Der flächendeckende Einsatz vernetzter IT-Systeme macht es immer wichtiger, möglichen Schäden durch ein präventives IT-Risikomanagement vorzubeugen.
Für eine sichere IT sollten die Unternehmen schon aus ihrem eigenen wirtschaftlichen Interesse heraus sorgen.
Abgesehen davon sind sie aber auch von Gesetzes wegen dazu verpflichtet.
Risikomanagement umfasst sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken.
So definiert der Gesetzgeber die IT-Sicherheit als „Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen durch Sicherheitsvorkehrungen in beziehungsweise bei der Anwendung von informationstechnischen Systemen oder Komponenten betreffen“ (§ 2 (2) des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik).
In § 9 des Bundesdatenschutzgesetzes (BGSG) wird die Wirtschaft verpflichtet, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen und auch im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind die Anforderungen an das Risiko-Management für Kapitalgesellschaften deutlich verschärft worden.
So müssen Vorstände nun geeignete Sicherheitsmaßnahmen treffen und „insbesondere ein Überwachungssystem einrichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 (2) Aktiengesetz).
Eine Verletzung / Nichtbeachtung dieser Pflicht kann für Vorstände sehr teuer werden, da sie der Gesellschaft persönlich zum Schadensersatz verpflichtet sind.

Aus diesen Gründen ist die Einführung eines geeigneten Risikomanagemnt -insbesondere hinsichtlich der IT-Risiken- unabdingbar.
Dabei ist die Zielsetzung des IT-Risiko-Managements weniger, alle möglichen Gefahren zu vermeiden, – vielmehr muss es darum gehen, die für das Unternehmen relevanten Risiken zu identifizieren und effiziente Maßnahmen zu deren Begrenzung treffen.