RiskNote
Guide

Sådan gennemfører du en risikoanalyse

Fra blankt ark til et risikoregister, der styrer virksomheden. Syv trin, forankret i ISO 31000 og ISO 27005, skrevet til praksis.

By Kim Borg, Founder, RiskNote · Last updated

Derfor går de fleste risikoanalyser i stå, før de starter

Alle ved, at der burde være en risikoanalyse. Problemet er sjældent manglende vilje. Det er, at skridtet fra ”vi burde lave en” til faktisk at have en på plads føles for stort.

Det begynder med et blankt ark. Hvad skal vi vurdere? Hvilke kategorier? Hvordan fastsætter vi sandsynlighed og konsekvens? Pludselig er der gået tre måneder, og arket er stadig blankt.

Denne guide tager dig fra start til færdig risikoanalyse. Forankret i ISO 31000 og ISO 27005, men skrevet til praksis, ikke lærebogen. Download Excel-skabelonen, hvis du vil følge med i dit eget register, mens du læser.

Trin 1 — Start med beskyttelsesværdierne

Før du identificerer én eneste risiko, skal du vide, hvad du faktisk skal beskytte. Det er her, de fleste risikoanalyser går galt: man starter med at liste trusler uden først at forstå, hvad der er værd at beskytte.

Beskyttelsesværdier er det, virksomheden ikke kan undvære. Lav en kort inventering: hvad sker der, hvis det forsvinder, forstyrres eller lækker? Det bliver din prioriterede liste.

  • Information

    Kundedata, forretningshemmeligheder, personoplysninger.

  • Tilgængelighed

    Kritiske systemer, processer, leverancer.

  • Økonomiske midler

    Indtægtsstrømme, aktiver, pengestrøm.

  • Brand og tillid

    Omdømme, kunderelationer, markedsposition.

  • Mennesker

    Medarbejdere, kunder, tredjepart.

  • Regelefterlevelse

    Licenser, tilladelser, retlig stilling.

Trin 2 — Definer omfanget

En almindelig faldgrube: at forsøge at analysere hele virksomheden på én gang. Resultatet bliver overfladisk og ubrugeligt. Definer i stedet tydeligt, hvad der er inkluderet, tidsperspektiv og hvilke interessenter, der berøres.

  • Hvad er i scope?

    Hele organisationen, en specifik proces, et system, en leverandørkæde? En afgrænset analyse med dybde er altid mere værd end en bred uden substans.

  • Hvilket tidsperspektiv?

    De næste 12 måneder, en projektperiode eller en strategisk treårshorisont? Tidsrammen styrer, hvordan sandsynlighed skal vurderes.

  • Hvilke interessenter berøres?

    Ledelse, medarbejdere, kunder, tilsynsmyndigheder? Forskellige interessenter har forskellige tolerancegrænser.

En afgrænset risikoanalyse med dybde slår altid en bred uden substans. Du kan altid lave flere.

Trin 3 — Identificér trusler og risici

Nu fylder du arket. Skeln mellem begreberne: en trussel er det, der kan ske (ransomware, leverandørsvigt). En sårbarhed er svagheden, der gør truslen mulig (usikre backups, enkelt leverandør). En risiko er kombinationen af trussel, sårbarhed og konsekvens for en beskyttelsesværdi.

Arbejd systematisk. Nogle velafprøvede indgangsvinkler:

  • Pr. beskyttelsesværdi

    Hvad kan ramme kundedataene? Hvad kan slå tilgængeligheden ud? Hvad truer brandet?

  • Pr. trusselkategori

    Cyber, fysisk, personale, leverandør, regelværk, økonomi. Sikrer bred dækning.

  • Pr. scenarie

    Hvad sker der, hvis serveren går ned? Hvis nøglepersonen stopper? Hvis en underleverandør går konkurs?

