RiskNote
Guide

Slik gjennomfører du en risikoanalyse

Fra blankt ark til et risikoregister som styrer virksomheten. Sju trinn, forankret i ISO 31000 og ISO 27005, skrevet for praksis.

By Kim Borg, Founder, RiskNote · Last updated

Derfor stopper de fleste risikoanalyser før de har startet

Alle vet at det burde finnes en risikoanalyse. Problemet er sjelden mangel på vilje. Det er at steget fra ”vi burde gjøre en” til faktisk å ha en på plass føles for stort.

Det starter med et blankt ark. Hva skal vi vurdere? Hvilke kategorier? Hvordan setter vi sannsynlighet og konsekvens? Plutselig har det gått tre måneder og arket er fortsatt blankt.

Denne guiden tar deg fra start til ferdig risikoanalyse. Forankret i ISO 31000 og ISO 27005, men skrevet for praksis, ikke læreboken. Last ned Excel-malen hvis du vil følge med i ditt eget register mens du leser.

Trinn 1 — Start med verneverdiene

Før du identifiserer en eneste risiko må du vite hva du faktisk skal beskytte. Det er her de fleste risikoanalyser går feil: folk starter med å liste trusler uten først å forstå hva som er verdt å beskytte.

Verneverdier er det virksomheten ikke klarer seg uten. Gjør en kort inventar: hva skjer hvis dette forsvinner, forstyrres eller lekker? Det blir din prioriterte liste.

  • Informasjon

    Kundedata, forretningshemmeligheter, personopplysninger.

  • Tilgjengelighet

    Kritiske systemer, prosesser, leveranser.

  • Økonomiske midler

    Inntektsstrømmer, eiendeler, kontantstrøm.

  • Merkevare og tillit

    Omdømme, kunderelasjoner, markedsposisjon.

  • Mennesker

    Medarbeidere, kunder, tredjepart.

  • Regeletterlevelse

    Lisenser, tillatelser, rettslig stilling.

Trinn 2 — Definer omfanget

En vanlig fallgruve: å prøve å analysere hele virksomheten på en gang. Resultatet blir overflatisk og ubrukelig. Definer i stedet tydelig hva som inngår, tidsperspektiv og hvilke interessenter som berøres.

  • Hva inngår?

    Hele organisasjonen, en spesifikk prosess, et system, en leverandørkjede? En avgrenset analyse med dybde er alltid mer verdt enn en bred uten substans.

  • Hvilket tidsperspektiv?

    Neste 12 måneder, en prosjektperiode eller en strategisk treårshorisont? Tidsrammen styrer hvordan sannsynlighet skal vurderes.

  • Hvilke interessenter berøres?

    Ledelse, medarbeidere, kunder, tilsynsmyndigheter? Ulike interessenter har ulike toleransenivåer.

En avgrenset risikoanalyse med dybde slår alltid en bred uten substans. Du kan alltid gjøre flere.

Trinn 3 — Identifiser trusler og risikoer

Nå fyller du arket. Skill mellom begrepene: en trussel er det som kan skje (ransomware, leverandørsvikt). En sårbarhet er svakheten som gjør trusselen mulig (usikre backuper, enslig leverandør). En risiko er kombinasjonen av trussel, sårbarhet og konsekvens for en verneverdi.

Arbeid systematisk. Noen utprøvde innfallsvinkler:

  • Per verneverdi

    Hva kan ramme kundedataene? Hva kan slå ut tilgjengeligheten? Hva truer merkevaren?

  • Per trusselkategori

    Cyber, fysisk, personal, leverandør, regelverk, økonomi. Sikrer bred dekning.

  • Per scenario

    Hva skjer hvis serveren går ned? Hvis nøkkelpersonen slutter? Hvis en underleverandør går konkurs?

Involver de rette personene. IT vet ikke alt om prosessene, virksomheten vet ikke alt om truslene. En workshop med tverrfaglig gruppe slår alltid en enkelt analytiker.

Trinn 4 — Vurder sannsynlighet og konsekvens

Her forvandles risikoer fra ord til prioriteringsunderlag. Bruk en skala som passer virksomheten din. En 5×5-matrise fungerer oftest best.

Definer skalaene før du begynner å vurdere. Hva betyr egentlig ”alvorlig konsekvens” i kroner, driftsstans eller kundetap? Uten definisjoner blir vurderingene tilfeldige og ikke sammenlignbare over tid.

Sannsynlighet (1–5) — hvor sannsynlig innen tidshorisonten

  • 1. Usannsynlig

    Vanskelig å se hvordan det skulle skje.

  • 2. Lite sannsynlig

    Kan skje, men ikke forventet.

  • 3. Mulig

    Kan godt inntreffe.

  • 4. Sannsynlig

    Forventes å inntreffe.

  • 5. Svært sannsynlig

    Inntreffer regelmessig eller er nært forestående.

Konsekvens (1–5) — hvor alvorlig hvis risikoen inntreffer

  • 1. Ubetydelig

    Knapt merkbar.

  • 2. Begrenset

    Håndterlig forstyrrelse.

  • 3. Merkbar

    Betydelig påvirkning, men håndterlig.

  • 4. Alvorlig

    Vesentlig skade på virksomheten.

  • 5. Katastrofal

    Truer virksomhetens eksistens.

Trinn 5 — Prioriter tiltak, ikke bare røde ruter

En vanlig misforståelse: sluttproduktet av en risikoanalyse er matrisen med røde ruter. Det er det ikke. Sluttproduktet er en prioritert tiltaksliste. For hver identifiserte risiko velg en håndteringsstrategi.

Håndteringsstrategier

  • Redusere

    Senk sannsynlighet eller konsekvens gjennom tiltak.

  • Overføre

    Forsikring, kontraktsklausuler, outsourcing.

  • Akseptere

    Bevisst risiko innenfor toleranse, dokumentert.

  • Unngå

    Fjern aktiviteten som skaper risikoen.

Hvert tiltak må ha

  • Tydelig eier

    Navngitt person med mandat til å drive tiltaket.

  • Frist

    Konkret dato. Ikke ”snart” eller ”til høsten”.

  • Målbart resultat

    Hvordan vet dere at tiltaket virket?

  • Kobling til risiko

    Hvilken risiko adresseres og hvordan påvirker tiltaket S og K?

Prioriter tiltak etter effekt per innsats, ikke bare etter risikonivået. En middels risiko med en enkel løsning kan være viktigere å håndtere først enn en høy risiko som krever en treårig investering.

Trinn 6 — Hold analysen levende

En risikoanalyse som legges i en perm er død dagen etter. Virkeligheten endrer seg: nye trusler dukker opp, virksomheten utvikler seg, tiltak gjennomføres, regelverk strammes inn.

En fungerende risikoanalyse er en levende prosess:

  • Regelmessig revisjon

    Minst årlig, oftere for kritiske områder.

  • Utløserbaserte oppdateringer

    Ved hendelser, endringer, nye systemer, nye leverandører, nye regelkrav.

  • Kontinuerlig oppfølging

    Av tiltakenes effekt og status, ikke bare risikolisten.

  • Tydelig eier

    Noen som faktisk eier å holde den oppdatert.

For virksomheter under NIS2, ISO 27001 eller tilsvarende er den levende risikoanalysen ikke bare en god idé. Den er et krav.

Trinn 7 — Knytt til rammeverk og regelverk

Hvis virksomheten din omfattes av spesifikke krav, sørg for at risikoanalysen oppfyller dem. De vanligste i nordisk kontekst:

  • ISO 31000

    Generell risikostyring, prinsipper og rammeverk. Les ISO 31000-guiden.

  • ISO 27005

    Informasjonssikkerhetsrisiko spesifikt.

  • ISO 27001

    Krever dokumentert risikovurdering og tiltaksplan. Se ISO 27001-guiden.

  • NIS2

    Risikostyringstiltak for vesentlige og viktige enheter. Les om NIS2.

  • GDPR (DPIA)

    Konsekvensvurdering ved behandling av personopplysninger. Se GDPR-risikoanalyse.

  • MSBFS 2020:6

    Systematisk informasjonssikkerhetsarbeid for svenske statlige myndigheter.

  • DORA

    Operasjonell motstandskraft for finanssektoren.

Samme underliggende risikoanalyse kan ofte dekke flere rammeverk. Det handler mest om hvordan den dokumenteres og rapporteres.

Sammendrag — de sju trinnene

  • 1. Start med verneverdier

    Vet hva du faktisk skal beskytte.

  • 2. Definer omfanget

    Dybde slår bredde.

  • 3. Identifiser trusler og risikoer

    Systematisk, tverrfaglig.

  • 4. Vurder sannsynlighet og konsekvens

    Med definerte skalaer.

  • 5. Prioriter tiltak

    Ikke røde ruter, men effekt per innsats.

  • 6. Hold analysen levende

    Regelmessig og utløserbasert.

  • 7. Knytt til rammeverk

    Der det trengs.

Vanlige spørsmål om risikoanalyse

Hvor lang tid tar en risikoanalyse?

For en SMB holder en halv arbeidsdag for første runde: 2–4 timer for identifisering og vurdering, pluss 1–2 timer for tiltaksplanen. Større organisasjoner eller områder som krever workshops: regn med 2–5 arbeidsdager totalt.

Hva er forskjellen mellom risikoanalyse og risikovurdering?

Risikoanalyse er hele prosessen: identifisere, analysere, evaluere, behandle, overvåke. Risikovurdering er som regel en delmengde, selve vurderingen av sannsynlighet og konsekvens. I praksis brukes begrepene synonymt, men ISO 31000 skiller dem.

Må vi bruke en 5×5-matrise?

Nei. ISO 31000 er agnostisk om matrisestørrelse. 5×5 er praksis fordi 3×3 er for grov (bare 9 kombinasjoner) og 7×7 for kompleks. Noen organisasjoner bruker kvalitative kategorier i stedet. Det viktige er at skalaen er konsistent og definert på forhånd.

Må alle analyser gjøres i workshop?

Nei, men enkeltpersonsanalyser blir nesten alltid smalere. En tverrfaglig gruppe på 3–6 personer fanger risikoer en enkelt analytiker overser. En workshop trenger ikke være hele dagen. 90 minutter per runde rekker langt hvis den er forberedt.

Hvor ofte bør risikoanalysen oppdateres?

Operasjonelle risikoer kvartalsvis, strategiske årlig. Prosjektrisikoer oppdateres per sprint eller styringsmøte. Ved hendelser, store endringer (ny leverandør, systembytte, regelendring) alltid en ny runde. NIS2 og ISO 27001 krever dokumentert regelmessig revisjon.

Hvem bør eie risikoanalysen?

Ledelsen eier prosessen og risikotoleransen. En utpekt risikoansvarlig (ofte CISO, CFO eller COO i mindre selskaper) har ansvar for å holde analysen levende. Hver enkelt risiko skal ha en navngitt eier med mandat til å drive tiltak.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Companion to the full method, short version with examples.

Read article

Fra blankt ark til risikoregister på 20 minutter

Dette er det RiskNote er bygd for. Beskriv virksomheten, AI-en foreslår relevante risikoer, og du har et strukturert register med 5×5-matrise på tiden det tar å drikke en kaffe. Deretter forfiner du det sammen med virksomheten.

    Risikoanalyse i 7 trinn: praktisk guide (ISO 31000) | RiskNote