Zum Inhalt

PUKE

Projekt zur Unterstützung kritischer Einrichtungen

Programm / Ausschreibung KIRAS, F&E-Dienstleistungen, KIRAS F&E-Dienstleistungen (FED) 2023 Status laufend
Projektstart 04.11.2024 Projektende 30.06.2026
Zeitraum 2024 - 2026 Projektlaufzeit 20 Monate
Keywords RKE-Richlinie, Kritische Infrastruktur, Praxistransfer

Projektbeschreibung

Die Ergebnisse des hier vorgestellten Projekts unterstützen das BMI (Bundesministerium für Inneres) bzw. die DSN (Direktion Staatsschutz und Nachrichtendienst) bei der Umsetzung der RKE-Richtlinie 2022. Sie leisten einen Beitrag zur Erarbeitung der in Art. 4 verlangten nationalen Resilienzstrategie und einer möglichst kohärenten und praxistauglichen Unterstützung der kritischen Einrichtungen. Die Richtlinie beinhaltet die Verpflichtung der Mitgliedstaaten, die kritischen Einrichtungen in ihrem Verantwortungsbereich bei Maßnahmen zur Verbesserung der Resilienz zu unterstützen. Konkret fordert die Richtlinie (Art. 10), dass
• Leitfäden und Methoden zur Umsetzung zur Verfügung gestellt,
• die Resilienz der Organisationen durch Übungen überprüfbar gemacht,
• Beratungen und Schulungen für das Personal bereitgestellt und
• geeignete Plattformen für den Informationsaustausch entwickelt werden.

Das gegenständliche Projekt setzt bei dieser Aufgabenstellung an und ergänzt damit die Ressourcen der DSN. Konkret geschieht das in der Ausarbeitung eines Grundmodells, durch welches die Resilienz hinsichtlich des Standes des Wissens, der Technik und der Praxis beurteilt und in der Folge gesteuert werden kann. Darüber hinaus erfolgt die Konzipierung und Validierung von Leitfäden, Checklisten und Methoden (Übungen), mittels welcher die Einrichtungen in die Lage versetzt werden, ihre Resilienz zu prüfen und zu optimieren, um damit ihrer Verpflichtung, Resilienzpläne zu entwickeln, nachkommen zu können.
Für den hier verfolgten methodischen Ansatz sind die sechs in Art. 13 (1) lit. a-f genannten Maßnahmenbereiche
• Verhinderung von Sicherheitsvorfällen,
• Physischer Schutz von Infrastruktur,
• Reaktionen auf Sicherheitsvorfälle (Risiko-und Krisenmanagement),
• Wiederherstellung nach Sicherheitsvorfällen,
• Sicherheitsmanagement der Mitarbeiter*innen und
• Sensibilisierung, Trainings und Übungen
besonders relevant. Alle im Laufe des Projekts entwickelten Tools sind in ihrer Anwendbarkeit auf diese Maßnahmenbereiche abgestimmt. Eine Sichtung tauglicher Informationsformate, die einen Kommunikationsaustausch der Einrichtungen ermöglichen, beschließt das Ensemble der Werkzeuge, die im Rahmen dieses Projektes zur Umsetzung der RKE-Richtlinie entwickelt werden.
Im Zuge der Projekterstellung werden die Ergebnisse laufend mit dem Bedarfsträger abgestimmt. Freigegebene Inhalte werden in Publikationen zugänglich gemacht und in einer Fachkonferenz diskutiert.

Abstract

The results of the project will support the BMI (Federal Ministry of the Interior) and the DSN (Directorate State Protection and Intelligence Service) in the implementation of the RKE Directive 2022. Contributing to the development of the national resilience strategy required in Art. 4, they provide the highest level of coherent and practical support for critical entities. The Directive includes the obligation of the Member States to support the critical entities in their area of responsibility with measures to improve resilience. Specifically, the Directive (Art. 10) requires that
• guidelines and methods for implementation are made available,
• the resilience of the organizations is made verifiable through exercises,
• advice and training for staff are provided and
• suitable platforms for the exchange of information are developed.
Addressing these requirements, the project complements the resources of the DSN. It involves developing a basic model for the assessment and subsequent management of resilience in terms of the state of knowledge, technology and practice. In addition, guidelines, checklists, and methods (exercises) are designed and validated to enable institutions to evaluate and optimize their resilience so that their obligation to develop resilience plans is met.
Regarding the pursued methodological approach, the six areas of action listed in Art. 13 (1) lit. a-f are particularly relevant:
1. Prevention of security incidents,
2. Physical protection of infrastructure,
3. Reaction to security incidents (risk and crisis management),
4. Recovery after security incidents,
5. Security management of employees and
6. Awareness raising, training and exercises.
All the tools developed in the scope of the project are coordinated with regard to their applicability. Moreover, existing information networks, which enable the exchange of information and communication between critical entities are examined and validated.
Throughout the project, the results are continuously coordinated with the user. Released content is published and discussed at a specialist conference.

Endberichtkurzfassung

Das KIRAS-Forschungsprojekt PUKE (November 2022 – Juni 2026) unterstützte das Bundesministerium für Inneres (BMI) und die Direktion für Staatsschutz und Nachrichtendienst (DSN) bei der Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (RKE-RL 2022/2557). Mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG, BGBl. I Nr. 60/2025) wurde die Richtlinie im Oktober 2025 in österreichisches Recht überführt – erstmals mit verbindlichen Vorgaben für physischen Schutz und personelle Sicherheit. PUKE lieferte eine wissenschaftliche und praxisnahe Grundlage zur Umsetzung in kritischen Einrichtungen.

1 Systemisches Resilienz-Framework (SRF) und Normenlandschaft

Ein zentrales wissenschaftliches Ergebnis innerhalb des AP02 des Projekts ist das neu entwickelte Systemische Resilienz-Framework (SRF). Es überwindet bisherige eindimensionale Schutz- und Risikoansätze und beschreibt Resilienz als ein mehrstufiges, dynamisch hervorgebrachtes System auf vier Ebenen: (1) Personale Resilienz (Widerstandsfähigkeit einzelner Mitarbeiter*innen), (2) Interpersonale Resilienz (Teams und operative Einheiten), (3) Organisationale Resilienz (Gesamtresilienz der Einrichtung) sowie (4) Systemische Resilienz (sektorenübergreifende Vernetzung mit Stakeholdern, Behörden und gesellschaftlichen Strukturen). Das SRF vereint erstmals Erkenntnisse aus der psychologischen Resilienzforschung, von organisationalen Resilienzmodellen sowie gesellschaftlicher Resilienzansätze in ein RKE-kompatibles Integrationsmodell und bietet Einrichtungen einen Orientierungsrahmen für den schrittweisen Aufbau resilienter Strukturen und Prozesse auf der Grundlage allgemeiner Resilienzfähigkeiten und -bedingungen. Zudem erfolgte in AP02 eine systematische Analyse internationaler (ISO), europäischer (EN) und österreichischer (ÖNORM/OVE) Normen, die ergab, dass die Anforderungen der RKE-RL durch diese nicht ausreichend abgedeckt und Anpassungen erforderlich sind.

Das entwickelte SRF, die Erkenntnisse aus der Normenanalyse und empirischen Praxiserhebungen mit Sicherheitsverantwortlichen dienen als Input für eine nationale Resilienzstrategie sowie als Integrations- bzw. Basismodell, das als Grundlage für die Konzeption organisationaler Resilienzpläne, die adaptierten Normen sinnvoll kombiniert und die sechs Themenbereiche des § 15 RKEG in eine handhabbare Planungsstruktur überführt.

Das KIRAS-Forschungsprojekt PUKE (November 2022 – Juni 2026) unterstützte das Bundesministerium für Inneres (BMI) und die Direktion für Staatsschutz und Nachrichtendienst (DSN) bei der Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (RKE-RL 2022/2557). Mit dem Resilienz kritischer Einrichtungen-Gesetz (RKEG, BGBl. I Nr. 60/2025) wurde die Richtlinie im Oktober 2025 in österreichisches Recht überführt – erstmals mit verbindlichen Vorgaben für physischen Schutz und personelle Sicherheit. PUKE lieferte eine wissenschaftliche und praxisnahe Grundlage zur Umsetzung in kritischen Einrichtungen.

