EyeForit.dk

EyeForIt.dk deler praktiske guides og inspirerende tips til hverdagen. Læs om bolig, livsstil, organisering og smarte løsninger, der gør din dag mere overskuelig – kort sagt: indsigt til et lettere liv.

Uncategorized

NIS2 risikovurdering: Hvad skal med, og hvad er bare støj?

EyeForit.dk 0

En god risikovurdering i cybersikkerhed handler ikke om at udfylde et regneark, men om at træffe bedre beslutninger: hvad er vores vigtigste aktiver, hvem kan true dem, hvor sårbare er vi, og hvilke kontroller giver mest effekt for pengene. I denne artikel får du en praktisk metode til at beskrive scope, trusselsbillede, business impact og koblingen til kontroller, så vurderingen kan bruges af både it, ledelse og forretning.

Du får også konkrete takeaways om dataindsamling, prioritering, typiske fejl og best practice, samt svar på de spørgsmål mange stiller: hvad det er, hvorfor det betyder noget, hvordan man gør, hvad det typisk koster, og hvordan man undgår at ende med en vurdering, der ikke kan omsættes til handling.

Hvad er en risikovurdering, og hvorfor betyder den noget?

En risikovurdering er en struktureret proces, hvor du identificerer, analyserer og prioriterer risici for at vælge passende sikkerhedstiltag. Den betyder noget, fordi den skaber et fælles sprog mellem teknik og forretning: “hvor sandsynligt er det, at noget går galt, og hvad koster det os, hvis det sker?”

Det afgørende er, at risikovurderingen ikke bare beskriver trusler, men forbinder dem til konsekvenser og konkrete kontroller. Når den forbindelse er tydelig, kan du prioritere investeringer, dokumentere compliance og reagere hurtigere, når trusselsbilledet ændrer sig.

Mini-konklusion: En risikovurdering er værdifuld, når den skaber beslutningsgrundlag, ikke når den kun skaber dokumentation.

Metode: Fra workshop til beslutningsgrundlag

Der findes flere standarder og rammeværk, men de fleste solide metoder følger samme logik: fastlæg scope, kortlæg aktiver, identificér trusler og sårbarheder, vurder sandsynlighed og konsekvens, og vælg kontroller. Metoden bør være gentagelig og let at forklare, ellers bliver den ikke brugt i praksis.

Vælg en enkel risikomodel

Mange teams starter med en 5×5-matrix for sandsynlighed og konsekvens, suppleret af kvalitative beskrivelser. Det er ofte nok til at skabe prioritering. Avancerede modeller kan give mere præcision, men kræver data, som mange organisationer ikke har til at begynde med.

Sådan gennemfører du vurderingen i praksis

  1. Fastlæg formål: compliance, prioritering, eller begge dele.
  2. Definér scope og afgrænsninger, inklusiv third parties.
  3. Indsaml input: arkitektur, hændelser, sårbarheder, audits.
  4. Hold workshops med it, forretning, drift og evt. juridisk.
  5. Vurdér risiko pr. scenarie og dokumentér antagelser.
  6. Match risici til kontroller og estimer effekt og omkostning.
  7. Godkend risikobillede og plan i ledelsesforum.

Mini-konklusion: En god metode er en, der kan gentages kvartal efter kvartal uden at blive en tung øvelse.

Scope: Hvad er med, og hvad er bevidst udeladt?

Scope er fundamentet. Uklart scope giver uklare resultater, fordi du ikke kan sige, om en risiko er “høj” for hele virksomheden eller kun for et afgrænset system. Scope bør beskrive systemer, data, processer, lokationer, integrationer, leverandører og afhængigheder.

Afgrænsning, antagelser og ansvar

Beslut tidligt, om du vurderer hele organisationen, et program, en platform eller en kritisk proces. Beskriv antagelser eksplicit, fx at identitetsstyring leveres centralt, eller at bestemte miljøer er isolerede. Tydeliggør også ansvar: hvem ejer risikoen, hvem ejer kontrollen, og hvem skal godkende afvigelser.

