Risikomanagement-Frameworks: Der vollständige 2026-Leitfaden (7 im Vergleich)

Published 2. Juni 2026

By Orbiq Team

Risikomanagement-Frameworks: Der vollständige 2026-Leitfaden (7 im Vergleich)

Q: Welche Arten von Risikomanagement-Frameworks gibt es?

Es gibt drei Familien. (1) Unternehmensweite, grundsatzbasierte Frameworks (ISO 31000, COSO ERM) steuern alle Risikoarten und stehen an der Spitze der Risikohierarchie. (2) IT- und Informationssicherheits-Frameworks (NIST RMF, ISO/IEC 27005, COBIT 2019) steuern Technologie- und Cyberrisiken im Detail. (3) Quantitative Frameworks (FAIR) drücken Risiken in finanziellen Werten für Vorstandsentscheidungen aus. Reife Organisationen kombinieren sie schichtweise: ein Dach-Framework plus ein oder mehrere domänenspezifische Frameworks.

Q: Was ist der Unterschied zwischen ISO 31000 und NIST RMF?

ISO 31000 ist ein breiter, grundsatzbasierter Standard, der für jede Art von Risiko gilt — strategisch, finanziell, operativ oder Compliance — und vorgibt, wie man über Risiken denkt, ohne konkrete Maßnahmen vorzuschreiben. Das NIST Risk Management Framework (NIST SP 800-37) ist ein präskriptiver siebenstufiger Prozess speziell für Informationssysteme und Cyberrisiken, gekoppelt an den Maßnahmenkatalog NIST SP 800-53. Organisationen nutzen ISO 31000 häufig als unternehmensweites Dach und NIST RMF für den technischen Prozess auf Systemebene.

Q: Wie lassen sich NIS2 und DORA auf ISO 27005 abbilden?

Artikel 21(2)(a) der NIS2-Richtlinie verlangt 'Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen', und die Durchführungsverordnung (EU) 2024/2690 detailliert die technischen Risikomanagement-Anforderungen für viele Einrichtungen. ISO/IEC 27005 liefert die Methodik zur Bewertung von Informationssicherheitsrisiken, die diese Pflichten erfüllt und in ein ISO-27001-ISMS einfließt. Artikel 6 der DORA verlangt von Finanzunternehmen einen 'soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen', der mindestens jährlich überprüft wird; ISO 27005 liefert den IKT-Risikobewertungsprozess, meist gepaart mit COBIT 2019 für die Governance.

Q: Welches Risikomanagement-Framework eignet sich am besten für ISO 27001?

ISO/IEC 27005 ist die natürliche Wahl. ISO 27001 Abschnitt 6.1 verlangt die Bewertung und Behandlung von Informationssicherheitsrisiken, schreibt aber bewusst keine Methode vor — ISO 27005 schließt diese Lücke mit detaillierten Leitlinien zu Kontext, Identifikation, Analyse, Bewertung und Behandlung. Organisationen mit Unternehmensrisiken über die Informationssicherheit hinaus ergänzen häufig ISO 31000 als übergeordnetes Framework.

Q: Kann man mehrere Risikomanagement-Frameworks gleichzeitig nutzen?

Ja, und die meisten regulierten Organisationen tun dies. Ein verbreitetes europäisches Muster ist ISO 31000 als Dach, COBIT 2019 für die IT-Governance (besonders unter DORA), ISO 27005 oder NIST RMF für den Informationssicherheits-Risikoprozess und FAIR zur finanziellen Quantifizierung der wenigen besonders kritischen Risiken. Entscheidend sind eine klare Governance und ein einziges Risikoregister, damit sich die Frameworks ergänzen statt verdoppeln.

Q: Worin unterscheidet sich ein Risikomanagement-Framework von einem Maßnahmen-Framework?

Ein Risikomanagement-Framework gibt vor, wie Risiken identifiziert, bewertet und entschieden werden — es ist die Prozess- und Governance-Ebene. Ein Maßnahmen-Framework (etwa ISO 27001 Anhang A oder NIST SP 800-53) ist der Katalog konkreter Schutzmaßnahmen, die Sie zur Risikobehandlung auswählen. In der Praxis arbeiten beide zusammen: Das Framework erzeugt das Risikoregister und den Behandlungsplan, die Maßnahmen sind das 'Was Sie umsetzen'.

Q: Brauchen kleine Unternehmen ein formelles Risikomanagement-Framework?

Kleinere Unternehmen müssen nicht jedes Framework übernehmen, benötigen aber einen dokumentierten, wiederholbaren Risikoprozess — besonders wenn sie als 'wichtige Einrichtung' unter NIS2 fallen, Großkunden beliefern, die ISO 27001 verlangen, oder IKT-Drittdienstleister eines DORA-regulierten Finanzunternehmens sind. ISO/IEC 27005 oder eine schlanke Anwendung von ISO 31000 ist meist der angemessenste Einstieg, der nur bei wachsenden Governance- und Berichtsanforderungen auf COBIT 2019 oder FAIR ausgeweitet wird.

