Compliance-Lexikon · Risiko
Cyber Risk
[ˈsaɪbə rɪsk] · auch: IT-Risiko, digitales Risiko, Cyberrisiko
Cyber Risk bezeichnet die Gesamtheit der Risiken aus dem Einsatz, Betrieb und der Abhängigkeit von Informations- und Kommunikationstechnologie -- einschliesslich Datenpannen, Ransomware, Systemausfälle, Betrug und regulatorische Sanktionen aus IT-Versagen.
Warum Cyber Risk ein zentraler Risikobegriff ist
Cyber Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Cyber Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Cyber Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | vollständig | ISO 27001 als Gesamtrahmen für das Management von Cyber Risk. |
| NIS-2 / BSIG | § 30 | Cyber Risk als Kerngegenstand der NIS-2-Anforderungen. |
| DORA | Art. 6-16 | IKT-Risikomanagement als strukturierter Rahmen für Cyber Risk im Finanzsektor. |
| BSI IT-Grundschutz | vollständig | BSI IT-Grundschutz als nationaler Rahmen für Cyber Risk Management. |
| Cyber-Versicherungsmarkt | vollständig | Cyber-Versicherungen bewerten Cyber Risk als versicherbares Risiko mit messbaren Risikoparametern. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Cyber Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Cyber Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Cyber Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Cyber Risk konkret prüfen und welche Evidence benötigt wird.