Vielen Dank für das Feedback, das freut uns!

Hallo @BediMc, vielen Dank für dein Interesse! Wie du schon korrekt gesagt hast, ist die Risikokommunikation eine Mischung aus Top-Down und Bottom-Up. Beide "Richtungen" müssen ineinander gehen und funktionieren nicht als einzelnes. Die Fachbereiche sollten ihre Risiken nach "oben" berichten, damit das Top Management zumindest einen groben Überblick über die Risikolandschaft hat. Ebenso ist es wichtig, dass das Top Management den Fachbereichen die Möglichkeit gibt, Maßnahmen zur Minderung von Risiken umzusetzen - dafür ist eine Kommunikation in die andere Richtung notwendig. Eine "einseitige" Kommunikation würde einen der beiden Aspekte außer Acht lassen.

Im Kontext des ISMS gibt es Anforderungen (z.B. aus Gesetzen, Vorschriften, Verträgen oder Standards), die einzuhalten sind. Werden diese Anforderungen nicht eingehalten, kann ein Risiko entstehen, das in Bezug auf die Eintrittswahrscheinlichkeit und Schadensschwere zu bewerten ist. Ob ich dieses Risiko „eingehe“ (akzeptiere) oder ob ich es mit angemessenen Maßnahmen behandle, wird durch mehrere Faktoren, wie z.B. das Risikoakzeptanzniveau beeinflusst. Die Risiken für ein Unternehmen „kommen“ also in diesem Kontext von den geltenden Anforderungen und möglichen Abweichungen von den Anforderungen. Es gibt aber noch weitere Quellen, aus denen Risiken identifiziert werden können: Bedrohungsanalysen, Security Incidents, Audits etc. Auch diese Risiken müssen natürlich erfasst und behandelt werden.