Zum Inhalt springen

GlossarDefinition

Was ist GRC (Governance, Risk & Compliance)?

Zuletzt aktualisiert:

Kurz erklärt: GRC steht für Governance, Risk and Compliance und bezeichnet einen integrierten Ansatz, der drei traditionell getrennte Disziplinen zusammenführt — die Unternehmenssteuerung (Governance), das Risikomanagement (Risk) und die Einhaltung von Gesetzen und Standards (Compliance). Ziel ist, Sicherheitsentscheidungen nicht isoliert, sondern entlang der Unternehmensstrategie und der regulatorischen Anforderungen zu treffen. In der Cybersecurity ist GRC der organisatorische Rahmen, in dem ein ISMS, Risikobehandlung und Compliance-Nachweise zusammenlaufen.

GRC steht für Governance, Risk and Compliance und bezeichnet einen integrierten Steuerungsansatz, der drei traditionell getrennt geführte Disziplinen zu einem abgestimmten Rahmen verbindet: die Unternehmensführung, das Risikomanagement und die Einhaltung von Vorgaben. In der Cybersecurity ist GRC der organisatorische Überbau, in dem Strategie, Risikobehandlung und der Nachweis von Regelkonformität zusammenlaufen.

Foundational Facts

  • Bedeutung: Governance, Risk and Compliance
  • Charakter: integrierter Steuerungsansatz, kein einzelner Standard
  • Geprägt durch: OCEG (Open Compliance and Ethics Group), frühe 2000er-Jahre
  • Anwendungsbereich: Informationssicherheit, Datenschutz, Finanzen, ESG, Arbeitssicherheit
  • Cybersecurity-Bezug: organisatorischer Rahmen über ISMS, Risikomanagement und Compliance-Nachweisen

Die drei Dimensionen

Governance

Governance umfasst die Steuerungs- und Führungsstrukturen eines Unternehmens: Wer trifft welche Entscheidungen? Wie werden Ziele gesetzt, Verantwortlichkeiten verteilt und die Zielerreichung überwacht? In der Cybersecurity heißt das konkret: Sicherheitsleitlinie, Rollen und Verantwortlichkeiten, Berichtswege an die Geschäftsleitung und die Verankerung von Sicherheit in der Unternehmensstrategie.

Risk

Die Risikodimension behandelt die systematische Identifikation, Bewertung und Behandlung von Risiken. In der Informationssicherheit ist das das Information Security Risk Management (ISRM) — von der Risikoidentifikation über die Bewertung anhand von Risk Tolerance Criteria bis zur Entscheidung über Risikobehandlungsmaßnahmen.

Compliance

Compliance bezeichnet die Einhaltung verbindlicher Vorgaben — Gesetze, Verordnungen, Verträge, branchenspezifische Standards und interne Richtlinien. In der Cybersecurity sind das etwa NIS2, die DSGVO, branchenspezifische Anforderungen oder Zertifizierungen nach ISO 27001.

Warum „integriert”?

Der eigentliche Wert von GRC liegt im Wort integriert. Werden Governance, Risk und Compliance getrennt betrieben, entstehen typische Probleme:

  • Doppelarbeit: Dieselben Kontrollen werden für verschiedene Audits mehrfach dokumentiert.
  • Blinde Flecken: Risiken werden erkannt, aber nicht mit Compliance-Pflichten verknüpft.
  • Fehlsteuerung: Sicherheitsinvestitionen folgen nicht der Unternehmensstrategie.

Ein integrierter GRC-Ansatz nutzt eine gemeinsame Sprache und Datenbasis: Ein einmal definiertes Control kann gleichzeitig ein Risiko mindern und einen Compliance-Nachweis liefern.

GRC im Mittelstand — pragmatisch umgesetzt

GRC ist zunächst ein Konzept, kein Tool. Für ein KMU reichen oft schlanke Mittel:

DimensionPragmatisches Minimum
GovernanceSicherheitsleitlinie + benannte Verantwortliche + regelmäßiges Management-Review
RiskRisikoregister mit Bewertung und Behandlungsentscheidung
ComplianceÜbersicht der anwendbaren Pflichten (NIS2, DSGVO, Verträge) + Nachweis-Ablage

Erst wenn die Zahl der Anforderungen, Kontrollen und Nachweise unübersichtlich wird, lohnt sich eine spezialisierte GRC-Plattform, die Risiken, Kontrollen und Compliance-Anforderungen miteinander verknüpft.

GRC und NIS2 — ein Lehrstück

NIS2 zeigt, warum die drei Dimensionen zusammengehören:

  • Governance: Die Geschäftsleitung trägt die Verantwortung und haftet persönlich.
  • Risk: Es sind konkrete Risikomanagement-Maßnahmen umzusetzen.
  • Compliance: Die Einhaltung ist Rechtspflicht, Verstöße werden sanktioniert.

Wer NIS2 nur als Compliance-Checkliste abarbeitet, ohne Governance und Risikomanagement mitzudenken, erfüllt die Anforderungen formal, aber nicht substanziell.

Häufige Fragen

Wofür stehen die drei Buchstaben in GRC?
G steht für Governance (Unternehmensführung und -steuerung), R für Risk (Risikomanagement) und C für Compliance (Einhaltung von Gesetzen, Verträgen und Standards). Der Kerngedanke von GRC ist, diese drei Bereiche nicht getrennt, sondern integriert zu betreiben, damit Risikoentscheidungen, strategische Ziele und regulatorische Pflichten aufeinander abgestimmt sind.
Was ist der Unterschied zwischen GRC und einem ISMS?
Ein ISMS (Informationssicherheits-Managementsystem) ist auf die Informationssicherheit fokussiert und meist an ISO 27001 ausgerichtet. GRC ist der breitere, übergreifende Steuerungsrahmen, der neben Informationssicherheit auch Datenschutz, Finanz-Compliance, Arbeitssicherheit oder ESG umfassen kann. Das ISMS ist damit oft ein Baustein innerhalb der GRC-Gesamtarchitektur eines Unternehmens.
Braucht ein KMU eine GRC-Software?
Nicht zwingend. GRC ist zunächst ein Konzept, kein Werkzeug. Kleine und mittlere Unternehmen können GRC mit klaren Verantwortlichkeiten, einem Risikoregister und einer Compliance-Übersicht auch mit einfachen Mitteln umsetzen. Spezialisierte GRC-Plattformen lohnen sich erst, wenn die Zahl der Anforderungen, Kontrollen und Nachweise so groß wird, dass Tabellen nicht mehr genügen.
Wie hängt GRC mit NIS2 zusammen?
NIS2 verlangt von der Geschäftsleitung explizit Verantwortung für das Risikomanagement der Cybersicherheit — das ist klassische Governance. Gleichzeitig fordert NIS2 konkrete Risikomanagement-Maßnahmen (Risk) und macht deren Einhaltung zur Rechtspflicht mit Haftung (Compliance). NIS2 ist damit ein Paradebeispiel dafür, warum die drei GRC-Dimensionen zusammen betrachtet werden müssen.
Kategorie