Risk Register

Warum Risk Register wichtig ist

Das Risk Register ist das zentrale Steuerungsinstrument des Risikomanagements. Es macht Risiken sichtbar, vergleichbar und verfolgbar – und ist die Grundlage für Risikobehandlungsentscheidungen, Ressourcenallokation und Audit-Nachweise.

Wo Risk Register gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 6.1.2, 8.2	Informationssicherheits-Risikobeurteilung: Ein aktuelles Risk Register ist Pflicht.
NIS-2 / BSIG	§ 30 Abs. 2a	Risikoanalyse und -bewertung erfordern ein dokumentiertes Risikoregister.
DORA	Art. 6 Abs. 5	IKT-Risikoregister mit vollständigen Risikoinformationen und Behandlungsstatus.
DSGVO	Art. 35	Datenschutz-Folgenabschätzung setzt ein vollständiges Risikoregister für personenbezogene Daten voraus.

BAM-Objektreferenz

Häufige Audit-Fehler

• Risk Register einmalig erstellt, nie aktualisiert
• Keine definierten Risikoinhaber
• Behandlungsstatus nicht nachverfolgt
• Risk Register nicht mit Controls verknüpft

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe