Resilienz kritischer Einrichtungen-Gesetz: Neue Pflichten für systemrelevante Unternehmen

Mit der nunmehr vorliegenden Regierungsvorlage zum Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG) wird die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (im Folgenden: RKE-RL) umgesetzt. Konkret sollen „kritische Einrichtungen“ ihre Fähigkeit verbessern, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, darauf zu reagieren, die Folgen solcher Vorfälle zu begrenzen, Sicherheitsvorfälle zu bewältigen sowie sich von solchen Vorfällen zu erholen.

Dabei soll im Sinne eines „All-Gefahren-Ansatzes“ die Resilienz kritischer Einrichtungen gegenüber allen natürlichen und vom Menschen verursachten Risiken sichergestellt werden. Dazu zählen Unfälle, Naturkatastrophen, terroristische Straftaten und Notsituationen im Bereich der öffentlichen Gesundheit (Stichwort: Pandemie).

Aus dem Verweis auf den Anhang der RKE-RL ergibt sich, dass folgende Sektoren vom RKEG erfasst sein werden: Energie (Strom, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff), Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr, Öffentlicher Verkehr), Bankwesen, Finanzmarktinfrastrukturen, Gesundheit (Gesundheitsdienstleister, Hersteller pharmazeutischer Erzeugnisse), Trinkwasser, Abwasser, digitale Infrastruktur, Öffentliche Verwaltung, Weltraum sowie Lebensmittelproduktion, -verarbeitung und -vertrieb.

Der Bundesminister für Inneres geht davon aus, dass von dem RKEG rund 400 bis 600 Unternehmen und Einrichtungen betroffen sein werden.

Durch § 11 RKEG wird der BM für Inneres ermächtigt, Unternehmen und Einrichtungen der genannten Sektoren durch Bescheid als kritisch einzustufen. Dabei ist insbesondere das Ausmaß der Abhängigkeit anderer obiger Sektoren von der durch die Einrichtung erbrachten Dienste und die Zahl der Nutzer dieser Dienste zu berücksichtigen.

Wird ein Unternehmen bescheidmäßig als kritische Einrichtung eingestuft, so hat dieser Bescheid auch die jeweiligen Verpflichtungen des Unternehmens zu beinhalten, welche je nach Sektor variieren können. Gegen diesen Bescheid kann Beschwerde an das Bundesverwaltungsgericht erhoben werden.

Weiters finden sich im Entwurf diverse Verpflichtungen der als kritische Einrichtungen eingestuften Unternehmen. Diese haben geeignete Maßnahmen technischer, sicherheitsbezogener und organisatorischer Art in Bezug auf den von ihnen erbrachten wesentlichen Dienst zu treffen, welche in einem Resilienzplan darzustellen sind. Einzelheiten und Umfang dieser Maßnahmen sollen demnach die „besondere Situation“ der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Es ist beabsichtigt, dass die EU-Kommission nicht verbindliche Leitlinien erlässt, in denen derartige technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden.

Dem BM für Inneres werden zudem in den §§ 20f RKEG diverse Aufsichts- und Durchsetzungsmaßnahmen eingeräumt, welche von der Übermittlung von Risikoanalysen bis hin zu Vor-Ort-Kontrollen reichen. Bei Verstößen gegen Verpflichtungen des RKEG sind Strafen bis zu € 500.000,00 möglich.

Die konkreten Auswirkungen des RKEG auf die tägliche Praxis von Unternehmen bleiben abzuwarten. Betroffene Unternehmen sollten frühzeitig interne Prozesse evaluieren und entsprechend an die neuen gesetzlichen Vorgaben anpassen.

Mag. Theresa Stachowitz, Stand 6.8.2025