How does the IKT-Minimalstandard structure its risk-management requirements (Risikoanalyse example)?
The standard lists concrete tasks (Aufgaben) under thematic categories — for risk analysis, that means six explicit steps from "identify your IT assets" to "define and prioritise immediate response measures."
* Risk analysis as six concrete ID.RA tasks — each cross-referenced to ISO 27001, NIST SP 800-53, COBIT 5 and more. *
For example, table 9 from the standard, under 2.2.4 Risikoanalyse (Risk Assessment):
| ID | Aufgabe |
|---|---|
| ID.RA-1 | Identifizieren Sie die (technischen) Verwundbarkeiten Ihrer Betriebsmittel und dokumentieren Sie diese |
| ID.RA-2 | Aktuelle Informationen über Cyber-Bedrohungen werden durch regelmässigen Austausch in Foren und Gremien erhalten |
| ID.RA-3 | Identifizieren und dokumentieren Sie interne und externe Cyber-Bedrohungen |
| ID.RA-4 | Identifizieren Sie mögliche Auswirkungen der Cyber-Bedrohungen auf die Geschäftstätigkeit und bewerten Sie ihre Eintretenswahrscheinlichkeit |
| ID.RA-5 | Bewerten Sie die Risiken für Ihre Organisation basierend auf den Bedrohungen, Verwundbarkeiten, Auswirkungen (auf die Geschäftstätigkeit) und Eintretenswahrscheinlichkeiten |
| ID.RA-6 | Definieren Sie mögliche Sofortmassnahmen bei Eintritt eines Risikos und priorisieren Sie diese |
Each task is then cross-referenced to multiple international frameworks (COBIT 5, ISA 62443, ISO 27001, NIST SP 800-53, BSI 100-2) — Table 10 in the standard documents the mapping.
Tip: The cross-references are the killer feature: implement the Swiss standard once, and you've got compliance evidence for any of those other frameworks too. That's what makes the IKT-Minimalstandard the cheap-and-easy starter ISMS in Switzerland.
Go deeper:
ICT minimum standards (NCSC, official EN) — the standard whose tables list the ID.RA risk-analysis tasks and cross-references.
NIST Cybersecurity Framework (Wikipedia) — origin of the ID.RA (Identify, Risk Assessment) task numbering.