Residual Risk

Warum Residual Risk wichtig ist

Kein Kontrollsystem eliminiert alle Risiken vollständig. Residual Risk muss bewusst akzeptiert, dokumentiert und von der zuständigen Führungsebene genehmigt werden. Undokumentiertes Residual Risk ist ein Audit-Finding.

Wo Residual Risk gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 6.1.2, 8.3	Risikobeurteilung: Das Residual Risk nach Risikobehandlung muss bewertet und durch Risikoinhaber akzeptiert werden.
NIS-2 / BSIG	§ 30	Verhältnismäßigkeitsprinzip: Maßnahmen müssen verhältnismäßig zum Risiko sein – implizite Residual-Risk-Akzeptanz.
DORA	Art. 6 Abs. 5	Restrisiken nach IKT-Risikobehandlung müssen dokumentiert und dem Leitungsorgan berichtet werden.

BAM-Objektreferenz

Häufige Audit-Fehler

• Residual Risk nicht dokumentiert
• Keine formale Akzeptanzentscheidung durch Risikoinhaber
• Residual Risk nicht periodisch überprüft
• Residual Risk mit inhärentem Risiko verwechselt

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe