Resilienzmanagement: Führung in unsicheren Zeiten

Warum echte Resilienz auf Management-Ebene beginnt – und was das für Unternehmen bedeutet

Standhaft im Sturm – Resilienz beginnt mit Führung

Resilienz galt lange als Fähigkeit, Krisen zu überstehen und möglichst schnell zum Normalzustand zurückzukehren. Diese Definition greift heute zu kurz. Unternehmen und öffentliche Organisationen befinden sich heute vielmehr in einem Dauerzustand aus immer neuen regulatorischen Anforderungen, wachsenden Cyberrisiken und wirtschaftlicher Unsicherheit. Neue Resilienz bedeutet deshalb mehr als Krisenmanagement – sie wird zur strategischen Führungsaufgabe mit oberster Priorität.

Unternehmen und Behörden stehen heute vor einer paradoxen Situation. Auf der einen Seite war das Niveau an technologischer Leistungsfähigkeit, globaler Vernetzung und operativer Effizienz noch nie so hoch wie aktuell, allerdings waren auch die Risiken und die Unsicherheit über zukünftige Rahmenbedingungen noch nie so groß.

Geopolitische Spannungen, fragile Lieferketten, zunehmende Cyberrisiken und eine stetig wachsende Regulierungsdichte verändern die Spielregeln grundlegend. Dabei geht es längst nicht mehr um einzelne Krisenereignisse, sondern vielmehr um eine neue Business-Realität aus erhöhter Unsicherheit und allgegenwärtigen Risiken. Die entscheidende Frage lautet deshalb nicht mehr, wie Unternehmen auf einzelne Störungen reagieren, sondern, ob sie auch unter veränderten Bedingungen dauerhaft steuerungs- und wettbewerbsfähig bleiben.

Regulierung als Aufgabe des Managements

Ein zentraler Treiber dieser Entwicklung ist die Regulierung, weil mit neuen gesetzlichen Vorgaben wie NIS2, DORA oder verschärften KRITIS-Anforderungen der Handlungsdruck auf Unternehmen deutlich steigt. Unternehmen sind verpflichtet, Risiken systematisch zu managen, Maßnahmen umzusetzen, deren Wirksamkeit zu überwachen und Cyberrisiken aktiv in ihre Unternehmenssteuerung zu integrieren.

Damit verschiebt sich Verantwortung aus der IT- und Compliance-Ebene direkt in die Unternehmensleitung. Davon sind nicht mehr nur klassische Betreiber kritischer Infrastrukturen betroffen, auch Industrieunternehmen, Technologieanbieter, IT-Dienstleister sowie Organisationen in sicherheitsrelevanten Lieferketten sehen sich zunehmend verpflichtet, ihre Sicherheits- und Betriebsfähigkeit nachzuweisen. Das Thema Regulierung wird damit nicht nur zu einer Frage der Compliance, sondern zu einem entscheidenden Faktor der Unternehmensführung. Problematisch kann diese neue Realität überall dort werden, wo Regulierung, Technologie und Betrieb noch immer getrennt betrachtet wird. Rechtsabteilungen bewerten Anforderungen, IT-Abteilungen setzen technische Maßnahmen um und operative Bereiche verantworten Prozesse und Lieferfähigkeit. Es sind genau diese Schnittstellen, an denen häufig Reibungsverluste, Unsicherheiten und Umsetzungslücken entstehen.

Neue Märkte, neue Anforderungen

Parallel dazu verändern geopolitische Entwicklungen die wirtschaftlichen Rahmenbedingungen. Lieferketten werden fragiler, Abhängigkeiten risikobehafteter und Sicherheitsanforderungen umfassender. Gleichzeitig entstehen neue Marktchancen, insbesondere im Umfeld kritischer Infrastrukturen, öffentlicher Digitalisierung sowie Sicherheits- und verteidigungsnaher Industrien.

Viele Unternehmen prüfen derzeit, wie sie ihre bestehenden Fähigkeiten auf diese Märkte übertragen können. Gerade technologieorientierte Unternehmen, industrielle Zulieferer oder Softwareanbieter sehen neue Wachstumsmöglichkeiten im sicherheitskritischen Umfeld. Aber: Der Eintritt in diese Felder ist anspruchsvoll. Er erfordert weit mehr als technologische Leistungsfähigkeit oder wettbewerbsfähige Produkte. Unternehmen müssen komplexe Vergabeanforderungen verstehen, Exportkontrollvorgaben einhalten, Geheimschutzanforderungen erfüllen und gleichzeitig ein hohes Cybersecurity-Niveau, sichere Kommunikation und belastbare Lieferketten nachweisen.

Entscheidend ist nicht nur, was ein Unternehmen an technologischer Kompetenz vorweisen kann, sondern ob es diese Leistung unter regulatorisch und sicherheitstechnisch anspruchsvollen Bedingungen nachweisen und dauerhaft erbringen kann.

