Hvad er en risikovurdering?
En risikovurdering (også kaldet ROS-analyse — Risiko- og Sårbarhedsanalyse) er en struktureret måde at finde ud af: Hvad kan gå galt, hvor sandsynligt er det, og hvad sker der, hvis det gør?
I stedet for at gætte jer frem, giver risikovurderingen jer et dokumenteret overblik over jeres risici — sorteret efter alvorlighed, så I ved, hvad I skal tage fat på først.
Forestil jer, at I driver en fabrik. Hvad sker der, hvis strømmen går? Hvis jeres IT-system bliver hacket? Hvis en nøgleleverandør går konkurs? En risikovurdering hjælper jer med at få styr på alle de "hvad nu hvis"-scenarier — før de sker.
Hvorfor lave en risikovurdering?
Ud over den oplagte grund — at vide, hvad der kan ramme jer — er der flere gode grunde:
Risikomatricen: Jeres vigtigste værktøj
Kernen i enhver risikovurdering er risikomatricen. Den placerer hvert risikoscenarie på to akser: sandsynlighed og konsekvens. Resultatet er et visuelt overblik, der gør det nemt at se, hvad der kræver handling.
Hvornår er risikovurdering lovpligtigt?
For mange danske virksomheder er risikovurdering ikke blot anbefalet — det er et lovkrav:
Energiberedskabsloven (§ 18): Risiko- og sårbarhedsvurdering med treårig opdateringscyklus for energivirksomheder i kategori 1-5.
CER-direktivet: Risikovurdering inden 9 måneder efter udpegning som kritisk enhed. Opdateres mindst hvert 4. år.
NIS2 (Artikel 21): Risikoanalyse og informationssikkerhedspolitikker som foranstaltning nr. 1 af 10.
ISO 22301: Risikovurdering som grundlag for Business Continuity Management (klausul 8.2).
De fire trin i en risikovurdering
Trin 1: Grundlag og scope
Start med at afklære: Hvad dækker analysen? Hvilke anlæg, systemer og processer er med? Hvis I allerede har en kontinuitetsanalyse (BIA), har I allerede det meste af grundlaget.
Tip: Start ikke med alt på én gang. Afgræns til jeres mest kritiske områder og udvid løbende.
Trin 2: Scenariedefinition
Identificer realistiske trusselscenarier for jeres virksomhed. CFCS’ “Nationalt Risikobillede 2025” dækker 16 hændelsestyper — fra cyberangreb til oversvømmelser. Brug det som inspiration:
Tænk også på:
- Tekniske fejl: Strømafbrydelse, systemnedbrud, udstyrsfejl
- Cyberangreb: Ransomware, phishing, DDoS, datatab
- Naturhændelser: Oversvømmelse, storm, ekstrem varme
- Leverandørsvigt: Nøgleleverandør går konkurs, forsinket levering
- Personalerelateret: Nøgleperson sygemeldt, arbejdsulykke
- Fysisk sikkerhed: Brand, tyveri, sabotage
Scenarier bør være specifikke for jeres organisation. “Cyberangreb” er for bredt — “Ransomware-angreb på produktionsstyringssystem” er bedre.
Trin 3: Sandsynlighed og konsekvens
For hvert scenarie vurderer I to ting på en skala (typisk 1-5):
Risiko = Sandsynlighed × Konsekvens
Hvert scenarie scores på begge akser (1-5). Produktet giver en risikoscore fra 1-25, som bestemmer farven i risikomatricen: grøn (1-4), gul (5-12) eller rød (15-25).
Sandsynlighed: Hvor sandsynligt er det, at scenariet indtræffer?
| Score | Niveau | Betydning |
|---|---|---|
| 1 | Meget lav | Sker næppe (en gang per 50+ år) |
| 2 | Lav | Usandsynligt (en gang per 10-50 år) |
| 3 | Middel | Kan ske (en gang per 1-10 år) |
| 4 | Høj | Sandsynligt (en gang per år) |
| 5 | Meget høj | Forventet (flere gange årligt) |
Konsekvens: Hvad er effekten, hvis scenariet indtræffer? Mål på flere dimensioner:
- Økonomi: Direkte tab, bøder, tabt omsætning
- Drift: Nedetid, produktionstab, leveranceforsinkelser
- Omdømme: Kundetillid, medieomtale, myndighedsøje
- Personsikkerhed: Risiko for medarbejdere og andre
- Miljø: Udslip, forurening, naturbeskyttelse
Trin 4: Sårbarhedsvurdering
Her vurderer I jeres faktiske modstandsdygtighed: Har I forebyggende foranstaltninger? Backup? Redundans? Alternativleverandører?
Sårbarhedsvurderingen justerer risikobilledet. En høj trussel med gode forebyggende foranstaltninger er en lavere risiko end en middel trussel uden nogen beskyttelse.
Trussel uden beskyttelse: Ransomware-angreb på virksomhed uden backup, segmentering eller incident response-plan → høj sårbarhed, høj risiko.
Trussel med beskyttelse: Samme angreb, men virksomheden har daglig offline-backup, netværkssegmentering og øvet beredskab → lavere sårbarhed, lavere risiko.
Fra analyse til handling: 4 strategier
En risikovurdering er kun værdifuld, hvis den fører til handling. For hvert risikoområde har I fire muligheder:
Typiske fejl at undgå
For brede scenarier: "Noget går galt med IT" er ubrugelig. Vær specifik: "Ransomware krypterer fil-server i 48 timer."
Kun IT-risici: Glem ikke fysiske, personale- og leverandørrelaterede risici. BCM dækker hele forretningen.
Ingen opfølgning: En risikovurdering, der ender i en skuffe, er spild af tid. Lav handlingsplaner for røde og gule risici.
Aldrig opdateret: Trusselsbilledet ændrer sig. Opdater mindst årligt, eller når noget væsentligt ændrer sig i jeres organisation.
Kom i gang: Praktisk tjekliste
- Afgræns scope — Hvilke processer, anlæg og systemer dækker analysen? Start med det mest kritiske.
- Involver de rigtige — Tekniske specialister, driftsledere og ledelse. Risikovurdering må ikke være en skrivebordsøvelse for én person.
- Vælg 10-15 scenarier — For mange scenarier bliver uoverskueligt. Fokuser på de mest relevante for jeres branche.
- Vurder sandsynlighed og konsekvens — Brug en fast skala (1-5) og vurder i fællesskab. Diskussionen er lige så værdifuld som tallene.
- Lav handlingsplaner — For hvert rødt og gult risikoområde: Hvad gør I for at reducere risikoen? Hvem er ansvarlig? Hvornår?
- Dokumenter alt — Risikomatricen, baggrunden for vurderinger, og handlingsplaner. Det er jeres dokumentation over for myndigheder.
Værdien af en risikovurdering ligger ikke kun i risikomatricen — den ligger i de samtaler, I har undervejs. Når driftslederen og IT-chefen diskuterer, hvad der sker ved et cyberangreb, opbygger I en fælles forståelse, der er guld værd, når krisen rammer.
Se hvordan RiskFinder automatiserer risikovurdering med en 4-delt metodik.