{"catalog":{"uuid":"dc6278d0-5be6-450a-8e9a-ab8fb7f8b08a","metadata":{"roles":[{"id":"publisher","title":"Publisher"}],"title":"BSI Anforderungen zum Risikomanagement","parties":[{"name":"BSI, Referat \"Stand der Technik\"","type":"organization","uuid":"847d11d7-bc89-4e20-a3e5-6944515a45f4","email-addresses":["stand-der-technik@bsi.bund.de"]}],"remarks":"Dieser Katalog enthält die Anforderungen zum Risikomanagement.","version":"0.9","published":"2026-04-20T11:58:23.370929+00:00","document-ids":[{"scheme":"http://oscal.io/oscal/identifier/content-uuid","identifier":"0833f3b0-37c0-4f38-83aa-27bed52b0fda"}],"last-modified":"2026-04-20T11:58:23.370929+00:00","oscal-version":"1.1.3","responsible-parties":[{"role-id":"publisher","party-uuids":["847d11d7-bc89-4e20-a3e5-6944515a45f4"]}]},"groups":[{"id":"RISK","props":[{"name":"label","value":"RISK","remarks":"Risikomanagement ist ein systematischer, wiederkehrender Zyklus, mit dem Ziel, Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu identifizieren, zu bewerten, zu steuern und kontinuierlich zu überwachen. Es dient dazu, Risiken auf ein akzeptables Maß zu reduzieren."},{"name":"alt-identifier","value":"906e6304-5a16-4251-b225-324d4945100a"}],"title":"Risikomanagement","groups":[{"id":"RISK.1","props":[{"name":"label","value":"1"},{"name":"alt-identifier","value":"f38cbd80-deac-4519-ba3c-9c1313c89782"}],"title":"Risiko","controls":[{"id":"RISK.1.1","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.1_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einheitliche Methoden"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"nach {{einem anerkannten Standard}}"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS einheitliche Methoden nach {{ insert: param, risk.1.1-prm1 }} verankern."},{"id":"RISK.1.1_gdn","name":"guidance","prose":"Diese Methoden müssen den Kontext der Institution und die Anforderungen interessierter Parteien sowie die hieraus abgeleiteten Ziele berücksichtigen. Die Methoden können frei gewählt werden."}],"props":[{"name":"alt-identifier","value":"b6f7870d-6113-4039-974b-df571540c2f3"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Methodik für das Risikomanagement","params":[{"id":"risk.1.1-prm1","label":"einem anerkannten Standard","props":[{"name":"alt-identifier","value":"b6f7870d-6113-4039-974b-df571540c2f3"}]}]},{"id":"RISK.1.2","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.2_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Einhaltung des BSI-Kriterienkatalogs"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"bei der Methodenauswahl"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"anweisen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS die Einhaltung des BSI-Kriterienkatalogs bei der Methodenauswahl anweisen."},{"id":"RISK.1.2_gdn","name":"guidance","prose":"Im Anhang des BSI-Dokuments zur Risikobetrachtung befinden sich einschlägige Kriterien."}],"props":[{"name":"alt-identifier","value":"3ac69ca1-773a-4605-83e8-fc3a63388a2d"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Einhaltung der BSI-Kriterien"},{"id":"RISK.1.3","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.3_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Rolle des Risikoeigentümers"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"mit den notwendigen Aufgaben und Befugnissen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS die Rolle des Risikoeigentümers mit den notwendigen Aufgaben und Befugnissen verankern."},{"id":"RISK.1.3_gdn","name":"guidance","prose":"Der Risikoeigentümer trägt die Verantwortung für die Behandlung von Risiken. Er verfügt über die Befugnis, Entscheidungen über eine geeignete Risikobehandlung zu treffen."}],"props":[{"name":"alt-identifier","value":"1a225ac3-6072-44ba-bfd6-b30e52477dd4"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Risikoeigentümer"},{"id":"RISK.1.4","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.4_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"eine grundlegende Einstufung des Risikoappetits"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"festlegen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS eine grundlegende Einstufung des Risikoappetits durch die Institutionsleitung festlegen."},{"id":"RISK.1.4_gdn","name":"guidance","prose":"Diese Einstufung berücksichtigt die Geschäftsziele und dient als Orientierungsrahmen für die Priorisierung zur Behandlung der ermittelten Risiken."}],"props":[{"name":"alt-identifier","value":"162c1099-8bc3-4bc7-851a-636291308bb1"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Risikoappetit"},{"id":"RISK.1.5","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.5_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"Verfahren, Rollendefinitionen und Kriterien"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Institutionsleitung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"autorisieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS Verfahren, Rollendefinitionen und Kriterien durch die Institutionsleitung autorisieren."},{"id":"RISK.1.5_gdn","name":"guidance","prose":"Diese Dokumentation der Autorisierung dient der Nachvollziehbarkeit und Verbindlichkeit."}],"props":[{"name":"alt-identifier","value":"75cea6b4-d254-462e-9d20-09085e81f1dc"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Freigabe des Risikomanagements"},{"id":"RISK.1.6","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.6_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einheitliche Kriterien für die Kritikalität von Geschäftsprozessen bzw. -aktivitäten und Informationen"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS einheitliche Kriterien für die Kritikalität von Geschäftsprozessen bzw. -aktivitäten und Informationen verankern."