Terminologiforvirring i praksis
Risikostyring er centralt i sikkerhedsarbejdet — det kræves af ISO 27001, NIS2, GDPR og stort set alle frameworks. Men terminologien varierer og skaber forvirring.
Er risikoanalyse og risikovurdering det samme? Hvad er forskellen fra risikostyring? Og hvor kommer risikoidentifikation ind?
Grundprincippet: Navnene varierer, men processen er den samme. Det vigtige er at gøre arbejdet — ikke at slås om terminologi. Denne guide hjælper dig med at forstå begreberne, så du kan kommunikere tydeligt.
ISO 31000’s definitioner
Risikostyringsprocessen ifølge ISO 31000:
| Begreb | Definition | I praksis |
|---|---|---|
| Risikoidentifikation | Finde, genkende og beskrive risici | Liste potentielle trusler og sårbarheder |
| Risikoanalyse | Forstå risikens natur og bestemme risikoniveau | Vurder sandsynlighed × konsekvens |
| Risikovurdering | Sammenligne risikoanalysens resultater med risikokriterier for at prioritere | Er denne risiko acceptabel? Hvilke risici er størst? |
| Risikobehandling | Vælge og implementere foranstaltninger til at håndtere risikoen | Reducere, undgå, dele eller acceptere |
Hele processen (identifikation → analyse → vurdering → behandling) kaldes risikostyring eller risk management.
Visuel oversigt
┌─────────────────────────────────────────────────────────────┐
│ RISIKOSTYRING │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ IDENTIFICER │→ │ ANALYSER │→ │ VURDER │ │
│ │ Find risici │ │ Sandsynlighed│ │ Prioriter │ │
│ │ │ │ Konsekvens │ │ Sammenlign │ │
│ │ │ │ Risikoniveau │ │ med kriterier│ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ ↓ │
│ ┌──────────────┐ │
│ │ BEHANDL │ │
│ │ Implementer │ │
│ │ foranstaltninger│ │
│ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
Risikoidentifikation i detaljer
Hvad gør du? Systematisk finde og beskrive risici, der kan påvirke organisationens mål.
Typiske aktiviteter:
- Inventariser aktiver og deres værdi
- Identificer trusselaktører og trusselscenarier
- Kortlæg sårbarheder
- Analyser historiske hændelser
- Gennemfør workshops med virksomheden
Output: En liste med identificerede risici, hver risiko beskrevet med:
- Trusselaktør (hvem/hvad)
- Sårbarhed (svaghed der kan udnyttes)
- Aktiv (hvad der påvirkes)
- Potentiel konsekvens (hvad der kan ske)
Eksempel: “Risikoen for at eksterne angribere (trusselaktør) udnytter upatchede systemer (sårbarhed) for at kompromittere kundedata (aktiv), hvilket fører til datalækage og GDPR-bøder (konsekvens).”
Risikoanalyse i detaljer
Hvad gør du? Forstå risikens natur ved at vurdere sandsynlighed og konsekvens for at bestemme risikoniveau.
Sandsynlighedsvurdering:
| Niveau | Beskrivelse | Frekvens |
|---|---|---|
| Meget lav | Usandsynligt | <1 gang per 10 år |
| Lav | Kan indtræffe | 1 gang per 1-10 år |
| Mellem | Sandsynligt | 1 gang per år |
| Høj | Forventet | Flere gange per år |
| Meget høj | Næsten sikkert | Månedligt eller oftere |
Konsekvensevurdering:
| Niveau | Økonomisk | Omdømme | Juridisk |
|---|---|---|---|
| Ubetydelig | <50 tkr | Ingen påvirkning | Ingen |
| Lav | 50-500 tkr | Lokal påvirkning | Advarsel |
| Mellem | 500k-5 Mio | National opmærksomhed | Bøder |
| Høj | 5-50 Mio | Varig skade | Alvorlige bøder |
| Katastrofal | >50 Mio | Virksomheden truet | Strafforfølgning |
Risikoniveau = Sandsynlighed × Konsekvens
Risikovurdering i detaljer
Hvad gør du? Sammenligne risikoanalysens resultater med organisationens risikokriterier for at afgøre om risikoen er acceptabel og prioritere foranstaltninger.
Risikokriterier definerer:
- Hvilket risikoniveau der er acceptabelt uden foranstaltning
- Hvilket risikoniveau der kræver øjeblikkelig handling
- Hvem der træffer beslutninger på forskellige niveauer
Typisk risikomatrix:
| Ubetydelig | Lav | Mellem | Høj | Katastrofal | |
|---|---|---|---|---|---|
| Meget høj | Mellem | Høj | Høj | Kritisk | Kritisk |
| Høj | Lav | Mellem | Høj | Høj | Kritisk |
| Mellem | Lav | Mellem | Mellem | Høj | Høj |
| Lav | Ubetydelig | Lav | Mellem | Mellem | Høj |
| Meget lav | Ubetydelig | Ubetydelig | Lav | Mellem | Mellem |
Beslutning baseret på vurdering:
- Kritisk: Eskaler til ledelsen, øjeblikkelig handling
- Høj: Planlæg handling inden for kort tid
- Mellem: Håndter inden for rimelig tid, overvåg
- Lav: Acceptabel med overvågning
- Ubetydelig: Accepter uden handling
Risikobehandling i detaljer
- Undgå risikoen Fjern aktiviteten eller aktivet, der skaber risikoen. Eksempel: Stop med at lagre data, du ikke har brug for. Passer når omkostningen ved risikoen overstiger nytten ved aktiviteten.
- Reducer risikoen Implementer kontroller, der mindsker sandsynlighed eller konsekvens. Mest almindelige. Eksempel: Firewall, uddannelse, backup, kryptering.
