Operational Resilience klingt wie ein großes Programm. In der Praxis entscheidet sich aber sehr vieles an einer erstaunlich einfachen Frage: Wie schnell wird aus einem technischen Problem eine klare Entscheidung – und wie schnell wird aus dieser Entscheidung ein koordinierter Ablauf? Genau an dieser Stelle sind Incident-Prozesse in vielen Organisationen zu langsam. Nicht, weil Menschen nicht reagieren. Sondern weil sie im entscheidenden Moment zu viel klären müssen, was eigentlich längst geklärt sein sollte.

Wenn DORA ernst genommen wird, verschiebt sich der Blick vom „Incident als IT-Aufgabe“ hin zu „Incident als Betriebsfähigkeit“. Das ist kein kosmetischer Unterschied. Ein IT-Team kann einen Fehler beheben und trotzdem kann das Unternehmen als Ganzes langsam sein: weil Auswirkung und Priorisierung unklar bleiben, weil Kommunikation zögert, weil Dienstleister nicht sauber eingebunden werden, weil Freigaben fehlen oder weil das Thema Wiederherstellung erst dann strukturiert wird, wenn bereits wertvolle Zeit verloren ist. In Audits zeigt sich das häufig in einem typischen Muster: Prozesse sind beschrieben, Tickets existieren, aber die End-to-end-Kette ist brüchig. Und wenn die Kette brüchig ist, wird Geschwindigkeit zur Glückssache.

NIS2 bringt viele Organisationen in eine vertraute Komfortzone: Anforderungen lesen, Maßnahmen ableiten, Dokumente erstellen, Checklisten abhaken. Das fühlt sich nach Fortschritt an – und ein Teil davon ist auch wirklich notwendig. Trotzdem gibt es ein Problem, das in der Praxis häufig erst dann sichtbar wird, wenn es ernst wird: „Compliant“ heißt nicht automatisch „resilient“.

Compliance beantwortet primär die Frage: „Haben wir Anforderungen umgesetzt?“ Resilienz beantwortet eine andere Frage: „Können wir Störungen aushalten, schnell reagieren und den Betrieb stabil wiederherstellen – und zwar unter Stress, mit echten Abhängigkeiten und begrenzten Ressourcen?“ Zwischen beiden liegt eine Lücke, die Sie nicht mit noch mehr Papier schließen, sondern nur mit funktionierenden Abläufen.