Legalize
Legalize / Österreich / Sonstige

Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG)

Typ Sonstige
Veröffentlichung 2025-10-17
Status Aufgehoben · 2026-02-28
Ministerium BKA (Bundeskanzleramt)
Quelle RIS
Artikel 34
Änderungshistorie JSON API

Abkürzung

RKEG

Präambel/Promulgationsklausel

Der Nationalrat hat beschlossen:

Abkürzung

RKEG

Präambel/Promulgationsklausel

Der Nationalrat hat beschlossen:

Abkürzung

RKEG

1.

Abschnitt

Allgemeine Bestimmungen

Kompetenzdeckung

§ 1. (Verfassungsbestimmung) Die Erlassung, Aufhebung sowie Vollziehung von Vorschriften, wie sie in diesem Bundesgesetz enthalten sind, sind auch in jenen Angelegenheiten Bundessache, hinsichtlich deren das Bundes-Verfassungsgesetz (BVG), BGBl. Nr. 1/1930, etwas anderes bestimmt. Die in diesem Bundesgesetz geregelten Angelegenheiten können unmittelbar von Bundesbehörden besorgt werden.

Abkürzung

RKEG

Anwendungsbereich

§ 2. (1) Mit diesem Bundesgesetz werden Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau kritischer Einrichtungen in den im Anhang der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, ABl. Nr. L 333 vom 27.12.2022 S. 164, (im Folgenden: RKERL) gelisteten Sektoren sichergestellt werden soll.

(2) Angelegenheiten, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), ABl. Nr. L 333 vom 27.12.2022 S. 80, (im Folgenden: NIS2RL) fallen, bleiben von diesem Bundesgesetz unberührt.

(3) Dieses Bundesgesetz gilt nicht für die Bereiche der Gerichtsbarkeit einschließlich der kollegialen und monokratischen Justizverwaltung sowie der Gesetzgebung einschließlich der Parlamentsdirektion und die Österreichische Nationalbank.

Abkürzung

RKEG

Begriffsbestimmungen

§ 3. Im Sinne dieses Bundesgesetzes bedeutet

1.

„kritische Einrichtung“ eine öffentliche oder private Einrichtung, die in Anwendung des § 11 vom Bundesminister für Inneres als solche eingestuft wurde;

2.

„Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, einen solchen abzuwehren, darauf zu reagieren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall zu bewältigen oder sich von einem solchen Vorfall zu erholen;

3.

„Sicherheitsvorfall“ ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit;

4.

„Beinahe-Sicherheitsvorfall“ ein Ereignis mit dem Potenzial, einen Sicherheitsvorfall hervorzurufen, dessen Eintritt aber noch rechtzeitig verhindert werden konnte oder der aus sonstigen Gründen nicht eingetreten ist;

5.

„kritische Infrastruktur“ Objekte, Anlagen, Ausrüstungen, Netze, Systeme oder Teile eines Objekts, einer Anlage, einer Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind;

6.

„wesentlicher Dienst“ ein Dienst, der in der Delegierten Verordnung (EU) 2023/2450 zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, ABl. Nr. L 2023/2450 vom 30.10.2023, festgelegt wurde; darüber hinaus allfällige weitere aufgrund einer Verordnung des Bundesministers für Inneres festgelegte Dienste, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder die Erhaltung der Umwelt von erheblicher Bedeutung sind und von einer Einrichtung der im Anhang der RKE RL angeführten Kategorien in den gelisteten Sektoren und Teilsektoren erbracht werden;

7.

„Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;

8.

„Risikoanalyse“ der gesamte Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle Bedrohungen, Schwachstellen oder Gefahren für kritische Einrichtungen, die zu einem Sicherheitsvorfall führen können, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes samt Eintrittswahrscheinlichkeit bewertet werden; im Zuge dieser Risikoanalyse werden sämtliche aus natürlichen Ursachen herrührenden oder vom Menschen verursachten Risiken, die zu einem Sicherheitsvorfall führen können, berücksichtigt;

9.

„Mitgliedstaat“ jeder Staat, der Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;

10.

„Drittstaat“ jeder Staat, der nicht Vertragspartei des Vertrags über die Europäische Union in der Fassung BGBl. III Nr. 132/2009 ist;

11.

„Einrichtung“ eine natürliche oder juristische Person, eine eingetragene Personengesellschaft oder eine Stelle der öffentlichen Verwaltung;

12.

„Resilienzplan“ ein Dokument, in dem die geeigneten und verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz nachvollziehbar dargelegt werden;

13.

„Audit“ eine systematische und unabhängige Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15, insbesondere durch Bewertungsbesuche, samt Dokumentation der Ergebnisse in einem Prüfbericht durch Resilienzauditoren (§ 21).

Abkürzung

RKEG

2.

Abschnitt

Zuständigkeiten

Zuständige Behörde

§ 4. (1) Zuständige Behörde im Sinne dieses Bundesgesetzes ist der Bundesminister für Inneres.

(2) (Verfassungsbestimmung) Soweit in diesem Bundesgesetz nicht anderes bestimmt ist, übt der Bundesminister für Inneres seine Befugnisse, wie sie in diesem Bundesgesetz enthalten sind, auch gegenüber den in Art. 19 BVG bezeichneten obersten Organen der Vollziehung aus.

(3) Der Bundesminister für Inneres kann die Landespolizeidirektionen mit der Durchführung einzelner Aufgaben gemäß den §§ 13 und 20 beauftragen. Der Bundesminister für Inneres kann zudem anordnen, dass ihm von den Landespolizeidirektionen laufend oder zu bestimmten Zeitpunkten direkt über den Fortgang einer Angelegenheit zu berichten ist.

(4) Der Bundesminister für Inneres hat die Funktion als zentrale Anlaufstelle gemäß Art. 9 Abs. 2 RKERL auszuüben, die als Verbindungsstelle zu den zentralen Anlaufstellen in den anderen Mitgliedstaaten, zur Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKERL sowie zur Europäischen Kommission zu fungieren und die Zusammenarbeit mit Drittstaaten zu gewährleisten hat.

(5) Der Bundesminister für Inneres hat mit jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS2-RL als zuständige Behörden benannt oder eingerichtet wurden, insbesondere im Hinblick auf die Festlegung standardisierter Übermittlungsformate sowie kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, zusammenzuarbeiten und Informationen zu den ergriffenen Maßnahmen auszutauschen.

(6) Vor Beginn der Tätigkeit müssen sich sämtliche Mitarbeiter, die mit der Wahrnehmung von Aufgaben nach diesem Bundesgesetz betraut sind, einer Sicherheitsüberprüfung gemäß den §§ 55 bis 55b des Sicherheitspolizeigesetzes (SPG), BGBl. Nr. 566/1991, für den Zugang zu geheimer Information unterziehen. Die Sicherheitsüberprüfungen sind alle drei Jahre zu wiederholen. § 55a Abs. 4 dritter und vierter Satz SPG gilt.

Abkürzung

RKEG

Nichteinhaltung von Verpflichtungen

§ 5. Die Führung von Verwaltungsstrafverfahren gemäß § 23 sowie die Feststellung der Nichteinhaltung von Verpflichtungen gemäß § 24 obliegt den Bezirksverwaltungsbehörden.

Abkürzung

RKEG

Beschwerdeverfahren

§ 6. (1) Gegen Bescheide des Bundesministers für Inneres und wegen Verletzung seiner Entscheidungspflicht kann Beschwerde an das Bundesverwaltungsgericht erhoben werden.

(2) Gegen Bescheide der Bezirksverwaltungsbehörden und wegen Verletzung ihrer Entscheidungspflicht in Verwaltungssachen kann Beschwerde an die Verwaltungsgerichte der Länder erhoben werden.

Abkürzung

RKEG

3.

Abschnitt

Datenverarbeitungen

Datenverarbeitung

§ 7. (1) Der Bundesminister für Inneres ist als Verantwortlicher gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) ermächtigt,

1.

Identifikations- und Erreichbarkeitsdaten kritischer Einrichtungen einschließlich des Sektors sowie des Teilsektors, in dem diese Einrichtungen ihren wesentlichen Dienst erbringen, sowie die von den kritischen Einrichtungen erbrachten wesentlichen Dienste, Standorte und Versorgungsgebiete kritischer Infrastruktur, Kontaktdaten der gemäß § 11 Abs. 5 namhaft gemachten zentralen Kontaktstellen sowie von Ansprechpersonen,

2.

Daten zu kritische Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, und

3.

Daten zu den gemäß den §§ 14, 15, 17 und 20 gesetzten Maßnahmen

zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist.

(2) Übermittlungen der gemäß Abs. 1 verarbeiteten Daten sind

1.

an Sicherheitsbehörden für Zwecke der Sicherheitspolizei und Strafrechtspflege sowie zur Wahrnehmung der Aufgaben nach diesem Bundesgesetz,

2.

an Staatsanwaltschaften und ordentliche Gerichte für Zwecke der Strafrechtspflege sowie

3.

an jene Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS 2-RL als zuständige Behörden benannt oder eingerichtet wurden, an sonstige inländische Behörden sowie an jene Einrichtungen, die in Umsetzung des Art. 10 Abs. 1 NIS 2-RL als Computer-Notfallteams (CSIRTs) benannt oder eingerichtet wurden, soweit dies jeweils eine wesentliche Voraussetzung zur Wahrnehmung der ihnen gesetzlich übertragenen Aufgaben ist,

zulässig.

(3) Der Bundesminister für Inneres ist ermächtigt, zum Zwecke der Gewährleistung der grenzüberschreitenden Zusammenarbeit die gemäß Abs. 1 verarbeiteten Daten an die Europäische Kommission, die anderen Mitgliedstaaten, die Gruppe für die Resilienz kritischer Einrichtungen gemäß Art. 19 RKERL sowie Drittstaaten zu übermitteln, soweit dies jeweils zur Erfüllung einer in der RKERL vorgesehenen Informationsverpflichtung erforderlich ist, sowie entsprechende Daten, die von der Europäischen Kommission, anderen Mitgliedstaaten sowie Drittstaaten übermittelt wurden, zu verarbeiten.

(4) Der Bundesminister für Inneres ist zudem ermächtigt, zur Erfüllung seiner Aufgaben gemäß § 17 Abs. 5 sowie § 13 Abs. 2 Z 10 sachdienliche Informationen an kritische Einrichtungen zu übermitteln.

(5) Die gemäß den Abs. 1 bis 4 verarbeiteten Daten sind spätestens fünf Jahre nach Rechtskraft eines Bescheids gemäß § 11 Abs. 8 zu löschen.

(6) Jede Verarbeitung von Daten gemäß den Abs. 1 bis 4 ist vom Bundesminister für Inneres zu protokollieren. Protokolldaten über durchgeführte Verarbeitungsvorgänge, insbesondere Änderungen und Abfragen, sind drei Jahre lang aufzubewahren und danach zu löschen.

(7) Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Darüber sind die Betroffenen in geeigneter Weise zu informieren.

Abkürzung

RKEG

Veröffentlichung von Sicherheitsvorfällen

§ 8. (1) Nach Anhörung der von einem Sicherheitsvorfall betroffenen kritischen Einrichtung kann der Bundesminister für Inneres erforderliche personenbezogene Identifikations- und Erreichbarkeitsdaten der kritischen Einrichtung sowie sonstige erforderliche Informationen, die mit einer Meldung zu einem Sicherheitsvorfall in Zusammenhang stehen, nach Abwägung der Auswirkungen auf die betroffene kritische Einrichtung veröffentlichen, sofern die Sensibilisierung der Öffentlichkeit zur Verhütung oder zur Bewältigung von Sicherheitsvorfällen erforderlich ist. Die Veröffentlichung darf nur insoweit erfolgen, als diese keine Gefahr für die öffentliche Ordnung oder Sicherheit oder für die nationale Sicherheit einschließlich der militärischen Landesverteidigung darstellt und keine schutzwürdigen Interessen kritischer Einrichtungen beeinträchtigt.

(2) Der Bundesminister für Inneres hat die im jeweiligen Wirkungsbereich betroffenen Bundesministerien sowie die betroffenen Länder über das Vorliegen eines Sicherheitsvorfalls zu informieren.

(3) Der Bundesminister für Inneres hat dem Nationalrat einen jährlichen Bericht über eingetretene Sicherheitsvorfälle bis zum 30. Juni des Folgejahres zu übermitteln.

Abkürzung

RKEG

§ 9. (1) Der Bundesminister für Inneres ist verpflichtet, für die Bundesregierung eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (Strategie) vorzubereiten und diese anlassbezogen, längstens jedoch alle vier Jahre anzupassen, wobei den im jeweiligen Wirkungsbereich betroffenen Bundesministerien, den betroffenen Ländern sowie den in Betracht kommenden Interessenvertretungen Gelegenheit zur Äußerung zu geben ist. Die Strategie ist erstmalig spätestens bis zum 17. Jänner 2026 von der Bundesregierung zu beschließen.

(2) Die Strategie hat jedenfalls folgende Inhalte zu umfassen:

1.

strategische Ziele zur Verbesserung der Resilienz, insbesondere unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten;

2.

einen Steuerungsrahmen zur Verwirklichung der Ziele gemäß Z 1, insbesondere eine Beschreibung der Aufgaben der an der Umsetzung der Strategie beteiligten Akteure;

3.

Maßnahmen zur Verbesserung der Resilienz kritischer Einrichtungen samt Beschreibung der Risikoanalyse gemäß § 10;

4.

das Verfahren zur Ermittlung kritischer Einrichtungen gemäß § 11;

5.

Unterstützungs- und Vorsorgemaßnahmen gemäß § 13 samt Maßnahmen zur Verbesserung der öffentlich-privaten Zusammenarbeit;

6.

eine Auflistung der betroffenen Behörden und insbesondere der an der Umsetzung der Strategie beteiligten Bundesministerien, Länder sowie Interessenvertretungen;

7.

einen Ablauf für die Koordinierung zwischen dem Bundesminister für Inneres und jenen Behörden, die in Umsetzung des Art. 8 Abs. 1 NIS 2-RL als zuständige Behörden benannt oder eingerichtet wurden, zum Zweck des Informationsaustausches über Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle und Cybersicherheitsvorfälle sowie über nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle und für die Wahrnehmung der Aufsichtsaufgaben;

Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.