Neues Resilienzgesetz für kritische Einrichtungen
Am 24. September hat der österreichische Nationalrat mit 2/3 Mehrheit und den Stimmen von ÖVP, SPÖ, Neos und Grünen ein zentrales Gesetz beschlossen:
Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (RKEG).
Damit setzt Österreich die EU-Richtlinie 2022/2557 um und stärkt gezielt jene Strukturen, die für das Funktionieren von Staat, Wirtschaft und Gesellschaft unverzichtbar sind.
Inhalt und Zielsetzung des RKEG
Das Gesetz verpflichtet öffentliche und private Betreiber sogenannter kritischer Einrichtungen, ihre Widerstandsfähigkeit gegen Störungen und Sicherheitsvorfälle zu erhöhen. Unter Resilienz versteht das Gesetz die Fähigkeit, Risiken vorzubeugen, Vorfälle abzuwehren, deren Folgen zu begrenzen und nach Störungen rasch wieder funktionsfähig zu werden.
Kritische Einrichtungen werden durch den Innenminister bescheidmäßig festgelegt. Dazu zählen Einrichtungen aus den in der EU-Richtlinie genannten Sektoren, darunter:
- Energieversorgung
- Verkehr und Logistik
- Trinkwasser- und Abwasserversorgung
- Gesundheitswesen
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Finanzwesen
Nicht erfasst sind die Gerichtsbarkeit, die Gesetzgebung und die Österreichische Nationalbank.
Pflichten für Unternehmen
Betroffene Unternehmen und Organisationen müssen u. a.:
- Regelmäßige Risikoanalysen durchführen (§ 14).
- Resilienzpläne erstellen und geeignete technische, organisatorische und personelle Maßnahmen umsetzen (§ 15).
- Zuverlässigkeitsüberprüfungen für sicherheitsrelevantes Personal veranlassen (§ 16).
- Sicherheitsvorfälle binnen 24 Stunden melden (§ 17).
Darüber hinaus können sie von Resilienzauditoren überprüft werden, die vom Innenministerium zugelassen werden (§ 21).
Zuständigkeiten und Aufsicht
Zentrale Behörde ist der Bundesminister für Inneres, unterstützt durch die Landespolizeidirektionen. Er erstellt zudem alle vier Jahre eine nationale Strategie zur Resilienz kritischer Einrichtungen und führt Risikoanalysen auf Sektorebene durch (§§ 9–10).
Inkraftsetzung und Übergangsfristen
- Erste Risikoanalysen müssen binnen neun Monaten nach offizieller Einstufung einer Einrichtung vorliegen.
- Resilienzpläne sind nach zehn Monaten vorzulegen.
- Bestimmungen des Gesetzes treten grundsätzlich vier Monate nach Kundmachung in Kraft (§ 30).
Damit bleibt Unternehmen und Behörden eine gewisse Anlaufzeit, um Strukturen und Prozesse anzupassen.
Sanktionen
Verstöße werden streng sanktioniert:
- Geldstrafen bis zu 50.000 Euro, bei Wiederholung bis 100.000 Euro (§ 23 Abs. 1).
- Bei schwerwiegender Nichterfüllung oder unterlassener Meldung von Sicherheitsvorfällen sind Strafen bis zu 500.000 Euro vorgesehen (§ 23 Abs. 2).
- Auch juristische Personen können haftbar gemacht werden.
Für öffentliche Einrichtungen gelten besondere Bestimmungen: Sie müssen Mängel beheben, andernfalls kann die Nicht-Einhaltung veröffentlicht werden (§ 24).
Warum wurde dieses Gesetz in Kraft gesetzt?
Die zunehmende Verwundbarkeit kritischer Infrastrukturen, sei es durch Cyberangriffe, Naturkatastrophen oder geopolitische Spannungen, erfordert klare Mindeststandards und eine europaweit koordinierte Vorgangsweise. Österreich schließt mit dem RKEG eine wichtige Lücke und schafft rechtliche Verbindlichkeit für Prävention, Reaktion und Wiederherstellung.
Digitale Resilienz ist ein Überlebensfaktor
Mit dem RKEG hat Österreich einen wichtigen Schritt zur Stärkung seiner kritischen Infrastruktur gesetzt. Doch Resilienz ist nicht nur eine Aufgabe für Behörden und Betreiber, sondern betrifft uns alle.
Digitale und gesellschaftliche Widerstandskraft sind Kernvoraussetzungen einer stabilen Demokratie.Es liegt an Unternehmen, Staat und Bürger:innen, diese Resilienz kontinuierlich zu stärken und so die Handlungsfähigkeit unserer Gesellschaft langfristig zu sichern.
Jeder Ausfall, sei es in Stromversorgung, Gesundheitssystem oder digitaler Kommunikation, kann zu massiven Auswirkungen auf unser tägliches Leben führen. Ich bin daher fest davon überzeugt, dass gerade im Bereich kritischer Infrastrukturen eine konsequente und strenge Regulierung unverzichtbar ist.
