Warum §16 RKEG jetzt relevant ist
Mit dem „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) hat der Gesetzgeber einen klaren Rahmen geschaffen, um die Widerstandsfähigkeit kritischer Infrastrukturen nachhaltig zu stärken. Insbesondere §16 RKEG rückt dabei den oft unterschätzten Faktor in den Mittelpunkt: den Menschen. Technische Sicherheitsmaßnahmen allein reichen nicht aus – insbesondere dann nicht, wenn Personen Zugang zu sensiblen Bereichen, Systemen oder Informationen erhalten.
Über 400 bis 600 Unternehmen in Österreich sind direkt betroffen, bei Nichteinhaltung drohen Strafen von bis zu EUR 500.000.
Was regelt §16 RKEG konkret?
§16 ermöglicht die Durchführung von Zuverlässigkeitsüberprüfungen unter klar definierten Voraussetzungen:
- Nur auf begründetes Ersuchen der kritischen Einrichtung
- Risikobasierter Ansatz (keine pauschalen Checks)
- Fokus auf Verhältnismäßigkeit
- Berücksichtigung bestehender Prüfungen aus anderen Rechtsbereichen
Die Prüfungen sind regelmäßig – spätestens alle drei Jahre oder bei neuen Anhaltspunkten – zu wiederholen.
Wer kann überprüft werden?
Betroffen sind insbesondere Personen, die Zugang zu kritischen Räumlichkeiten, Systemen oder Informationen haben oder anstreben, sensible Funktionen ausüben oder als externe Dienstleister tätig sind.
Warum das Thema entscheidend ist
Der größte Risikofaktor sitzt nicht im System – sondern davor.
Während viele Unternehmen in den letzten Jahren massiv in Cybersecurity, physische Sicherheit und Notfallpläne investiert haben, bleibt ein kritischer Hebel oft unterschätzt: der kontrollierte Zugang von Personen zu genau diesen geschützten Bereichen.
Bereits eine unzureichend geprüfte Person, ob im Unternehmen, als Dienstleister oder als Geschäftspartner kann bestehende Sicherheitsmaßnahmen faktisch aushebeln sei es durch
Fahrlässigkeit, Fehlverhalten oder gezielte Manipulation. Die Folgen reichen von Betriebsunterbrechungen und Datenverlust bis hin zu massiven Reputationsschäden und regulatorischen Konsequenzen.
Genau hier setzt §16 RKEG an: Er macht den „Faktor Mensch“ zur Managementaufgabe, nicht nur aus Compliance-Sicht, sondern als zentralen Bestandteil der unternehmerischen Risikosteuerung.
Für Führungskräfte bedeutet das einen Perspektivenwechsel: Es geht nicht mehr nur darum, Systeme zu sichern, sondern aktiv zu steuern, wer Zugang zu kritischen Funktionen erhält und unter welchen Voraussetzungen.
Gleichzeitig bietet die strukturierte Umsetzung von Zuverlässigkeitsüberprüfungen einen strategischen Vorteil: Sie schafft Transparenz, stärkt Vertrauen in Prozesse und erhöht die tatsächliche Resilienz der Organisation nachhaltig.
Was bedeutet das konkret für Unternehmen?
- Kritische Funktionen identifizieren
- Klare Prozesse für begründete Ersuchen definieren
- Datenschutz und Einwilligungen sauber strukturieren
- Zuverlässigkeitsüberprüfungen in bestehende Resilienzmaßnahmen integrieren
§16 ist kein isoliertes Instrument, sondern Teil eines ganzheitlichen Sicherheits- und Resilienzkonzepts.
Mit §16 RKEG wird der menschliche Faktor erstmals umfassend regulatorisch adressiert. Unternehmen sind gefordert, ihre Sicherheitsstrategien neu zu denken. PwC unterstützt Sie bei der Entwicklung maßgeschneiderter Prozesse für Zuverlässigkeitsüberprüfungen und deren Integration in Ihre Organisation.
Ihre Ansprechperson
Christian Kurz
Patrick Göschl
Dana Gesslbauer
Bernhard Müller
PwC Legal Partner, PwC Legal*
Lorenz Wicho
