Compliance-Lexikon · Risiko
Systemic Risk
[sɪˈstemɪk rɪsk] · auch: systemisches Risiko, Ansteckungsrisiko, Sektorrisiko
Systemisches Risiko bezeichnet das Risiko, dass ein Ereignis bei einer einzelnen Organisation oder einem Dienstleister kaskadierende Auswirkungen auf andere Organisationen, Branchen oder die gesamte Wirtschaft hat -- besonders relevant bei kritischer Infrastruktur, Finanzsektor und konzentrierten IKT-Abhaengigkeiten.
Warum Systemic Risk ein zentraler Risikobegriff ist
Systemic Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Systemic Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Systemic Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 28-31 | Kritische IKT-Drittanbieter: Systemisches Risiko als Grund für das DORA-Drittparteienregime. |
| NIS-2 / BSIG | § 28 | Kritische Anlagen: Systemisches Risiko als Abgrenzungsmerkmal für KRITIS-Qualifikation. |
| ESRB | vollständig | Europäischer Ausschuss für Systemrisiken: Systemisches Risiko als Kernmandat. |
| FSAP / IWF | vollständig | Financial Sector Assessment Program: Systemisches Risiko als Bewertungsgegenstand. |
| ISO 31000 | Kap. 6.4 | Systemisches Risiko als besondere Risikokategorie mit sektorweiten Auswirkungen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Systemic Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Systemic Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Systemic Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Systemic Risk konkret prüfen und welche Evidence benötigt wird.