Involver de rette personer. IT ved ikke alt om processerne, virksomheden ved ikke alt om truslerne. En workshop med en tværfunktionel gruppe slår altid en enkelt analytiker.

Trin 4 — Vurdér sandsynlighed og konsekvens

Her forvandles risici fra ord til prioriteringsdata. Brug en skala, der passer til din virksomhed. En 5×5-matrix virker oftest bedst.

Definer skalaerne, før du begynder at vurdere. Hvad betyder egentlig ”alvorlig konsekvens” i kroner, driftsstop eller kundetab? Uden definitioner bliver vurderingerne tilfældige og ikke sammenlignelige over tid.

Sandsynlighed (1–5) — hvor sandsynligt inden for tidshorisonten

  • 1. Usandsynligt

    Svært at se, hvordan det skulle ske.

  • 2. Mindre sandsynligt

    Kan ske, men ikke forventet.

  • 3. Muligt

    Kan sagtens indtræffe.

  • 4. Sandsynligt

    Forventes at indtræffe.

  • 5. Meget sandsynligt

    Indtræffer regelmæssigt eller er nært forestående.

Konsekvens (1–5) — hvor alvorligt hvis risikoen indtræffer

  • 1. Ubetydelig

    Knap nok mærkbar.

  • 2. Begrænset

    Håndterbar forstyrrelse.

  • 3. Mærkbar

    Betydelig påvirkning, men håndterbar.

  • 4. Alvorlig

    Væsentlig skade på virksomheden.

  • 5. Katastrofal

    Truer virksomhedens overlevelse.

Trin 5 — Prioritér handlinger, ikke bare røde felter

En almindelig misforståelse: slutproduktet af en risikoanalyse er matricen med røde felter. Det er det ikke. Slutproduktet er en prioriteret handlingsliste. For hver identificeret risiko vælg en håndteringsstrategi.

Håndteringsstrategier

  • Reducere

    Sænk sandsynlighed eller konsekvens gennem tiltag.

  • Overføre

    Forsikring, kontraktklausuler, outsourcing.

  • Acceptere

    Bevidst risiko inden for tolerance, dokumenteret.

  • Undgå

    Fjern aktiviteten, der skaber risikoen.

Hver handling skal have

  • Tydelig ejer

    Navngiven person med mandat til at drive tiltaget.

  • Frist

    Konkret dato. Ikke ”snart” eller ”til efteråret”.

  • Målbart resultat

    Hvordan ved I, at tiltaget virkede?

  • Forbindelse til risiko

    Hvilken risiko adresseres, og hvordan påvirker tiltaget S og K?

Prioriter tiltag efter effekt pr. indsats, ikke kun efter risikoens niveau. En medium risiko med en enkel løsning kan være vigtigere at håndtere først end en høj risiko, der kræver en treårig investering.

Trin 6 — Hold analysen levende

En risikoanalyse, der lægges i et ringbind, er død dagen efter. Virkeligheden ændrer sig: nye trusler dukker op, virksomheden udvikler sig, tiltag gennemføres, regler skærpes.

En fungerende risikoanalyse er en levende proces:

  • Regelmæssig revision

    Mindst årligt, oftere for kritiske områder.

  • Udløserbaserede opdateringer

    Ved hændelser, ændringer, nye systemer, nye leverandører, nye regelkrav.

  • Kontinuerlig opfølgning

    Af tiltagenes effekt og status, ikke kun risikolisten.

  • Tydelig ejer

    Nogen, der faktisk ejer at holde den opdateret.

For virksomheder under NIS2, ISO 27001 eller tilsvarende er den levende risikoanalyse ikke bare en god idé. Det er et krav.

Trin 7 — Kobl til rammer og regulering

Hvis din virksomhed er underlagt specifikke krav, sørg for at risikoanalysen opfylder dem. De mest almindelige i nordisk sammenhæng:

  • ISO 31000

    Generel risikostyring, principper og ramme. Læs ISO 31000-guiden.

