Eine neue Studie von emergenCITY-Forschern warnt: Eines der wichtigsten Konzepte im europäischen IT-Sicherheitsrecht wird inkonsistent verwendet — und droht zum inhaltsleeren Schlagwort zu werden.
„Resilienz” ist womöglich das meistgenutzteund am wenigsten definierte Wort im europäischen Cybersicherheitsdiskurs. Einst ein Konzept aus Ökologie und Materialwissenschaft, wurde der Begriff Resilienz seither in politischen Reden, EU-Verordnungen und nationale Strategien so weit gedehnt, dass seine Bedeutung kaum noch greifbar ist. Eine neue rechtswissenschaftliche Studie von den emergenCITY-Forschern Gerrit Hornung und Lars Pfeiffer stellt nun die Frage: Wenn niemand einig ist, was Resilienz bedeutet — wie kann sie dann das Fundament des europäischen digitalen Sicherheitsrahmens sein?
Am 9. Januar 2026 erschien in der Zeitschrift für das Recht der digitalen Wirtschaft (ZfDR) der Artikel “Resilienz als Ergänzung von IT-Sicherheit. Zum semantischen und normativen Mehrwert des Resilienzkonzepts im IT-Recht” von Prof. Dr. Gerrit Hornung, Leiter des Fachgebiets Öffentliches Recht, IT-Recht und Umweltrecht an der Universität Kassel, Lars Pfeiffer und Paul Zurawski.Die Juristen von der Universität Kassel legen hier eine grundlegende Inkonsistenz des Resilienzbegriffs im EU-IT-Sicherheitsrecht offen. Auf Basis einer systematischen Analyse von über 30 EU-Rechtsakten, deutschen Cybersicherheitsstrategien und Lageberichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) seit 2005 zeigen die Autoren: Vor 2016 war „Resilienz” in deutschsprachigen Dokumenten kaum präsent — im BSI-Lagebericht 2024 erscheint der Begriff bereits über 80 Mal. Doch dieser Bedeutungszuwachs ging nicht mit einer Schärfung des Begriffseinher. In elf untersuchten EU-Rechtsakten wurde das englische „resilience” auf mindestens sechs verschiedene Arten ins Deutsche übersetzt — darunter Widerstandsfähigkeit, Abwehrfähigkeit und Robustheit —, während französische Fassungen durchgängig das Wort résilience verwenden. Auch die drei zentralen EU-Verordnungen — die CER-Richtlinie, DORA und der Cyberresilienz-Act — definieren den Begriff jeweils unterschiedlich oder gar nicht.
Da Deutschland die CER-Richtlinie noch in nationales Recht umsetzen muss, ist diese begriffliche Unordnung keine rein akademische Frage. Sie schafft Rechtsunsicherheit für Organisationen, die sektorübergreifend tätig sind und nicht wissen können, ob verschiedene Regelwerke tatsächlich dieselben Anforderungen an sie stellen.
Die Autoren schlagen für ein umfassendes Resilienzverständnis, das weit über bloße Widerstandsfähigkeit hinausgeht: nicht nur in einen Normalzustand „zurückspringen” nach einer Krise (bouncing back), sondern „vorwärtsspringen” — das bedeutet zu lernen, sich anzupassen und gestärkt aus einer Krise hervorzugehen (bouncing forward). Genau dieses Verständnis von Resilienz liegt auch der Forschung von emergenCITY zugrunde — und die Autoren fordern den europäischen sowie deutschen Gesetzgeber auf, es als verbindlichen Einheitsstandard im gesamten EU-IT-Sicherheitsrecht zu verankern.
Resilienz als Ergänzung von IT-Sicherheit. Zum semantischen und normativen Mehrwert des Resilienzkonzepts im IT-Recht
Von Prof. Dr. Gerrit Hornung, Lars Pfeiffer und Paul Zurawski. In: ZfDR 2026, 75.
Für weitere Informationen und Zugang zum vollständigen Artikel:
