Eine Risikoklasse gruppiert Risiken in Stufen (z. B. gering, mittel, hoch, kritisch) und bestimmt, welche Tiefe an Maßnahmen jeweils erforderlich ist. Die Zuordnung erfolgt anhand der Risikomatrix auf Basis von Eintrittswahrscheinlichkeit und Schadensausmaß. Risiken in hohen Klassen erfordern priorisierte Behandlung und engmaschigere Überwachung. Du kannst Risikoklassen auch mit SLA-Vorgaben verknüpfen: Ein kritisches Risiko muss beispielsweise innerhalb von 30 Tagen behandelt sein. Im ISMS bildet die Risikoklasse die Grundlage für die Priorisierung im Risikobehandlungsplan.