National Risk Analysis in Austria: A Comprehensive Look at EU CER Implementation
Die nationale Risikoanalyse für die EU CER-Umsetzung: in Deutschland mit dem KRITIS-Dachgesetz noch ausstehen, gibt es in Österreich seit Anfang des Jahres die Nationale Risikoanalyse nach RKEG, der CER-Umsetzung.
Ein Blick hinein lohnt sich.
Das österreichische Innenministerium veröffentlichte im Januar 2026 neben der gesamtstaatlichen Resilienzstrategie auch die nationale Risikoanalyse, wie von der EU-CER-Richtlinie und dem 2026 in Kraft getretenen Resilienz-kritischer-Einrichtungen-Gesetz (RKEG) gefordert.
Auf Basis dieser staatlichen Analyse, die in detaillierterer Form identifizierten Betreibern vertraulich zugeht, sind Betreiber verpflichtet, ihre Risikoanalysen und Resilienzmaßnahmen daran auszurichten.
Insgesamt katalogisiert die nationale Risikoanalyse im Rahmen eines All-Hazard-Ansatzes 113 Risiken natürlicher, technischer und feindlicher Art, denen Kritische Infrastrukturen 2026 ausgesetzt sind.
Drei Befunde stechen hervor:
❶ Cyberspionage, Cybersabotage und Cyberkriminalität stellen in allen 13 Sektoren die meistgenannten Gefahren im gesamten Katalog dar.
❷ Drohnenangriffe werden für 12 Sektoren als konkrete Bedrohung identifiziert.
❸ Insgesamt entfallen 37 von 113 Risiken auf intentionale Gefahren – mehr als technische Gefahren (23/113) und Naturgefahren (19/113) zusammen.
Erstmals berücksichtigt wurden zudem Risiken mit grenzüberschreitenden Auswirkungen, etwa Ausfälle europäischer Strom- und Gasnetze, Störungen von Cloud-Diensten und Unterbrechungen globaler Lieferketten, sowie Low-Probability/High-Impact-Risiken wie Extremereignisse im Weltraumwetter.
Als Emerging Risks erfasst wurden künstliche Intelligenz, "neuartige" Cyber-bedrohungen und technologisch bedingte Systeminterdependenzen, deren Relevanz oft erst sichtbar wird, wenn Frühwarnmodelle an ihre Grenzen stoßen.
Österreich nimmt damit im deutschsprachigen Raum eine Vorreiterrolle ein, auch wenn die öffentliche Version etwas Tiefe vermissen lässt. Hierzulande fehlt die Risikoanalyse nach § 11 KRITIS-DachG noch ("bald"), womit KRITIS-Betreibern die staatliche Orientierung für ihre eigenen Analysen fehlt.
Der Lagebericht des Schweizer NDB ist für KRITIS als Einordnung ebenfalls lesenswert, beschränkt sich im KRITIS-Kontext aber auf den Cyberbereich. Dazu bald auch mehr.
Von Sandrine Neugart
#AustriaRiskAnalysis #CriticalInfrastructure2026 #CyberSecurityThreats #DrohnenAngriffe #EmergingRisks
Ein Blick hinein lohnt sich.
Das österreichische Innenministerium veröffentlichte im Januar 2026 neben der gesamtstaatlichen Resilienzstrategie auch die nationale Risikoanalyse, wie von der EU-CER-Richtlinie und dem 2026 in Kraft getretenen Resilienz-kritischer-Einrichtungen-Gesetz (RKEG) gefordert.
Auf Basis dieser staatlichen Analyse, die in detaillierterer Form identifizierten Betreibern vertraulich zugeht, sind Betreiber verpflichtet, ihre Risikoanalysen und Resilienzmaßnahmen daran auszurichten.
Insgesamt katalogisiert die nationale Risikoanalyse im Rahmen eines All-Hazard-Ansatzes 113 Risiken natürlicher, technischer und feindlicher Art, denen Kritische Infrastrukturen 2026 ausgesetzt sind.
Drei Befunde stechen hervor:
❶ Cyberspionage, Cybersabotage und Cyberkriminalität stellen in allen 13 Sektoren die meistgenannten Gefahren im gesamten Katalog dar.
❷ Drohnenangriffe werden für 12 Sektoren als konkrete Bedrohung identifiziert.
❸ Insgesamt entfallen 37 von 113 Risiken auf intentionale Gefahren – mehr als technische Gefahren (23/113) und Naturgefahren (19/113) zusammen.
Erstmals berücksichtigt wurden zudem Risiken mit grenzüberschreitenden Auswirkungen, etwa Ausfälle europäischer Strom- und Gasnetze, Störungen von Cloud-Diensten und Unterbrechungen globaler Lieferketten, sowie Low-Probability/High-Impact-Risiken wie Extremereignisse im Weltraumwetter.
Als Emerging Risks erfasst wurden künstliche Intelligenz, "neuartige" Cyber-bedrohungen und technologisch bedingte Systeminterdependenzen, deren Relevanz oft erst sichtbar wird, wenn Frühwarnmodelle an ihre Grenzen stoßen.
Österreich nimmt damit im deutschsprachigen Raum eine Vorreiterrolle ein, auch wenn die öffentliche Version etwas Tiefe vermissen lässt. Hierzulande fehlt die Risikoanalyse nach § 11 KRITIS-DachG noch ("bald"), womit KRITIS-Betreibern die staatliche Orientierung für ihre eigenen Analysen fehlt.
Der Lagebericht des Schweizer NDB ist für KRITIS als Einordnung ebenfalls lesenswert, beschränkt sich im KRITIS-Kontext aber auf den Cyberbereich. Dazu bald auch mehr.
Von Sandrine Neugart
#AustriaRiskAnalysis #CriticalInfrastructure2026 #CyberSecurityThreats #DrohnenAngriffe #EmergingRisks
Shared byCameron Yoon - 2 days ago
Log in to comment
Loading ..
Related Articles
Building Holistic Security: Insights from the KRITIS Conference 2026
NIS-2 Registration Deadline Extended to July 31, 2026: What Businesses Need to Know
Join Consultant Days 2026 for Next-Level Data Center Engineering Insights
Mastering Ransomware Risk Management with Updated NIST CSF 2.0
Anthropic's Claude Fable 5 Jailbreak Reveals Stack Exploits
Integrative Implementation of KRITIS-Dachgesetz by Rheinbahn AG
70
0/100