Typiske scope-fejl og hvordan du undgår dem

  • Scope bliver “alt” og ender ubrugeligt: del op i domæner eller kritiske services.
  • Leverandører glemmes: kortlæg dataflows og kontraktlige krav.
  • Sky og SaaS behandles som sorte bokse: kræv sikkerhedsattestationer og log-adgang.
  • OT/IoT udelades af vane: vurder konsekvens for drift og sikkerhed.
  • Scope ændrer sig undervejs: indfør change-log og fast reviewpunkt.

Mini-konklusion: Skarpt scope gør risici sammenlignelige og kontroller målbare.

Trusselsbillede: Hvem angriber, og hvordan?

Trusselsbilledet er din realitetskontrol. Det handler om at kombinere generelle trends med din egen kontekst: branche, geografi, teknologivalg, og hvem der har noget at vinde. Et stærkt trusselsbillede beskriver trusselsaktører, deres motiver og typiske angrebsveje, så du kan formulere realistiske scenarier.

Praktiske kilder til trusselsdata

Start med interne signaler: tidligere hændelser, næsten-hændelser, logdata, phishing-rapporter og sårbarhedsscanninger. Supplér med eksterne kilder som branchevarsler, CERT-meddelelser, leverandørbulletiner og relevante rapporter. Målet er ikke at læse alt, men at udvælge det, der påvirker dine vigtigste aktiver.

Fra trusselsbillede til scenarier

Formulér 10–20 scenarier, der er konkrete nok til at vurdere, fx “ransomware via kompromitteret admin-konto”, “dataudtræk fra SaaS via fejlkonfigureret deling”, eller “leverandør kompromitteres og skubber ondsindet opdatering”. Inkludér både sandsynlige og høj-impact scenarier, så du ikke kun optimerer efter det mest hyppige.

Midt i dette arbejde giver det ofte mening at sammenligne din tilgang med krav og forventninger, fx omkring NIS2 risikovurdering, så trusselsbilledet ikke kun bliver teknisk relevant, men også dokumenterbart over for tilsyn og ledelse.

Mini-konklusion: Trusselsbilledet er nyttigt, når det omsættes til få, skarpe scenarier, som kan måles og handles på.

Business impact: Sæt kroner, drift og omdømme på spil

Business impact er det sted, hvor risikovurderingen bliver forretningskritisk. Hvis konsekvens kun beskrives som “høj”, ved ingen, om “høj” betyder en times nedetid eller en måned. Vurder derfor påvirkning på drift, økonomi, compliance, sikkerhed og omdømme, og angiv tidshorisont: 1 dag, 1 uge, 1 måned.

Konsekvenskategorier, der virker i praksis

  • Omsætningstab og produktivitet: nedetid, forsinkelser, ekstra bemanding.
  • Direkte omkostninger: genopretning, ekstern rådgivning, erstatninger.
  • Regulatoriske konsekvenser: påbud, bøder, kontraktbrud.
  • Data og fortrolighed: læk, misbrug, IP-tab.
  • Omdømme og tillid: churn, mistet pipeline, partnerkrav.

Hvad koster en risikovurdering typisk?

Omkostningen afhænger af scope og modenhed. En afgrænset vurdering af én kritisk service kan ofte gennemføres på få uger med interne workshops og let ekstern sparring. En enterprise-vurdering på tværs af domæner tager typisk længere tid, fordi dataindsamling og interessentafstemning fylder mest. Den største skjulte omkostning er tid fra nøglepersoner, så planlæg faste sessioner og forbered materiale, så møderne bliver beslutningsorienterede.

Mini-konklusion: Business impact gør prioritering mulig, fordi den oversætter teknik til drift, kroner og ansvar.

Fra risiko til kontroller: Sådan skaber du den røde tråd

Den vigtigste del er at koble risici til kontroller, så du kan reducere sandsynlighed, begrænse konsekvens eller begge dele. En kontrol kan være teknisk (MFA, segmentering), organisatorisk (politik, processer) eller operationel (overvågning, incident response). Koblingen skal være dokumenteret, ellers kan du ikke forklare, hvorfor du valgte netop den indsats.

