Gemeinsame Risiken. Gemeinsame Antwort.
Resilienz ist heute keine Aufgabe mehr, die öffentliche Organisationen isoliert bewältigen können. Sie entsteht durch gemeinsames Handeln, gemeinsame Governance und koordinierte Umsetzung.
Diese Entwicklung spiegelt sich in europäischen Regulierungen wie der Critical Entities Resilience Directive (CER) und NIS2 (Network and Information Security 2) wider. Der Fokus hat sich vom Schutz einzelner Assets hin zur systemübergreifenden Risikosteuerung verlagert. Kritische Einrichtungen müssen in der Lage sein, Störungen zu antizipieren, ihre Auswirkungen abzufedern und sich rasch zu erholen, auch wenn diese sektor-, grenz- oder lieferkettenübergreifend auftreten. Für den öffentlichen Sektor wird Resilienz damit nicht nur zur regulatorischen Verpflichtung, sondern zur zentralen Koordinations- und Transformationsaufgabe. Öffentliche Institutionen müssen sicherstellen, dass Ministerien, Betreiber und Lieferanten als ein vernetztes System handeln und reagieren können.
Genau dieser Wandel prägt heute die Resilienzdiskussion im öffentlichen Sektor. Viele Institutionen haben ihre Business Continuity-Konzepte, Cybersecurity-Massnahmen und Krisenprotokolle bereits gestärkt. Die Risiken mit der grössten gesellschaftlichen Tragweite bleiben jedoch selten innerhalb einer einzelnen Organisation. Sie breiten sich entlang von Abhängigkeiten, Lieferketten, Datenökosystemen und gemeinsam genutzten Services aus. Daraus ergibt sich für Führungskräfte eine zentrale strategische Herausforderung: den Übergang von isolierter Vorbereitung zu koordinierter Reaktionsfähigkeit zu gestalten. Wenn Störungen organisatorische Grenzen überschreiten, müssen Bürgerinnen und Bürger weiterhin auf öffentliche Dienstleistungen vertrauen können, die auch in Krisensituationen handlungsfähig bleiben, kritische Funktionen schützen und essenzielle Leistungen aufrechterhalten.
Für Belle Webster, Associate Partner Public Safety & Security bei Eraneos, zeigt sich dies exemplarisch an der EU-Strategie für eine krisenfeste Union (EU Preparedness Union Strategy) mit ihrem Ziel einer 72-stündigen Selbstversorgungsfähigkeit der Bevölkerung. Mehrere EU-Mitgliedstaaten haben entsprechende Präventionskampagnen lanciert. Die Niederlande sind noch einen Schritt weitergegangen, indem sie eine seit langem bestehende Kampagne gemeinsam mit dem Wirtschaftsministerium und dem wichtigsten niederländischen Arbeitgeberverband VNO-NCW auf Unternehmen ausgeweitet haben.
Für Führungskräfte im öffentlichen Sektor verdeutlicht dies eine oft unterschätzte operative Realität: Wenn KMU, die Software, Logistik oder infrastrukturelle Dienstleistungen bereitstellen, nicht ausreichend vorbereitet sind, entstehen Lücken im Kontinuitätsplan. Keine Regulierung allein kann diese Lücken schliessen. Und Bürgerinnen und Bürger können dadurch nicht vollständig vor den Folgen geschützt werden.
