§ 14 Risikoanalyse durch kritische Einrichtungen
In Kraft seit 01. März 2026
Up-to-date
(1) Kritische Einrichtungen haben erstmalig innerhalb von neun Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 und im Anschluss bei Änderungen der maßgeblichen Risikofaktoren anlassbezogen, längstens jedoch alle vier Jahre insbesondere auf Grundlage der vom Bundesminister für Inneres durchgeführten Risikoanalyse gemäß § 10 eine Risikoanalyse durchzuführen und die Ergebnisse strukturiert aufzubereiten.
(2) Die Risikoanalyse gemäß Abs. 1 hat die wechselseitige Abhängigkeit zwischen dem von der jeweiligen kritischen Einrichtung erbrachten wesentlichen Dienst und wesentlichen Diensten, die von anderen Einrichtungen der im Anhang der RKE RL gelisteten Sektoren erbracht werden, zu berücksichtigen.
(3) Den Anforderungen gemäß den Abs. 1 und 2 wird insoweit entsprochen, als von der kritischen Einrichtung aufgrund anderer rechtlicher Verpflichtungen Risikoanalysen durchgeführt werden, die hinsichtlich der Anforderungen gemäß den Abs. 1 und 2 zumindest gleichwertig sind.
RKEG · Resilienz kritischer Einrichtungen-Gesetz
§ 14 Risikoanalyse durch kritische Einrichtungen
…5. Abschnitt Verpflichtungen kritischer Einrichtungen § 14. (1) Kritische Einrichtungen haben erstmalig innerhalb von neun Monaten nach bescheidmäßiger Einstufung gemäß § 11 Abs. 1 und im Anschluss bei Änderungen der…
§ 3 Begriffsbestimmungen
…zur Gewährleistung der Resilienz nachvollziehbar dargelegt werden; 13. „Audit“ eine systematische und unabhängige Überprüfung der Einhaltung der Verpflichtungen gemäß den §§ 14 und 15, insbesondere durch Bewertungsbesuche, samt Dokumentation der Ergebnisse in einem Prüfbericht durch Resilienzauditoren (§ 21).…
§ 13 Unterstützungs- und Vorsorgemaßnahmen
…Tätigkeiten zu umfassen: 1. Beratung kritischer Einrichtungen beim Ergreifen von Resilienzmaßnahmen; 2. Beratung kritischer Einrichtungen bei der Beurteilung, ob bereits durchgeführte Risikoanalysen gemäß § 14 Abs. 3 oder ergriffene Resilienzmaßnahmen gemäß § 15 Abs. 3 zumindest gleichwertig sind; 3. Übermittlung von Frühwarnungen sowie von sonstigen sektorspezifischen Informationen…
§ 7 Datenverarbeitung
…Einrichtungen betreffende Cybersicherheitsrisiken, Cyberbedrohungen, Beinahe-Cybersicherheitsvorfälle, Cybersicherheitsvorfälle, nicht cyberbezogene Risiken, Bedrohungen, Beinahe-Sicherheitsvorfälle und Sicherheitsvorfälle, und 3. Daten zu den gemäß den §§ 14, 15, 17 und 20 gesetzten Maßnahmen zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Bundesgesetz erforderlich ist. (2) Übermittlungen der gemäß Abs. …
Rückverweise