Risikoappetit (Risk Appetite / Risikobereitschaft)

Risikoappetit bezeichnet das Ausmaß an Risiken, das eine Organisation bereit ist einzugehen, um ihre strategischen Ziele zu erreichen; er wird vom Management explizit festgelegt und bildet den Rahmen für alle Risikoentscheidungen. Im IT-Sicherheitsmanagement nach ISO 27001 und NIST CSF bestimmt der Risikoappetit, welche Restrisiken nach Implementierung von Sicherheitsmaßnahmen akzeptiert werden. In öffentlichen IT-Vergaben ist der Risikoappetit indirekt relevant: Er steuert, wie strenge Sicherheitsanforderungen formuliert werden und welche Risiken durch vertragliche Klauseln auf den Auftragnehmer übertragen werden.