RiskNote
Guide

Så genomför du en riskanalys

Från tomt ark till ett riskregister som styr verksamheten. Sju steg, förankrade i ISO 31000 och ISO 27005, skrivna för praktiken.

Skriven av Kim Borg, Grundare, RiskNote · Senast uppdaterad

Därför stupar de flesta riskanalyser innan de ens börjat

Alla vet att det borde finnas en riskanalys. Problemet är sällan bristande vilja. Det är att steget från ”vi borde göra en” till att faktiskt ha en på plats känns för stort.

Det börjar med ett tomt ark. Vad ska vi bedöma? Vilka kategorier? Hur sätter vi sannolikhet och konsekvens? Plötsligt har det gått tre månader och arket ligger fortfarande tomt.

Den här guiden tar dig från start till färdig riskanalys. Förankrad i ISO 31000 och ISO 27005, men skriven för praktiken, inte läroboken. Ladda gärna ner Excel-mallen om du vill följa med i ett eget register medan du läser.

Steg 1 — Börja med skyddsvärdena

Innan du identifierar en enda risk måste du veta vad du faktiskt ska skydda. Här går de flesta riskanalyser fel: man börjar med att lista hot, utan att först förstå vad som är värt att skydda.

Skyddsvärden är det verksamheten inte klarar sig utan. Gör en kort inventering: vad händer om det försvinner, störs eller läcker? Det blir din prioriterade lista.

  • Information

    Kunddata, affärshemligheter, personuppgifter.

  • Tillgänglighet

    Kritiska system, processer, leveranser.

  • Ekonomiska medel

    Intäktsflöden, tillgångar, kassaflöde.

  • Varumärke och förtroende

    Rykte, kundrelationer, marknadsposition.

  • Människor

    Medarbetare, kunder, tredje part.

  • Regelefterlevnad

    Licenser, tillstånd, rättslig ställning.

Steg 2 — Avgränsa scope

En vanlig fallgrop: man försöker analysera hela verksamheten på en gång. Resultatet blir ytligt och oanvändbart. Bestäm istället tydligt vad som ingår, vilket tidsperspektiv och vilka intressenter som berörs.

  • Vad ingår?

    Hela organisationen, en specifik process, ett system, en leverantörskedja? En avgränsad analys med djup är alltid mer värd än en bred utan substans.

  • Vilket tidsperspektiv?

    Nästa 12 månader, en projektperiod eller en strategisk treårshorisont? Tidsramen styr hur sannolikhet ska bedömas.

  • Vilka intressenter berörs?

    Ledning, medarbetare, kunder, tillsynsmyndigheter? Olika intressenter har olika toleransnivåer.

En avgränsad riskanalys med djup är alltid mer värd än en bred utan substans. Du kan alltid göra fler.

Steg 3 — Identifiera hot och risker

Nu fyller du arket. Skilj på begreppen: hot är det som kan hända (ransomware, leverantörsbortfall). Sårbarhet är svagheten som gör hotet möjligt (osäkra backuper, enda leverantör). Risk är kombinationen av hot, sårbarhet och konsekvens för ett skyddsvärde.

Arbeta systematiskt. Några beprövade infallsvinklar:

  • Per skyddsvärde

    Vad kan drabba kunddatan? Vad kan slå ut tillgängligheten? Vad hotar varumärket?

  • Per hotkategori

    Cyber, fysiska, personal, leverantör, regelverk, ekonomiska. Säkerställer bred täckning.

  • Per scenario

    Vad händer om servern slutar fungera? Om nyckelpersonen slutar? Om en underleverantör går i konkurs?

Involvera rätt personer. IT vet inte allt om processerna, verksamheten vet inte allt om hoten. En workshop med tvärfunktionell grupp ger alltid bättre resultat än en ensam analytiker.

Steg 4 — Bedöm sannolikhet och konsekvens

Här förvandlas risker från ord till prioriteringsunderlag. Använd en skala som passar er verksamhet. En 5×5-matris fungerar oftast bäst.

Definiera skalorna innan du börjar bedöma. Vad betyder egentligen ”allvarlig konsekvens” i kronor, driftstopp eller kundförlust? Utan definitioner blir bedömningarna godtyckliga och inte jämförbara över tid.

Sannolikhet (1–5) — hur troligt inom tidshorisonten

  • 1. Osannolik

    Svårt att se hur det skulle ske.

  • 2. Mindre sannolik

    Kan ske men inte förväntat.

  • 3. Möjlig

    Kan mycket väl inträffa.

  • 4. Sannolik

    Förväntas inträffa.

  • 5. Mycket sannolik

    Inträffar regelbundet eller nära förestående.

Konsekvens (1–5) — hur allvarligt om risken inträffar

  • 1. Försumbar

    Märks knappt.

  • 2. Begränsad

    Hanterbar störning.

  • 3. Märkbar

    Betydande påverkan, men hanterbar.

  • 4. Allvarlig

    Väsentlig skada på verksamheten.

  • 5. Katastrofal

    Hotar verksamhetens fortlevnad.

Steg 5 — Prioritera åtgärder, inte bara röda rutor

En vanlig missuppfattning: riskanalysens slutprodukt är matrisen med röda rutor. Det är den inte. Slutprodukten är en prioriterad lista med åtgärder. För varje identifierad risk, bestäm hanteringsstrategi.

Hanteringsstrategier

  • Reducera

    Minska sannolikhet eller konsekvens med åtgärder.

  • Överföra

    Försäkring, kontraktsklausuler, outsourcing.

  • Acceptera

    Medveten risk inom toleransnivå, dokumenterad.

  • Undvika

    Ta bort aktiviteten som skapar risken.

