Lexikon · Risikomanagement
Brutto- und Nettorisiko
Das Bruttorisiko ist das Risiko ohne Schutzmaßnahmen, das Nettorisiko das verbleibende Restrisiko, nachdem die umgesetzten Controls wirken.
Ausführliche Erklärung
Die Unterscheidung macht die Wirkung der Maßnahmen sichtbar: Ein hohes Bruttorisiko, das durch wirksame Controls auf ein niedriges Nettorisiko sinkt, belegt den Nutzen der Sicherheitsmaßnahmen.
Das Nettorisiko ist die Grundlage für die Entscheidung, ob ein Risiko akzeptiert werden kann oder weitere Maßnahmen nötig sind.
Verwandte Begriffe
Risikobehandlung
Die Risikobehandlung legt fest, wie mit einem bewerteten Risiko umgegangen wird: vermindern, vermeiden, übertragen (z.B. versichern) oder bewusst akzeptieren.
Risikoakzeptanz
Risikoakzeptanz bedeutet, ein verbleibendes Restrisiko bewusst und dokumentiert hinzunehmen, weil es unterhalb der festgelegten Akzeptanzschwelle liegt oder eine weitere Behandlung unverhältnismäßig wäre.
Risiko
Ein Risiko in der Informationssicherheit ist die Kombination aus der Eintrittswahrscheinlichkeit eines Ereignisses und dem Schaden, den es für Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen verursachen würde.
Brutto- und Nettorisiko in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.