Hur man gör en riskanalys

En riskanalys är en strukturerad metod för att identifiera, bedöma och prioritera risker som kan påverka en verksamhets mål, tillgångar eller funktioner. Syftet är att ge underlag för välgrundade beslut om hur risker ska hanteras — genom att reducera, överföra, acceptera eller undvika dem.

En komplett riskanalys innehåller sex grundkomponenter:

• Skyddsvärden

  Vad som ska skyddas — information, människor, ekonomi, varumärke, tillgänglighet.

• Hot och sårbarheter

  Vad som kan gå fel — från cyberattacker och leverantörsbortfall till personalbrist.

• Sannolikhetsbedömning

  Hur troligt det är att något händer, baserat på historik och omvärld.

• Konsekvensbedömning

  Hur allvarligt utfallet blir, uttryckt i mätbara termer (kronor, driftstopp, kundförlust).

• Riskvärdering

  Sammanvägning av sannolikhet och konsekvens mot verksamhetens risktolerans.

• Åtgärdsplan

  Vad som ska göras åt det — med ansvarig, deadline och uppföljning.

Riskanalys är grunden för systematiskt säkerhetsarbete enligt ramverk som ISO 31000, ISO 27005, NIS2, GDPR och ISO 27001. I vissa sammanhang (särskilt arbetsmiljö) kallas processen riskbedömning — begreppen används ofta synonymt.

Riskanalys är viktigt av tre skäl.

Regelefterlevnad. NIS2, GDPR, ISO 27001, DORA och MSBFS 2020:6 kräver alla dokumenterad riskhantering. Utan riskanalys kan verksamheten inte visa att säkerhetsarbetet är systematiskt.

Prioritering av resurser. Ingen organisation har obegränsad budget för säkerhet. Riskanalysen visar vilka risker som faktiskt är värda att åtgärda först — baserat på sannolikhet, konsekvens och kostnad för åtgärd.

Beslutsstöd för ledningen. En riskanalys översätter tekniska och operativa risker till ett språk som ledning och styrelse kan fatta beslut utifrån. Den gör säkerhet till en affärsfråga, inte en IT-fråga.

Här är en sammanfattad version av den strukturerade metoden. Varje steg länkar vidare till en fördjupningsartikel.

• Steg 1 — Identifiera skyddsvärden

  Börja med att lista vad verksamheten faktiskt ska skydda: information, tillgänglighet, ekonomiska medel, varumärke, människor, regelefterlevnad. Utan skyddsvärden blir riskanalysen en abstrakt övning. Läs mer: Så identifierar du skyddsvärden →

• Steg 2 — Avgränsa scope

  Bestäm tydligt vad som ingår i analysen — hela organisationen, en specifik process, ett system, en leverantörskedja. Definiera tidsperspektiv och berörda intressenter. Läs mer: Scope och avgränsning →

• Steg 3 — Identifiera hot och risker

  Systematiskt, tvärfunktionellt arbete. Gå igenom hot per skyddsvärde, per hotkategori (cyber, fysiska, personal, leverantör, regelverk) och per scenario. Involvera både IT och verksamhet. Läs mer: Så identifierar du hot och risker →

• Steg 4 — Bedöm sannolikhet och konsekvens

  Använd en 5×5-matris med tydligt definierade skalor. Definiera vad varje nivå faktiskt betyder — i kronor, driftstopp, kundförlust eller annan mätbar enhet. Läs mer: Sannolikhet och konsekvens →

• Steg 5 — Prioritera åtgärder

  Slutprodukten är inte röda rutor i matrisen — det är en prioriterad lista med åtgärder. Välj strategi per risk: reducera, överföra, acceptera eller undvika. Prioritera efter effekt per insats. Läs mer: Åtgärdsprioritering bortom matrisen →

• Steg 6 — Håll analysen levande

  En riskanalys är inte ett engångsprojekt. Revidera regelbundet och uppdatera vid incidenter, förändringar och nya regelkrav. Tydligt ägarskap är avgörande. Läs mer: Så håller du riskanalysen levande →

• Steg 7 — Koppla till ramverk

  Se till att riskanalysen uppfyller kraven i de ramverk verksamheten omfattas av — ISO 27001, NIS2, GDPR, DORA eller andra. Läs mer: Riskanalys och regelefterlevnad →

[Läs hela huvudguiden steg för steg →](/guide/genomfora-riskanalys)

Olika ramverk ställer olika krav på hur riskanalysen ska genomföras och dokumenteras.

• ISO 31000 — Generell riskhantering

  Internationell standard för riskhantering på övergripande nivå. Definierar principer, ramverk och process. Används som grund för andra standarder. Läs mer om ISO 31000 →

• ISO 27005 — Informationssäkerhetsrisker

  Fokuserar specifikt på risker kopplade till informationssäkerhet. Kompletterar ISO 27001 och ger detaljerad metodik för riskbedömning.

• ISO 27001 — Ledningssystem för informationssäkerhet

  Kräver dokumenterad riskbedömning och riskhanteringsplan. Riskanalys är en central del av certifieringen. Läs mer om ISO 27001 →

• NIS2-direktivet

  Svensk lagstiftning sedan 2025. Kräver riskhanteringsåtgärder för väsentliga och viktiga entiteter inom kritisk infrastruktur, hälso- och sjukvård, offentlig förvaltning m.fl. Läs mer om NIS2 →

• GDPR och DPIA

  Vid behandling av personuppgifter som medför hög risk ska en konsekvensbedömning (DPIA) genomföras — en specifik typ av riskanalys. Läs mer om GDPR-riskanalys →

• DORA — Digital Operational Resilience Act

  Reglerar operativ motståndskraft för finansiell sektor inom EU. Kräver omfattande IKT-riskhantering.

• MSBFS 2020:6

  Myndigheten för samhällsskydd och beredskaps föreskrifter om systematiskt informationssäkerhetsarbete för statliga myndigheter.

[Vilket ramverk gäller för just din verksamhet? →](/guide/genomfora-riskanalys#step-7)

En mogen riskanalys särskiljer tre riskmått per risk. Det är begrepp ISO 27001-revisorer och styrelser förväntar sig:

• Bruttorisk (inherent risk)

  Risken utan några kontroller eller åtgärder. Hur illa skulle det kunna bli i värsta fall? Viktigt för att motivera investeringar.

• Nettorisk / residualrisk

  Risken efter befintliga kontroller är inräknade. Det är detta värde som jämförs mot er risktolerans.

• Målrisk

  Nivån ni vill nå efter kommande åtgärder. Skillnaden mellan netto- och målrisk visar om planerade åtgärder räcker.

Varför spelar det roll? En risk med hög bruttorisk men låg nettorisk (tack vare starka kontroller) kräver underhåll av kontrollerna, inte nya åtgärder. Läs mer i riskregister-guiden →

Två resurser som snabbar upp arbetet — en gratis Excel-mall och RiskNote-appen.

• Nedladdningsbar riskanalysmall (Excel)

  En strukturerad Excel-mall med 5×5-matris, skyddsvärdeinventering och åtgärdslista — byggd enligt ISO 31000. Öppet nedladdningsbar utan registrering. Ladda ner riskanalysmall →

• RiskNote — AI-driven riskanalys på 20 minuter

  Mobilapp som guidar dig genom riskanalysen. Du beskriver verksamheten, AI:n föreslår relevanta risker baserat på bransch och skyddsvärden, och du får ett strukturerat riskregister med 5×5-matris på 20 minuter. Fungerar för NIS2, GDPR, ISO 27001 och ISO 31000. Tillgänglig på iOS och Android, 11 språk. Läs mer om RiskNote →

Fördjupande texter för varje steg i metoden.

• Så identifierar du skyddsvärden

  Vad som faktiskt ska skyddas — och hur du undviker att missa tillgångar som är kritiska men osynliga. Läs fördjupningen →

• Scope och avgränsning i riskanalys

  Hur du sätter tydliga gränser utan att missa beroenden. Läs fördjupningen →

• Så identifierar du hot och risker

  Tvärfunktionell metod med fyra perspektiv: skyddsvärde, hotkategori, scenario, leverantörskedja. Läs fördjupningen →

• Sannolikhet och konsekvens — skalor som fungerar

  Så definierar du 5×5-matrisens nivåer i mätbara termer som går att försvara. Läs fördjupningen →

• Åtgärdsprioritering bortom matrisen

  Varför röda rutor inte är en handlingsplan — och hur du får mest effekt per insats. Läs fördjupningen →

• Så håller du riskanalysen levande

  Revisionscykler, ägarskap och triggers som gör att analysen inte dör i en låda. Läs fördjupningen →

• Riskanalys och regelefterlevnad

  Hur du mappar analysen mot ISO 27001, NIS2, GDPR och DORA utan dubbelarbete. Läs fördjupningen →

Riskanalys handlar inte om att fylla ett tomt Excel-ark med kategorier. Det handlar om att strukturerat förstå vad verksamheten behöver skydda, vad som kan gå fel, och vilka åtgärder som ger mest effekt per insats.

Metoden är sju steg: skyddsvärden → scope → hot och risker → bedömning → åtgärdsprioritering → levande uppföljning → ramverkskoppling.

Verktyg som RiskNote gör metoden tillgänglig för fler — utan att ersätta den mänskliga bedömningen.

Metod först. Verktyg sedan. Säkerhet alltid.

Har du frågor om riskanalys eller vill diskutera hur RiskNote kan passa din verksamhet? Kontakta oss →