Nicht jede IT-Komponente bringt dieselben Risiken mit sich. Daher ist eine risikobasierte Bewertung notwendig, um Digitale Souveränität, Wirtschaftlichkeit und praktische Umsetzbarkeit sicherzustellen. Die Tiefe und Priorität der Bewertung richtet sich insbesondere nach:1

• Datenkritikalität: Anforderungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der Daten der durch die IT-Infrastruktur verarbeiteten Informationen. • Rechtsrisiko: Regulatorische Anforderungen, die erfüllt werden müssen, z. B. Datenschutz, Transfers, Branchenrecht oder Vorgaben wie NIS2, CRA und AI-Act. • Abhängigkeitsgrad: Abhängigkeit von einzelnen Anbietern, proprietären Lösungen sowie Machbarkeit einer Datenrückmigration, um Lock-In-Effekte zu vermeiden. • Sicherheitslage: Technische und organisatorische Schutzmaßnahmen, Schwachstellenexposition und Reifegrad der Sicherheitskontrollen. • Verwaltungsprozesse: Art, Umfang und Kritikalität der Verwaltungsprozesse, die auf die IT-Infrastruktur der Organisation angewiesen sind. • Lieferkettenzuverlässigkeit: Stabilität und Integrität der Lieferkette einschließlich Einhaltung rechtlicher Vorgaben wie der Vergabeverordnung oder des Lieferkettensorgfaltspflichtengesetzes.