Varje åtgärd ska ha

  • Tydlig ägare

    Namngiven person med mandat att driva åtgärden.

  • Deadline

    Konkret datum. Inte ”snart” eller ”i höst”.

  • Mätbart resultat

    Hur vet ni att åtgärden fungerat?

  • Koppling till risk

    Vilken risk adresseras och hur påverkar åtgärden L och K?

Prioritera åtgärderna efter effekt per insats, inte bara efter riskens nivå. En medelrisk med en enkel åtgärd kan vara viktigare att hantera först än en hög risk som kräver tre års investering.

Steg 6 — Håll riskanalysen levande

En riskanalys som läggs i en pärm är död dagen efter. Verkligheten förändras: nya hot dyker upp, verksamheten utvecklas, åtgärder genomförs, regelverk skärps.

En fungerande riskanalys är en levande process:

  • Regelbunden revision

    Minst årligen, oftare för kritiska områden.

  • Trigger-baserad uppdatering

    Vid incidenter, förändringar, nya system, nya leverantörer, nya regelkrav.

  • Kontinuerlig uppföljning

    Av åtgärdernas effekt och status, inte bara av risklistan.

  • Tydlig ägare

    Någon som faktiskt har ansvar för att hålla den uppdaterad.

För verksamheter under NIS2, ISO 27001 eller motsvarande är den levande riskanalysen inte bara en god idé. Den är ett krav.

Steg 7 — Koppla till ramverk och regelverk

Om din verksamhet omfattas av specifika krav, se till att riskanalysen uppfyller dem. De vanligaste i svensk kontext:

  • ISO 31000

    Generell riskhantering, principer och ramverk. Läs mer om ISO 31000.

  • ISO 27005

    Informationssäkerhetsrisker specifikt.

  • ISO 27001

    Kräver dokumenterad riskbedömning och riskhanteringsplan. Se ISO 27001-guiden.

  • NIS2

    Riskhanteringsåtgärder för väsentliga och viktiga entiteter. Läs mer om NIS2.

  • GDPR (DPIA)

    Konsekvensbedömning vid personuppgiftsbehandling. Se GDPR-riskanalys.

  • MSBFS 2020:6

    Systematiskt informationssäkerhetsarbete för statliga myndigheter.

  • DORA

    Operativ motståndskraft för finansiell sektor.

Samma underliggande riskanalys kan ofta täcka flera ramverk. Det handlar mest om hur den dokumenteras och rapporteras.

Sammanfattning — de sju stegen

  • 1. Börja med skyddsvärden

    Vet vad du faktiskt ska skydda.

  • 2. Avgränsa scope

    Djup slår bredd.

  • 3. Identifiera hot och risker

    Systematiskt, tvärfunktionellt.

  • 4. Bedöm sannolikhet och konsekvens

    Med definierade skalor.

  • 5. Prioritera åtgärder

    Inte röda rutor, utan effekt per insats.

  • 6. Håll analysen levande

    Regelbundet och trigger-baserat.

  • 7. Koppla till ramverk

    Där det behövs.

Vanliga frågor om riskanalys

Hur lång tid tar en riskanalys att genomföra?

För en SME räcker en halv arbetsdag för första rundan: 2–4 timmar för identifiering och bedömning, plus 1–2 timmar för åtgärdsplan. Större organisationer eller områden som kräver workshops: räkna med 2–5 arbetsdagar totalt.

Vad är skillnaden mellan riskanalys och riskbedömning?

Riskanalys är hela processen: identifiera, analysera, utvärdera, behandla, följa upp. Riskbedömning är oftast en delmängd, själva bedömningen av sannolikhet och konsekvens. I praktiken används termerna synonymt, men ISO 31000 skiljer dem åt.

Måste vi använda en 5×5-matris?

Nej. ISO 31000 är agnostisk om matrisstorlek. 5×5 är praxis eftersom 3×3 blir för grov (bara 9 kombinationer) och 7×7 för komplex. Vissa organisationer använder kvalitativa kategorier istället. Det viktiga är att skalan är konsekvent och definierad i förväg.

Måste alla analyser göras i workshop?

Nej, men enperson-analyser blir nästan alltid smalare. En tvärfunktionell grupp på 3–6 personer fångar risker som en ensam analytiker missar. Workshop behöver inte vara heldag. 90 minuter per runda räcker långt om den är förberedd.

Hur ofta bör riskanalysen uppdateras?

Operativa risker kvartalsvis, strategiska årligen. Projektrisker uppdateras per sprint eller styrmöte. Vid incidenter, stora förändringar (ny leverantör, systembyte, regelförändring) alltid en ny runda. NIS2 och ISO 27001 kräver dokumenterad regelbunden revision.

Vem ska äga riskanalysen?

Ledningen äger processen och risktoleransen. En utsedd riskansvarig (ofta CISO, CFO eller COO i mindre bolag) ansvarar för att analysen hålls levande. Varje enskild risk ska ha en namngiven ägare med mandat att driva åtgärder.

Fler guider

Hur man gör en riskanalys (2026)

Komplett pillar-guide: metod, ramverk, mall och verktyg.

Läs guide

Riskbedömning steg-för-steg

Bygg din första riskbedömning på en eftermiddag.

Läs guideBlogg

Riskbedömning på en eftermiddag

Komplement till den fullständiga metoden, kortversion med exempel.

Läs artikel

Från tomt ark till riskregister på 20 minuter

Det är det här RiskNote är byggt för. Beskriv verksamheten, AI:n föreslår relevanta risker, du får ett strukturerat riskregister med 5×5-matris på en kaffepaus. Förfina sedan tillsammans med verksamheten.

    Riskanalys i 7 steg: praktisk guide med mall | RiskNote