Vergleichen Sie die 7 wichtigsten Risikomanagement-Frameworks — ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR, ISO 27005 und ENISA — und wählen Sie das richtige für NIS2, DORA und ISO 27001.

risikomanagement

frameworks

iso-31000

nist-rmf

coso-erm

cobit

iso-27005

nis2

dora

compliance

Risikomanagement-Frameworks: Der vollständige 2026-Leitfaden (7 im Vergleich)

Kurzantwort: Ein Risikomanagement-Framework ist ein strukturierter Satz von Grundsätzen, Prozessen und Praktiken, um Risiken systematisch zu identifizieren, zu bewerten, zu behandeln, zu überwachen und zu berichten. Die sieben am weitesten verbreiteten Frameworks im Jahr 2026 sind ISO 31000, das NIST Risk Management Framework, COSO ERM, COBIT 2019, FAIR, ISO/IEC 27005 und das Interoperable EU-Risikomanagement-Framework der ENISA. Jedes ist für einen anderen Geltungsbereich gebaut: unternehmensweite Governance, IT und Cybersicherheit, finanzielle Quantifizierung oder EU-regulatorische Interoperabilität. Mit Artikel 21 der NIS2-Richtlinie und Artikel 6 der DORA ist der Betrieb eines dokumentierten Frameworks für betroffene europäische Organisationen nicht mehr optional.

Die Wahl eines Risikomanagement-Frameworks gehört zu den wirkungsvollsten Compliance-Entscheidungen einer Organisation. Das gewählte Framework prägt, wie Sie jede Bedrohung bewerten, wie Sie jede Maßnahme begründen und — zunehmend — wie Sie Behörden, Prüfern und Großkunden nachweisen, dass Ihre Risikoentscheidungen belastbar sind.

Dieser Leitfaden vergleicht die sieben wichtigsten Risikomanagement-Frameworks im Detail, ordnet sie den EU-Vorschriften zu, die sie nun verpflichtend machen (NIS2, DORA, DSGVO), und liefert eine Entscheidungshilfe nach Branche, Größe und regulatorischer Exposition. Er ist für die europäische Compliance-Landschaft geschrieben — EU-27, EWR und das Vereinigte Königreich nach dem Brexit — in der dieselbe Organisation oft mehrere überlappende Regime gleichzeitig erfüllen muss.

Das Wichtigste in Kürze

Ein Framework ist der Prozess, nicht die Maßnahmen. Es gibt vor, wie Sie Risiken identifizieren, bewerten, behandeln und überwachen. Maßnahmen (Verschlüsselung, MFA, Backups) sind das Was Sie umsetzen, um die vom Framework aufgedeckten Risiken zu behandeln.
Die sieben Frameworks teilen sich in drei Familien: unternehmensweit/grundsatzbasiert (ISO 31000, COSO ERM), IT- und Informationssicherheit (NIST RMF, ISO/IEC 27005, COBIT 2019) und quantitativ (FAIR) — mit dem ENISA-Framework als EU-Interoperabilitätsebene über den anderen.
NIS2 und DORA fordern nun Frameworks, nicht nur Maßnahmen. Artikel 21(2)(a) der NIS2 verlangt Konzepte zur Risikoanalyse; die Durchführungsverordnung (EU) 2024/2690 detailliert die technischen Anforderungen; Artikel 6 der DORA verlangt einen dokumentierten IKT-Risikomanagementrahmen, der mindestens jährlich überprüft wird [⁴][⁶].
ISO/IEC 27005 ist die praktische Standardwahl für ISO-27001-Anwender, da es die Risikobewertungspflicht aus Abschnitt 6.1 direkt erfüllt und sauber auf NIS2 und DORA abbildet.
Die meisten regulierten Organisationen schichten Frameworks: ISO 31000 als Dach → COBIT 2019 für die IT-Governance → ISO 27005 / NIST RMF für den Cyber-Risikoprozess → FAIR für die wenigen Risiken, die eine finanzielle Zahl benötigen.
Ein Framework auf dem Papier ist kein Nachweis. Sie benötigen ein lebendes Risikoregister, dokumentierte Behandlungsentscheidungen und eine Aufsicht auf Vorstandsebene — und eine Möglichkeit, diese Nachweise den anfragenden Stakeholdern zugänglich zu machen.

Was ist ein Risikomanagement-Framework?

Ein Risikomanagement-Framework ist ein strukturiertes, wiederholbares System zur Steuerung von Risiken. Unabhängig vom gewählten Standard definiert jedes glaubwürdige Framework fünf Fähigkeiten:

Identifizieren — was schiefgehen kann und wo (Werte, Bedrohungen, Schwachstellen, Abhängigkeiten)
Bewerten — wie wahrscheinlich jedes Risiko ist und wie schwer die Auswirkung wäre
Behandeln — die Entscheidung, jedes Risiko zu mindern, zu übertragen, zu akzeptieren oder zu vermeiden
Überwachen — laufende Verfolgung, damit das Risikobild aktuell bleibt, wenn sich das Umfeld ändert
Berichten — Kommunikation von Risiken an Leitung, Behörden, Kunden und Prüfer

Der Grund dafür ist Konsistenz. Ohne Framework bewerten zwei Teams dasselbe Risiko unterschiedlich, Dokumentationslücken entstehen, und Sie können nicht die kohärenten, belastbaren Nachweise erzeugen, die NIS2-Aufsichtsbehörden, die zuständigen DORA-Behörden oder eine ISO-27001-Zertifizierungsstelle sehen wollen.

