Compliance-Lexikon · Risiko
Impact Assessment
[ˈɪmpækt əˈsɛsmənt] · auch: Folgenabschätzung, Auswirkungsanalyse
Ein Impact Assessment ist die strukturierte Analyse der möglichen Auswirkungen eines Risikoereignisses -- quantifiziert nach Schadenshoehe, Betroffenenkreis und zeitlichem Verlauf -- als Grundlage für Risikopriorisierung und Massnahmenplanung.
Warum Impact Assessment ein zentraler Risikobegriff ist
Impact Assessment ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Impact Assessment nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Impact Assessment gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 | Risikobeurteilung: Bewertung der Auswirkungen als Pflichtbestandteil jeder Risikoanalyse. |
| DSGVO | Art. 35 | Datenschutz-Folgenabschätzung: Spezifische Impact-Assessment-Anforderung für hochriskante Datenverarbeitungen. |
| DORA | Art. 8 | IKT-Asset-Klassifizierung nach Kritikalitaet: Auswirkungsanalyse als Grundlage. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz erfordert strukturierte Auswirkungsanalyse als Grundlage der Massnahmenplanung. |
| ISO 22317 | vollständig | Business Impact Analysis: Internationaler Standard für strukturierte Auswirkungsanalysen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Impact Assessment ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Impact Assessment konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Impact Assessment in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Impact Assessment konkret prüfen und welche Evidence benötigt wird.