Resilienz ist längst zu einem zentralen Erfolgsfaktor für Organisationen geworden, die sich in einem zunehmend unsicheren und komplexen Umfeld behaupten müssen. Die RKE-Richtlinie über die Resilienz kritischer Einrichtungen bietet hierfür einen strukturierten Rahmen, der hilft, Resilienz nicht nur reaktiv, sondern strategisch und systematisch zu entwickeln.
Dennoch ist vielen der Hintergrund der RKE unbekannt, sodass es häufig pauschal als Oberbegriff für Risikomanagement, Business Continuity Management und Notfallmanagement verwendet wird. Daher gehen wir den Entwicklungen im Zeitverlauf auf die Spur.
Der Blick auf die historische Entwicklung zeigt, wie sich unterschiedliche Disziplinen mit dem Ziel der Absicherung und Stabilisierung von Organisationen herausgebildet haben – und warum daraus schließlich der Bedarf nach einem übergreifenden Ordnungsrahmen entstanden ist.
1950er-1960er Jahre – Ursprünge der Resilienz
Die Ursprünge des Resilienzdenkens lassen sich bis in die 1950er Jahre zurückverfolgen, als Großrechner erstmals in Unternehmen eingesetzt wurden. Diese frühen IT-Systeme waren hochgradig zentralisiert, teuer und geschäftskritisch. Ein Ausfall bedeutete nicht nur Produktivitätsverluste, sondern häufig den vollständigen Stillstand zentraler Funktionen.
Damals existierten weder BCM-Initiativen noch Notfallmanagement-Konzepte. Stattdessen entwickelten Organisationen technische Vorsorgemaßnahmen, um Systemausfälle bewältigen zu können. Dazu zählten unter anderem:
- redundante Datenspeicherung
- alternative Rechenstandorte
- definierte Wiederanlaufprozesse
Diese Maßnahmen gelten rückblickend als Vorläufer des heutigen Disaster Recovery und legten den Grundstein für die spätere Awareness zur Sicherung der Geschäftskontinuität. Der Fokus lag zu der Zeit nahezu ausschließlich auf der technischen Infrastruktur, nicht auf Geschäftsprozessen oder Organisation.
1970er-1980er – Vom IT-Schutz zur Sicherung kritischer Geschäftsprozesse
Mit zunehmender Abhängigkeit von IT-Systemen wurde deutlich, dass technische Wiederherstellung allein nicht ausreicht. In den 1970er und 1980er Jahren begann sich die Notfallplanung schrittweise von der reinen IT-Perspektive zu lösen und kritische Geschäftsprozesse in den Blick zu nehmen.
Großunternehmen – insbesondere aus der Finanzbranche in den USA und Großbritannien – spielten dabei eine Vorreiterrolle. Sie entwickelten erste Richtlinien und Handbücher.
1990er Jahre – Business Continuity Management als Managementdisziplin
In den 1990er Jahren setzte sich der Begriff Business Continuity Management zunehmend durch. Kontinuität wurde nicht länger als rein operatives oder technisches Thema verstanden, sondern als Managementaufgabe mit strategischer Relevanz.
Organisationen begannen, BCM systematisch zu verankern, unternehmensweite Programme aufzusetzen und interne Standards, Richtlinien sowie Governance-Strukturen zu entwickeln. Diese Standards waren jedoch überwiegend unternehmensspezifisch, branchengetrieben und national geprägt. Eine international einheitliche Normierung existierte zu diesem Zeitpunkt noch nicht.
2000-2010 -BCM und Risikomanagement rücken enger zusammen
Mit dem Beginn des neuen Jahrtausends rückten BCM, Informationssicherheit und Risikomanagement zunehmend enger zusammen. Globale Lieferketten, Digitalisierung und regulatorische Anforderungen führten zu einem ganzheitlicheren Risikoverständnis..
Zudem wurden zunehmend internationale Frameworks publiziert, die das BCM nachhaltig verändert haben:
- ISO/IEC 17799 / ISO/IEC 27001 (Informationssicherheit) Diese Normen definieren Anforderungen und Best Practices für den Aufbau, die Umsetzung und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Sie zielen darauf ab, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen und Risiken angemessen zu steuern.
- ISO 22301 (ab 2012: Standard für BCM) ISO 22301 legt Anforderungen an ein Business-Continuity-Management-System fest, um die Widerstandsfähigkeit von Organisationen gegenüber Störungen zu erhöhen. Der Standard unterstützt Unternehmen dabei, kritische Geschäftsprozesse zu identifizieren, Notfallpläne zu entwickeln und die Betriebsfähigkeit im Krisenfall sicherzustellen.
- ISO 31000 (Risikomanagement-Grundlage) ISO 31000 stellt einen übergreifenden Rahmen und Grundsätze für ein wirksames Risikomanagement bereit. Sie unterstützt Organisationen dabei, Risiken systematisch zu identifizieren, zu analysieren, zu bewerten und zu behandeln – als Basis für strategische und operative Entscheidungen.
