Systematischer Prozess zur Identifizierung, Analyse und Bewertung von Cyberrisiken, um Wahrscheinlichkeit, Auswirkungen und Behandlungspriorität von Bedrohungen zu bestimmen. Beinhaltet qualitative und quantitative Methoden, Analyse kritischer Assets, Schwachstellenbewertung, Schätzung des Restrisikos und Definition von Minderungsstrategien gemäß Rahmenwerken wie ISO 27005, NIST RMF und Branchenstandards.