RKE vs NIS2 Unterschiede
Hauptunterschiede NIS2 / NISG 2026 vs. RKE / CER / RKEG (EU & AT):
RKE vs NIS2 Unterschied - Schwerpunkt
NIS2 / NISG 2026 richtet sich auf Cybersicherheit und Schutz digitaler Netz- & IT-Systeme (z.B. gegen Cyberangriffe), RKE / CER / RKEG dagegen auf „All-Gefahren“-Resilienz kritischer physischer Einrichtungen (Schutz vor physischen Bedrohungen wie Naturkatastrophen, Sabotage, terroristischen Angriffen).
RKE vs NIS2 Unterschied - Sektoraler Anwendungsbereich
NIS2 (NISG 2026) umfasst 18 definierte Sektoren (u.a. Energie, Verkehr, digitale Infrastruktur, Finanz- & Gesundheitssektor, plus neue Bereiche wie öffentliche Verwaltung, Abfall, Chemie, Lebensmittel, Produktionsgewerbe). RKE/CER (Regelungen zur Resilienz kritischer Einrichtungen) greifen in 11 Kernsektoren (überwiegend die klassischen KRITIS-Sektoren: Energie, Transport, Bank- & Finanzwesen, Gesundheit, Trink-/Abwasser, digitale Infrastruktur, Raumfahrt etc.). Einige Sektoren (z.B. Postdienste, Abfall, Produktionsindustrie) sind nur in NIS2 enthalten, nicht jedoch in RKE-RL/RKEG (hier gelten ggf. andere EU-Vorgaben).
RKE vs NIS2 Unterschied - Unternehmensgrößen & Betroffenheit
NIS2/NISG 2026 gilt nur ab mittleren Unternehmen (≥ 50 Beschäftigte oder > 10 Mio. € Umsatz & Bilanzsumme) – Kleinst- & Kleinunternehmen sind mit wenigen Ausnahmen ausgenommen. RKE/CER/RKEG gilt größenunabhängig: entscheidend ist, dass ein Unternehmen von der Behörde als „kritische Einrichtung“ eingestuft wird (nach Relevanz für wesentliche Dienste) – somit können auch kleinere Unternehmen erfasst werden, sofern sie essenzielle Leistungen erbringen. (In Österreich gelten per RKEG § 11 Betreiber als kritisch, wenn sie in einem RKEG-Sektor tätig sind und definierte Kriterien erfüllen; diese werden vom Innenministerium per Bescheid informiert.)
RKE vs NIS2 Unterschied - Zuständigkeiten & Aufsicht
Die NIS2-Umsetzung in Österreich (NISG 2026) wird durch das neu geschaffene Bundesamt für Cyber-Sicherheit im Innenministerium (BMI) geleitet. Es unterscheidet streng zwischen „wesentlichen Einrichtungen“ (intensive, auch präventive Aufsicht und regelmäßige Prüfungen) und „wichtigen Einrichtungen“ (grundsätzlich anlassbezogene Kontrollen) gem. NIS2-RL Art. 34. Für RKE/RKEG ist das Bundesministerium f. Inneres (BMI) selbst die zentrale RKE-Behörde. Zur Überwachung der Resilienz kritischer Einrichtungen werden unter Federführung des BMI Resilienzaudits und behördliche Kontrollen durchgeführt; es gibt jedoch im Gegensatz zu NIS2 keine Einteilung in unterschiedliche Kategorien von kritischen Einrichtungen – alle haben dieselben Pflichten. [nis.gv.at][wko.at][wko.at][wko.at], [wko.at]
RKE vs NIS2 Unterschied - Pflichten & Maßnahmen
NIS2/NISG verlangt ein umfassendes IT-Sicherheits-Risikomanagement (inkl. Sicherung der Lieferkette, Notfall- & Business Continuity-Pläne) sowie technische & organisatorische Maßnahmen zum Schutz von Netz- & Informationssystemen (z.B. Incident Response, Verschlüsselung, Zugangs- & Identitätsmanagement, Backups, Security Audits; vgl. Art. 21 NIS2-RL). Die Unternehmensleitung trägt hierfür unmittelbare Verantwortung und muss in vielen Ländern (einschl. AT) verpflichtend Cybersicherheits-Schulungen absolvieren. RKE/CER/RKEG schreibt ergänzend vor allem physische Resilienzmaßnahmen vor. Kritische Einrichtungen müssen z.B. innerhalb von 9 Monaten nach ihrer Einstufung eine „All-Hazard“-Risikoanalyse vorlegen, die sämtliche physischen Risiken für ihre essentiellen Dienste erfasst (inkl. Naturgefahren, Sabotage, Terror etc.). Darauf basierend ist ein Resilienzplan mit präventiven technischen, baulichen und organisatorischen Maßnahmen umzusetzen (beispielsweise baulicher Schutz, Notstromversorgung, Zugangs- & Personalsicherheitsvorkehrungen, Notfallübungen und Krisenteams).
