resilienzplan | 10 Monate |
| Meldung von Sicherheitsvorfällen | Binnen 24 Stunden |
| Resilienzaudit | Nach Aufforderung durch Behörde |
Die Bestimmungen des Gesetzes treten grundsätzlich vier Monate nach Kundmachung in Kraft.
Vergleich zu NIS-2
Während die NIS-2-Richtlinie (Netz- und Informationssicherheit) den Fokus auf Cybersicherheit legt, konzentriert sich das RKEG auf die physische Sicherheit kritischer Einrichtungen. Beide Richtlinien verfolgen jedoch das gemeinsame Ziel, die Resilienz gegenüber Bedrohungen zu erhöhen. NIS-2 betrifft Unternehmen aus verschiedenen Sektoren, darunter Energie, Transport, Gesundheit und digitale Infrastruktur, und verpflichtet sie zur Umsetzung von Sicherheitsmaßnahmen und zur Meldung von Vorfällen. Hier mehr erfahren.
Und was haben Mäuse damit zu tun?
Aus dem reichen Erfahrungsschatz von unseren CIS Auditor*innen wissen wir, dass physische Risiken oft unterschätzt werden können – ein „tierische Problem“ kann da durchaus die Kundendienstleistung gefährden: Denn Kabelbisse durch Mäuse führten bei einem Unternehmen zu IT-Ausfällen und strengeren Regeln für Mitarbeitende, was Schokolade am Arbeitsplatz betrifft. Ein augenzwinkerndes, aber eindrucksvolles Beispiel. Nagetiere schaffen es meistens nicht in die Top-10 Gefahren für Rechenzentren, doch die Data Centre Alliance führt sie in der Risikokategorie „Kontamination“ als hohes Risiko und wahrscheinlichen Auslöser an. Damit zeigt sich: Resilienz beginnt mitunter ganz banal – und erinnert uns daran, dass physische Sicherheitsmaßnahmen ebenso ernst zu nehmen sind wie digitale.
Fazit
Für CISOs und Entscheidungsträger bedeutet das RKEG eine Erweiterung des bisherigen Sicherheitsmanagements. Neben der digitalen Resilienz müssen nun auch physische Sicherheitsaspekte berücksichtigt werden. Eine ganzheitliche Betrachtung von Sicherheit ist unerlässlich, um die Resilienz kritischer Einrichtungen nachhaltig zu gewährleisten.
Wir unterstützen Sie gerne bei weiteren Fragen. Jetzt Kontakt aufnehmen!
Weitere News
