Neue DIN EN IEC 31010 Verfahren zur Risikobeurteilung
Im Dezember 2024 ist die Norm DIN EN IEC 31010; VDE 0050-1:2024-12 „Risikomanagement – Verfahren zur Risikobeurteilung“ erschienen und ersetzt damit die zuletzt gültige Fassung vom November 2010. Die DIN EN IEC 31010 wurde überarbeitet und erweitert, um Unternehmen und Organisationen eine noch effizientere Risikobeurteilung zu ermöglichen. Sie stellt eine zentrale Ergänzung zur ISO 31000 „Risikomanagement – Leitlinien“ dar und bietet detaillierte Methoden zur Risikobeurteilung in verschiedenen Anwendungsbereichen wie Technische Gebäudeausrüstung (TGA), öffentliche Gebäude, Cybersecurity, Klimarisiken und Nachhaltigkeit. Die überarbeitete Norm bringt zahlreiche Erweiterungen und Verbesserungen mit sich.
Erweiterung der Risikobeurteilungsmethoden
Die Erweiterung der Risikobeurteilungsmethoden von bislang 30 auf nun 41 Verfahren sorgt für mehr Flexibilität bei der Auswahl individuell passender Anwendungen. Neu aufgenommen wurden unter anderem Bayessche Netzwerke, die eine Modellierung komplexer Abhängigkeiten zwischen Risiken erlauben, sowie Monte-Carlo-Simulationen, mit denen Unsicherheiten quantitativ analysiert werden können, was sich insbesondere in der Technik und der Finanzwelt bewährt hat. Ergänzt wird das Spektrum durch die Fehlerbaumanalyse (FTA), die eine systematische Untersuchung möglicher Fehlerursachen unterstützt, sowie durch spezielle Verfahren zur Cyber-Risikobewertung, die der Einschätzung von Gefahren für IT- und Netzwerksysteme dienen. Mit dieser Erweiterung bietet die Norm Organisationen die Möglichkeit, ihre Risikobeurteilung noch gezielter an individuelle Anforderungen anzupassen und unterschiedliche Methoden miteinander zu kombinieren.
Klare Leitlinien zur Auswahl der richtigen Methode
Die verbesserten Entscheidungshilfen für die Methodenwahl erleichtern Unternehmen die gezielte Auswahl passender Verfahren. Die Norm enthält eine strukturierte Übersicht, wann welche Methode angewendet werden sollte. Unterschieden wird nun deutlicher zwischen qualitativen Methoden wie HAZOP, semi-quantitativen Ansätzen wie der Risikomatrix und quantitativen Verfahren wie der Monte-Carlo-Simulation. Dies erleichtert Unternehmen die Wahl der besten Methode für ihren speziellen Anwendungsfall.
Integration neuer Technologien und Cyber-Risikobewertungen
Durch die Integration von Cyber-Risikobewertungen berücksichtigt die Norm nun gezielt digitale Bedrohungen. Mit der zunehmenden Vernetzung von Gebäudetechnik, Industrieanlagen und IT-Systemen sind Cybersecurity-Risiken ein zentraler Faktor. Die Norm enthält spezielle Ansätze zur Bewertung von IT- und Cyberrisiken in Smart Buildings und industriellen Steuerungssystemen (ICS).
Vermeidung von Redundanzen mit ISO 31000
Durch die Reduzierung von Redundanzen erhält die Norm eine stärkere inhaltliche Fokussierung. Die vorherige Version enthielt viele Wiederholungen aus der ISO 31000. Diese wurden entfernt, sodass sich die neue Norm ausschließlich auf Methoden zur Risikobeurteilung konzentriert. Das macht sie praxisnäher und effizienter anwendbar.
Berücksichtigung von Klimarisiken und Nachhaltigkeit
Die DIN EN IEC 31010 trägt der wachsenden Bedeutung von Klimarisiken und Nachhaltigkeit Rechnung, insbesondere für öffentliche Infrastrukturprojekte und langfristige Planungen. Die Norm wurde erweitert, um klimabezogene Risiken und nachhaltige Entwicklung besser abzudecken. Besonders in Bereichen wie öffentliche Gebäude, Infrastrukturprojekte und Energieversorgung sind Methoden zur Bewertung von Umweltfolgen, Extremwetterereignissen und CO₂-Reduktion jetzt stärker integriert. Dadurch wird die praktische Anwendung wesentlich erleichtert.
Internationale Harmonisierung
Die Norm wurde international harmonisiert, um global agierenden Unternehmen die Anwendung zu erleichtern. Die neue Version wurde stärker an internationale Normen wie ISO/IEC 27005 „Information security, cybersecurity and privacy protection – Guidance on managing information security risks“, IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“ und ISO 31000 „Risikomanagement – Leitlinien angepasst.
Verbesserte Praxisnähe und Anwendungsbeispiele
Zudem enthält die Norm detailliertere Prozessbeschreibungen, die Anwender bei der praktischen Umsetzung unterstützen. Dabei wird erläutert, wie eine Risikoanalyse vorbereitet wird, welche Faktoren die Methodenauswahl beeinflussen, wie die erzielten Ergebnisse dokumentiert und in das Risikomanagement integriert werden.
Anwendungsbeispiel: Technische Gebäudeausrüstung (TGA)
Ein Krankenhausbetreiber könnte mit der neuen Norm verschiedene Methoden kombinieren, um eine umfassende Risikobeurteilung durchzuführen. So lässt sich eine FMEA einsetzen, um mögliche Fehlerquellen in der Sauerstoffversorgung zu analysieren, während eine Monte-Carlo-Simulation dabei hilft, die Notstromkapazitäten im Falle eines Stromausfalls zu bewerten. Für die Betriebssicherheit der Lüftungsanlagen bietet sich zudem eine HAZOP-Analyse an. Durch die neue Struktur kann gezielt die passende Methode gewählt werden.
Anwendungsbeispiel: Cybersecurity und Smart Buildings
Für ein vernetztes Verwaltungsgebäude mit IoT-Steuerung hilft die Norm, Schwachstellen in Zutrittskontrollen, Heizungssteuerung oder Notstromversorgung zu beurteilen. Methoden wie Fault Tree Analysis oder Bow-Tie-Analysen ermöglichen eine detaillierte Sicherheitsbewertung.
Anwendungsbeispiel: Öffentliche Infrastruktur und Klimaanpassung
Ein Stadtplanungsbüro könnte die Norm nutzen, um bei einem neuen Hochwasserschutzprojekt potenzielle Risiken durch steigende Meeresspiegel oder extreme Wetterereignisse abzuschätzen.
Autor: Prof. Dr. Udo Weis, Leiter des Steinbeis Transfer Institut für International Business and Risk Management