- ITIL (IT Service Continuity Management) ITIL definiert IT Service Continuity Management (ITSCM) als Bestandteil des IT-Service-Managements mit dem Ziel, die Kontinuität kritischer IT-Services sicherzustellen. ITSCM stellt sicher, dass IT-Wiederanlauf- und Notfallpläne mit den Anforderungen des Business Continuity Managements abgestimmt sind.
2010-2020 – Enterprise Risk Management
In den 2010er Jahren gewann Enterprise Risk Management (ERM) weiter an Bedeutung. Die Zunahme komplexer Risiken, wie Cyberbedrohungen und Abhängigkeiten in globalen Lieferketten, sowie die zunehmenden regulatorischen Anforderungen führten dazu, dass Risikomanagement, Business Continuity Management und Informationssicherheit stärker in die Corporate Governance integriert wurden.
BCM wurde nicht mehr isoliert betrachtet, sondern als Teil eines ganzheitlichen Steuerungssystems, das Risiken identifiziert, bewertet und steuert – sowohl präventiv als auch reaktiv.
Gleichzeitig traten jedoch wiederkehrende strukturelle Schwächen auf:
- parallel existierende Managementsysteme mit unterschiedlichen Begrifflichkeiten
- unklare Verantwortlichkeiten zwischen Linien-, Stabs- und Krisenfunktionen
- starker Fokus auf Compliance statt auf tatsächliche organisatorische Anpassungsfähigkeit
- begrenzte Transparenz über Abhängigkeiten zwischen Prozessen, Ressourcen und Dienstleistungen
2020er Jahre bis heute – Integriertes Resilienzmanagement
Jüngste Krisen wie die COVID-19-Pandemie, Energie- und Lieferkettenkrisen sowie geopolitische Spannungen haben die Grenzen klassischer Einzelansätze deutlich gemacht. Organisationen benötigen heute ein integriertes Resilienzmanagement, das über reine Notfall- oder Risikoaspekte hinausgeht.
Vor diesem Hintergrund wurde das Resilienz-Kern-Elemente-Modell (RKE) als bewusst entwickelter Ordnungs- und Integrationsrahmen konzipiert. Ausgangspunkt war nicht die Einführung eines weiteren Standards, sondern die zentrale Frage:
Welche grundlegenden Fähigkeiten muss eine Organisation besitzen, um auch unter Krisen handlungsfähig zu bleiben?
Das RKE bündelt etablierte Disziplinen wie:
- Risikomanagement
- Business Continuity Management
- Krisen- und Notfallmanagement
- IT-Service-Continuity
- Informationssicherheit
- zunehmend auch Nachhaltigkeit und digitale Resilienz
Ziel des RKE ist es nicht, diese Disziplinen zu ersetzen, sondern sie entlang gemeinsamer Kern-Elemente systematisch zu verbinden, Abhängigkeiten transparent zu machen und Resilienz als strategische Organisationsfähigkeit zu etablieren.
Wichtig ist dabei die klare Abgrenzung: Das RKE-Modell ist weder ein zusätzlicher Managementstandard noch ein operatives Notfallkonzept. Es fungiert vielmehr als übergeordneter Rahmen, der bestehende Systeme strukturiert, priorisiert und in einen gemeinsamen Resilienzzusammenhang stellt.
Fazit – Entstehung der RKE-Richtlinie
Die Entwicklung von der technischen Notfallvorsorge über Business Continuity Management und Risikomanagement bis hin zu integrierten Resilienzansätzen zeigt klar: Resilienz entsteht nicht durch Einzelmaßnahmen, sondern durch das koordinierte Zusammenwirken mehrerer Disziplinen. Mit wachsender Komplexität und Krisendichte wurde der Bedarf nach einem übergreifenden Ordnungsrahmen zunehmend evident.
Die RKE-Richtlinie greift diesen Bedarf auf und schafft erstmals einen europäischen Rechtsrahmen zur systematischen Stärkung organisationaler Resilienz. Sie trat am 16. Januar 2023 auf EU-Ebene in Kraft und verankert Resilienz als Governance-relevante Anforderung.
Das Resilienz-Kern-Elemente-Modell dient dabei als konzeptioneller Bezugsrahmen, der die Zielsetzungen der Richtlinie strukturiert und operationalisierbar macht. Es verbindet bestehende Managementdisziplinen entlang gemeinsamer Kern-Elemente, ohne diese zu ersetzen.
In Österreich wird die Richtlinie seit dem 1. März 2026 durch das Resilienz-kritischer-Einrichtungen-Gesetz (RKEG) umgesetzt – und Resilienz damit erstmals verbindlich in organisatorische Praxis überführt.