Ein Framework unterscheidet sich auch von einem Maßnahmen-Framework. ISO 27001 Anhang A und NIST SP 800-53 sind Kataloge von Schutzmaßnahmen — das "Was Sie umsetzen". Ein Risikomanagement-Framework ist das "Wie Sie entscheiden". Beide ergänzen sich: Das Framework erzeugt Risikoregister und Behandlungsplan; die Maßnahmen behandeln die identifizierten Risiken.

Die 7 wichtigsten Risikomanagement-Frameworks

1. ISO 31000 — Unternehmensweites Risikomanagement, grundsatzbasiert

Zweck & Geltungsbereich: Ein universeller, grundsatzbasierter Standard zur Steuerung jeder Risikoart — strategisch, finanziell, operativ, Compliance oder Cyber. ISO 31000:2018 liefert Grundsätze, einen Rahmen und einen generischen Prozess; es schreibt bewusst keine konkreten Maßnahmen vor [⁵].

Primäre Nutzer: Vorstände und Risikofunktionen, die eine einzige, organisationsweite Referenz wünschen. Es ist der einfachste Einstieg ins unternehmensweite Risikomanagement für nicht-US-amerikanische und mittelständische Firmen und in zahlreichen Ländern als nationaler Standard übernommen [¹].

EU-Verbreitung: Sehr hoch. ISO 31000 ist das Standard-Dach-Framework für EU-Hersteller, Scale-ups und ISO-orientierte Organisationen in ganz Europa, einschließlich des deutschen Mittelstands, und prägt die Risiko-Terminologie vieler nationaler Umsetzungsleitfäden.

Stärken: Flexibel, branchenunabhängig, international anerkannt; funktioniert als Spitze eines geschichteten Framework-Stapels. Grenzen: Hochrangig — es sagt, wie man über Risiken denkt, nicht welche Maßnahmen man einsetzt. Für Cybersicherheit oder IT-Governance ist eine domänenspezifische Ergänzung nötig.

2. NIST Risk Management Framework (RMF)

Zweck & Geltungsbereich: Ein präskriptiver, siebenstufiger Prozess zur Integration von Sicherheit und Risikomanagement in Informationssysteme, definiert in NIST SP 800-37: Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor. Er ist an den Maßnahmenkatalog NIST SP 800-53 gekoppelt [¹].

Primäre Nutzer: Organisationen, die Informationssysteme steuern, besonders solche, die an US-Bundesstandards, NIST CSF, FedRAMP oder CMMC ausgerichtet sind — und zunehmend europäische Technologieteams, die einen detaillierten Schritt-für-Schritt-Cyberrisikoprozess wünschen.

EU-Verbreitung: Moderat. US-Herkunft und kein Zertifizierungsstandard, aber breit genutzt von EU-Unternehmen mit US-Kunden oder US-Bundesbezug und oft mit ISO 31000 auf Unternehmensebene kombiniert.

Stärken: Präskriptiv, umfassend dokumentiert, kostenlos und eng mit dem NIST-Maßnahmenkatalog integriert. Grenzen: US-zentriert und systemfokussiert; für kleinere Organisationen aufwendig und ohne Abdeckung unternehmensweiter Nicht-IT-Risiken.

3. COSO ERM — Unternehmensweites Risikomanagement für die Governance

Zweck & Geltungsbereich: Das dominierende Framework für unternehmensweites Risikomanagement im Kontext von Corporate Governance und Finanzberichterstattung. Die Aktualisierung von 2017 ordnet Risiko über fünf Komponenten: Governance & Kultur; Strategie & Zielsetzung; Leistung; Überprüfung & Revision; sowie Information, Kommunikation & Berichterstattung [¹].

Primäre Nutzer: Vorstände, Prüfungsausschüsse und börsennotierte Unternehmen — Standard für US-SEC-Registranten, prudenziell beaufsichtigte Banken und SOX-getriebene interne Kontrollprogramme.

EU-Verbreitung: Selektiv. Verbreitet in EU-Finanzdienstleistern und börsennotierten Konzernen, besonders mit US-Berichtspflichten; in EU-KMU seltener, die ISO 31000 meist als leichtgewichtiger empfinden.

Stärken: Starker Fokus auf Governance auf Vorstandsebene; passt natürlich zu SOX und interner Kontrollberichterstattung. Grenzen: Breit und Governance-orientiert; benötigt Ergänzung für Cyber und IT und kann für operative Teams abstrakt wirken.

4. COBIT 2019 — IT-Governance und -Management

Zweck & Geltungsbereich: Das Framework der ISACA für Governance und Management der Unternehmens-IT. Es enthält 40 Governance- und Management-Ziele über fünf Domänen: EDM (Evaluate, Direct, Monitor), APO (Align, Plan, Organize), BAI (Build, Acquire, Implement), DSS (Deliver, Service, Support) und MEA (Monitor, Evaluate, Assess) [³].

Primäre Nutzer: IT-Governance-, interne Revisions- und Risikoteams — besonders Finanzunternehmen unter DORA, bei denen IT-Governance auf Vorstandsebene verpflichtend ist.

EU-Verbreitung: Schnell wachsend im Finanzsektor. Die ISACA veröffentlichte 2025 Leitlinien zur Nutzung von COBIT für NIS2 und DORA, und die EDM/APO-Domänen bilden die Governance-Pflichten der DORA direkt ab [²].

