Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit veranschlagt wird, desto geringer ist das Risiko.

Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das Risikomanagement ein.

Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der Ursache, nach der Häufigkeit und der Schadenshöhe.