Risikoakzeptanz

Risikoakzeptanz ist eine bewusste Entscheidung des Managements, ein identifiziertes Risiko ohne weitere Maßnahmen zu tragen, weil der Aufwand zur Risikominderung den erwarteten Schaden übersteigt oder weil das Restrisiko unterhalb eines definierten Schwellenwerts liegt. Im IT-Sicherheitsmanagement nach ISO 27001 und BSI IT-Grundschutz muss die Akzeptanzentscheidung dokumentiert und vom verantwortlichen Risikoinhaber formal bestätigt werden. In Vergabeverfahren sollten Auftraggeber bei Cloud- und SaaS-Beschaffungen explizite Risikoakzeptanzentscheidungen für datenschutzrechtliche und verfügbarkeitsbezogene Restrisiken nachweisbar treffen.