1 Systemisches Resilienz-Framework (SRF) und Normenlandschaft

Ein zentrales wissenschaftliches Ergebnis innerhalb des AP02 des Projekts ist das neu entwickelte Systemische Resilienz-Framework (SRF). Es überwindet bisherige eindimensionale Schutz- und Risikoansätze und beschreibt Resilienz als ein mehrstufiges, dynamisch hervorgebrachtes System auf vier Ebenen: (1) Personale Resilienz (Widerstandsfähigkeit einzelner Mitarbeiter*innen), (2) Interpersonale Resilienz (Teams und operative Einheiten), (3) Organisationale Resilienz (Gesamtresilienz der Einrichtung) sowie (4) Systemische Resilienz (sektorenübergreifende Vernetzung mit Stakeholdern, Behörden und gesellschaftlichen Strukturen). Das SRF vereint erstmals Erkenntnisse aus der psychologischen Resilienzforschung, von organisationalen Resilienzmodellen sowie gesellschaftlicher Resilienzansätze in ein RKE-kompatibles Integrationsmodell und bietet Einrichtungen einen Orientierungsrahmen für den schrittweisen Aufbau resilienter Strukturen und Prozesse auf der Grundlage allgemeiner Resilienzfähigkeiten und -bedingungen. Zudem erfolgte in AP02 eine systematische Analyse internationaler (ISO), europäischer (EN) und österreichischer (ÖNORM/OVE) Normen, die ergab, dass die Anforderungen der RKE-RL durch diese nicht ausreichend abgedeckt und Anpassungen erforderlich sind.

Das entwickelte SRF, die Erkenntnisse aus der Normenanalyse und empirischen Praxiserhebungen mit Sicherheitsverantwortlichen dienen als Input für eine nationale Resilienzstrategie sowie als Integrations- bzw. Basismodell, das als Grundlage für die Konzeption organisationaler Resilienzpläne, die adaptierten Normen sinnvoll kombiniert und die sechs Themenbereiche des § 15 RKEG in eine handhabbare Planungsstruktur überführt.

2 Sieben validierte Leitfäden für die Praxis

Im Arbeitspaket AP03 wurden aufbauend auf den Ergebnissen des AP02 sieben praxisorientierte Leitfäden, die zudem als Checklisten dienen, konzipiert und in einem iterativen Prozess mit Praxispartner*innen und Behörde validiert und finalisiert. Sie decken den vollständigen organisationalen Resilienzkreislauf nach § 15 Abs. 2 Z 1 bis Z 6 RKEG ab:

Der Gesamtaufbau ist wie folgt:

Allgemeine Grundlagen und Anwendung des Leitfadens (Z 0): rechtlicher Rahmen, Maßstab der Geeignetheit und Verhältnismäßigkeit, Konformitätsvermutung, Normen-verhältnis sowie allgemeine Grundsätze für Resilienzmaßnahmen

Verhinderung von Sicherheitsvorfällen (Z 1): Verhinderung von Sicherheitsvorfällen durch technische, anlagentechnische, betriebliche, organisatorische und personelle Maßnahmen, einschließlich Katastrophenvorsorge und Anpassung an den Klimawandel

Physischer Schutz (Z 2): Gewährleistung eines angemessenen physischen Schutzes der kritischen Infrastruktur und der Räumlichkeiten durch bauliche, mechanische, elek¬tronische, organisatorische und personelle Schutzmaßnahmen

Abwehr und Bewältigung von Sicherheitsvorfällen (Z 3): Abwehr von Sicherheitsvorfällen, deren Bewältigung sowie möglichst weitgehende Begrenzung der Auswirkungen durch Reaktions- und Führungsfähigkeit, Kommunikation, Wirkungsminimierung und Ressourcensteuerung

Fortsetzung und rasche Wiederaufnahme nach Sicherheitsvorfällen (Z 4): Sicherstellung der Fortsetzung oder raschen Wiederaufnahme des wesentlichen Dienstes durch Business Continuity Management, Wiederanlaufplanung, Ressourcen- und Redundanzplanung sowie Berücksichtigung alternativer Lieferketten

Personelle Sicherheitsvorkehrungen (Z 5): angemessene personelle Sicherheitsvorkehrungen durch Identifikation kritischer Funktionen, Steuerung von Zugangsberechtigungen, Zuverlässigkeitsüberprüfungen und Festlegung von Ausbildungs- und Qualifikationsanforderungen

Sensibilisierung und Schulung (Z 6): Sensibilisierung des Personals in kritischen Funktionen durch Schulungsmaßnahmen, Informationsmaterialien und Übungen, die den gesamten Resilienzkreislauf abdecken

Die Leitfäden bilden kein isoliertes Nebeneinander von Einzelmaßnahmen, sondern Resilienz entsteht im Zusammenspiel aller Elemente. Resilienzmaßnahmen sollen daher als Teile eines integrierten Systems und nicht als isolierte Einzelmaßnahmen betrachtet werden.