Sådan laver du en risikoanalyse
Alt du behøver for at gennemføre en struktureret risikoanalyse — fra metode og rammer til praktiske skabeloner og værktøjer.
By Kim Borg, Grundlægger af VER&IT og RiskNote. 25+ års erfaring inden for informationssikkerhed og risikostyring. · Last updated
Hvad er en risikoanalyse?
En risikoanalyse er en struktureret metode til at identificere, vurdere og prioritere risici, der kan påvirke en organisations mål, aktiver eller funktioner. Formålet er at skabe grundlag for velfunderede beslutninger om, hvordan risici skal håndteres — ved at reducere, overføre, acceptere eller undgå dem.
En komplet risikoanalyse indeholder seks kerneelementer:
Beskyttelsesværdige aktiver
Hvad der skal beskyttes — information, mennesker, økonomi, omdømme, tilgængelighed.
Trusler og sårbarheder
Hvad der kan gå galt — fra cyberangreb og leverandørsvigt til personalemangel.
Sandsynlighedsvurdering
Hvor sandsynligt det er, at noget sker, baseret på historik og omgivelser.
Konsekvensvurdering
Hvor alvorligt udfaldet vil være, udtrykt i målbare termer (penge, nedetid, kundetab).
Risikoevaluering
Kombination af sandsynlighed og konsekvens holdt op mod organisationens risikoappetit.
Handlingsplan
Hvad der skal gøres ved det — med ansvarlig, deadline og opfølgning.
Risikoanalyse er fundamentet for systematisk sikkerhedsarbejde under rammer som ISO 31000, ISO 27005, NIS2, GDPR og ISO 27001. I visse sammenhænge (særligt arbejdsmiljø) kaldes processen risikovurdering — begreberne anvendes ofte synonymt.
Hvorfor er risikoanalyse vigtig?
Risikoanalyse er vigtig af tre grunde.
Regeloverholdelse. NIS2, GDPR, ISO 27001, DORA og lignende regulativer kræver alle dokumenteret risikostyring. Uden en risikoanalyse kan organisationen ikke dokumentere, at sikkerhedsarbejdet er systematisk.
Ressourceprioritering. Ingen organisation har et ubegrænset sikkerhedsbudget. Risikoanalysen viser, hvilke risici der faktisk er værd at adressere først — baseret på sandsynlighed, konsekvens og handlingsomkostninger.
Beslutningsstøtte til ledelsen. En risikoanalyse oversætter tekniske og operationelle risici til et sprog, som ledelse og bestyrelse kan handle på. Den gør sikkerhed til et forretningsanliggende, ikke et IT-anliggende.
Sådan laver du en risikoanalyse — syv trin
En kondenseret version af den strukturerede metode. Hvert trin linker til en dybdegående artikel.
Trin 1 — Identificer beskyttelsesværdige aktiver
Start med at liste, hvad organisationen faktisk har brug for at beskytte: information, tilgængelighed, finansielle aktiver, omdømme, mennesker, regeloverholdelse. Uden beskyttelsesværdige aktiver bliver risikoanalysen en abstrakt øvelse. Læs mere: Identificering af beskyttelsesværdige aktiver →
Trin 2 — Definer omfanget
Beslut klart, hvad der er i scope — hele organisationen, en specifik proces, et system, en forsyningskæde. Definer tidshorisonten og de involverede interessenter. Læs mere: Omfang og afgrænsninger →
Trin 3 — Identificer trusler og risici
Systematisk, tværfunktionelt arbejde. Gennemgå trusler per beskyttelsesværdigt aktiv, per trusselskategori (cyber, fysisk, personale, leverandør, regulatorisk) og per scenarie. Inddrag både IT og forretningen. Læs mere: Identificering af trusler og risici →
Trin 4 — Vurder sandsynlighed og konsekvens
Brug en 5×5-matrix med klart definerede skalaer. Definer, hvad hvert niveau faktisk betyder — i penge, nedetid, kundetab eller en anden målbar enhed. Læs mere: Sandsynlighed og konsekvens →
Trin 5 — Prioriter handlinger
Slutproduktet er ikke røde celler i matricen — det er en prioriteret liste over handlinger. Vælg en strategi per risiko: reducer, overfør, accepter eller undgå. Prioriter efter effekt per indsats. Læs mere: Prioritering af handlinger ud over matricen →
Trin 6 — Hold analysen levende
En risikoanalyse er ikke et engangsprojekt. Gennemgå den regelmæssigt og opdater ved hændelser, ændringer og nye regulatoriske krav. Tydeligt ejerskab er afgørende. Læs mere: At holde analysen levende →
Trin 7 — Kobl til rammer
Sørg for, at risikoanalysen opfylder kravene i de rammer, der gælder — ISO 27001, NIS2, GDPR, DORA eller andre. Læs mere: Risikoanalyse og compliance →
[Læs den fulde hovedvejledning trin for trin →](/guide/genomfora-riskanalys)
Almindelige rammer og standarder
Forskellige rammer stiller forskellige krav til, hvordan en risikoanalyse gennemføres og dokumenteres.
ISO 31000 — Generel risikostyring
International standard for risikostyring på overordnet niveau. Definerer principper, ramme og proces. Anvendes som grundlag for andre standarder. Læs mere om ISO 31000 →
ISO 27005 — Informationssikkerhedsrisici
Fokuserer specifikt på risici knyttet til informationssikkerhed. Supplerer ISO 27001 og giver detaljeret metodik til risikovurdering.
ISO 27001 — Informationssikkerhedsstyring
Kræver dokumenteret risikovurdering og risikobehandlingsplan. Risikoanalyse er en central del af certificeringen. Læs mere om ISO 27001 →
NIS2-direktivet
Dansk lovgivning siden 2025. Kræver risikostyringsforanstaltninger for væsentlige og vigtige enheder inden for kritisk infrastruktur, sundhedsvæsen, offentlig administration og mere. Læs mere om NIS2 →
GDPR og DPIA
Når behandling af personoplysninger indebærer høj risiko, skal der gennemføres en konsekvensanalyse vedrørende databeskyttelse (DPIA) — en specifik type risikoanalyse. Læs mere om GDPR-risikoanalyse →
DORA — Digital Operational Resilience Act
Regulerer operationel modstandsdygtighed for den finansielle sektor i EU. Kræver omfattende IKT-risikostyring.
MSBFS 2020:6
Den svenske civile beredskabsstyrelses regler om systematisk informationssikkerhedsarbejde for statslige myndigheder.
[Hvilken ramme gælder for din organisation? →](/guide/genomfora-riskanalys#step-7)
Bruttorisk, nettorisk og restrisiko
En moden risikoanalyse skelner mellem tre risikomål per risiko. Dette er de begreber, som ISO 27001-revisorer og bestyrelser forventer at se:
Bruttorisk (inherent risk)
Risikoen uden nogen kontroller eller behandlinger. Hvor slemt kan det gå i værste fald? Afgørende for at begrunde investeringer.
Nettorisk / restrisiko
Risikoen efter eksisterende kontroller er indregnet. Det er denne værdi, der sammenlignes med organisationens risikoappetit.
Målrisiko
Det niveau, du sigter efter at nå efter planlagte behandlinger. Gabet mellem nettorisk og målrisiko viser, om de planlagte handlinger er tilstrækkelige.
Hvorfor er det vigtigt? En risiko med høj bruttorisk men lav nettorisk (takket være stærke kontroller) kræver vedligeholdelse af kontroller, ikke nye behandlinger. Læs mere i vejledningen om risikoregister →
Værktøjer og skabeloner
To ressourcer, der fremskynder arbejdet — en gratis Excel-skabelon og RiskNote-appen.
Downloadbar risikoanalyseskabelon (Excel)
En struktureret Excel-skabelon med en 5×5-matrix, aktivoversigt og handlingsliste — bygget efter ISO 31000. Åben download, ingen registrering. Download skabelonen →
RiskNote — AI-drevet risikoanalyse på 20 minutter
Mobilapp, der guider dig gennem risikoanalysen. Du beskriver virksomheden, AI'en foreslår relevante risici baseret på branche og beskyttelsesværdige aktiver, og du får et struktureret risikoregister med en 5×5-matrix på 20 minutter. Fungerer til NIS2, GDPR, ISO 27001 og ISO 31000. Tilgængelig på iOS og Android, 11 sprog. Læs mere om RiskNote →
Dybdegående materiale per trin
Uddybende materiale for hvert trin i metoden.
