Risikovurdering

En risikovurdering er en systematisk proces, der identificerer, analyserer og vurderer risici, sa du kan prioritere dine foranstaltninger og beskytte det, der betyder mest. Den er grundlaget for informeret risikohandtering og et krav i de fleste compliance-regimer.

Tilbage til ordbog

Hvad er en risikovurdering?

En risikovurdering er din organisations metode til at forsta, hvilke trusler I star over for, og hvor alvorlige de er. Du identificerer risici, vurderer sandsynligheden for, at de opstar, og estimerer konsekvensen, hvis de goer. Resultatet er et prioriteret overblik, der styrer, hvor du laegger dine ressourcer.

Risikovurdering er kernen i de fleste compliance-rammer. GDPR bygger pa en risikobaseret tilgang, ISO 27001 kraever risikovurdering som fundament for dit ISMS, og NIS2 stiller eksplicitte krav om risikoanalyse.

Uden risikovurdering arbejder du i blinde. Du ved ikke, om dine kontroller adresserer de rigtige risici, og du kan ikke argumentere over for ledelsen eller tilsynsmyndigheder for dine prioriteringer.

Processen trin for trin

En risikovurdering foelger typisk disse trin:

Kontekst: Definer, hvad du vurderer. Er det hele organisationen, et specifikt system, en behandlingsaktivitet eller en leverandoer? Konteksten bestemmer scope og detaljeringsgrad.
Identifikation: Kortlaeg de aktiver, du vil beskytte (data, systemer, processer), de trusler, der kan ramme dem (cyberangreb, fejl, naturhaendelser), og de sarbarheder, der goer dig udsat.
Analyse: Vurder sandsynligheden for, at hver risiko opstar, og konsekvensen, hvis den goer. Brug en konsistent skala (f.eks. 1-5 for begge parametre).
Vurdering: Beregn risikoniveauet (typisk sandsynlighed x konsekvens) og sammenlign med din organisations risikoappetit. Hvilke risici er acceptable? Hvilke kraever handling?
Behandling: For hver uacceptabel risiko vaelger du en strategi: reducer (implementer kontroller), overfoer (forsikring, outsourcing), undga (stop aktiviteten) eller accepter (dokumenter beslutningen).

Dokumenter hele processen. Risikovurderingen skal vaere sporbar, sa du kan vise tilsynsmyndigheder, hvordan du er naet frem til dine beslutninger.

Regulatoriske krav til risikovurdering

GDPR bygger pa en risikobaseret tilgang. Artikel 32 kraever sikkerhedsforanstaltninger, der er passende i forhold til risikoen. Det forudsaetter, at du har vurderet risikoen. Artikel 35 kraever en konsekvensanalyse (DPIA) for behandlinger, der medfoerer hoej risiko.

ISO 27001 (klausul 6.1 og 8.2) kraever en formaliseret risikostyringsproces med identifikation, analyse, vurdering og behandling af informationssikkerhedsrisici. Risikovurdering under ISO 27001 har specifikke krav til metode og dokumentation.

NIS2 kraever, at vaesentlige og vigtige enheder gennemfoerer risikoanalyser og implementerer passende foranstaltninger. Ledelsen skal godkende risikovurderinger og kan holdes ansvarlig for mangler.

DORA stiller detaljerede krav til IKT-risikovurdering for finansielle virksomheder, herunder vurdering af tredjepartsrisici og test af modstandsdygtighed.

Risikovurdering i praksis

Start simpelt. En grundlaeggende sandsynlighed/konsekvens-matrice er bedre end ingen risikovurdering. Du kan altid forfine metoden, efterhanden som organisationen modnes.

Involver de rigtige mennesker. IT kender de tekniske sarbarheder, forretningen kender konsekvenserne, og ledelsen kender risikoappetiten. En risikovurdering, der kun laves af en afdeling, overser vigtige perspektiver.

Brug din registerfortegnelse som udgangspunkt for at vurdere databeskyttelsesrisici. For hver behandlingsaktivitet: hvad sker der, hvis dataene laekkes, slettes eller bliver utilgaengelige?

Kobl risikovurderingen til dine kontroller. Hver risiko, du vil reducere, skal have en eller flere tilknyttede foranstaltninger. Det kan vaere kryptering, logning, adgangskontrol eller sikkerhedstraening.

Gennemga risikovurderingen regelmaessigt. Trusler aendrer sig, systemer udskiftes, og nye reguleringer kommer til. En arlig gennemgang er minimum, og stoerre aendringer boer udloese en revurdering.

Ofte stillede spørgsmål om risikovurdering

Hvad er forskellen pa en risikovurdering og en konsekvensanalyse?

En risikovurdering er en bred analyse af organisationens risici. En konsekvensanalyse (DPIA) er en specifik GDPR-vurdering af behandlinger, der sandsynligvis medfoerer hoej risiko for registreredes rettigheder. En konsekvensanalyse er en type risikovurdering med databeskyttelsesfokus.

Hvor ofte skal man gennemfoere en risikovurdering?

Mindst en gang om aret og ved vaesentlige aendringer i organisationen, systemlandskabet eller trusselbilledet. ISO 27001 kraever regelmaessig risikovurdering, og GDPR forudsaetter loebende vurdering af risici ved behandlingsaktiviteter.

Hvem er ansvarlig for risikovurderingen?

Ledelsen har det overordnede ansvar. I praksis faciliteres risikovurderingen ofte af en sikkerhedsansvarlig, DPO eller compliance officer med input fra de afdelinger, der kender risiciene bedst.

Hvilken metode skal man bruge?

Der er ingen lovpligtig metode. Sandsynlighed/konsekvens-matricer, ISO 27005 og NIST Risk Framework er populaere valg. Vaelg en metode, der passer til organisationens stoerrelse, og brug den konsistent.