Brug en kontrol-kæde: forebyg, opdag, reager, lær

Tænk i lag. Forebyggende kontroller reducerer sandsynlighed, detektive kontroller forkorter tid til opdagelse, og reaktive kontroller reducerer konsekvens. Læringskontroller sikrer, at hændelser fører til forbedringer. Denne kæde gør det tydeligt, hvor du mangler dækning, og hvor du har for meget af det samme.

Sådan dokumenterer du koblingen

For hvert scenarie bør du beskrive: hvilke kontroller der allerede findes, hvor effektive de er, hvilket “rest-risiko”-niveau der er tilbage, og hvilke forbedringer der anbefales. Skriv det i et format, som kan bruges i både risikoregister og kontrolkatalog, så du undgår dobbeltarbejde. Brug gerne en enkel mapping: scenarie → kontrolmål → konkrete kontroller → evidens.

Mini-konklusion: Når kontroller er direkte knyttet til scenarier, bliver sikkerhedsarbejde en portefølje af målbare beslutninger.

Prioritering og risikobehandling: Hvad gør vi først?

Når du har et samlet risikobillede, skal du vælge risikobehandling: reducér, undgå, overfør eller accepter. Prioritering bør tage højde for både risiko-score og implementeringsrealitet: afhængigheder, tidsplaner, og om en kontrol samtidig reducerer flere risici. Det er ofte bedre at implementere få kontroller, der skaber bred effekt, end mange små, der kun dækker niche-scenarier.

Brug en enkel prioriteringsmodel med tre faktorer: rest-risiko, indsats og tidskritikalitet. Tidskritikalitet kan fx være aktive sårbarheder, nye regulatoriske krav eller systemer, der snart skal migreres. Husk at dokumentere beslutninger om accept, inklusiv hvem der accepterer, og hvornår accepten skal revurderes.

Mini-konklusion: Prioritering virker, når den balancerer risiko med gennemførlighed og skaber en realistisk roadmap.

Faldgruber og best practice i risikovurderinger

De fleste risikovurderinger fejler ikke på vilje, men på detaljer: uklare antagelser, for teknisk sprog, eller manglende kobling til forretningen. Nedenfor er typiske faldgruber og de bedste modtræk, som gør vurderingen robust og anvendelig.

  • For mange scenarier uden prioritering: begræns til de vigtigste og hold en backlog.
  • Ingen data om aktiver: opbyg et minimum af asset-register og dataflow-diagrammer.
  • Copy-paste trusselslister: valider med interne hændelser og din branchekontekst.
  • Kontroller beskrives som projekter: beskriv ønsket kontroltilstand og målbar effekt.
  • Risiko-score bliver subjektiv: dokumentér kriterier og kalibrér med eksempler.
  • Ingen ejer af rest-risiko: udpeg risk owner og beslutningsforum.

Best practice er også at etablere en fast kadence: kvartalsvis opdatering for kritiske services og årlig review for resten. Kombinér det med løbende signaler fra sårbarheder, hændelser og ændringer i leverandørlandskabet, så risikovurderingen bliver et levende styringsværktøj.

Mini-konklusion: Du undgår de fleste fejl ved at være konkret, holde scope skarpt og gøre ejerskab og evidens tydeligt.

Gør vurderingen operationel: Kontroller, målepunkter og auditspor

Til sidst skal vurderingen kobles til daglig drift, ellers mister den værdi. Det betyder, at hver vigtig kontrol har en ejer, en frekvens, et bevis og et målepunkt. Eksempler på målepunkter er dækningsgrad af MFA, patch-latens på kritiske sårbarheder, backup-succesrate og tid til opdagelse af mistænkelig aktivitet. Når målepunkter er knyttet til risikoscenarier, kan du se, om risikoen faktisk falder over tid.

Skab et auditspor ved at gemme versioner af vurderingen, ændringslog, mødenoter og evidens for kontroller. Det gør det lettere at forklare beslutninger, når ledelsen spørger “hvorfor gjorde vi ikke mere?”, eller når revisor spørger “hvordan ved I, at kontrollen virker?” Brug gerne et enkelt format, der kan eksporteres til rapporter, men hold indholdet menneskeligt læsbart.

Mini-konklusion: En risikovurdering skaber mest værdi, når den er forbundet til kontroller med ejerskab, målinger og tydelig dokumentation.

Related Story