Neue Resilienz – warum Unternehmen jetzt anders über Handlungsfähigkeit nachdenken müssen

Im Frühjahr 2026 berichteten europäische Behörden von einer deutlichen Ausweitung gezielter GPS-Manipulationen im Ostseeraum. Dieser Vorfall zeigt exemplarisch, wie abhängig moderne Gesellschaften von digitaler Infrastruktur, internationaler Logistik und stabilen Versorgungsstrukturen sind. Und genau hierin liegt die eigentliche Herausforderung moderner Resilienz: Unternehmen müssen nicht nur einzelne Risiken beherrschen, sondern auch unter veränderten Rahmenbedingungen erfolgreich agieren können.

Warum klassische Sicherheits- und Risikologiken heute nicht mehr ausreichen

Über viele Jahre hinweg waren die globalen Lieferketten, internationalen Partnerschaften und wirtschaftlichen Rahmenbedingungen für viele Unternehmen vergleichsweise verlässlich. Doch die geopolitischen Spannungen, technologischen Abhängigkeiten, klimabedingten Extremereignisse und Unsicherheiten in den Lieferketten nehmen spürbar zu – mit unmittelbaren Auswirkungen auf Unternehmen, öffentliche Institutionen und kritische Infrastrukturen.

Die Frage ist also nicht mehr, ob Störungen eintreten, sondern wie Organisationen damit umgehen können:

• Was passiert, wenn ein zentraler Halbleiterlieferant aus Asien kurzfristig ausfällt oder Exportbeschränkungen den Zugang zu kritischen Technologien erschweren?
• Wie robust sind zentrale Prozesse bei Cyberangriffen, Energieengpässen oder dem Ausfall kritischer Infrastrukturen?
• Wie schnell lassen sich Strukturen, Technologien und Entscheidungen an neue regulatorische oder geopolitische Rahmenbedingungen anpassen?
• Und wie können Unternehmen, Behörden und andere Akteure in Krisensituationen wirkungsvoll zusammenarbeiten?

Hier zeigt sich aus meiner Sicht der Unterschied zwischen klassischem Risikomanagement und neuer Resilienz. Es geht nicht mehr um einzelne Schutzmaßnahmen oder isolierte Compliance-Anforderungen, sondern darum, den Geschäftsbetrieb auch unter Druck stabil fortführen zu können.

Weshalb Resilienz zur strategischen Kernanforderung wird

Auch die politische und regulatorische Perspektive verändert sich grundlegend. Mit dem All-Gefahren-Ansatz der Deutschen Resilienzstrategie rückt das Zusammenspiel unterschiedlichster Risiken in den Mittelpunkt – von Cyberangriffen über Lieferkettenstörungen bis hin zu geopolitischen Spannungen. Unternehmen werden dabei nicht mehr als isolierte Akteure betrachtet, sondern als Teil größerer gesellschaftlicher und wirtschaftlicher Systeme.

Resilienz wird zunehmend regulatorisch verankert. Mit dem KRITIS-Dachgesetz und dem NIS-II-Umsetzungsgesetz entstehen neue Vorgaben, die weit über die klassische IT-Sicherheit hinausreichen. Resilienz entwickelt sich damit vom freiwilligen Optimierungsthema zu einer festen organisatorischen und regulatorischen Notwendigkeit.

Auch sicherheitspolitisch verändert sich der Blick auf die Resilienz. Die Nationale Sicherheitsstrategie, die Nationale Sicherheits- und Verteidigungsindustriestrategie und der Operationsplan Deutschland zeigen deutlich, dass Wirtschaft und Staat enger zusammenrücken. Unternehmen werden immer stärker in die nationalen und europäischen Vorsorge- und Sicherheitsarchitekturen eingebunden.

Gleichzeitig wird Widerstandsfähigkeit stärker europäisch und global gedacht. Initiativen wie die EU Space Strategy for Security and Defence oder das „White Paper for European Defence – Readiness 2030“ machen deutlich, dass Abhängigkeiten heute weit über klassische Infrastrukturen hinausreichen – etwa in Bereichen wie der Satellitenkommunikation oder der Cloud- und Plattformdienste.

Welche Fähigkeiten moderne Organisationen jetzt brauchen

Für mich bedeutet neue Resilienz nicht, auf jede denkbare Krise vorbereitet zu sein. Maßgeblich ist, wie schnell Organisationen Veränderungen erkennen, darauf reagieren und auch unter schwierigen Bedingungen handlungsfähig bleiben können.

Im Mittelpunkt stehen aus meiner Sicht vier zentrale Handlungsfelder:

Souveränität: kritische Abhängigkeiten verstehen und steuern

Organisationen müssen verstehen, auf welche Technologien, Lieferketten, Partner und Infrastrukturen sie angewiesen sind – und welche Abhängigkeiten strategisch akzeptabel sind. Gerade in geopolitisch angespannten Zeiten wird technologische und organisatorische Souveränität zu einem wichtigen Wettbewerbsfaktor. Dazu gehört beispielsweise die Frage, welche Cloud-Dienste, Softwareplattformen oder Zulieferer für den eigenen Geschäftsbetrieb tatsächlich unverzichtbar sind.

Betriebliche Kontinuität: unter schwierigen Bedingungen funktionsfähig bleiben

Geschäfts- und Verwaltungsprozesse müssen auch dann funktionieren, wenn einzelne Systeme, Lieferketten oder Infrastrukturen beeinträchtigt sind. Dabei geht es nicht nur um die Krisenreaktion, sondern darum, dass Organisationen auch dann entscheidungs- und lieferfähig bleiben, wenn etablierte Prozesse, Lieferwege oder internationale Partnerschaften unter Druck geraten. Das betrifft beispielsweise die Sicherstellung kritischer Produktionsprozesse, Zahlungsströme oder digitaler Verwaltungsservices auch unter eingeschränkten Betriebsbedingungen.

Interoperabilität: Fähigkeiten wirksam vernetzen

Unternehmen, Behörden und Betreiber kritischer Infrastrukturen müssen Informationen, Prozesse und Fähigkeiten organisationsübergreifend verzahnen können. Denn hybride Bedrohungen und komplexe Krisenszenarien überschreiten heute organisatorische Grenzen und erfordern ein koordiniertes Zusammenspiel von Wirtschaft, Verwaltung und Sicherheitsbehörden.

Anpassungsfähigkeit: Veränderungen frühzeitig erkennen und darauf reagieren

Resiliente Organisationen reagieren nicht erst in der Krise. Sie schaffen Strukturen, durch die sie frühzeitig Veränderungen erkennen und sich flexibel an neue technologische, regulatorische oder geopolitische Rahmenbedingungen anpassen können. Dazu gehört beispielsweise die Fähigkeit, Lieferketten kurzfristig umzubauen, alternative Partner einzubinden oder neue regulatorische Anforderungen schnell operativ umzusetzen.

Wo Resilienz in der Praxis häufig scheitert

Bei CGI sehen wir in Projekten immer wieder, dass Organisationen einzelne Anforderungen erfolgreich erfüllen, die übergreifende Sicht jedoch fehlt.

Ein Beispiel dafür war ein Industrieunternehmen, das seine Cybersecurity im Kontext von NIS-2 deutlich verbessert hatte. Eine übergreifende Analyse machte jedoch sichtbar, dass die eigentliche Verwundbarkeit innerhalb des Liefernetzwerks lag – dort, wo die regulatorischen Anforderungen geringer waren, die potenziellen Auswirkungen eines Ausfalls jedoch deutlich gravierender gewesen wären.

Aus meiner Sicht ist dies heute eines der größten Missverständnisse von Resilienz: Isoliert einzelne Risiken zu optimieren, reicht nicht mehr aus. Organisationen müssen verstehen, wie eng technische, organisatorische und wirtschaftliche Systeme miteinander verflochten sind – und welche Folgen daraus im Krisenfall entstehen können.

Warum Handlungsfähigkeit neu gedacht werden muss

Die eigentliche Veränderung besteht nicht darin, dass Risiken komplexer geworden sind. Neu ist vielmehr die Geschwindigkeit, mit der sich Störungen entlang global vernetzter Lieferketten, Plattformen und Infrastrukturen ausbreiten – und wie unmittelbar Unternehmen davon betroffen sind. Die Fähigkeit, sich schnell an veränderte Rahmenbedingungen anzupassen, entscheidet deshalb zunehmend über Stabilität und Wettbewerbsfähigkeit.

Für Organisationen bedeutet dies einen Paradigmenwechsel: weg von isolierten Einzelmaßnahmen hin zu einem umfassenderen Verständnis von Handlungsfähigkeit. Jetzt ist die Zeit, Resilienz neu zu denken.

Wenn Sie sich zu diesem Thema austauschen möchten, sprechen Sie mich gerne an.