Stärken: Umfassender IT-Governance-Umfang; klare regulatorische Zuordnung (DORA, NIS2, SOX-IT-Kontrollen); messbare Ziele. Grenzen: In voller Tiefe komplex umzusetzen; IT-fokussiert, daher mit ISO 31000 für Nicht-IT-Risiken zu ergänzen und mit Zugang zu ISACA-Material.

5. FAIR — Quantitative Analyse von Cyberrisiken

Zweck & Geltungsbereich: Factor Analysis of Information Risk ist ein quantitatives Modell, das Cyberrisiken als wahrscheinlichen finanziellen Verlust ausdrückt und sie in Verlustereignishäufigkeit und Verlustausmaß zerlegt. Die Open Group formalisierte FAIR 2013 als Open FAIR Body of Knowledge (die O-RT-Risikotaxonomie und die O-RA-Risikoanalyse-Standards) [⁷].

Primäre Nutzer: CISOs und Risikoanalysten, die Sicherheitsinvestitionen einem Vorstand in Euro statt in Rot/Gelb/Grün begründen müssen.

EU-Verbreitung: Nische, aber steigend, besonders bei größeren EU-Finanzinstituten und Versicherern, die Cyberrisiken für Kapital- und Vorstandsentscheidungen monetär ausgedrückt haben wollen.

Stärken: Erzeugt finanzielle Kennzahlen, die Führungskräfte verstehen; ermöglicht echte Kosten-Nutzen-Analysen von Maßnahmen. Grenzen: Datenintensiv und komplexer als qualitative Methoden; funktioniert am besten als Ergänzung zu einem strukturellen Framework, nicht eigenständig.

6. ISO/IEC 27005 — Informationssicherheits-Risikomanagement

Zweck & Geltungsbereich: Detaillierte Leitlinien für das Informationssicherheits-Risikomanagement, als Ergänzung zu ISO/IEC 27001 konzipiert. ISO/IEC 27005:2022 deckt Kontextfestlegung, Risikoidentifikation (Werte, Bedrohungen, Schwachstellen, Auswirkungen), Analyse, Bewertung, Behandlung und laufende Überwachung ab [⁶].

Primäre Nutzer: Jede Organisation, die ISO 27001 umsetzt oder aufrechterhält — es ist die Methodik, die Abschnitt 6.1 erfüllt.

EU-Verbreitung: Sehr hoch. Da ISO 27001 die faktische europäische Sicherheitsgrundlage ist und von NIS2 und DORA referenziert wird, ist ISO 27005 die am häufigsten genutzte Methodik für Informationssicherheitsrisiken in der EU, im EWR und im Vereinigten Königreich.

Stärken: Unterstützt ISO 27001 direkt; praktisch, spezifisch und gut etabliert; bildet sauber auf NIS2- und DORA-Risikopflichten ab. Grenzen: Nur auf Informationssicherheit beschränkt; am nützlichsten im ISO-27001-Kontext.

7. Das Interoperable EU-Risikomanagement-Framework der ENISA

Zweck & Geltungsbereich: Kein konkurrierender Standard, sondern eine EU-Interoperabilitätsebene. Die ENISA, die EU-Agentur für Cybersicherheit, veröffentlichte das Interoperable EU-Risikomanagement-Framework (2022) und die Interoperable EU-Risikomanagement-Toolbox (2023), um Mitgliedstaaten, Unternehmen und KMU eine gemeinsame Methodik und Terminologie zu geben und bestehende Frameworks (ISO 27005, NIST, IT-Grundschutz, EBIOS) aufeinander abzubilden [⁸].

Primäre Nutzer: EU-Behörden, Stellen der Mitgliedstaaten und grenzüberschreitend tätige Organisationen, die eine gemeinsame Referenz für NIS2 benötigen.

EU-Verbreitung: Durch NIS2 zunehmend. Die ENISA erstellte die technischen Umsetzungsleitlinien hinter der Durchführungsverordnung (EU) 2024/2690, die die technischen und methodischen Anforderungen an die NIS2-Maßnahmen nach Artikel 21(2) für relevante Einrichtungen festlegt [⁸][⁴].

Stärken: Reduziert grenz- und sektorübergreifende Koordinationsreibung; direkt an der NIS2-Durchführungsverordnung ausgerichtet. Grenzen: Eine Koordinationsebene statt einer eigenständigen Methode — Sie setzen weiterhin ein zugrunde liegendes Framework wie ISO 27005 um.

Risikomanagement-Frameworks im Vergleich (Gegenüberstellung)

Framework	Zweck / Geltungsbereich	Ansatz	Primäre Nutzer	EU-Verbreitung
ISO 31000	Alle Risikoarten, unternehmensweit	Grundsatzbasiert, flexibel	Vorstände, Risikofunktionen	Sehr hoch — Standard-Dach
NIST RMF	Informationssysteme & Cyber	Präskriptiv, 7 Schritte	IT/Sicherheitsteams, US-orientiert	Moderat — verbreitet mit US-Bezug
COSO ERM	Unternehmens- & Finanzberichtsrisiko	Governance-fokussiert, 5 Komponenten	Vorstände, Prüfungsausschüsse, börsennotiert	Selektiv — Finanzsektor & börsennotiert
COBIT 2019	IT-Governance & -Management	Zielbasiert, 40 Ziele	IT-Governance, DORA-Finanzunternehmen	Schnell wachsend im Finanzsektor
FAIR	Quantitatives Cyberrisiko	Datengetrieben, finanziell	CISOs, Risikoanalysten, Versicherer	Nische, aber steigend
ISO/IEC 27005	Informationssicherheitsrisiko	Methodik, ergänzt ISO 27001	ISO-27001-Anwender	Sehr hoch — EU-Sicherheitsgrundlage
ENISA EU RMF	EU-Interoperabilität / NIS2	Koordinations- & Abbildungsebene	EU-Behörden, grenzübergreifende Orgs	Zunehmend über NIS2

Geltungsbereich und Verbreitung spiegeln die Praxis 2026 in der EU-27, im EWR und im Vereinigten Königreich wider. Die meisten regulierten Organisationen betreiben zwei oder mehr in einem geschichteten Modell, statt sich isoliert für eines zu entscheiden.