- Del risikoen Overfør hele eller dele af risikoen til anden part. Eksempel: Cyberforsikring, outsourcing til specialist. Juridisk ansvar forbliver ofte.
- Accepter risikoen Bevidst beslutning om ikke at gribe ind. Dokumenteres med begrundelse og godkendelse på rette niveau. Passer for lave risici, hvor foranstaltning koster mere end risikoen.
Danske vs engelske termer
Almindelig oversættelsesforvirring:
| Engelsk | Dansk (ISO 31000) | Dansk (ofte brugt) |
|---|---|---|
| Risk identification | Risikoidentifikation | - |
| Risk analysis | Risikoanalyse | Risikoanalyse |
| Risk evaluation | Risikovurdering | Risikoevaluering |
| Risk assessment | Risikovurdering* | Risikoanalyse* |
| Risk treatment | Risikobehandling | Risikostyring* |
| Risk management | Risikostyring | - |
*“Risk assessment” oversættes ofte til “risikoanalyse” eller “risikovurdering” afhængigt af kontekst. I ISO 27001 inkluderer “risk assessment” hele processen identifikation → analyse → vurdering.
Praktisk regel: Spørg hvad personen mener. Terminologien varierer — processen er den samme.
Hvordan NIS2 og ISO 27001 bruger begreberne
NIS2
NIS2 Artikel 21 kræver “risikobaserede foranstaltninger” og nævner specifikt “risikoanalyse”. Direktivet definerer ikke eksakt proces, men kræver at organisationer:
- Identificerer risici mod netværks- og informationssystemer
- Vurderer risicis alvorlighed
- Implementerer passende foranstaltninger
Center for Cybersikkerhed (CFCS) og relevante sektormyndigheder fører tilsyn med overholdelse af NIS2-loven, som skulle implementeres senest 17. oktober 2024.
ISO 27001
ISO 27001 kræver en dokumenteret proces for “information security risk assessment”, som inkluderer:
- Fastlægge risikokriterier
- Identificere informationssikkerhedsrisici
- Analysere og vurdere risici
- Vælge risikobehandlingsalternativer
Praktisk eksempel: Ransomware-scenarie
Identifikation: Risiko: Ransomware-angreb, der krypterer virksomhedskritiske systemer og data.
- Trusselaktør: Cyberkriminelle
- Sårbarhed: Mangelfuld e-mailsikkerhed, upatchede systemer
- Aktiv: ERP-system, kundedatabase
- Konsekvens: Driftsstop, løsesum, omdømmeskade
Analyse:
- Sandsynlighed: Høj (branchen er udsat, lignende virksomheder er blevet ramt)
- Konsekvens: Høj (1-2 ugers stop, ~5 Mio i direkte omkostninger)
- Risikoniveau: Høj (Høj × Høj)
Vurdering:
- Risikokriterier siger: Høj risiko kræver handling inden 30 dage
- Prioritering: Top 3 af identificerede risici
- Beslutning: Eskaler til ledelsen, alloker ressourcer
Behandling:
- Reducer: Implementer e-mailsikkerhed, patchhåndtering, backup
- Del: Tegn cyberforsikring
- Resterende risiko: Accepter efter foranstaltninger (sænket til Mellem)
Almindelige faldgruber
Bruge "risikoanalyse" når man mener hele processen. Utydelig kommunikation skaber forvirring.
Går direkte til at vurdere risici uden systematisk identifikation. Overser risici man ikke har tænkt på.
Vurderer risici uden definerede kriterier. Subjektivt og inkonsistent.
Laver analysen, men implementerer aldrig foranstaltninger. Papirprodukt uden værdi.
Dokumentationskrav
Hvad skal dokumenteres?
| Trin | Dokumentation |
|---|---|
| Identifikation | Risikoregister med alle identificerede risici |
| Analyse | Vurdering af sandsynlighed og konsekvens per risiko |
| Vurdering | Risikokriterier, prioritering, beslutninger |
| Behandling | Handlingsplan, ansvarlig, deadline, status |
For revision:
- Vis at processen er systematisk og gentages
- Dokumenter hvem der deltog og hvornår
- Gem historik for at vise forbedring over tid
- Kæd risici sammen med foranstaltninger og beviser
Sådan kan Securapilot hjælpe
Securapilot strukturerer hele risikostyringsprocessen:
- Risikoregister — Identificer og dokumenter risici
- Risikoanalyse — Vurder sandsynlighed og konsekvens
- Risikovurdering — Definerede kriterier og prioritering
- Foranstaltningshåndtering — Spor behandling og status
- Rapportering — Overblik for ledelse og revision
Book en demo og se hvordan vi kan støtte jeres risikoarbejde.
Ofte stillede spørgsmål
Er risikoanalyse og risikovurdering det samme?
Nej, men de overlapper. Risikoanalyse fokuserer på at forstå sandsynlighed og konsekvens. Risikovurdering inkluderer analysen, men tilføjer sammenligning med risikokriterier og prioritering.
Hvad kommer først — analyse eller vurdering?
Ifølge ISO 31000: Risikoidentifikation → Risikoanalyse → Risikovurdering. Analysen giver data, vurderingen evaluerer og prioriterer baseret på disse data.
Hvad er risikobehandling?
Risikobehandling er trinnet efter vurdering — at vælge og implementere foranstaltninger. Alternativerne er: undgå, reducere, dele (forsikre/outsource) eller acceptere risikoen.
Skal jeg følge ISO 31000?
ISO 31000 er vejledende, ikke certificerbar. Men terminologien bruges i ISO 27001, NIS2 og de fleste frameworks. Det letter at tale samme sprog.