},{"id":"RISK.1.6_gdn","name":"guidance","prose":"Kritikalitätskriterien dienen der Bewertung potenzieller Schäden bei einer Beeinträchtigung der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit. Eine Orientierung an den Geschäfts- und Schutzzielen der Institution unterstützt eine konsistente Einschätzung. Dabei bietet es sich an, klar definierte und nachvollziehbare Stufen (z. B. niedrig, mittel, hoch) für unterschiedliche Schadensszenarien wie zum Beispiel finanzielle Verluste, Reputationsschäden oder rechtliche Konsequenzen festzulegen."}],"props":[{"name":"alt-identifier","value":"b092d4cb-5c4e-49bc-a1ce-f40d22d3b5ec"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Kritikalitätskriterien für Geschäftsprozesse"},{"id":"RISK.1.7","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.7_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einheitliche Kriterien für die Bewertung von Risiken"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS einheitliche Kriterien für die Bewertung von Risiken verankern."},{"id":"RISK.1.7_gdn","name":"guidance","prose":"Risikokriterien für die Bewertung von Risiken dienen der Quantifizierung oder Qualifizierung der Risiken, um eine Priorisierung zu ermöglichen. Hierbei werden beispielsweise die Eintrittswahrscheinlichkeit, die Schadensauswirkung sowie potentielle Konsequenzen systematisch an Hand von Kriterien bewertet."}],"props":[{"name":"alt-identifier","value":"f6e125dc-4554-4ad9-82d7-5b0bca97521a"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Kriterien für die Risikobeurteilung"},{"id":"RISK.1.8","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.8_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Richtlinie zur Risikoanalyse"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"einheitliche Kriterien für die Risikoakzeptanz"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS einheitliche Kriterien für die Risikoakzeptanz verankern."},{"id":"RISK.1.8_gdn","name":"guidance","prose":"Risikokriterien für die Akzeptanz legen fest, bis zu welchem Risikoniveau eine Institution bereit ist, ein identifiziertes Risiko ohne weitere Maßnahmen hinzunehmen. Diese Kriterien bilden den Rahmen für konsistente und nachvollziehbare Entscheidungen im Risikomanagement. Die Einstufung erfolgt in der Regel anhand der Schadenshöhe und Eintrittswahrscheinlichkeit, wodurch eine Zuordnung zu definierten Risikoklassen ermöglicht wird."}],"props":[{"name":"alt-identifier","value":"a687403b-f8ca-4f15-8978-ceb295106f62"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Kriterien für die Risikoakzeptanz"},{"id":"RISK.1.9","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.9_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Kenntnisnahme des Restrisikos"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Risikoeigentümer"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"verankern"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"SOLLTE"}],"prose":"Risikomanagement SOLLTE die Kenntnisnahme des Restrisikos durch die Risikoeigentümer verankern."},{"id":"RISK.1.9_gdn","name":"guidance","prose":"Durch nicht umgesetzte Anforderungen entsteht ein Restrisiko, von dem der Risikoeigentümer Kenntnis haben SOLL. Der Risikoeigentümer SOLL dieses Risiko bis zur Umsetzung bewusst tragen. Grundlage hierfür ist der Umsetzungsplan."}],"props":[{"name":"alt-identifier","value":"3e515ecc-0f01-4a43-90c8-c165ae3d28ee"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"2"}],"title":"Bestätigung des Restrisikos"},{"id":"RISK.1.10","class":"BSI-Anforderungen-zum-Risikomanagement","parts":[{"id":"RISK.1.10_stm","name":"statement","props":[{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv","name":"documentation","value":"Umsetzungsplan"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result","value":"die Umsetzungsplanung"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv","name":"result_specification","value":"durch die Risikoeigentümer"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv","name":"action_word","value":"autorisieren"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv","name":"modal_verb","value":"MUSS"}],"prose":"Risikomanagement MUSS die Umsetzungsplanung durch die Risikoeigentümer autorisieren."},{"id":"RISK.1.10_gdn","name":"guidance","prose":"Auf der Grundlage des Umsetzungsplans ist eine systematische und transparente Umsetzung der Anforderung bzw. Sicherheitsmaßnahmen möglich. Der Umsetzungsplan enthält z. B. die Anforderungsbeschreibung, das Zielobjekt bzw. den Anwendungsbereich, die verantwortliche Stelle, Start und Zieldatum (Fristen), Prioritäten, Status der Umsetzung, ergänzende Aktivitäten (z. B. Schulungen), Risiken inkl. Begründung (Was bleibt offen? Was wurde nicht umgesetzt und warum?), Ressourcenplanung, Abhängigkeiten zu anderen Anforderungen, Datum der Freigabe und Unterschrift des Risikoeigentümers. Der Umsetzungsplan dient als Grundlage für die Fortschrittskontrolle, die Berichterstattung und Audits."}],"props":[{"name":"alt-identifier","value":"6162c7df-8813-47d4-bbad-4f182c810292"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv","name":"sec_level","value":"normal-SdT"},{"ns":"https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv","name":"effort_level","value":"0"}],"title":"Freigabe der Umsetzungsplanung"}]}]}]}}