7 Min. Lesezeit

IT-Resilienz ist 2026 kein separater BCM-Prozess mehr, den ein Sub-Team jenseits der IT pflegt. Sie ist eine Kerndisziplin, die mit ICT-Risikomanagement, Lieferketten-Steuerung und Incident-Response zusammenwächst. DORA, NIS2 und ISO 22301 fordern genau das im Regelwerk. Organisationen, die jetzt konsolidieren statt parallel zu verwalten, bekommen Kostenvorteile und glaubwürdige Audit-Ergebnisse.

VerwandtIT-Integration nach M&A: Deal-Einsparungen  /  CIO 2026 im A.R.T.-Rahmen

Was sich 2026 wirklich verändert

Was ist IT-Resilienz? IT-Resilienz bezeichnet die Fähigkeit einer Organisation, ihre IT-Services auch unter Störungen aufrechtzuerhalten, schnell wiederherzustellen und aus Incidents zu lernen. Sie umfasst klassische Business-Continuity-Planung, Disaster Recovery, Incident Response und Supply-Chain-Risikomanagement. 2026 verschmelzen diese Disziplinen zu einem integrierten Framework, das von DORA, NIS2 und ISO 22301 gleichzeitig adressiert wird.

Der Treiber hinter der Konsolidierung ist operativ. Organisationen, die separate Business-Continuity-Teams, Disaster-Recovery-Verantwortliche und ICT-Risikomanager betrieben haben, bekommen in Audits wiederholt dieselbe Frage: Wie greifen die drei Ebenen ineinander? In der Praxis greifen sie oft schlecht ineinander, weil jede Gruppe eigene Playbooks, eigene Metriken und eigene Review-Zyklen hat. Die Zeit, die in der Koordination zwischen Teams verloren geht, fällt in einem echten Incident direkt auf die Wiederherstellungsdauer.

DORA adressiert diese Fragmentierung in Artikel 11 explizit. Das ICT-Risikomanagement-Framework muss eine Business-Continuity-Policy enthalten, die mit Incident Response und Lieferanten-Risiko verzahnt ist. NIS2 fordert in Artikel 21 analoge Maßnahmen für eine breitere Industrie-Basis. Die beiden Regulierungen decken unterschiedliche Sektoren ab, nutzen aber dieselbe Logik: Resilienz ist ein Gesamt-Konstrukt, nicht eine Ansammlung von Einzel-Plänen.

Wie ein konsolidiertes Resilience-Framework 2026 aussieht

Ein konsolidiertes Framework folgt einer einfachen Logik. Es definiert kritische Geschäftsprozesse, ordnet ihnen unterstützende ICT-Services zu, legt Recovery-Zeitziele (RTO) und Daten-Verlustziele (RPO) fest und verknüpft sie mit konkreten Playbooks. Parallel dazu läuft ein Lieferanten-Risikomanagement, das die Abhängigkeit von kritischen Drittparteien bewertet. Die Krisenkommunikation, Incident Response und Ausbildung der Teams sind integraler Bestandteil, keine Randthemen.

Die Rollen in einem konsolidierten Setup verändern sich. Der klassische BCM-Manager entwickelt sich zum Resilience-Officer mit breiteren Verantwortungsbereichen. Die ICT-Risikomanager und Information Security Officer arbeiten in denselben Strukturen, oft unter derselben Führungslinie. Die IT-Betriebsführung liefert die technischen Recovery-Kapazitäten. Für CIOs bedeutet das: Eine klare organisatorische Verankerung und ein konsolidiertes Budget für Resilience-Investitionen, statt drei getrennter Posten in unterschiedlichen Kostenstellen.

Die Abstimmung zwischen den Funktionen ist der bestimmende Faktor. Ein Unternehmen mit einem gemeinsamen Resilience-Framework reagiert in echten Incidents spürbar schneller als eines mit drei parallelen Strukturen. Die Messgröße ist Mean Time To Recover (MTTR). Die Differenz zwischen konsolidierten und fragmentierten Organisationen liegt in Praxis-Beobachtungen bei Faktor zwei bis drei. Für kritische Dienste bedeutet das den Unterschied zwischen vier Stunden Ausfall und vierundzwanzig.

