Restrisiko (Residual Risk)

Das Restrisiko ist das Risiko, das nach Anwendung aller geplanten Sicherheitsmaßnahmen verbleibt und weder vollständig eliminiert noch auf Dritte übertragen werden kann. Es muss vom verantwortlichen Risikoinhaber (z.B. dem CISO oder der Behördenleitung) bewusst akzeptiert und dokumentiert werden. Im IT-Grundschutz nach BSI wird ein Restrisiko als tragbar eingestuft, wenn das Schadenspotenzial im Verhältnis zu weiteren Schutzmaßnahmen unverhältnismäßig hoch wäre; bei kritischen Systemen kann eine Restrisiko-Freigabe durch das Management gefordert werden.