NISG 2026 und RKEG: Auswirkungen auf das Vergaberecht

Die Bedrohungslage für kritische Infrastrukturen in Österreich und Europa verschärft sich kontinuierlich. Cyberangriffe, Sabotage und Lieferkettenausfälle gefährden nicht nur einzelne Unternehmen, sondern die Funktionsfähigkeit ganzer gesellschaftlicher Systeme. Der europäische Gesetzgeber hat darauf reagiert – mit einer umfassenden Resilienzstrategie, die auch das österreichische Vergaberecht grundlegend verändert.

RKEG und NISG 2026: Zwei neue Gesetze mit weitreichenden Folgen

Das Resilienz kritischer Einrichtungen-Gesetz (RKEG)

Das RKEG ist seit 1. März 2026 in Kraft und setzt die europäische RKE-Richtlinie (EU) 2022/2557 in österreichisches Recht um. Es richtet sich an sogenannte kritische Einrichtungen – also Organisationen, deren Ausfall direkte Auswirkungen auf die Gesundheit, Sicherheit oder Versorgung der Bevölkerung hätte. Dazu zählen unter anderem:

  • Energieversorger und Elektrizitätserzeuger
  • Krankenhäuser und Gesundheitsdienstleister
  • Kreditinstitute und Banken
  • Trinkwasserlieferanten und Abwasserentsorger
  • Rechenzentrumsbetreiber und Cloud-Anbieter

Betroffene Einrichtungen werden per Bescheid des Bundesministeriums für Inneres (BMI) eingestuft und sind verpflichtet, eine Risikoanalyse sowie einen Resilienzplan zu erstellen. Bei Verstößen drohen Sanktionen von bis zu 500.000 Euro.

Das NISG 2026 – Cybersicherheit als Managementaufgabe

Das NISG 2026 tritt am 1. Oktober 2026 in Kraft und setzt die europäische NIS-2-Richtlinie um. Es erfasst mit rund 6.000 Einrichtungen in Österreich deutlich mehr Unternehmen als das RKEG. Besonders wichtig: Leitungsorgane tragen persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen und müssen selbst an Schulungen teilnehmen. Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Auswirkungen auf das Vergaberecht in Österreich: Warum Reslienz bereits im Vergabeverfahren entschieden wird

Digitale und physische Sicherheit lassen sich nicht nachträglich in bestehende Verträge „einbauen“. Mängel in der Leistungsbeschreibung lassen sich durch spätere Auswahl- oder Zuschlagskriterien regelmäßig nicht mehr kompensieren. Deshalb müssen Resilienzanforderungen von Beginn an in den Beschaffungsprozess integriert werden.

Drei zentrale Stellschrauben im Vergabeverfahren:

1. Leistungsbeschreibung Die Leistungsbeschreibung ist der strategische Schwerpunkt für resiliente Beschaffung. Hier werden funktionale Mindeststandards für Informationssicherheit, Notfallkonzepte, Wiederanlaufzeiten und Lieferkettenkontrolle verbindlich festgelegt.

2. Eignungs- und Auswahlkriterien: Als Eignungskriterien kommen unter anderem IT-Sicherheitszertifizierungen (z.B. ISO 27001, Cyber Trust Gold Label) oder nachgewiesene Erfahrung mit kritischer Infrastruktur in Betracht. Wichtig dabei: Zertifizierungen dürfen nicht ausschließlich verlangt werden, um den Wettbewerb nicht unzulässig einzuschränken.

3. Vertragsgestaltung: Maßgeschneiderte Vertragsklauseln sichern die Einhaltung der Sicherheitsanforderungen über die gesamte Vertragslaufzeit ab. Dazu gehören Meldepflichten bei Sicherheitsvorfällen, Auditrechte des Auftraggebers sowie klare Regelungen für Subunternehmer und die gesamte Lieferkette – denn Schwachstellen entstehen häufig nicht beim Hauptauftragnehmer selbst, sondern tief in der Zuliefererkette.

Fazit: Jetzt handeln – bevor der Bescheid kommt

Die neuen Anforderungen aus RKEG und NISG 2026 sind komplex und betreffen Unternehmen branchenübergreifend. Wer frühzeitig handelt, schützt nicht nur seine Organisation, sondern vermeidet auch kostspielige Nachbesserungen im laufenden Betrieb.

Unsere Experten bei Heid und Partner Rechtsanwälte beraten Sie umfassend – von der ersten Risikoanalyse über die vergabekonforme Leistungsbeschreibung bis hin zur rechtssicheren Vertragsgestaltung.

Kontaktieren Sie uns hier für ein unverbindliches Erstgespräch.