# 2. Bewerten

Auf Grundlage der Elemente, die Sie im Risikotyp identifiziert haben, und des Kontexts des Assets müssen Sie nun das Risiko bewerten.

Diese Bewertung erfolgt in Bezug auf Wahrscheinlichkeit und Auswirkung.

#### Bestimmung der Risikoskala <a href="#determination-de-lechelle-de-risques" id="determination-de-lechelle-de-risques"></a>

Um Risiken zu bewerten, ist es notwendig, diese beiden Werte auf einer Skala zu positionieren. Das ist die Risikoskala. Diese Skala basiert in der Regel auf 5 Stufen. In Frankreich sieht die Methode Ebios (die insbesondere von der CNIL und der ANSSI vorangetrieben wird) eine Skala mit 4 Stufen vor.

Für jede Stufe müssen Anwendungsbedingungen festgelegt werden. Die Skala kann beispielsweise einem finanziellen Betrag entsprechen (in Bezug auf die Auswirkung).

Die Skala von Dastra ist anpassbar. Sie können sie in den Einstellungen des Mandanten ändern (Achtung, nur der Administrator hat Zugriff darauf).

<figure><img src="https://static.dastra.eu/richtextbackoffice/c2aefa64-eafa-441b-86e1-c0ac36db7a5e/image.png" alt=""><figcaption><p><em>Ein Modell einer Risikoskala</em></p></figcaption></figure>

#### Wahrscheinlichkeit (Plausibilität) <a href="#probabilite-vraissemblance" id="probabilite-vraissemblance"></a>

Die Wahrscheinlichkeit entspricht der Bewertung der Häufigkeit des Eintretens eines Risikos. Es handelt sich um einen empirisch bewerteten Score (traditionell auf einer Skala von 5). Jede Risikostufe kann einer Häufigkeit des Risikoauftretens (und damit der Verwirklichung der Bedrohung) entsprechen.

#### Auswirkung (Schwere) <a href="#impact-gravite" id="impact-gravite"></a>

Die Auswirkung entspricht der Bewertung der Folgen eines befürchteten Ereignisses auf das Unternehmen. Es wird die Schwere dieser Folge geschätzt.

Je nach dem bewerteten Risiko kann diese Auswirkung variieren. Diese Bewertung kann empirisch geschätzt werden. Zum Beispiel durch die Schätzung der Kosten eines Datenlecks oder einer Nichtverfügbarkeit der Daten infolge eines Cyberangriffs. Das Ereignisprotokoll kann helfen, diese vergangenen Erfahrungen zu konkretisieren.

> Wenn es sich um Risiken für Personen handelt (im Rahmen der DSGVO zum Beispiel), entspricht die Auswirkung dem Schaden, der den betroffenen Personen zugefügt wird, und der Beeinträchtigung ihrer Rechte und Freiheiten. Bereits erwähnt wurden Diskriminierung, Vertragsablehnung, Unannehmlichkeiten.
>
> Die von der CNIL erstellte Tabelle, die [in diesem Artikel zugänglich ist](https://www.dastra.eu/fr/guide/rgpd-evaluer-la-gravite-dun-risque-pour-les-personnes-concernees/51878), zur Bewertung der Auswirkungen auf betroffene Personen kann bei dieser Bewertung helfen.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/de/features/la-gestion-des-risques/le-processus-de-gestion-des-risques/2.-evaluer.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.