Was ISO 22301 konkret in die Organisation bringt

ISO 22301 ist der internationale Standard für Business Continuity Management. Er definiert einen Plan-Do-Check-Act-Zyklus für Resilience, mit klaren Anforderungen an Business-Impact-Analyse, Risikobewertung, Strategie, Implementierung und Übung. Seine Stärke liegt in der Verzahnung mit anderen ISO-Standards wie ISO 27001 (Information Security) und ISO 9001 (Qualitätsmanagement). Wer diese Standards bereits implementiert hat, baut ISO 22301 mit moderatem Aufwand obendrauf.

Für Organisationen unter DORA ist ISO 22301 kein Pflicht-Standard, aber ein anerkannter Nachweis. Ein ISO-22301-zertifiziertes BCM-System reduziert den Aufwand für die DORA-Nachweisführung deutlich, weil die Dokumentations-Logik deckungsgleich ist. Analog gilt für NIS2: Die im Gesetz geforderten Maßnahmen zu Betriebskontinuität, Krisenmanagement und Wiederherstellung lassen sich direkt aus ISO-22301-Prozessen ableiten. Aufsichts-Gespräche werden kürzer, weil der Standard bekannt ist und eine klare Struktur mitbringt.

Ein praktischer Aspekt von ISO 22301: Der Standard fordert eine Business Impact Analyse (BIA), die jeden kritischen Geschäftsprozess auf seine IT-Abhängigkeiten durchleuchtet. Für viele Organisationen ist die BIA der wertvollste Teil der Einführung, weil sie zum ersten Mal ein umfassendes Bild liefert, welche Systeme in welcher Reihenfolge wiederhergestellt werden müssen. Ohne diese BIA fehlt allen nachgelagerten Entscheidungen die Grundlage. Mit ihr werden Investitionen in Redundanz und Backup-Strategien begründbar und messbar.

Die Übungs-Disziplin ist der zweite Aspekt, den ISO 22301 systematisch vorantreibt. Der Standard schreibt regelmäßige Tests vor, von Tabletop-Exercises über technische Recovery-Tests bis zu vollständigen Ausfall-Simulationen. Organisationen, die diese Disziplin leben, sehen die Ergebnisse nicht nur in der Audit-Evidenz, sondern in echten Incidents, die binnen Stunden statt Tagen eskaliert werden. Das ist der wichtigste ROI-Faktor eines implementierten BCM-Systems. In Euro schwer messbar, bevor der erste Ernstfall eintritt.

Die Zertifizierung ist allerdings nicht der Wert an sich. Der Wert liegt im implementierten Management-System. Viele Organisationen haben ISO-Zertifikate, ohne dass das System wirklich gelebt wird. Für Resilience ist das gefährlich, weil der Zertifikats-Ordner einen Incident nicht löst. Die erfolgreichen Organisationen nutzen ISO 22301 als Strukturgeber und investieren in aktive Übungsprogramme, die das Management-System immer wieder in die Praxis bringen.

Wie CIOs Resilience 2026 in der Vorstandsebene positionieren

Die Konsolidierungsdiskussion ist selten eine rein technische. Sie ist eine Organisationsfrage. Die Vorstandsebene muss sie mittragen. Ein CIO, der die Resilience-Konsolidierung treibt, bekommt die Unterstützung am ehesten, wenn er drei Dinge klar kommuniziert. Erstens: Die regulatorische Pflicht. DORA und NIS2 verlangen konsolidierte Frameworks. Aufsichtsprüfer werden sie in den nächsten Quartalen gezielt hinterfragen. Zweitens: Die Kostenrealität. Fragmentierte Strukturen sind im Betrieb teuer, vor allem bei der Doppelung von Tabletop-Exercises, Dokumentations-Zyklen und Berichts-Pflichten. Drittens: Die Reaktions-Realität. Im Ernstfall zählt Geschwindigkeit. Diese erreichen nur integrierte Teams.

In der praktischen Umsetzung hat sich ein Zwölf-Monats-Fahrplan bewährt. Erste drei Monate: Bestandsaufnahme aller bestehenden BCM-, DR- und ICT-Risikomanagement-Strukturen, mit Fokus auf Überlappungen und Lücken. Monate vier bis sechs: Design des konsolidierten Frameworks auf Basis von ISO 22301, mit klaren Rollen und Verantwortlichkeiten. Monate sieben bis neun: Implementierung, inklusive Tooling-Konsolidierung und Schulungen. Monate zehn bis zwölf: Erster Übungs-Zyklus und interne Audit-Vorbereitung für externe DORA- oder NIS2-Prüfungen.

Ein Punkt, der in diesem Rahmen nicht in die zweite Reihe gehört, ist die Verzahnung mit dem Vorstand selbst. Resilience ist eine Vorstandspflicht, nicht eine CIO-Agenda. Regelmäßige Übungen, die den Vorstand einbeziehen, zeigen in Aufsichtsprüfungen, dass das Top-Management seine Verantwortung lebt. Organisationen, die diese Übungen quartalsweise durchführen, reagieren in echten Incidents nachweislich besser. Die Vorbereitung ist Teil der Governance. Die Governance ist Teil der Führungsleistung.

Ein Hinweis, der in Vorstandsvorlagen zu wenig Platz bekommt: Die Resilience-Diskussion ist kein reines Compliance-Thema, auch wenn sie durch Regulierung getrieben wird. Ein Unternehmen mit einem belastbaren Resilience-Framework hat ein Wettbewerbsvorteil gegenüber Organisationen, die im Incident-Fall länger still stehen. In B2B-Märkten wird Resilience zunehmend in Lieferanten-Bewertungen abgefragt. Wer seine Continuity-Praxis transparent belegen kann, gewinnt Aufträge, die andere verlieren.

Die Investitionslogik im Mittelfristigen ist klar. Eine konsolidierte Resilience-Organisation spart nach zwei bis drei Jahren mehr Budget, als sie in der Einführung gekostet hat. Das zeigt sich in reduzierter Audit-Aufwand, weniger Doppel-Dokumentation, schnellerer Incident-Response. Für CFOs, die den Business Case skeptisch prüfen, ist diese Zeitachse wichtig. Die ersten zwölf Monate sind Investitionszeit, ab Monat achtzehn kippt das Kosten-Nutzen-Verhältnis zugunsten der konsolidierten Lösung. Vorausgesetzt, die Organisation lebt das System wirklich und lässt es nicht zu einem Karteileichen-Projekt werden.

Ein weiterer strategischer Punkt ist die Integration in die Lieferkette. Wer kritische Dienste von externen Anbietern bezieht, muss deren Resilience-Versprechen prüfen und dokumentieren. DORA und NIS2 verlangen das verbindlich. In der Praxis bedeutet das Vertrags-Audits, regelmäßige Review-Gespräche und im Zweifel die Bereitschaft, Anbieter zu wechseln, wenn sie die Resilience-Anforderungen nicht erfüllen. Organisationen, die diese Muskel-Bildung früh starten, haben im Ernstfall Alternativen statt Hoffnung. Das macht in Stress-Situationen den Unterschied zwischen kontrolliertem Umgang und hektischem Krisenmanagement. Dieser Unterschied liegt ohne Vorbereitung meist außer Reichweite.

Zum Schluss ein Punkt zur internen Kommunikation. Resilience wird oft als Security-Thema verstanden, weil beide Disziplinen nah beieinander liegen. Sie sind aber nicht identisch. Security schützt vor Angriffen, Resilience sichert die Wiederherstellung nach Störungen aller Art, einschließlich technischer Ausfälle, Lieferketten-Probleme und menschlicher Fehler. Wer diese Unterscheidung klar kommuniziert, bekommt andere Budget-Entscheidungen und andere Aufmerksamkeit aus dem Vorstand. Beide Bereiche gehören eng verzahnt, aber nicht verwechselt. Eine klare Sprache hilft im Vorstand mehr als jede technische Tiefe, weil sie die richtigen Fragen auslöst. Resilience ist am Ende eine Kulturfrage, die durch Sprache und Rituale geprägt wird, nicht durch Frameworks allein. Die besten Frameworks wirken nur, wenn eine Organisation sie tatsächlich lebt und nicht nur in Schubladen ablegt. Führungskräfte, die das verstehen, werden die Resilience-Debatte 2026 klar zu ihrem eigenen Vorteil nutzen, auch im Gespräch mit externen Aufsichtsgremien, die zunehmend auf gelebte Resilience pochen werden.

Häufige Fragen

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Sergei Starostin (px:6466141)