Welches Framework passt zu meinem Unternehmen? Eine Entscheidungshilfe

Es gibt kein einziges "bestes" Framework — die richtige Antwort hängt von Branche, Größe und regulatorischer Exposition ab. Nutzen Sie die drei folgenden Perspektiven.

Nach regulatorischem Treiber

Wenn Sie erfüllen müssen …	Übernehmen Sie …
NIS2 (wesentliche / wichtige Einrichtung)	ISO/IEC 27005 + ISO 31000, ausgerichtet am ENISA-Framework und der VO (EU) 2024/2690
DORA (Finanzunternehmen / IKT-Dienstleister)	COBIT 2019 (Governance) + ISO/IEC 27005 (IKT-Risikoprozess)
ISO 27001-Zertifizierung	ISO/IEC 27005
SOX / Finanzberichterstattung	COSO ERM
NIST CSF / US-Bundesbehörden	NIST RMF
Mehrere EU-Regime gleichzeitig	ISO 31000 (Dach) + COBIT 2019 + ISO/IEC 27005

Nach Risikoumfang

Nur Informationssicherheit → ISO/IEC 27005 oder NIST RMF
IT-Governance und -Management → COBIT 2019 (essenziell für DORA-regulierte Einrichtungen)
Unternehmensweit, alle Risikoarten → ISO 31000 oder COSO ERM
Eine finanzielle Zahl für den Vorstand nötig → FAIR auf das strukturelle Framework aufsetzen

Nach Unternehmensgröße und Reife

Einsteiger / KMU / erste ISO 27001: ISO/IEC 27005 ist der angemessenste, strukturierte Einstieg. Eine "wichtige Einrichtung" unter NIS2 oder ein IKT-Unterauftragnehmer unter DORA in dieser Gruppe benötigt dennoch einen dokumentierten Prozess — aber nicht alle 40 COBIT-Ziele.
Wachsend / Multi-Regulierung: ISO 31000 als Dach, mit ISO 27005 für den Cyberprozess und COBIT für die IT-Governance dort, wo DORA gilt.
Groß / reguliert / Vorstandsberichterstattung: Ein vollständiges geschichtetes Modell — ISO 31000 + COSO ERM an der Spitze, COBIT 2019 für die IT-Governance, ISO 27005 / NIST RMF für den Cyberprozess und FAIR zur Quantifizierung der wirkungsstärksten Risiken.

Für einen tieferen Blick darauf, wo eine einzelne Informationssicherheitsplattform in diesen Stapel passt, lesen Sie unseren Vergleich der besten ISMS-Software 2026 und unseren Leitfaden dazu, was ISO 27001 eigentlich ist.

Wie NIS2 und DORA auf ISO 27005 abbilden (der EU-Unterschied)

Hier weichen europäische Organisationen stark von einer US-zentrierten Framework-Wahl ab. In der EU haben zwei Vorschriften "ein Risikomanagement-Framework haben" von einer Best Practice zu einer rechtlichen Pflicht gemacht — und beide bilden auf ISO/IEC 27005 ab.

NIS2 Artikel 21 → ISO 27005

Artikel 21(2)(a) der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verlangt von betroffenen wesentlichen und wichtigen Einrichtungen "Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen". Anschließend werden zehn Mindestmaßnahmen für das Risikomanagement aufgeführt, die Vorfallbehandlung, Geschäftskontinuität, Lieferkettensicherheit und mehr abdecken [⁴].

Im Oktober 2024 legte die Durchführungsverordnung (EU) 2024/2690 die technischen und methodischen Anforderungen der Maßnahmen nach Artikel 21(2) für relevante Einrichtungskategorien fest (etwa DNS-Anbieter, Cloud- und Rechenzentrumsdienste sowie Managed-Service-Provider), wobei die ENISA die technischen Umsetzungsleitlinien lieferte [⁴][⁸].

ISO/IEC 27005 liefert die Methodik zur Risikobewertung, die die von NIS2 geforderte dokumentierte "Risikoanalyse" erzeugt: Kontext, Identifikation von Werten/Bedrohungen/Schwachstellen, Analyse, Bewertung gegen Akzeptanzkriterien und Behandlung. Da ISO 27005 in ein ISO-27001-ISMS einfließt, erzeugt eine Organisation mit einem 27001-orientierten Programm bereits einen Großteil der Nachweise, die eine NIS2-Aufsichtsbehörde verlangt — wobei die 24-Stunden-Frühwarnpflicht der NIS2 und die Haftung der Leitungsorgane außerhalb jedes ISMS liegen und zusätzliche Umsetzung erfordern. Siehe unseren Leitfaden zur NIS2-Richtlinie für die vollständige Artikel-21-Aufschlüsselung.

