Die potentiellen Schäden die im Falle eines Sicherheitsproblems eines kritischen IT-Systems auftreten können sind katastrophal (siehe Abschnitte 9.2 und 9.3). Damit die Risiken möglichst strukturiert erfasst und geeignete Maßnahmen zu ihrer Vermeidung, Reduzierung oder Übertragung definiert, dokumentiert und umgesetzt werden werden, muss für jedes kritische IT-System eine individuelle Risikoanalyse und -behandlung durchgeführt sowie zyklisch und bei Bedarf wiederholt werden.

Die Risikoanalyse behandelt die Frage „Welche Risiken bestehen für das kritische IT-System?“. Sie definiert damit das kritische IT-System als Schutzobjekt.

Ein T.il d.r b.i d.r Ri.ikoanaly.. und –b.handlung zu b.rück.ichtig.nd.n B.drohung.n .ind in Ab.chnitt 13.3 Z1.1 bi. Z1.6 vorg.g.b.n.