Risikoklasse (Risk Category / Risikostufe)

Eine Risikoklasse kategorisiert IT-Systeme, Daten oder Prozesse nach dem Schutzbedarf und der potenziellen Schadenshöhe in definierte Stufen (z.B. niedrig, mittel, hoch, sehr hoch), was die Auswahl proportionaler Sicherheitsmaßnahmen erleichtert. BSI IT-Grundschutz unterscheidet in der Schutzbedarfsfeststellung die Kategorien "normal", "hoch" und "sehr hoch"; der AI Act der EU führt eigene Risikoklassen für KI-Systeme ein (minimal, begrenzt, hoch, inakzeptabel). In IT-Vergaben sollte die Risikoklasse des beschafften Systems die Tiefe der geforderten Sicherheitsnachweise bestimmen: hohe Risikoklassen erfordern ISO-27001-Zertifizierung, Penetrationstests und DSGVO-Folgeabschätzungen als Pflicht.