DORA Artikel 6 → ISO 27005 (+ COBIT)

Artikel 6 der DORA (Verordnung (EU) 2022/2554) verlangt von jedem betroffenen Finanzunternehmen einen "soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen als Teil [seines] gesamten Risikomanagementsystems", der es befähigt, IKT-Risiken "rasch, effizient und umfassend" zu begegnen. Der Rahmen muss eine Strategie für die digitale operationale Resilienz enthalten, mindestens einmal jährlich (und nach jedem schwerwiegenden IKT-Vorfall) überprüft werden und — für Nicht-Kleinstunternehmen — einer unabhängigen internen Revision durch Prüfer mit IKT-Expertise unterliegen [⁶].

DORA ist präskriptiver als NIS2. Finanzunternehmen setzen sie typischerweise in zwei Schichten um: COBIT 2019 für die Governance- und Managementebene (dessen EDM- und APO-Domänen die Vorstands- und Aufsichtspflichten der DORA direkt abbilden) und ISO/IEC 27005 für den zugrunde liegenden IKT-Risikobewertungsprozess. Die ISACA-Leitlinien von 2025 behandeln COBIT als starke Eignung für DORA und NIS2, nicht als vorgeschriebenes Modell [²]. Unser DORA-Compliance-Leitfaden deckt das Rahmenwerk der Artikel 5–16 vollständig ab.

Wer es durchsetzt: nationale zuständige Behörden

Entscheidend: Weder NIS2 noch DORA werden von einer zentralen EU-Behörde überwacht — beide werden von nationalen zuständigen Behörden beaufsichtigt und durchgesetzt, die jeder Mitgliedstaat benennt. In Deutschland ist für NIS2 das BSI die zuständige Aufsichtsbehörde (unter dem NIS2-Umsetzungsgesetz / NIS2UmsuCG), bei der sich betroffene Einrichtungen registrieren und Vorfälle melden; für DORA beaufsichtigt die BaFin die deutschen Finanzunternehmen [¹⁰][¹¹]. Dasselbe Muster gilt EU-weit: NIS2-Aufsicht durch ANSSI in Frankreich und die Rijksinspectie Digitale Infrastructuur (RDI) mit NCSC-NL als operativem CSIRT in den Niederlanden; DORA-Aufsicht durch die ACPR (mit der AMF) in Frankreich und durch De Nederlandsche Bank (DNB) und die AFM in den Niederlanden [¹⁰][¹¹]. Ein ISO-27005-basiertes Risikoprogramm erzeugt dieselbe dokumentierte Nachweisbasis, unabhängig davon, welche dieser Behörden anklopft.

Die Compliance-Dividende

Die praktische Folge: Eine Organisation, die ihren Risikoprozess auf ISO/IEC 27005 innerhalb eines ISO-27001-ISMS aufbaut, schafft ein einziges Risikoregister und eine Nachweisbasis, die Artikel 21 der NIS2, Artikel 6 der DORA und die "geeigneten technischen und organisatorischen Maßnahmen" nach Artikel 32 DSGVO gleichzeitig erfüllen — die Nachweise werden einmal abgebildet statt dreimal.

Risikomanagement jenseits der EU-27: UK und Norwegen/EWR

Ein gesamteuropäisches Risikoprogramm muss den EWR und das Vereinigte Königreich nach dem Brexit berücksichtigen, wo das Ziel ähnlich, der Weg aber anders ist.

Vereinigtes Königreich (Divergenz nach dem Brexit)

Das Vereinigte Königreich hat DORA nicht übernommen. Stattdessen folgen Finanzunternehmen dem Regime für operationale Resilienz der FCA/PRA gemäß Policy Statement PS21/3, das von Firmen verlangte, wichtige Geschäftsdienste zu identifizieren, Toleranzgrenzen festzulegen und bis zum 31. März 2025 vollständig compliant zu sein [⁹]. Die FCA ist seitdem mit PS26/2 zur Meldung operationaler Vorfälle und von Drittparteien weitergegangen und verkleinert — schließt aber nicht — die Lücke zu DORA [⁹].

Für Cyberrisiken allgemein verweisen britische Aufsichtsbehörden auf das NCSC Cyber Assessment Framework (CAF) [⁹]. Die ergebnisorientierten Prinzipien des CAF bilden sich eng auf ISO 27001 Anhang A ab, sodass ISO 31000 + ISO 27005 die pragmatischste Grundlage über mehrere Rechtsräume hinweg bleibt. Das geplante UK Cyber Security and Resilience Bill soll das Vereinigte Königreich enger an NIS2 angleichen, ohne es vollständig zu übernehmen.

Norwegen (EWR)

Norwegen wendet EU-Cybersicherheitsrecht über das EWR-Abkommen an. Bemerkenswert ist, dass Norwegen darauf verzichtet hat, eine eigene ISO-27001-Variante zu veröffentlichen, und stattdessen nationale und sektorale Regeln auf ISO/IEC 27001:2022 aufschichtet — ein 27001/27005-basiertes Programm ist also die richtige Grundlage für norwegische Aktivitäten. Die Nasjonal sikkerhetsmyndighet (NSM) veröffentlicht die einflussreichen ICT Security Principles, und das Sikkerhetsloven (Nationales Sicherheitsgesetz) regelt Einrichtungen mit Bezug zu grundlegenden nationalen Funktionen. Norwegens Umsetzung von NIS2 über den Rahmen des Digitalsicherheitsgesetzes schreitet voran, mit der NSM als zentraler Behörde. Die norwegische Datenschutzbehörde Datatilsynet beaufsichtigt die DSGVO-/Personvern-Dimension des Risikos.