Das alte Governance-Verständnis fragt: Sind wir resilient? Das neue fragt: Sind wir gemeinsam resilient? Diese Frage ist deutlich anspruchsvoller und verlangt von öffentlichen wie privaten Institutionen neue Formen der Zusammenarbeit
Das bisherige Modell reicht nicht mehr aus
Organisationen des öffentlichen Sektors haben über Jahre ihre Business Continuity-Pläne, Incident Response-Prozesse und Cybersecurity-Kontrollen ausgebaut. Diese Investitionen bleiben wichtig. Die grössten Risiken entstehen nach Ansicht von Belle Webster heute jedoch zunehmend an den Schnittstellen zwischen Organisationen, wo keine einzelne Institution vollständige Transparenz oder Kontrolle besitzt. Der CrowdStrike-Ausfall im Jahr 2024 hat eindrücklich gezeigt, wie schnell Störungen Luftfahrt, Spitäler, Finanzinstitute und Rettungsdienste gleichzeitig beeinträchtigen können. Der Stromausfall auf der Iberischen Halbinsel im April 2025 verdeutlichte dieselbe Erkenntnis: Resilienzversagen bleibt selten auf ein einzelnes technisches System oder einen einzelnen Verantwortungsbereich beschränkt.
Entsprechend verändert sich die strategische Diskussion auf Führungsebene. Statt ausschliesslich über Compliance, Reporting-Strukturen oder interne Verantwortlichkeiten zu sprechen, rücken neue Fragestellungen in den Vordergrund: Von welchen Partnern sind wir abhängig, ohne direkte Kontrolle über sie zu haben? Welche Auswirkungen hätte der Ausfall eines angrenzenden Sektors auf öffentliche Dienstleistungen? Wer entscheidet, wenn eine Krise die Grenzen der eigenen Organisation überschreitet?
Diese Fragen lassen sich nicht innerhalb eines einzelnen Unternehmens beantworten. Sie erfordern ein neues Governance-Verständnis und neue Formen sektorübergreifender Zusammenarbeit.
Governance vor Technologie
Die grösste Schwachstelle liegt nicht in einem Mangel an Instrumenten. Die meisten Organisationen verfügen über etablierte Prozesse zur Bewältigung interner Vorfälle. Die eigentliche Herausforderung besteht in gemeinsamer Reaktionsfähigkeit und koordinierter Entscheidungsfindung. In der Praxis sind Ministerien, Regulierungsbehörden und Betreiber kritischer Infrastrukturen daran gewöhnt, Resilienz innerhalb ihrer jeweiligen Zuständigkeitsbereiche zu betrachten. Tatsächlich verlaufen Störungen jedoch sektorübergreifend. Eine Hafenbehörde eskaliert einen Vorfall vielleicht auf einem Weg, die Energiebranche auf einem anderen. Das Gesundheitswesen folgt seinen eigenen Kontinuitätsplänen. Doch ein schwerwiegender Vorfall in einem Hafen könnte sich nahezu unmittelbar auf Logistik, Benzinverteilung, Zollabfertigungsprozesse und die Versorgung von Krankenhäusern auswirken.
«Für den öffentlichen Sektor bedeutet dies, über sektorspezifische Krisenpläne hinauszugehen und eine aktiv koordinierende Rolle wahrzunehmen. Ziel muss sein, dass Ministerien, Betreiber und Lieferanten als ein gemeinsames System reagieren können.»
CER und NIS2 verlangen zwar die Berücksichtigung von Abhängigkeiten. Sie schaffen jedoch nicht automatisch eine gemeinsame Agenda, die diese Abhängigkeiten abbildet und steuert.
Deshalb braucht es laut Webster klarere Mandate für öffentliche Organisationen, sektorübergreifende Übungen unter Einbezug privater Akteure sowie Entscheidungsstrukturen, die vor Eintreten einer Krise verbindlich vereinbart werden.
Lieferketten als unterschätztes Systemrisiko
Ein weiterer strategischer blinder Fleck liegt für Belle Webster in der Transparenz von Lieferketten und Abhängigkeiten.
Viele Organisationen kennen ihre direkten Lieferanten gut. Deutlich weniger verfügen über eine belastbare Sicht auf Abhängigkeiten zweiter und dritter Ordnung. Gerade bei Softwareanbietern, Cloud-Plattformen, Telekommunikationsunternehmen, Logistiknetzwerken und ausgelagerten Dienstleistern kann dies erhebliche Auswirkungen auf die Resilienz kritischer öffentlicher Services haben. Eine Störung kann durch einen Lieferanten verursacht werden, der im Risikoregister der ersten Ebene gar nicht erfasst ist. Sobald die Abhängigkeit erkannt wird, haben sich ihre Auswirkungen auf die Öffentlichkeit möglicherweise bereits ausgebreitet.
