Compliance-Lexikon · Risiko
Risk Treatment
[rɪsk ˈtriːtmənt] · auch: Risikobehandlung, Risikomaßnahmen
Risk Treatment bezeichnet die Auswahl und Umsetzung von Maßnahmen zur Veränderung eines identifizierten Risikos – durch Reduzierung der Eintrittswahrscheinlichkeit oder des Schadensausmaßes, durch Übertragung auf Dritte, durch Akzeptanz oder durch Vermeidung der risikoauslösenden Aktivität.
Warum Risk Treatment der entscheidende Schritt ist
Ein Risk Assessment ohne Risk Treatment ist wertlos: Die Identifikation von Risiken schafft keine Sicherheit. Erst die dokumentierte Entscheidung, wie mit jedem Risiko umgegangen wird, macht das Risikomanagementsystem vollständig und auditfähig.
Wo Risk Treatment gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.3 | Risikobehandlungsoptionen auswählen, Controls aus Annex A ableiten und Statement of Applicability erstellen. |
| ISO 27005:2022 | Kap. 9 | Vier Behandlungsoptionen: Modifikation, Akzeptanz, Transfer, Vermeidung. |
| NIS-2 / BSIG | § 30 | Geeignete Maßnahmen zur Behandlung identifizierter Risiken sind verpflichtend umzusetzen und zu dokumentieren. |
| DORA | Art. 7 | IKT-Risiken müssen behandelt und die Maßnahmen in einem Risk Treatment Framework dokumentiert sein. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Behandlungsoptionen nicht für alle Risiken dokumentiert
- Akzeptierte Risiken nicht formal genehmigt
- Risk Treatment Plan ohne Verantwortliche und Zieldaten
- Statement of Applicability nicht mit Risk Treatment verknüpft
Die vier Behandlungsoptionen
Modifikation (Reduzierung): Das Risiko wird durch technische oder organisatorische Kontrollen verringert – die häufigste Option. Akzeptanz: Das Risiko wird bewusst und dokumentiert akzeptiert, weil es unterhalb der Risikoakzeptanzgrenze liegt oder die Behandlungskosten den Nutzen übersteigen. Transfer: Das Risiko wird auf Dritte übertragen, z.B. durch Versicherung oder vertragliche Regelungen. Vermeidung: Die risikoauslösende Aktivität wird eingestellt.
Risk Treatment Plan: Mindeststruktur
Ein auditrelevanter Risk Treatment Plan enthält für jedes Risiko: gewählte Behandlungsoption, konkrete Maßnahmen bei Modifikation, Verantwortlichen, Zieldatum, Status und Verknüpfung mit dem zugehörigen ISO-27001-Control aus Annex A. Diese Struktur kann in einem Excel-Sheet oder einem dedizierten GRC-Tool umgesetzt werden.
Nächste Ebene
Risk Treatment Plan erstellen: Optionen, SoA und Dokumentation
Wie ein ISO-27001-konformer Risk Treatment Plan aufgebaut wird und was Auditoren prüfen.