Terminologiforvirring i praksis
Risikohåndtering er sentralt i sikkerhetsarbeidet — det kreves av ISO 27001, NIS2, GDPR og i prinsippet alle rammeverk. Men terminologien varierer og skaper forvirring.
Er risikoanalyse og risikovurdering samme sak? Hva er forskjellen mot risikohåndtering? Og hvor kommer risikoidentifisering inn?
Grunnprinsippet: Navnene varierer, men prosessen er den samme. Det viktige er å gjøre jobben — ikke å krangle om terminologi. Denne guiden hjelper deg forstå begrepene slik at du kan kommunisere tydelig.
ISO 31000s definisjoner
Risikohåndteringsprosessen i følge ISO 31000:
| Begrep | Definisjon | I praksis |
|---|---|---|
| Risikoidentifisering | Finne, gjenkjenne og beskrive risikoer | Liste potensielle trusler og sårbarheter |
| Risikoanalyse | Forstå risikens natur og bestemme risikonivå | Vurdere sannsynlighet × konsekvens |
| Risikovurdering | Sammenligne risikoanalysens resultater med risikokriterier for å prioritere | Er denne risikoen akseptabel? Hvilke risikoer er størst? |
| Risikobehandling | Velge og implementere tiltak for å håndtere risikoen | Redusere, unngå, dele eller akseptere |
Hele prosessen (identifisering → analyse → vurdering → behandling) kalles risikohåndtering eller risk management.
Visuell oversikt
┌─────────────────────────────────────────────────────────────┐
│ RISIKOHÅNDTERING │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ IDENTIFISER │→ │ ANALYSER │→ │ VURDER │ │
│ │ Finn risikoer│ │ Sannsynlighet│ │ Prioriter │ │
│ │ │ │ Konsekvens │ │ Sammenlign │ │
│ │ │ │ Risikonivå │ │ mot kriterier│ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ ↓ │
│ ┌──────────────┐ │
│ │ BEHANDLE │ │
│ │ Implementer │ │
│ │ tiltak │ │
│ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
Risikoidentifisering i detalj
Hva gjør du? Systematisk finne og beskrive risikoer som kan påvirke organisasjonens mål.
Typiske aktiviteter:
- Inventere eiendeler og deres verdi
- Identifisere trusselaktører og trusselscenarioer
- Kartlegge sårbarheter
- Analysere historiske hendelser
- Gjennomføre workshops med virksomheten
Output: En liste med identifiserte risikoer, hver risiko beskrevet med:
- Trusselaktør (hvem/hva)
- Sårbarhet (svakhet som kan utnyttes)
- Eiendel (hva som påvirkes)
- Potensiell konsekvens (hva som kan skje)
Eksempel: “Risikoen for at eksterne angripere (trusselaktør) utnytter upatchede systemer (sårbarhet) for å kompromittere kundedata (eiendel), som fører til datalekkasje og GDPR-bøter (konsekvens).”
Risikoanalyse i detalj
Hva gjør du? Forstå risikens natur ved å vurdere sannsynlighet og konsekvens for å bestemme risikonivå.
Sannsynlighetsvurdering:
| Nivå | Beskrivelse | Frekvens |
|---|---|---|
| Svært lav | Usannsynlig | <1 gang per 10 år |
| Lav | Kan inntreffe | 1 gang per 1-10 år |
| Middels | Sannsynlig | 1 gang per år |
| Høy | Forventet | Flere ganger per år |
| Svært høy | Nesten sikkert | Månedlig eller oftere |
Konsekvensvurdering:
| Nivå | Økonomisk | Omdømme | Juridisk |
|---|---|---|---|
| Ubetydelig | <50 tkr | Ingen påvirkning | Ingen |
| Lav | 50-500 tkr | Lokal påvirkning | Advarsel |
| Middels | 500k-5 Mkr | Nasjonal oppmerksomhet | Bøter |
| Høy | 5-50 Mkr | Varig skade | Alvorlige bøter |
| Katastrofal | >50 Mkr | Virksomheten trues | Straffeforfølgelse |
Risikonivå = Sannsynlighet × Konsekvens
Risikovurdering i detalj
Hva gjør du? Sammenligne risikoanalysens resultater mot organisasjonens risikokriterier for å avgjøre om risikoen er akseptabel og prioritere tiltak.
Risikokriterier definerer:
- Hvilket risikonivå som er akseptabelt uten tiltak
- Hvilket risikonivå som krever umiddelbar handling
- Hvem som fatter beslutninger på ulike nivåer
Typisk risikomatrise:
| Ubetydelig | Lav | Middels | Høy | Katastrofal | |
|---|---|---|---|---|---|
| Svært høy | Middels | Høy | Høy | Kritisk | Kritisk |
| Høy | Lav | Middels | Høy | Høy | Kritisk |
| Middels | Lav | Middels | Middels | Høy | Høy |
| Lav | Ubetydelig | Lav | Middels | Middels | Høy |
| Svært lav | Ubetydelig | Ubetydelig | Lav | Middels | Middels |
Beslutning basert på vurdering:
- Kritisk: Eskaler til ledelsen, umiddelbar handling
- Høy: Planlegg tiltak innen kort tid
- Middels: Håndter innen rimelig tid, overvåk
- Lav: Akseptabel med overvåking
- Ubetydelig: Aksepter uten tiltak
Risikobehandling i detalj
- Unngå risikoen Fjern aktiviteten eller eiendelen som skaper risikoen. Eksempel: Slutt å lagre data du ikke trenger. Passer når kostnaden for risikoen overstiger nytten av aktiviteten.
- Reduser risikoen Implementer kontroller som reduserer sannsynlighet eller konsekvens. Vanligst. Eksempel: Brannmur, opplæring, backup, kryptering.
- Del risikoen Overfør hele eller deler av risikoen til annen part. Eksempel: Cyberforsikring, outsourcing til spesialist. Juridisk ansvar består ofte.
- Aksepter risikoen Bevisst beslutning om ikke å iverksette tiltak. Dokumenteres med begrunnelse og godkjenning på rett nivå. Passer for lave risikoer hvor tiltak koster mer enn risikoen.
Norske vs engelske termer
Vanlig oversettelsesforvirring:
| Engelska | Norsk (ISO 31000) | Norsk (ofte brukt) |
|---|---|---|
| Risk identification | Risikoidentifisering | - |
| Risk analysis | Risikoanalyse | Risikoanalyse |
| Risk evaluation | Risikovurdering | Risikoevaluering |
| Risk assessment | Risikovurdering* | Risikoanalyse* |
| Risk treatment | Risikobehandling | Risikohåndtering* |
| Risk management | Risikohåndtering | - |
*“Risk assessment” oversettes ofte til “risikoanalyse” eller “risikovurdering” avhengig av kontekst. I ISO 27001 inkluderer “risk assessment” hele prosessen identifisering → analyse → vurdering.
Praktisk regel: Spør hva personen mener. Terminologien varierer — prosessen er den samme.
Hvordan NIS2 og ISO 27001 bruker begrepene
NIS2
NIS2 Artikkel 21 krever “risikobaserte tiltak” og nevner “risikoanalyse” spesifikt. I Norge er dette implementert gjennom digitalsikkerhetsloven med frist 17. oktober 2024. NSM og relevante sektormyndigheter er tilsynsmyndigheter. Loven definerer ikke eksakt prosess men krever at organisasjoner:
- Identifiserer risikoer mot nettverks- og informasjonssystemer
- Vurderer risikoenes alvorlighetsgrad
- Implementerer egnede tiltak
ISO 27001
ISO 27001 krever en dokumentert prosess for “information security risk assessment” som inkluderer:
- Fastsette risikokriterier
- Identifisere informasjonssikkerhetsrisikoer
- Analysere og vurdere risikoer
- Velge risikobehandlingsalternativer
Praktisk eksempel: Ransomware-scenario
Identifisering: Risiko: Ransomware-angrep som krypterer virksomhetskritiske systemer og data.
- Trusselaktør: Cyberkriminelle
- Sårbarhet: Manglende e-postsikkerhet, upatchede systemer
- Eiendel: ERP-system, kundedatabase
- Konsekvens: Virksomhetsstopp, løsepenger, omdømmeskade
Analyse:
- Sannsynlighet: Høy (bransjen er utsatt, lignende bedrifter har blitt rammet)
- Konsekvens: Høy (1-2 ukers stopp, ~5 Mkr i direkte kostnader)
- Risikonivå: Høy (Høy × Høy)
Vurdering:
- Risikokriterier sier: Høy risiko krever tiltak innen 30 dager
- Prioritering: Topp 3 av identifiserte risikoer
- Beslutning: Eskaler til ledelsen, allokere ressurser
Behandling:
- Reduser: Implementer e-postsikkerhet, patch-håndtering, backup
- Del: Tegn cyberforsikring
- Gjenværende risiko: Aksepter etter tiltak (senket til Middels)
Vanlige fallgruver
Bruke "risikoanalyse" når man mener hele prosessen. Utydelig kommunikasjon skaper forvirring.
Går direkte til å vurdere risikoer uten systematisk identifisering. Går glipp av risikoer man ikke har tenkt på.
Vurderer risikoer uten definerte kriterier. Subjektivt og inkonsekvent.
Gjør analysen men implementerer aldri tiltak. Papirprodukt uten verdi.
Dokumentasjonskrav
Hva skal dokumenteres?
| Steg | Dokumentasjon |
|---|---|
| Identifisering | Risikoregister med alle identifiserte risikoer |
| Analyse | Vurdering av sannsynlighet og konsekvens per risiko |
| Vurdering | Risikokriterier, prioritering, beslutning |
| Behandling | Tiltaksplan, ansvarlig, frist, status |
For revisjon:
- Vis at prosessen er systematisk og gjentakende
- Dokumenter hvem som deltok og når
- Lagre historikk for å vise forbedring over tid
- Koble risikoer til tiltak og bevis
Slik kan Securapilot hjelpe
Securapilot strukturerer hele risikohåndteringsprosessen:
- Risikoregister — Identifiser og dokumenter risikoer
- Risikoanalyse — Vurder sannsynlighet og konsekvens
- Risikovurdering — Definerte kriterier og prioritering
- Tiltakshåndtering — Spor behandling og status
- Rapportering — Oversikt for ledelse og revisjon
Bestill en demo og se hvordan vi kan støtte deres risikoarbeid.
Ofte stilte spørsmål
Er risikoanalyse og risikovurdering samme sak?
Nei, men de overlapper. Risikoanalyse fokuserer på å forstå sannsynlighet og konsekvens. Risikovurdering inkluderer analysen men legger til sammenligning mot risikokriterier og prioritering.
Hva kommer først — analyse eller vurdering?
I følge ISO 31000: Risikoidentifisering → Risikoanalyse → Risikovurdering. Analysen gir data, vurderingen evaluerer og prioriterer basert på disse dataene.
Hva er risikobehandling?
Risikobehandling er steget etter vurdering — å velge og implementere tiltak. Alternativene er: unngå, redusere, dele (forsikre/outsource), eller akseptere risikoen.
Må jeg følge ISO 31000?
ISO 31000 er veiledende, ikke sertifiserbar. Men terminologien brukes i ISO 27001, NIS2 og de fleste rammeverk. Det hjelper å snakke samme språk.
