Hvad er forskellen på en risikovurdering og en sårbarhedsscanning?

Scanningen finder tekniske svagheder i systemer; risikovurderingen vurderer, hvad svaghederne og truslerne betyder for forretningen. Scanningens fund er input til vurderingen — ikke en erstatning for den.

Skal vi bruge en bestemt metode eller standard?

Nej. ISO 27005 og NIST giver gode rammer, men loven kræver en risikobaseret tilgang — ikke en bestemt metode. Vælg den simpleste model, I kan holde i live, og dokumentér jeres valg.

Hvem skal deltage i arbejdet?

Både forretning og IT. IT kender sårbarhederne; forretningen kender konsekvenserne. En risikovurdering lavet af IT alene undervurderer typisk forretningskonsekvenser — og mangler det ledelsesejerskab, NIS2 forudsætter.

Hvor lang skal den være?

Kort nok til at blive læst. For en SMV: et risikoregister på én side-to plus et kort metodenotat. Værdien ligger i beslutningerne og opfølgningen, ikke i sidetallet.

Viden

Hvad er en risikovurdering — og hvordan laver I én, der faktisk bruges?

En risikovurdering er en struktureret gennemgang af, hvilke trusler der kan ramme virksomhedens vigtigste aktiver, hvor sandsynlige de er, og hvor store konsekvenserne ville være — så sikkerhedsindsatsen kan prioriteres efter reel risiko frem for mavefornemmelse. Den er fundamentet under både NIS2, ISO 27001 og enhver fornuftig sikkerhedsplan: Uden den ved I ikke, om I beskytter det rigtige.

Udgivet: 14. juni 2026Opdateret: 22. juni 2026Læsetid: 5 min.

Hvad består en risikovurdering af?

Fire byggesten går igen i alle anerkendte metoder:

Aktiver: Hvad er kritisk for forretningen? Systemer, data, processer, leverandører — og hvad sker der konkret, hvis de er nede, lækket eller manipuleret.
Trusler og sårbarheder: Hvad kan ramme aktiverne (ransomware, CEO-fraud, nedbrud, fejl, leverandørsvigt), og hvilke svagheder gør det muligt.
Sandsynlighed og konsekvens: En vurdering — typisk på en simpel skala (fx 1–4) — af hvor sandsynligt hvert scenarie er, og hvor hårdt det rammer økonomi, drift, omdømme og forpligtelser.
Risikobehandling: For hver væsentlig risiko en beslutning: reducér (med foranstaltninger), overfør (forsikring/leverandør), undgå (drop aktiviteten) eller acceptér (bevidst og dokumenteret).

Resultatet samles i et risikoregister med ejer og frist for hver behandling — det er registeret, ikke rapporten, der lever videre.

Hvordan kommer I i gang uden at drukne?

Den hyppigste fejl er at starte for bredt. Start i stedet fra forretningen: Hvilke 5–10 processer må ikke stå stille — fakturering, produktion, kundesystem, mail? Kortlæg hvad de afhænger af, og vurdér scenarier mod netop dem. En halv dags struktureret workshop med ledelse og IT giver typisk 80 % af værdien — og et dokument, ledelsen reelt har ejerskab til, hvilket netop er det, NIS2 kræver.

Hold skalaerne simple. En 4×4-matrix, alle forstår, slår en akademisk model, ingen vedligeholder.

Hvad bruges risikovurderingen til?

Den er omdrejningspunktet i stort set al sikkerhedsstyring: NIS2-lovens foranstaltninger skal vælges ud fra en risikobaseret tilgang; ISO 27001 bygger hele ledelsessystemet på den; cyberforsikringer og kunders leverandørspørgeskemaer spørger til den. Og internt er den jeres prioriteringsværktøj: Når alt ikke kan løses på én gang, afgør risikobilledet, hvad der kommer først — og giver ledelsen et dokumenteret grundlag for de valg, den hæfter for.

Hvor ofte skal den opdateres?

Mindst årligt — og ved væsentlige ændringer: nye systemer, ny leverandør, flytning til cloud, en hændelse (egen eller i branchen) eller nye krav fra kunder og regulering. En risikovurdering fra 2023, ingen har rørt siden, er ved et tilsyn værre end ingen: Den dokumenterer, at processen ikke lever.

Ofte stillede spørgsmål

Hvad er forskellen på en risikovurdering og en sårbarhedsscanning?
Scanningen finder tekniske svagheder i systemer; risikovurderingen vurderer, hvad svaghederne og truslerne betyder for forretningen. Scanningens fund er input til vurderingen — ikke en erstatning for den.
Skal vi bruge en bestemt metode eller standard?
Nej. ISO 27005 og NIST giver gode rammer, men loven kræver en risikobaseret tilgang — ikke en bestemt metode. Vælg den simpleste model, I kan holde i live, og dokumentér jeres valg.
Hvem skal deltage i arbejdet?
Både forretning og IT. IT kender sårbarhederne; forretningen kender konsekvenserne. En risikovurdering lavet af IT alene undervurderer typisk forretningskonsekvenser — og mangler det ledelsesejerskab, NIS2 forudsætter.
Hvor lang skal den være?
Kort nok til at blive læst. For en SMV: et risikoregister på én side-to plus et kort metodenotat. Værdien ligger i beslutningerne og opfølgningen, ikke i sidetallet.

Kilder

NIS 2-loven og Styrelsen for Samfundssikkerheds vejledning om risikostyring (samsik.dk)

ISO/IEC 27005: Information security risk management

NIST SP 800-30: Guide for Conducting Risk Assessments

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.