  • ISO 27005

    Informationssikkerhedsrisiko specifikt.

  • ISO 27001

    Kræver dokumenteret risikovurdering og handlingsplan. Se ISO 27001-guiden.

  • NIS2

    Risikostyringsforanstaltninger for væsentlige og vigtige enheder. Læs om NIS2.

  • GDPR (DPIA)

    Konsekvensvurdering ved behandling af personoplysninger. Se GDPR-risikoanalyse.

  • MSBFS 2020:6

    Systematisk informationssikkerhedsarbejde for svenske statslige myndigheder.

  • DORA

    Operationel modstandsdygtighed for finanssektoren.

Den samme underliggende risikoanalyse kan ofte dække flere rammer. Det handler mest om, hvordan den dokumenteres og rapporteres.

Sammenfatning — de syv trin

  • 1. Start med beskyttelsesværdier

    Vid hvad du faktisk skal beskytte.

  • 2. Definer omfanget

    Dybde slår bredde.

  • 3. Identificér trusler og risici

    Systematisk, tværfunktionelt.

  • 4. Vurdér sandsynlighed og konsekvens

    Med definerede skalaer.

  • 5. Prioritér handlinger

    Ikke røde felter, men effekt pr. indsats.

  • 6. Hold analysen levende

    Regelmæssigt og udløserbaseret.

  • 7. Kobl til rammer

    Hvor det behøves.

Ofte stillede spørgsmål om risikoanalyse

Hvor lang tid tager en risikoanalyse?

For en SMV rækker en halv arbejdsdag til første runde: 2–4 timer til identificering og vurdering plus 1–2 timer til handlingsplanen. Større organisationer eller områder, der kræver workshops: regn med 2–5 arbejdsdage i alt.

Hvad er forskellen på risikoanalyse og risikovurdering?

Risikoanalyse er hele processen: identificere, analysere, evaluere, behandle, overvåge. Risikovurdering er som regel en delmængde, selve vurderingen af sandsynlighed og konsekvens. I praksis bruges begreberne synonymt, men ISO 31000 skelner mellem dem.

Skal vi bruge en 5×5-matrix?

Nej. ISO 31000 er agnostisk om matrixstørrelse. 5×5 er praksis, fordi 3×3 er for grov (kun 9 kombinationer) og 7×7 for kompleks. Nogle organisationer bruger kvalitative kategorier i stedet. Det vigtige er, at skalaen er konsistent og defineret på forhånd.

Skal alle analyser laves i workshop?

Nej, men enkeltmands-analyser bliver næsten altid smallere. En tværfunktionel gruppe på 3–6 personer fanger risici, som en enkelt analytiker overser. En workshop behøver ikke at være hele dagen. 90 minutter pr. runde rækker langt, hvis den er forberedt.

Hvor ofte bør risikoanalysen opdateres?

Operationelle risici kvartalsvis, strategiske årligt. Projektrisici opdateres pr. sprint eller styringsmøde. Ved hændelser, store ændringer (ny leverandør, systemskifte, regelændring) altid en ny runde. NIS2 og ISO 27001 kræver dokumenteret regelmæssig revision.

Hvem bør eje risikoanalysen?

Ledelsen ejer processen og risikotolerancen. En udpeget risikoansvarlig (ofte CISO, CFO eller COO i mindre virksomheder) har ansvaret for at holde analysen levende. Hver enkelt risiko skal have en navngiven ejer med mandat til at drive tiltag.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Companion to the full method, short version with examples.

Read article

Fra blankt ark til risikoregister på 20 minutter

Det er det, RiskNote er bygget til. Beskriv virksomheden, AI'en foreslår relevante risici, og du har et struktureret register med 5×5-matrix på den tid, det tager at drikke en kop kaffe. Derefter finjusterer du det sammen med virksomheden.

    Risikoanalyse i 7 trin: praktisk guide (ISO 31000) | RiskNote