Advania logo
    Kontakta oss
    Gå tillbaka

    Risk- och sårbarhetsanalys

    Vad är en risk- och sårbarhetsanalys?

    En risk- och sårbarhetsanalys (RSA) är en strukturerad genomgång av vilka hot en verksamhet är utsatt för, vilka sårbarheter som kan utnyttjas eller leda till störningar och vilka konsekvenser det skulle få. Resultatet är en prioriterad bild av verksamhetens risker och ett underlag för beslut om åtgärder. RSA används brett – från kommuners och myndigheters lagstadgade krisberedskapsarbete till IT- och informationssäkerhet – och är ett återkommande krav i regelverk som cybersäkerhetslagen, NIS2 och DORA.

    Betydelsen av en risk- och sårbarhetsanalys

    Utan en aktuell riskbild blir säkerhetsarbetet gissningar: åtgärder läggs där det känns angeläget snarare än där risken faktiskt är störst. RSA:n ger det faktabaserade underlag som behövs för att prioritera – och för att kunna visa tillsynsmyndigheter att riskhanteringen är systematisk.

    För svenska offentliga aktörer är RSA dessutom ett uttryckligt lagkrav inom krisberedskapen: kommuner, regioner och statliga myndigheter ska analysera vilka extraordinära händelser som kan inträffa och hur de påverkar verksamheten. Inom cybersäkerhetsområdet kräver NIS2-regelverket – i Sverige genomfört genom cybersäkerhetslagen – att verksamheter arbetar riskbaserat, och DORA ställer motsvarande krav på finanssektorns IKT-riskhantering. Den röda tråden: först förstå risken, sedan välja åtgärd.

    Så fungerar en risk- och sårbarhetsanalys

    En RSA genomförs vanligen i återkommande cykler enligt en tydlig metodik:

    • Avgränsa och inventera: definiera vad som analyseras – verksamhetsprocesser, system, information – och identifiera vad som är skyddsvärt, ofta med stöd av informationsklassning.
    • Identifiera hot: kartlägg vad som kan inträffa, från antagonistiska angrepp som ransomware till tekniska fel, strömavbrott, leverantörsbortfall och naturhändelser.
    • Bedöm sårbarheter: analysera var verksamheten är känslig – tekniska brister, beroenden, nyckelpersonberoenden eller bristande rutiner.
    • Värdera risker: bedöm sannolikhet och konsekvens för varje scenario och prioritera riskerna, ofta i en riskmatris.
    • Föreslå åtgärder och följ upp: dokumentera åtgärdsförslag, besluta, genomför och uppdatera analysen regelbundet eller vid större förändringar.

    Användningsområden för en risk- och sårbarhetsanalys

    RSA:n är ett av säkerhetsarbetets mest mångsidiga verktyg. Den styr vilka säkerhetsåtgärder som prioriteras, ligger till grund för kontinuitetsplanering och incidentberedskap, utgör evidens vid tillsyn och revision och ger ledningen ett begripligt beslutsunderlag. I praktiken är den också startpunkten för det mesta annat governance-arbete: ett ledningssystem för informationssäkerhet, en kontinuitetsplan eller en NIS2-anpassning börjar alla i en riskanalys.

    Risk- och sårbarhetsanalys med Advania

    En bra RSA kräver metodik, verksamhetsförståelse och kunskap om aktuella hot. Advania stödjer organisationer i att genomföra risk- och sårbarhetsanalyser – från avgränsning och workshops till riskvärdering, åtgärdsplan och förankring hos ledningen – och i att göra analysen till en återkommande del av styrningen i stället för en hyllvärmare.

    Vanliga frågor och svar om risk- och sårbarhetsanalys

    Vad är skillnaden mellan RSA och RBA?

    En risk- och sårbarhetsanalys (RSA) kartlägger hot, sårbarheter och konsekvenser brett för en verksamhet. RBA (riskbaserat angreppssätt) är snarare en princip: att låta riskbilden styra hur resurser och åtgärder prioriteras. Förenklat är RSA:n analysen som ger underlaget, medan RBA är arbetssättet som använder det.

    Hur ofta ska en risk- och sårbarhetsanalys uppdateras?

    Som regel minst årligen, och alltid vid större förändringar – nya system, omorganisationer, nya leverantörer eller förändrad hotbild. Offentliga aktörer har dessutom fastställda rapporteringscykler inom krisberedskapen. En RSA är en färskvara: en inaktuell analys ger en falsk trygghet.

    Vilka regelverk kräver risk- och sårbarhetsanalys?

    Inom krisberedskapen ställer lagstiftningen krav på kommuner, regioner och statliga myndigheter. Inom cybersäkerheten kräver NIS2 – via den svenska cybersäkerhetslagen – riskbaserade säkerhetsåtgärder, och DORA kräver löpande IKT-riskanalys i finanssektorn. Även ISO 27001 bygger på att riskbedömning genomförs och dokumenteras.

    Vad är skillnaden mellan hot, sårbarhet och risk?

    Ett hot är något som kan orsaka skada (exempelvis ett ransomware-angrepp), en sårbarhet är en svaghet som hotet kan utnyttja (exempelvis opatchade system) och risken är kombinationen: sannolikheten för att hotet realiseras via sårbarheten, vägd mot konsekvensen. RSA:n analyserar alla tre i ett sammanhang.

    Viktiga punkter att ta med sig om risk- och sårbarhetsanalys
    • Strukturerad metod: RSA kartlägger hot, sårbarheter och konsekvenser och prioriterar riskerna.
    • Lagkrav: återkommer i krisberedskapslagstiftningen, cybersäkerhetslagen/NIS2 och DORA.
    • Grunden för åtgärder: utan aktuell riskbild blir säkerhetsinvesteringar gissningar.
    • Färskvara: uppdatera minst årligen och vid större förändringar i verksamhet eller hotbild.
    • Inte samma som RBA: RSA är analysen, RBA är det riskbaserade arbetssättet som bygger på den.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information