Fazit für europäische Akteure: Ein ISO-31000-Dach mit einem ISO/IEC-27005-Informationssicherheits-Risikoprozess bietet die stärkste Einzelgrundlage über die EU-27, den EWR und das Vereinigte Königreich hinweg — darauf schichten Sie die jurisdiktionsspezifischen Pflichten (NIS2-Meldung, DORA-Revision, FCA-Toleranzgrenzen).

Häufige Fehler bei der Einführung eines Frameworks

Risikobewertung als jährliche Pflichtübung behandeln. Ein Risikoregister, das einmal jährlich aktualisiert und dann abgelegt wird, reduziert kein Risiko und übersteht keine NIS2- oder DORA-Prüfung. Wirksame Frameworks sind kontinuierlich.
Framework und Maßnahmen verwechseln. Direkt zu MFA und Verschlüsselung zu springen, bedeutet, dass Sie nicht erklären können, warum Sie diese Maßnahmen gewählt haben oder ob sie Ihre tatsächlichen Risiken adressieren.
Ein Framework für alles übernehmen. Unternehmens-, IT-Governance-, Informationssicherheits- und quantitatives Risiko haben unterschiedliche Dynamiken. Ein geschichteter Ansatz schlägt fast immer den Versuch, einen Standard alles erledigen zu lassen.
Risiko nicht mit Nachweisen verbinden. Ihr Risikoregister, Ihre Behandlungsentscheidungen und Restrisiko-Akzeptanzen sind Ihre Compliance-Nachweise. Wenn eine Behörde, ein Prüfer oder ein Großkunde sie nicht sehen kann, bietet das Framework keinen Sicherungswert.

Von Framework-Ergebnissen zu kontrollierten Trust-Center-Nachweisen

Ein Risikomanagement-Framework erzeugt genau die Artefakte, die Kunden, Prüfer und Behörden sehen wollen: ein aktuelles Risikoregister, dokumentierte Behandlungsentscheidungen, Nachweise der Vorstandsaufsicht und den Beleg, dass das Restrisiko zum erklärten Risikoappetit passt. Der wiederkehrende Fehlerfall ist, dass diese Ergebnisse in Tabellen und Foliensätzen liegen, auf die niemand außerhalb des Risikoteams zugreifen kann.

Hier wird ein Trust Center zur externen Nachweisebene Ihres Frameworks. Statt Ihren ISO-27005-Risikobehandlungsplan für jeden Interessenten in einen 200-Fragen-Sicherheitsfragebogen zu übertragen, veröffentlichen Sie kontrollierte, versionierte Nachweise einmal — Ihr ISO-27001-Zertifikat, Ihre NIS2/DORA-Risikomanagement-Haltung, Ihren Maßnahmenstatus — und lassen Käufer und deren KI-Agenten sie selbst abrufen.

Compliance-Automatisierung schließt den Kreis, indem sie die zugrunde liegenden Nachweise kontinuierlich sammelt und in diese externe Ebene einspeist, sodass die Lücke zwischen "wir haben ein Framework" und "wir können es belegen" verschwindet.

Häufig gestellte Fragen

Was ist ein Risikomanagement-Framework?

Ein Risikomanagement-Framework ist ein strukturierter Satz von Grundsätzen, Prozessen und Praktiken, um Risiken wiederholbar zu identifizieren, zu bewerten, zu behandeln, zu überwachen und zu berichten. Anerkannte Beispiele sind ISO 31000, NIST RMF, COSO ERM, COBIT 2019, FAIR und ISO/IEC 27005. Nach Artikel 21 der NIS2 und Artikel 6 der DORA müssen betroffene europäische Organisationen ein dokumentiertes Framework betreiben.

Welche Arten von Risikomanagement-Frameworks gibt es?

Es gibt drei Familien: unternehmensweit/grundsatzbasiert (ISO 31000, COSO ERM), IT und Informationssicherheit (NIST RMF, ISO/IEC 27005, COBIT 2019) und quantitativ (FAIR). Die meisten reifen Organisationen kombinieren sie schichtweise mit einem Dach-Framework plus domänenspezifischen.

Was ist der Unterschied zwischen ISO 31000 und NIST RMF?

ISO 31000 ist ein breiter, grundsatzbasierter Standard für jede Risikoart, der vorgibt, wie man über Risiken denkt. NIST RMF (SP 800-37) ist ein präskriptiver siebenstufiger Prozess für Informationssysteme und Cybersicherheit, gekoppelt an den Katalog SP 800-53. Viele Organisationen nutzen ISO 31000 als Dach und NIST RMF für den technischen Prozess.

Wie lassen sich NIS2 und DORA auf ISO 27005 abbilden?

Artikel 21(2)(a) der NIS2 verlangt Konzepte zur Risikoanalyse, weiter detailliert durch die Durchführungsverordnung (EU) 2024/2690; ISO/IEC 27005 liefert die Methodik. Artikel 6 der DORA verlangt einen dokumentierten IKT-Risikomanagementrahmen, der mindestens jährlich überprüft wird; ISO 27005 liefert den IKT-Risikoprozess, meist mit COBIT 2019 für die Governance.

