Brain-Media.de/Compliance-Lexikon/Risk Appetite
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Risiko

Risk Appetite

[rɪsk ˈæpɪtaɪt] · auch: Risikobereitschaft, Risikotoleranz

Risk Appetite bezeichnet das Ausmaß an Risiko, das eine Organisation bereit ist, in Bezug auf ihre Ziele einzugehen – definiert und genehmigt durch die oberste Führungsebene als strategische Leitlinie für alle nachgelagerten Risikoentscheidungen.

Warum Risk Appetite wichtig ist

Ohne definierten Risk Appetite sind alle Risikoentscheidungen subjektiv und inkonsistent. Der Risk Appetite ist der strategische Rahmen, innerhalb dessen Risiken akzeptiert, reduziert oder übertragen werden.

Wo Risk Appetite gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 6.1.2Risikobeurteilungskriterien: Organisationen müssen Kriterien für akzeptable Risikoniveaus definieren.
NIS-2 / BSIG§ 38Geschäftsleitung ist verantwortlich für die Festlegung von Risikobereitschaft und Sicherheitsstrategie.
DORAArt. 6 Abs. 8IKT-Risikobereitschaft muss durch das Leitungsorgan festgelegt und dokumentiert werden.

BAM-Objektreferenz

BAM-Objekt CROSS-RA-01
BeschreibungRisk-Appetite-Objekt mit Schwellenwertdefinition, Board-Genehmigung und Überprüfungsplan
GitHubBAM Core →

Häufige Audit-Fehler

  • Risk Appetite nie formal definiert
  • Risk Appetite nicht an Unternehmenszielen ausgerichtet
  • Risk Appetite nicht vom Board genehmigt
  • Risk Appetite als IT-Entscheidung statt Geschäftsentscheidung behandelt

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Risk Appetite definieren: Formale Anforderungen für NIS-2 und ISO 27001

Wie Risk Appetite als konkretes Dokument vom Board genehmigt und in Risikoentscheidungen eingebettet wird.

Verwandte Begriffe

Residual RiskRisk RegisterGovernance

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper