Risikoregister - Risk Register
dokumentierte Übersicht bewerteter Risiken und Behandlungsmaßnahmen
Was bedeutet Risikoregister?
Ein Risikoregister ist die dokumentierte Übersicht aller identifizierten Risiken einer Organisation, ihrer Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe sowie der beschlossenen Behandlungsmaßnahmen.
Ein Risikoregister (Risk Register) ist das zentrale Steuerungsdokument der Risikobewertung und -behandlung in einem Informationssicherheits-Managementsystem (ISMS). Für jedes identifizierte Risiko hält es fest: die betroffenen Werte (Assets), die zugrunde liegende Bedrohung und Schwachstelle, eine Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe (meist mittels Risikomatrix), die gewählte Behandlungsoption sowie einen namentlich Verantwortlichen und eine Umsetzungsfrist. ISO/IEC 27001:2022 verlangt in Kap. 6.1.2 die systematische Risikobewertung und in Kap. 6.1.3 die Risikobehandlung - das Risikoregister ist der praktische Nachweis, dass beides tatsächlich stattgefunden hat, nicht nur behauptet wird.
Pflichtinhalte nach ISO/IEC 27001:2022
Kap. 6.1.2 verlangt konsistente, vergleichbare und reproduzierbare Bewertungskriterien sowie festgelegte Risikoakzeptanzkriterien - ab welchem Wert ein Risiko ohne weitere Maßnahmen getragen werden darf. Kap. 6.1.3 verlangt für jedes zu behandelnde Risiko eine von vier Optionen: vermindern (Maßnahmen umsetzen), vermeiden (Tätigkeit einstellen), verlagern (z. B. versichern oder auslagern) oder akzeptieren (bewusst tragen, bei kritischen Risiken mit dokumentierter Freigabe). Jede daraus abgeleitete Maßnahme muss sich einem Control aus Anhang A zuordnen oder dessen Nicht-Anwendung begründen lassen - das verbindet das Risikoregister direkt mit dem Statement of Applicability.
Bewertungsmethodik: die Risikomatrix
Die gängigste Bewertungsmethode ist eine Risikomatrix, die Eintrittswahrscheinlichkeit und Schadenshöhe auf je einer Skala (häufig 4x4 oder 5x5) einstuft und multipliziert. Wichtig ist die Unterscheidung zwischen Bruttorisiko (Bewertung vor Maßnahmen) und Restrisiko (Bewertung nach Umsetzung der Behandlung) - erst der Vergleich beider Werte zeigt, ob eine Maßnahme das Risiko tatsächlich in einen akzeptablen Bereich senkt.
Risikoregister, TARA und SoA im Zusammenspiel
Eine TARA (Threat Analysis and Risk Assessment) ist der Prozess, der das Risikoregister als Ergebnis liefert - die Methodik zur Identifikation und Bewertung. Das Statement of Applicability (SoA) wiederum greift die Behandlungsentscheidungen aus dem Risikoregister auf: Jeder als „vermindern" eingestufte Punkt braucht einen zugehörigen, als anwendbar markierten Control in Anhang A. Ohne aktuelles Risikoregister lässt sich ein SoA daher nicht seriös begründen - beide Dokumente werden in der Praxis gemeinsam gepflegt.
Praxis-Tool
Führe dein eigenes Risikoregister nach ISO 27001 - kostenlos, lokal im Browser
Zum Risikoregister →Auch bekannt als
Risk Register · Risikoinventar · Risikoliste
Teil des Themenbereichs: Compliance & Regulierung
Verwandte Begriffe
Quellen
- ISO/IEC 27001:2022 - Offizielle Normseite
- Richtlinie (EU) 2022/2555 (NIS-2), Art. 21 Abs. 2 lit. a
- BSI - Informationssicherheits-Managementsysteme
Zuletzt aktualisiert: 2026-07-02