Kaskadeneffekte müssen antizipiert, Koordinationsmechanismen im Voraus definiert und Reaktionen von Beginn an gemeinsam organisiert werden. Genau dieser Wandel im Governance-Verständnis steht derzeit im Fokus unserer Arbeit.
Digitale Souveränität ist mehr als Datenstandort
KI erweitert die Resilienz-Herausforderung um eine zusätzliche strategische Dimension.
Belle Webster ist der Auffassung, dass öffentliche Organisationen digitale Souveränität nicht ausschliesslich über den Speicherort von Daten definieren dürfen. Ebenso relevant ist die Frage, auf welche KI-Modelle sie angewiesen sind, wer diese kontrolliert und welcher Rechtsordnung sie unterliegen. Viele Organisationen verfügen mittlerweile über ein gutes Verständnis ihrer Datenabhängigkeiten. Der nächste Schritt besteht darin zu prüfen, ob sie die KI-Modelle, von denen sie operativ abhängig sind, ebenso detailliert verstehen. Wenn ein KI-Modell eine kritische öffentliche Entscheidung beeinflusst, kann jede Änderung am Modell zu einem direkten operativen Risiko werden.
Wenn eine kritische Entscheidung bei der Erbringung öffentlicher Dienstleistungen von einem Modell beeinflusst wird, dessen Verhalten von einem Anbieter ausserhalb des europäischen Rechtsraums geändert werden kann, wird Souveränität zu einer Frage der operativen Kontrolle und nicht nur des Datenstandorts.
Gemeinsame Entscheidungsfähigkeit gezielt aufbauen
Belle Webster ist überzeugt, dass öffentliche Organisationen den Schritt von organisatorischer zu systemischer Resilienz vollziehen müssen. Dazu gehört, sektorübergreifende Abhängigkeiten systematisch zu erfassen, gemeinsame Governance-Strukturen aufzubauen und diese regelmässig anhand realistischer Szenarien zu testen. Die zentrale Frage lautet: Wer entscheidet, wenn Störungen organisatorische Grenzen überschreiten? In fünf Jahren sollte diese Frage nicht mehr diskutiert werden müssen, sondern bereits geklärt und eingeübt sein. Sie sollte nicht erst während einer Störung in der Grössenordnung des Ausfalls auf der Iberischen Halbinsel mit zusätzlicher Cyber-Dimension ausgehandelt werden.
Gleichzeitig erfordert dies einen praxisnäheren Umgang mit Resilienz als transformativem Gestaltungsauftrag. NIS2, CER, DORA und Anforderungen an digitale Souveränität können nicht länger als voneinander getrennte Compliance-Initiativen betrachtet werden, wenn die tatsächlichen Risiken über Sektoren, Lieferketten, Datenökosysteme und Operating Models hinweg verlaufen. Öffentliche Institutionen müssen verstehen, wo diese Anforderungen in der täglichen Entscheidungsfindung zusammenlaufen: Wer verfügt über die notwendigen Informationen? Wer besitzt die Entscheidungskompetenz? Welche Abhängigkeiten bestimmen die Reaktionsfähigkeit? Und wie sorgen Führungskräfte in einer dynamischen Situation für ein gemeinsames Lagebild?
Instrumente wie der Digital Operational Resilience Act (DORA), der spezifisch auf den Finanzsektor zugeschnitten wurde, zeigen, wie sektorspezifische Regulierung umfassendere Resilienzrahmen sinnvoll ergänzen kann. Die grössere strategische Herausforderung bleibt jedoch die Verbindung zwischen den Sektoren und die Fähigkeit, Resilienz als gemeinsames, skalierbares System zu gestalten.