Identificering af beskyttelsesværdige aktiver
Hvad der faktisk skal beskyttes — og hvordan man undgår at overse aktiver, der er kritiske men usynlige. Læs det dybdegående materiale →
Omfang og afgrænsninger i risikoanalyse
Sådan sætter du klare grænser uden at overse afhængigheder. Læs det dybdegående materiale →
Identificering af trusler og risici
Tværfunktionel metode med fire perspektiver: aktiv, trusselskategori, scenarie, forsyningskæde. Læs det dybdegående materiale →
Sandsynlighed og konsekvens — skalaer der virker
Sådan definerer du niveauerne i 5×5-matricen i målbare termer, du kan forsvare. Læs det dybdegående materiale →
Prioritering af handlinger ud over matricen
Hvorfor røde celler ikke er en handlingsplan — og hvordan du opnår den største effekt per indsats. Læs det dybdegående materiale →
At holde risikoanalysen levende
Revisionsintervaller, ejerskab og triggere, der holder analysen ude af skuffen. Læs det dybdegående materiale →
Risikoanalyse og compliance
Sådan kobler du analysen til ISO 27001, NIS2, GDPR og DORA uden dobbeltarbejde. Læs det dybdegående materiale →
Opsummering
Risikoanalyse handler ikke om at udfylde et tomt Excel-ark med kategorier. Det handler om at forstå — på en struktureret måde — hvad organisationen skal beskytte, hvad der kan gå galt, og hvilke handlinger der giver den største effekt per indsats.
Metoden er syv trin: beskyttelsesværdige aktiver → omfang → trusler og risici → vurdering → handlingsprioritering → løbende opfølgning → rammekobling.
Værktøjer som RiskNote gør metoden tilgængelig for flere — uden at erstatte den menneskelige vurdering.
Metode først. Værktøjer bagefter. Sikkerhed altid.
Spørgsmål om risikoanalyse, eller vil du drøfte, hvordan RiskNote passer til din organisation? Kontakt os →
Ofte stillede spørgsmål om risikoanalyse
Hvor ofte bør en risikoanalyse opdateres?
En risikoanalyse bør revideres mindst én gang om året, og altid ved væsentlige ændringer — nye systemer, nye leverandører, omorganiseringer, hændelser eller ændrede regulatoriske krav. For organisationer under NIS2 og ISO 27001 er løbende opdatering et eksplicit krav.
Hvad er forskellen på trussel, sårbarhed og risiko?
Trussel er det, der kan ske (ransomware-angreb, leverandørsvigt). Sårbarhed er den svaghed, der gør truslen mulig (usikker backup, enkelt leverandørafhængighed). Risiko er kombinationen af trussel, sårbarhed og konsekvens for et beskyttelsesværdigt aktiv.
Hvilken skala bør bruges i risikoanalysen?
En 5×5-matrix (sandsynlighed × konsekvens) er det mest almindelige og som regel mest nyttige valg. Skalaen i sig selv er ikke det vigtige — det afgørende er, at niveauerne er klart defineret i målbare termer, inden vurderingen begynder.
Hvem bør gennemføre risikoanalysen?
Risikoanalysen bør gennemføres tværfunktionelt — IT, forretning, ledelse og eventuelt eksterne eksperter. En ensom analytiker overser altid vigtige perspektiver. Tydeligt ejerskab er dog afgørende: Nogen skal have ansvar for at få det gennemført og holdt opdateret.
Skal man have en risikoanalyse for at overholde NIS2?
Ja. NIS2 kræver risikostyringsforanstaltninger, og grundlaget herfor er en dokumenteret risikoanalyse. Uden den kan organisationen ikke dokumentere, at sikkerhedsarbejdet er systematisk — hvilket er et eksplicit krav.
Hvad er forskellen på risikoanalyse og risikovurdering?
Begreberne bruges ofte om hinanden. I ISO-standarderne er risikovurdering et overordnet begreb, der dækker risikoidentifikation, risikoanalyse (analyse af sandsynlighed og konsekvens) og risikoevaluering (sammenligning med kriterier). I daglig tale henviser "risikoanalyse" ofte til hele processen.
Hvor lang tid tager en risikoanalyse?
Med den traditionelle metode (tomt Excel-ark) tager en første version ofte flere uger eller måneder — meget tid går med at strukturere og diskutere kategorier. Med et struktureret værktøj som RiskNote kan en første version være klar på 20 minutter, og derefter raffineres i samspil med forretningen.
Hvad er ISO 31000?
ISO 31000 er den internationale standard for risikostyring. Den giver principper og en ramme, der gælder for alle typer risici og alle typer organisationer — ikke kun informationssikkerhed. Den bruges ofte som udgangspunkt og suppleres med mere specifikke standarder som ISO 27005.
Hvad koster en risikoanalyse?
Omkostningen varierer markant afhængigt af metoden. En konsulentledet risikoanalyse for en mellemstor organisation koster typisk 10.000–50.000 EUR. Med RiskNote eller et tilsvarende værktøj kan omkostningen reduceres til en brøkdel — og arbejdet bliver samtidig mere løbende.
More guides
Fra vejledning til risikoregister på 20 minutter
RiskNote tager metoden på denne side og automatiserer det, der bør automatiseres. Du beskriver virksomheden, AI'en foreslår relevante risici, og du får en 5×5-matrix og handlingsliste. Gratis at prøve.