Bundesgesetz, mit dem das Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG) erlassen und das Tilgungsgesetz 1972 geändert wird (BGBl I 2025/60, 67/BNR , AB 207 , RV 186 BlgNR 28. GP , 1/ME)
Mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG) erfolgt die Umsetzung der RL (EU) 2022/2557 [über die Resilienz kritischer Einrichtungen ...; RKE-RL], die angesichts zunehmender grenzüberschreitender Abhängigkeiten und Risiken europaweit einheitliche Mindeststandards für jene Einrichtungen vorsieht, die im Binnenmarkt unerlässliche Dienste erbringen.
Mit dem RKEG werden Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau kritischer Einrichtungen in den im Anhang der RKE-RL gelisteten Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, Öffentliche Verwaltung, Weltraum, Produktion, Verarbeitung und Vertrieb von Lebensmitteln) sichergestellt werden soll.
Angelegenheiten, die in den Anwendungsbereich der RL (EU) 2022/2555 [über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union ...; (NIS-2-Richtlinie)] fallen, bleiben von diesem Bundesgesetz unberührt.
Das RKEG gilt nicht für die Bereiche der Gerichtsbarkeit einschließlich der kollegialen und monokratischen Justizverwaltung sowie der Gesetzgebung einschließlich der Parlamentsdirektion und die Österreichische Nationalbank.
Zuständige Behörde iSd RKEG ist der BMI. Der BMI hat die Funktion als zentrale Anlaufstelle gemäß Art. 9 Abs 2 RKE-RL auszuüben, die als Verbindungsstelle zu den zentralen Anlaufstellen in den anderen Mitgliedstaaten, zur Gruppe für die Resilienz kritischer Einrichtungen gemäß Art 19 RKE-RL sowie zur Europäischen Kommission zu fungieren und die Zusammenarbeit mit Drittstaaten zu gewährleisten hat. Der BMI hat mit jenen Behörden, die in Umsetzung des Art 8 Abs 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, insbesondere im Hinblick auf die Festlegung standardisierter Übermittlungsformate sowie kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, zusammenzuarbeiten und Informationen zu den ergriffenen Maßnahmen auszutauschen.
Der BMI ist verpflichtet, für die Bundesregierung eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (Strategie) vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre anzupassen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist. Die Strategie ist erstmalig spätestens bis zum 17. 1. 2026 von der Bundesregierung zu beschließen.
Die Strategie hat jedenfalls folgende Inhalte zu umfassen:
1. strategische Ziele zur Verbesserung der Resilienz, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten;
2. einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure;
3. Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10;
4. das Verfahren zur Ermittlung kritischer Einrichtungen gemäß § 11;
5. Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 samt Maßnahmen zur Verbesserung der öffentlich-privaten Zusammenarbeit;
6. eine Auflistung der betroffenen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen;
7. einen Ablauf für die Koordinierung zwischen dem Bundesminister für Inneres und jenen Behörden, die in Umsetzung des Art 8 Abs 1 NIS-2-RL als zuständige Behörden benannt oder eingerichtet wurden, zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben;
8. bereits bestehende Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß den §§ 14 bis 17 durch kleine und mittlere Unternehmen iSd Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. 5. 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 124 vom 20. 5. 2003 S 36, die gemäß § 11 als kritische Einrichtungen eingestuft wurden, sowie durch mit Verordnung der Bundesregierung festgelegte andere Kategorien von Unternehmen, wenn dies aufgrund unionsrechtlicher Vorgaben erforderlich ist.
Der BMI ist verpflichtet, auf Grundlage der gemäß § 3 Z 6 RKEG festgelegten wesentlichen Dienste erstmalig spätestens bis zum 17. 1.2026 und im Anschluss anlassbezogen, längstens jedoch alle vier Jahre eine Risikoanalyse (§ 3 Z 8 RKEG ) aufgeschlüsselt nach den im Anhang der RKE-RL gelisteten Sektoren und Teilsektoren durchzuführen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist.
Der BMI hat auf Grundlage der gemäß § 9 RKEG erstellten Strategie sowie der gemäß § 10 RKEG durchgeführten Risikoanalyse in den im Anhang der RKE-RL angeführten Kategorien von Einrichtungen der gelisteten Sektoren und Teilsektoren Einrichtungen bescheidmäßig als kritisch einzustufen, wenn
1. sie im Inland tätig sind,
2. sich deren kritische Infrastruktur im Inland befindet,
3. sie einen wesentlichen Dienst (§ 3 Z 6 RKEG ) erbringen und
4. bei Erbringung dieses wesentlichen Dienstes ein Sicherheitsvorfall eintreten kann. Einrichtungen haben an der Feststellung des für die Einstufung maßgeblichen Sachverhalts mitzuwirken.
Kritische Einrichtungen haben dem BMI innerhalb von vier Wochen nach bescheidmäßiger Einstufung gemäß § 11 Abs 1 RKEG eine zentrale Kontaktstelle sowie mindestens eine Ansprechperson zu benennen und sind diesbezügliche Änderungen unverzüglich, längstens jedoch binnen zwei Wochen bekanntzugeben, wobei die Erreichbarkeit der zentralen Kontaktstelle jedenfalls für jenen Zeitraum sicherzustellen ist, in dem kritische Einrichtungen ihre wesentlichen Dienste erbringen.
Kritische Einrichtungen, die über keine Abgabestelle im Inland verfügen, haben dem BMI einen Zustellungsbevollmächtigten gemäß § 9 ZustG namhaft zu machen.
Zudem haben kritische Einrichtungen ohne Niederlassung im Inland für die Einhaltung der Verwaltungsvorschriften nach diesem Bundesgesetz dem BMI einen verantwortlichen Beauftragten gemäß § 9 VStG namhaft zu machen.
Weiters sind im RKEG ua vorgesehen Unterstützungs- und Vorsorgemaßnahmen für kritische Einrichtungen, die Verpflichtung kritischer Einrichtungen zur Durchführung von Risikoanalysen, zum Ergreifen von Resilienzmaßnahmen und zur Meldung von Sicherheitsvorfällen, Zuverlässigkeitsüberprüfungen sowie Verwaltungsstrafen.
Mit der Änderung des TilgG wird die gesetzliche Grundlage für unbeschränkte Auskünfte aus dem Strafregister zum Zwecke der Überprüfung der Zuverlässigkeit nach Maßgabe des RKEG geschaffen.
Inkrafttreten: grds 1. 3. 2026