Resilienz entsteht im Zusammenspiel

Stefan Becker ist President Germany Operations bei CGI

Unternehmen, die diese Anforderungen erfüllen wollen – oder müssen – benötigen einen neuen Blick auf das Konzept Resilienz. Eine wirklich widerstandsfähige Strategie entsteht dabei weder mit isolierten Maßnahmen, noch über Nacht, sondern ist die Folge eines strukturierten Ansatzes, der zunächst kritischen Leistungen, Abhängigkeiten und Entscheidungsstrukturen identifiziert. Nur auf dieser Grundlage lässt sich im nächsten Schritt bewerten, welche Risiken tatsächlich geschäftsrelevant sind.

Darauf aufbauend können kritische Funktionen organisatorisch und technisch nachhaltig abgesichert werden. Ziel ist nicht maximale Abschottung, sondern die Fähigkeit, zentrale Leistungen auch unter Störungen kontrolliert aufrechtzuerhalten.

Mit zunehmender Systemkomplexität wird zudem die Fähigkeit entscheidend, Informationen, Verantwortlichkeiten und Prozesse koordiniert zu steuern. Die notwendige Transparenz kann beispielsweise nur entstehen, wenn relevante Daten zusammengeführt werden, um Risiken frühzeitig zu erkennen und auf Veränderungen zu reagieren. Und schließlich gilt auch weiterhin: Resilienz ist kein statischer Zustand. Sie muss regelmäßig überprüft, getestet und weiterentwickelt werden – durch Simulationen, Validierungen und regulatorische Nachweise.

Ein integrierter Ansatz für Umsetzung und Rechtssicherheit

Vor diesem Hintergrund kooperieren der globale IT-Dienstleister CGI und die Kanzlei Heuking noch enger, um die oftmals klaffende Lücke zwischen regulatorischer Einordnung und praktischer Umsetzung zu schließen.

CGI unterstützt Unternehmen bei der Umsetzung komplexer Transformations- und Sicherheitsanforderungen in regulierten und sicherheitskritischen Umfeldern – von der Analyse über die Architektur bis zum operativen Betrieb. Heuking bringt die umfassende Expertise in regulatorischen und rechtlichen Fragestellungen ein, unter anderem in den Bereichen Vergabe-, IT- und Datenschutzrecht, Compliance sowie regulatorische Anforderungen in sicherheitskritischen Kontexten.

Gemeinsam adressieren CGI und Heuking Organisationen, die vor der Herausforderung stehen, regulatorische Anforderungen nicht nur zu verstehen, sondern in belastbare Strukturen zu übersetzen – insbesondere Betreiber kritischer Infrastrukturen, Unternehmen in sicherheits- und verteidigungsnahen Märkten sowie öffentliche Auftraggeber.

Der eigentliche Mehrwert dieses Ansatzes liegt nicht in der Erfüllung einzelner Vorschriften, sondern in der Herstellung einer echten, langfristigen Handlungsfähigkeit. Unternehmen, die ihre kritischen Abhängigkeiten kennen, Governance und Technologie verzahnen sowie ihre Betriebsmodelle entsprechend ausrichten, gewinnen mehr als nur regulatorische Sicherheit. Sie schaffen die Grundlage für schnellere Entscheidungen, robustere Prozesse und höhere Anpassungsfähigkeit.

Warum CGI?

CGI verfügt über mehr als 50 Jahre Erfahrung im Betrieb und der Absicherung kritischer Systeme und ist als BSI-zertifizierter IT-Sicherheitsdienstleister in hochsensiblen Umgebungen tätig – unter anderem im Umfeld von Bundeswehr, NATO und Organisationen mit Sicherheitsaufgaben. Diese Expertise aus sicherheitskritischen, staatlichen und industriellen Kontexten fließt direkt in unsere Arbeit mit Unternehmen ein, die ihre Resilienz unter realen Betriebs- und Krisenbedingungen stärken wollen. CGI verbindet technologische Kompetenz mit tiefem Verständnis für regulatorische Anforderungen sowie operative Steuerung und unterstützt Organisationen über den gesamten Weg hinweg – von der Analyse komplexer Abhängigkeiten bis zum stabilen Betrieb kritischer Systeme.

Wie ist es um die Resilienz des eigenen Unternehmens bestellt?

Resilienz wird zur unmittelbaren Managementaufgabe: Wer seine kritischen Leistungen, Abhängigkeiten und Entscheidungsstrukturen nicht kennt, verliert im Ernstfall die Steuerungsfähigkeit. Hier lässt sich mit wenigen Fragen erfahren, wie gut das eigene Unternehmen dafür aufgestellt ist.

Impressum: