Slik gjennomfører du en risikoanalyse

En risikoanalyse er en strukturert metode for å identifisere, vurdere og prioritere risikoer som kan påvirke en organisasjons mål, eiendeler eller funksjoner. Formålet er å gi et grunnlag for velbegrunnede beslutninger om hvordan risikoer bør håndteres — ved å redusere, overføre, akseptere eller unngå dem.

En komplett risikoanalyse inneholder seks kjerneelementer:

• Beskyttede verdier

  Hva som må beskyttes — informasjon, mennesker, økonomi, omdømme, tilgjengelighet.

• Trusler og sårbarheter

  Hva som kan gå galt — fra cyberangrep og leverandørsvikt til mangel på personell.

• Sannsynlighetsvurdering

  Hvor sannsynlig det er at noe skjer, basert på historikk og omgivelser.

• Konsekvensvurdering

  Hvor alvorlig utfallet vil være, uttrykt i målbare termer (penger, nedetid, kundetap).

• Risikoevaluering

  Kombinasjon av sannsynlighet og konsekvens opp mot organisasjonens risikotoleranse.

• Handlingsplan

  Hva som skal gjøres — med ansvarlig, frist og oppfølging.

Risikoanalyse er grunnlaget for systematisk sikkerhetsarbeid under rammeverk som ISO 31000, ISO 27005, NIS2, GDPR og ISO 27001. I noen sammenhenger (særlig arbeidsmiljø) kalles prosessen risikovurdering — begrepene brukes ofte synonymt.

Risikoanalyse er viktig av tre grunner.

Etterlevelse av regelverk. NIS2, GDPR, ISO 27001, DORA og tilsvarende regelverk krever alle dokumentert risikostyring. Uten en risikoanalyse kan ikke organisasjonen vise at sikkerhetsarbeidet er systematisk.

Prioritering av ressurser. Ingen organisasjon har et ubegrenset sikkerhetsbudsjett. Risikoanalysen viser hvilke risikoer som faktisk er verdt å håndtere først — basert på sannsynlighet, konsekvens og kostnad ved tiltak.

Beslutningsstøtte for ledelsen. En risikoanalyse oversetter tekniske og operasjonelle risikoer til et språk som ledelse og styre kan handle på. Det gjør sikkerhet til et forretningsspørsmål, ikke et IT-spørsmål.

En kortfattet versjon av den strukturerte metoden. Hvert steg lenker til en dybdeartikkel.

• Steg 1 — Identifiser beskyttede verdier

  Start med å liste opp hva organisasjonen faktisk trenger å beskytte: informasjon, tilgjengelighet, finansielle eiendeler, omdømme, mennesker, etterlevelse. Uten beskyttede verdier blir risikoanalysen en abstrakt øvelse. Les mer: Identifisering av beskyttede verdier →

• Steg 2 — Definer omfanget

  Bestem tydelig hva som er i omfanget — hele organisasjonen, en bestemt prosess, et system, en leverandørkjede. Definer tidshorisonten og de involverte interessentene. Les mer: Omfang og avgrensninger →

• Steg 3 — Identifiser trusler og risikoer

  Systematisk, tverrfaglig arbeid. Gå gjennom trusler per beskyttet verdi, per trussselkategori (cyber, fysisk, personell, leverandør, regulatorisk) og per scenario. Involver både IT og forretningen. Les mer: Identifisering av trusler og risikoer →

• Steg 4 — Vurder sannsynlighet og konsekvens

  Bruk en 5×5-matrise med tydelig definerte skalaer. Definer hva hvert nivå faktisk betyr — i penger, nedetid, kundetap eller en annen målbar enhet. Les mer: Sannsynlighet og konsekvens →

• Steg 5 — Prioriter tiltak

  Sluttproduktet er ikke røde celler i matrisen — det er en prioritert liste over tiltak. Velg en strategi per risiko: reduser, overfør, aksepter eller unngå. Prioriter etter effekt per innsats. Les mer: Prioritering av tiltak utover matrisen →

• Steg 6 — Hold analysen levende

  En risikoanalyse er ikke et engangsprosjekt. Gjennomgå jevnlig og oppdater ved hendelser, endringer og nye regulatoriske krav. Tydelig eierskap er avgjørende. Les mer: Å holde analysen levende →

• Steg 7 — Kartlegg mot rammeverk

  Sørg for at risikoanalysen oppfyller kravene i de rammeverket som gjelder — ISO 27001, NIS2, GDPR, DORA eller andre. Les mer: Risikoanalyse og etterlevelse →

[Les hele hovedguiden steg for steg →](/guide/genomfora-riskanalys)

Ulike rammeverk stiller ulike krav til hvordan en risikoanalyse gjennomføres og dokumenteres.

• ISO 31000 — Generell risikostyring

  Internasjonal standard for risikostyring på overordnet nivå. Definerer prinsipper, rammeverk og prosess. Brukes som grunnlag for andre standarder. Lær mer om ISO 31000 →

• ISO 27005 — Informasjonssikkerhetsrisikoer

  Fokuserer spesifikt på risikoer knyttet til informasjonssikkerhet. Komplementerer ISO 27001 og gir detaljert metodikk for risikovurdering.

• ISO 27001 — Styring av informasjonssikkerhet

  Krever dokumentert risikovurdering og risikobehandlingsplan. Risikoanalyse er en sentral del av sertifiseringen. Lær mer om ISO 27001 →

• NIS2-direktivet

  Norsk lovgivning fra 2025. Krever risikostyringstiltak for viktige og kritiske virksomheter innen kritisk infrastruktur, helsevesen, offentlig forvaltning og mer. Lær mer om NIS2 →

• GDPR og DPIA

  Når behandling av personopplysninger innebærer høy risiko, må det gjennomføres en konsekvensutredning for personvern (DPIA) — en spesifikk type risikoanalyse. Lær mer om GDPR-risikoanalyse →

• DORA — Digital Operational Resilience Act

  Regulerer operasjonell motstandsdyktighet for finanssektoren i EU. Krever omfattende IKT-risikostyring.

• MSBFS 2020:6

  Den svenske sivile beredskapsagensturens forskrifter om systematisk informasjonssikkerhetsarbeid for statlige myndigheter.

[Hvilket rammeverk gjelder for din organisasjon? →](/guide/genomfora-riskanalys#step-7)

En moden risikoanalyse skiller mellom tre risikomål per risiko. Dette er begrepene ISO 27001-revisorer og styrer forventer å se:

• Bruttorisiko (iboende risiko)

  Risikoen uten noen kontroller eller tiltak. Hvor galt kan det gå i verste fall? Avgjørende for å begrunne investeringer.

• Nettorisiko / restrisiko

  Risikoen etter at eksisterende kontroller er tatt med i beregningen. Dette er verdien som sammenlignes med organisasjonens risikotoleranse.

• Målrisiko

  Nivået du sikter mot å nå etter planlagte tiltak. Gapet mellom nettorisiko og målrisiko viser om planlagte tiltak er tilstrekkelige.

Hvorfor er dette viktig? En risiko med høy bruttorisiko men lav nettorisiko (takket være sterke kontroller) trenger vedlikehold av kontroller, ikke nye tiltak. Les mer i guiden om risikoregister →

To ressurser som sparer tid — en gratis Excel-mal og RiskNote-appen.

• Nedlastbar risikoanalysemal (Excel)

  En strukturert Excel-mal med en 5×5-matrise, oversikt over beskyttede verdier og tiltaksliste — bygget etter ISO 31000. Åpen nedlasting, ingen registrering. Last ned malen →

• RiskNote — AI-drevet risikoanalyse på 20 minutter

  Mobilapp som veileder deg gjennom risikoanalysen. Du beskriver virksomheten, KI-en foreslår relevante risikoer basert på bransje og beskyttede verdier, og du får et strukturert risikoregister med en 5×5-matrise på 20 minutter. Fungerer for NIS2, GDPR, ISO 27001 og ISO 31000. Tilgjengelig på iOS og Android, 11 språk. Lær mer om RiskNote →

Fordypningsmateriell for hvert steg i metoden.

• Identifisering av beskyttede verdier

  Hva som faktisk trenger beskyttelse — og hvordan du unngår å overse verdier som er kritiske men usynlige. Les dybdedykket →

• Omfang og avgrensninger i risikoanalyse

  Hvordan sette tydelige grenser uten å overse avhengigheter. Les dybdedykket →

• Identifisering av trusler og risikoer

  Tverrfaglig metode med fire perspektiver: verdi, trussselkategori, scenario, leverandørkjede. Les dybdedykket →

• Sannsynlighet og konsekvens — skalaer som fungerer

  Hvordan definere nivåene i 5×5-matrisen i målbare termer du kan forsvare. Les dybdedykket →

• Prioritering av tiltak utover matrisen

  Hvorfor røde celler ikke er en handlingsplan — og hvordan du får mest mulig effekt per innsats. Les dybdedykket →

• Å holde risikoanalysen levende

  Gjennomgangssykluser, eierskap og utløsere som sørger for at analysen ikke havner i en skuff. Les dybdedykket →

• Risikoanalyse og etterlevelse

  Hvordan kartlegge analysen mot ISO 27001, NIS2, GDPR og DORA uten dobbeltarbeid. Les dybdedykket →

Risikoanalyse handler ikke om å fylle et tomt Excel-ark med kategorier. Det handler om å forstå — på en strukturert måte — hva organisasjonen trenger å beskytte, hva som kan gå galt, og hvilke tiltak som gir mest effekt per innsats.

Metoden er syv steg: beskyttede verdier → omfang → trusler og risikoer → vurdering → prioritering av tiltak → løpende oppfølging → kartlegging mot rammeverk.

Verktøy som RiskNote gjør metoden tilgjengelig for flere — uten å erstatte menneskelig skjønn.

Metode først. Verktøy etterpå. Sikkerhet alltid.

Spørsmål om risikoanalyse, eller ønsker du å diskutere hvordan RiskNote passer for din organisasjon? Kontakt oss →