GRC (Governance, Risk & Compliance)

GRC ist ein integrierter Managementansatz, der Unternehmenssteuerung (Governance), Risikomanagement und Einhaltung regulatorischer Anforderungen (Compliance) in einem koordinierten Rahmenwerk zusammenführt. Im öffentlichen IT-Sektor ermöglicht GRC die strukturierte Steuerung von Informationssicherheitsrisiken, die Sicherstellung der DSGVO- und NIS2-Konformität sowie die Dokumentation gegenüber Aufsichtsbehörden. In Leistungsverzeichnissen für IT-Governance-Dienste oder Compliance-Plattformen sollten Auftraggeber konkrete GRC-Frameworks (z. B. COBIT, ISO 27001) als Referenzrahmen benennen.