Welches Risikomanagement-Framework eignet sich am besten für ISO 27001?

ISO/IEC 27005, da es die Risikobewertungspflicht aus ISO 27001 Abschnitt 6.1 direkt erfüllt. Organisationen mit Unternehmensrisiken über die Informationssicherheit hinaus ergänzen häufig ISO 31000 als übergeordnetes Framework.

Kann man mehrere Risikomanagement-Frameworks gleichzeitig nutzen?

Ja — die meisten regulierten Organisationen schichten ISO 31000 (Dach), COBIT 2019 (IT-Governance), ISO 27005 oder NIST RMF (Informationssicherheitsprozess) und FAIR (Quantifizierung). Klare Governance und ein einziges Risikoregister halten sie komplementär.

Was ist das ENISA-Risikomanagement-Framework?

Das Interoperable EU-Risikomanagement-Framework der ENISA (2022) und die Toolbox (2023) liefern eine gemeinsame Methodik und Terminologie für EU-Cyberrisiken und bilden bestehende Frameworks aufeinander ab. Die ENISA erstellte zudem die technischen Leitlinien hinter der NIS2-Durchführungsverordnung (EU) 2024/2690.

Worin unterscheidet sich ein Risikomanagement-Framework von einem Maßnahmen-Framework?

Ein Risikomanagement-Framework ist die Prozess- und Governance-Ebene (wie Sie entscheiden). Ein Maßnahmen-Framework wie ISO 27001 Anhang A oder NIST SP 800-53 ist der Katalog von Schutzmaßnahmen (was Sie umsetzen). Beide arbeiten zusammen.

Brauchen kleine Unternehmen ein formelles Risikomanagement-Framework?

Sie benötigen einen dokumentierten, wiederholbaren Prozess — besonders bei NIS2-Betroffenheit, bei Belieferung von ISO-27001-fordernden Kunden oder als IKT-Dienstleister eines DORA-regulierten Unternehmens. ISO/IEC 27005 oder eine schlanke ISO-31000-Anwendung ist meist der angemessenste Einstieg.

Weiterführende Lektüre

Was ist ISO 27001? Der vollständige Leitfaden für 2026 — der Standard, dessen Abschnitt 6.1 ISO 27005 erfüllt
10 beste ISMS-Software-Tools 2026 — Plattformen, die Ihr Risiko-Framework operationalisieren
Leitfaden zur NIS2-Richtlinie — die Risikomanagement-Maßnahmen aus Artikel 21 im Detail
DORA-Compliance-Leitfaden — das IKT-Risikomanagement-Rahmenwerk der Artikel 5–16
Risikomanagement-Frameworks (Glossar) — die Schnellreferenz-Definition
Compliance-Automatisierung — Framework-Nachweise kontinuierlich sammeln

Quellen & Referenzen

[¹] Moradi, P. — "COSO-ERM, NIST RMF, ISO 31000, COBIT" (Framework-Vergleich): https://www.linkedin.com/pulse/coso-erm-nist-rmf-iso-31000-cobit-pooyan-moradi

[²] ISACA — "Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements" (2025): https://www.isaca.org/resources/white-papers/2025/resilience-and-security-in-critical-sectors-navigating-nis2-and-dora-requirements

[³] ISACA — COBIT 2019 Framework (Governance and Management Objectives): https://www.isaca.org/resources/cobit

[⁴] EUR-Lex — Richtlinie (EU) 2022/2555 (NIS2), Artikel 21; und Durchführungsverordnung (EU) 2024/2690: https://eur-lex.europa.eu/eli/dir/2022/2555/oj | https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj

[⁵] ISO — ISO 31000:2018 Risikomanagement — Leitlinien: https://www.iso.org/standard/65694.html

[⁶] EUR-Lex — Verordnung (EU) 2022/2554 (DORA), Artikel 6 (IKT-Risikomanagementrahmen); ISO/IEC 27005:2022: https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng | https://www.iso.org/standard/80585.html

[⁷] The Open Group — Open FAIR Body of Knowledge (Risikotaxonomie O-RT und Risikoanalyse O-RA): https://www.opengroup.org/open-fair

[⁸] ENISA — Interoperable EU Risk Management Framework & Toolbox; Technische Umsetzungsleitlinien zu Risikomanagement-Maßnahmen: https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework | https://www.enisa.europa.eu/topics/risk-management

[⁹] FCA — PS21/3 Building Operational Resilience und PS26/2 Operational Incident & Third-Party Reporting; NCSC — Cyber Assessment Framework (CAF) v4.0: https://www.fca.org.uk/publications/policy-statements/ps21-3-operational-resilience | https://www.ncsc.gov.uk/collection/cyber-assessment-framework

[¹⁰] Nationale NIS2-Aufsichtsbehörden — BSI (Deutschland), ANSSI (Frankreich), RDI/NCSC-NL (Niederlande): BSI – NIS-2-regulierte Unternehmen | EU-Kommission – NIS2-Richtlinie

[¹¹] Nationale DORA-Aufsichtsbehörden — BaFin (Deutschland), ACPR/AMF (Frankreich), DNB/AFM (Niederlande): https://www.bafin.de/EN/die-bafin/die-bafin_node_en.html | https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng