Schutz der kritischen Infrastruktur wird weiterentwickelt

Mit der Resilienz kritischer Einrichtungen-Verordnung (RKEV) legt das Innenministerium nun fest, welche Einrichtungen in Österreich besonders geschützt werden müssen und welche Pflichten diese Einrichtungen künftig treffen.

Die Verordnung zur Einstufung der Unternehmen als Teil der kritischen Infrastruktur - dazu zählen beispielsweise Krankenhäuser und Energieversorgungsunternehmen - tritt am 15. April 2026 in Kraft.

Innenminister Gerhard Karner hielt aus diesem Anlass fest: "Der Schutz der lebenswichtigen Einrichtungen in unserem Land, wird stetig weiterentwickelt. Dieser eingeschlagene Weg wird konsequent fortgesetzt und weiter professionalisiert."

"Wenn wir kritische Infrastruktur schützen, schützen wir vor allem den Alltag der Menschen - von Strom- über Wasser- bis hin zur Gesundheitsversorgung. Gerade in Zeiten rasanter geopolitischer Entwicklungen und hybrider Bedrohungen ist die Widerstandsfähigkeit unserer Infrastruktur eine zentrale Frage der nationalen Sicherheit. Um Unternehmen Rechtssicherheit und dem Staat die nötige Handlungsfähigkeit zu geben, werden mit der vorliegenden Verordnung klare Schwellenwerte festgelegt. Diese regeln, ab wann eine Einrichtung als kritisch eingestuft wird und gibt klare Regeln vor, ab wann ein Sicherheitsvorfall gemeldet werden muss. Durch die gemeinsam mit der Wirtschaft ausgearbeitete Verordnung schützen wir die kritische Infrastruktur in unserem Land und machen sie resilienter gegen Gefahren und Angriffe", sagte Staatssekretär Jörg Leichtfried.

Europäischer Rahmen mit 1. März 2026 in Österreich umgesetzt

Die EU hat mit ihrer Richtlinie zur Resilienz kritischer Einrichtungen verbindliche Standards gesetzt, um wichtige Infrastrukturen gegen alle Arten von Risiken zu wappnen - von Naturkatastrophen über Unfälle bis hin zu gezielten Angriffen. Österreich hat diese Vorgaben mit dem RKEG, das am 1. März 2026 in Kraft getreten ist, in nationales Recht umgesetzt. Das Bundesministerium für Inneres (BMI) ist dabei als zuständige Behörde für die nationale Strategie, die Risikoanalyse, die Einstufung kritischer Einrichtungen und die Aufsicht verantwortlich.

Die Grundlagen dafür hat das BMI bereits im Jänner 2026 gelegt: Die nationale Risikoanalyse und die österreichische Resilienz-Strategie wurden fristgerecht veröffentlicht. Sie analysieren Bedrohungen von Hochwasser und Stromausfall bis hin zu Sabotage und hybriden Angriffen und gehen damit weit über reine Cybersicherheit hinaus.

Erfassung der Unternehmen startet

Erfasst werden nun jene rund 500 bis 600 Einrichtungen, die für die Daseinsvorsorge tatsächlich unverzichtbar sind. Die Einstufung erfolgt per Bescheid; die ersten Bescheide sind für Ende Sommer 2026 geplant.

Mit Rechtskraft des Bescheids starten klare Fristen: Neun Monate für eine interne Risikoanalyse, zehn Monate für die Umsetzung von Schutzmaßnahmen sowie die Aktivierung der Meldepflicht bei Sicherheitsvorfällen. Danach greift das vollständige Aufsichtsregime des BMI.

Gesamtstaatliches Vorgehen

Unmittelbar nach Kundmachung der RKEV werden Amtshilfeersuchen an alle Ministerien übermittelt, um kritische Einrichtungen in den jeweiligen Wirkungsbereichen gemeinsam zu identifizieren. Betroffene Einrichtungen erhalten danach ein Informationsschreiben sowie ein Auskunftsverlangen als Auftakt des Verwaltungsverfahrens. Dieser ressortübergreifende Ansatz stellt sicher, dass kein systemrelevanter Bereich übersehen wird.