DIN EN 61508-1 (VDE 0803-1):2011 gibt hierzu im Unterabschnitt 7.4 „Gefährdungs- und Risikoanalyse“ folgende Empfehlung:

• Wenn die Gefährdungsanalyse zeigt, dass eine böswillige oder nicht autorisierte Handlung, die eine Bedrohung der IT-Sicherheit darstellt, als vernünftigerweise vorhersehbar gilt, sollte eine Bedrohungsanalyse zur IT-Sicherheit durchgeführt werden.

und trifft in der zugehörigen Anmerkung 3 folgende Aussage:

• Für eine Anleitung zur Risikoanalyse im Rahmen der IT-Sicherheit siehe die Normenreihe IEC 62443.

Aus dieser Normenreihe liegt zur Zeit kein Teil vor, der eine Risiko- oder Bedrohungsanalyse beschreiben würde. Eine solche kann jedoch auch mit Hilfe der VDI/VDE 2182 durchgeführt werden.

Sehen Sie hierzu bitte auch die Erläuterungen von Dr. Wolfgang Morr, Obmann UK 931.1 „IT-Sicherheit in der Automatisierungstechnik“ zur Unterscheidung zwischen IT-Sicherheit und funktionaler Sicherheit.

Zuständig ist das DKE/K 931 "Systemaspekte ". Die genannten Normen könenn im VDE VERLAG bezogen werden.