RKE vs NIS2 Unterschied - Meldelogik bei Sicherheitsvorfällen
NIS2 verlangt eine gestufte Meldung von Cybervorfällen: Erste Meldung an die NIS-Behörde/CSIRT innerhalb von 24 Stunden nach Feststellung, ein Folgebericht binnen 72 Stunden und ein Abschlussbericht innerhalb v. 1 Monat. RKEG verlangt bei schwerwiegenden Sicherheitsvorfällen (physische Zwischenfälle) eine unverzügliche Meldung binnen 24 h an das BMI plus eine abschließende Folgemeldung nach spätestens 1 Monat. (In AT tritt die RKEG-Meldepflicht erst 10 Monate nach Einstufungsbescheid in Kraft – so erhalten neu eingestufte Unternehmen etwas Zeit, ihre Meldekanäle einzurichten.)
RKE vs NIS2 Unterschied - Sanktionen
NISG 2026 orientiert sich an den EU-Vorgaben: Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (für „wesentliche“ E.) bzw. bis 7 Mio. € / 1,4 % Umsatz (für „wichtige“ E.). RKEG legt deutlich niedrigere Strafrahmen fest: max. 500.000 € Geldstrafe bei beharrlichen Verstößen (AT, RKEG § 23). Beide Regime erlauben den Erlass behördlicher Auflagen zur Mängelbehebung; zudem kann Nichteinhaltung weitere Konsequenzen nach sich ziehen (z.B. Entzug von Betriebsgenehmigungen, Reputationsschäden, evtl. Managerhaftung bei grober Fahrlässigkeit).
RKE vs NIS2 Unterschied - Zeitplan & Übergang
NIS2 (EU) war bis 17.10.2024 in nationales Recht umzusetzen. In Österreich wurde das NISG 2026 am 23.12.2025 kundgemacht (BGBl. I 94/2025) und tritt am 1.10.2026 in Kraft. Ab diesem Datum gelten die neuen Pflichten (inkl. Meldepflicht), while existing NIS-Gesetz 2018 is repealed. Verwaltungsabläufe werden schrittweise eingeführt: Registrierung der betroffenen Einrichtungen bis Ende 2026, Selbstverpflichtungs-Erklärungen bis Okt 2027, intensivere Audits ab 2028. RKE-RL (EU) war ebenfalls bis 17.10.2024 umzusetzen. In AT wurde RKEG (BGBl. I 60/2025) im Oktober 2025 verkündet und trat am 1.3.2026 in Kraft. Alle kritischen Einrichtungen müssen bis August 2026 vom BMI per Bescheid ermittelt und informiert sein (RKEG § 11 iVm RKE-RL, Art. 6). Nach Einstufung beginnen feste Fristen: erste Risikoanalyse binnen 9 Monaten, Umsetzung Resilienzplan, Meldepflicht ab 10 Monaten etc..
Quellen: EUR-LEX, RIS, WKO, NIS Behörde
RKE vs NIS2 Unterschied - wir sind ein interdisziplinäres Team mit langjähriger Erfahrung in allen Aspekten der RKE Umsetzung
