Risikoanalyse-Vorlage (ISO 27001 Risikoregister)
Die Risikoanalyse ist das Fundament jedes ISMS nach ISO 27001 und auch unter NIS2 Pflicht. Mit dieser kostenlosen Vorlage bewerten Sie Risiken nachvollziehbar nach Eintrittswahrscheinlichkeit und Schadenshöhe, inklusive Brutto- und Nettobewertung und fünf ausgefüllten Beispielen.
Risikoanalyse-Vorlage
Excel / CSV · sofort einsatzbereit
Kostenlos herunterladenKeine Anmeldung nötig
Worum geht es?
Ein Risikoregister erfasst, welche Bedrohungen auf welche Werte (Assets) treffen, wie hoch das Risiko ist und wie damit umgegangen wird. Es ist die Grundlage, aus der sich alle weiteren Maßnahmen ableiten.
Diese Vorlage bewertet jedes Risiko zweimal: brutto (ohne Maßnahmen) und netto (nach Umsetzung der Controls). So wird die Wirkung der Maßnahmen sichtbar und die Entscheidung über Akzeptanz oder weitere Behandlung begründbar.
Enthalten sind eine 1-bis-5-Skala für Wahrscheinlichkeit und Schaden, die automatische Risikoformel (Wahrscheinlichkeit x Schaden) sowie Beispielrisiken wie Ransomware, Phishing und Lieferantenvorfälle als Orientierung.
Was die Vorlage enthält
Asset & Bedrohung
Betroffener Wert, Bedrohung und ausgenutzte Schwachstelle
Auswirkung
Was im Schadensfall passiert (Vertraulichkeit, Integrität, Verfügbarkeit)
Bruttobewertung
Wahrscheinlichkeit x Schaden ohne Maßnahmen
Risikostrategie
Vermindern, vermeiden, übertragen oder akzeptieren
Maßnahmen / Controls
Welche Controls das Risiko behandeln
Nettobewertung
Verbleibendes Restrisiko nach Umsetzung der Maßnahmen
Verantwortlich & Status
Risikoeigner, Behandlungsstatus und nächste Prüfung
Die Vorlage eignet sich für den Aufbau eines ISMS nach ISO 27001 sowie zur Erfüllung der NIS2-Risikoanalysepflicht. Sie ersetzt keine vollständige Methodik nach ISO 27005, bietet aber einen strukturierten, prüffähigen Einstieg.
Häufige Fehler beim Ausfüllen
Nur Bruttobewertung
Ohne Nettobewertung lässt sich die Wirkung der Maßnahmen und die Akzeptanz des Restrisikos nicht belegen.
Risiken ohne Behandlung
Risiken werden erfasst, aber es wird nicht entschieden und dokumentiert, was dagegen getan wird.
Einmalige Analyse
Die Risikoanalyse wird einmal erstellt und nie aktualisiert. Sie muss laufend gepflegt werden.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
In CompliantDesk ist das Risiko-Register kein statisches Excel: Risiken sind mit Assets, Controls und Maßnahmen verknüpft, Brutto- und Nettobewertung fließen automatisch in Ihren Compliance-Score, und Reviews werden terminiert.
Häufig gestellte Fragen
Welche Skala soll ich für die Bewertung nutzen?
Üblich ist eine Skala von 1 bis 5 für Eintrittswahrscheinlichkeit und Schadenshöhe. Das Risiko ergibt sich aus dem Produkt beider Werte (1 bis 25).
Was ist der Unterschied zwischen Brutto- und Nettorisiko?
Das Bruttorisiko ist das Risiko ohne Maßnahmen, das Nettorisiko das verbleibende Restrisiko, nachdem die umgesetzten Controls wirken.
Erfülle ich damit auch NIS2?
Die dokumentierte Risikoanalyse ist eine zentrale NIS2-Pflicht. Diese Vorlage deckt den Kern ab, ergänzen Sie sie um die weiteren NIS2-Maßnahmen.
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.