Regulatoriskt ramverk: varför riskbedömning inte är frivilligt

NIS2-direktivet

NIS2, som trädde i kraft i EU-medlemsstaterna, ställer explicita krav på riskbaserad cybersäkerhet. Väsentliga och viktiga entiteter — ett betydligt bredare tillämpningsområde än gamla NIS-direktivet — ska ha dokumenterade riskbedömningar och vidta proportionella tekniska och organisatoriska åtgärder. Ledningen har personligt ansvar, med potentiella sanktioner vid bristande efterlevnad.

GDPR och IMY

GDPR artikel 32 kräver att personuppgiftsansvariga genomför en bedömning av lämplig säkerhetsnivå med hänsyn till "den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna". Integritetsskyddsmyndigheten (IMY) har i sina tillsynsbeslut upprepade gånger pekat på bristande riskbedömning som en kärnorsak till sanktionsavgifter.

ISO/IEC 27001 och SOC 2

Båda dessa ramverk förutsätter en formell riskbedömningsprocess. ISO/IEC 27001 kräver en riskbehandlingsplan kopplad till Annex A-kontroller. SOC 2 Trust Services Criteria förutsätter löpande riskidentifiering. Om ni siktar på certifiering är riskbedömningen inte bara ett förarbete — den är fundamentet.

Steg-för-steg: så genomför ni en riskbedömning

1. Tillgångsinventering och klassificering

Ni kan inte skydda det ni inte vet att ni har. Börja med en fullständig inventering av:

• Data: kunddata, personaldata, affärshemligheter, loggar
• System: applikationer, databaser, API:er, molnkonton
• Infrastruktur: nätverk, servrar, endpoints, IoT-enheter
• Tredjepartsberoenden: SaaS-tjänster, leverantörer, open source-bibliotek

Klassificera varje tillgång efter affärskritikalitet och datakänslighet. I molnmiljöer innebär detta att ni kartlägger alla konton, regioner och tjänster — något som AWS Organizations, Azure Management Groups eller Google Cloud Resource Manager kan stödja, men som kräver disciplin att hålla aktuellt.

2. Hotidentifiering

Definiera realistiska hotscenarier baserat på:

• Externt hotlandskap: Vilka aktörer riktar sig mot er bransch? Ransomware-grupper, statliga aktörer, hacktivister?
• Intern exponering: Har ni publikt exponerade API:er, felkonfigurerade S3-buckets, för breda IAM-roller?
• Historik: Vilka incidenter har ni haft? Vilka nära-ögat-händelser?

Undvik att göra detta till en akademisk övning. Fokusera på scenarier som har faktisk relevans för just er verksamhet. En tillverkande industri i Värmland har ett annat hotlandskap än en fintech-startup i Stockholm.

3. Sårbarhetsbedömning

Här kommer de tekniska verktygen in:

Ingen enskild metod räcker. I Opsios SOC kombinerar vi kontinuerlig sårbarhetsskanning med regelbundna penetrationstester och konfigurationsövervakning — det ger en sammansatt bild som punktinsatser inte kan leverera.

4. Riskanalys och prioritering

Koppla ihop hot, sårbarheter och tillgångar i en riskmatris. Den klassiska formeln är:

Risk = Sannolikhet × Konsekvens

Var ärliga i bedömningen. Det är frestande att klassa allt som "hög risk" för att vara på säkra sidan, men det gör prioriteringen meningslös. Använd en konsekvent skala (exempelvis 1–5 för båda dimensionerna) och förankra den i konkreta kriterier:

• Konsekvens 5: Verksamhetskritisk tjänst nere > 24 timmar, omfattande dataläckage av personuppgifter, IMY-granskning
• Konsekvens 1: Intern testmiljö påverkad, ingen kundpåverkan
• Sannolikhet 5: Aktivt exploiterad sårbarhet i publikt exponerad tjänst utan patch
• Sannolikhet 1: Teoretisk sårbarhet som kräver fysisk åtkomst och insider-kunskap

5. Riskbehandling

För varje identifierad risk: välj strategi.

• Mitigera: Inför kontroller som minskar sannolikhet eller konsekvens (patchning, segmentering, MFA, kryptering)
• Acceptera: Dokumenterat beslut att risken ligger inom acceptabel nivå (kräver att ledningen signerar)
• Överföra: Cyberförsäkring, avtalsmässig ansvarsfördelning med leverantör
• Undvika: Avveckla den tjänst eller process som skapar risken

Riskbehandlingsplanen blir er handlingsplan och ska ha tydliga ägare, tidsramar och budget.

Riskbedömning i molnmiljöer: specifika utmaningar

Molnmigrering förändrar risklandskapet fundamentalt. Shared responsibility-modellen innebär att leverantören ansvarar för säkerheten av molnet, medan ni ansvarar för säkerheten i molnet. I praktiken ser vi att de flesta säkerhetsincidenter i molnmiljöer beror på kundkonfigurationer, inte på brister hos leverantören.

Enligt Gartners analyser har felkonfigurationer konsekvent pekats ut som den främsta orsaken till säkerhetsincidenter i publika molnmiljöer. Det stämmer med vad vi ser dagligen i vår NOC: öppna storage buckets, för breda IAM-policyer, avsaknad av loggning, och nätverk utan segmentering.

Specifika riskområden att bedöma i molnmiljöer:

• Identity and Access Management (IAM): Överprivilegierade roller är den vanligaste attackvektorn
• Datakryptering: I transit och at rest, med kontroll över nyckelhantering (AWS KMS, Azure Key Vault)
• Nätverkssegmentering: VPC-design, security groups, privata subnät
• Loggning och övervakning: CloudTrail, Azure Monitor, Security Command Center — aktiverat, centraliserat, bevakat
• Leverantörskedjan: Container images, IaC-moduler, tredjepartsintegrationer

Molnsäkerhet med Opsio

Från engångsinsats till kontinuerlig process

En riskbedömning som görs en gång om året och sedan samlar damm i en SharePoint-mapp ger minimal säkerhetseffekt. Det räcker inte längre — hotlandskapet förändras snabbare än så, och era molnmiljöer förändras med varje deployment.

Bästa praxis är att koppla riskbedömningen till:

• CI/CD-pipelinen: Automatisk säkerhetsskanning vid varje kodändring
• Infrastrukturändringar: Policy-as-code med verktyg som Open Policy Agent eller AWS Config Rules
• SOC-övervakning: Kontinuerlig hotdetektering som matar tillbaka till riskregistret
• Kvartalsvis ledningsgenomgång: Riskregistret uppdateras, nya hot bedöms, behandlingsplaner följs upp

Managerad DevOps med säkerhet inbyggd

Vanliga misstag vi ser

Efter att ha hanterat hundratals kunders säkerhetsmiljöer kan vi peka ut återkommande mönster:

Teknikfixering utan riskkontext. Organisationer köper SIEM, EDR, WAF och CASB utan att först ha förstått vilka risker de försöker hantera. Resultatet blir verktygströtthet och larmutmattning.

Bortglömd leverantörskedja. Riskbedömningen stannar vid egna system. Men NIS2 kräver explicit att leverantörskedjans risker bedöms — och supply chain-attacker är bland de mest effektiva angreppen.

Ingen koppling till affärsvärde. IT-avdelningen pratar om CVE-poäng, ledningen vill veta affärspåverkan. Utan den kopplingen blir säkerhet en kostnad som ska minimeras, inte en investering som ska optimeras.

Cloud FinOps — optimera säkerhetsinvesteringar

Hur Opsio stödjer riskbedömningsprocessen

Vår SOC i Karlstad och Bangalore bedriver 24/7-övervakning som ger realtidsdata till riskbedömningen. Vi kombinerar det med:

• Regelbundna sårbarhetsskanningar och penetrationstester
• Konfigurationsgranskning mot CIS Benchmarks och leverantörers best practices
• Riskregisterhantering kopplad till NIST CSF
• Stöd vid NIS2- och GDPR-efterlevnad
• Kontinuerlig hotintelligens anpassad för nordiska organisationer

Managerade molntjänster med inbyggd säkerhet

Vanliga frågor

Hur ofta bör man genomföra en riskbedömning av cybersäkerhet?

Minst årligen, men helst kvartalsvis för kritiska system. Vid större förändringar — molnmigrering, ny applikation, organisationsförändring — bör en riktad bedömning göras omedelbart. NIS2 kräver att riskbedömningen hålls aktuell, inte bara att den existerar.

Vad är skillnaden mellan sårbarhetsskanning och riskbedömning?

Sårbarhetsskanning är ett tekniskt verktyg som hittar kända brister i system och applikationer. Riskbedömning är en bredare process som väger in sannolikhet, affärspåverkan, hotaktörers förmåga och befintliga skyddsåtgärder. Skanningen ger data till bedömningen, men ersätter den inte.

Vilka ramverk fungerar bäst för riskbedömning i molnmiljöer?

NIST CSF ger en solid grund. Kombinera det med molnleverantörens eget ramverk — exempelvis AWS Well-Architected Framework eller Azures Security Benchmark — samt ISO/IEC 27001 om ni behöver certifiering. För svenska organisationer under NIS2 är MSB:s vägledningar ett bra komplement.

Behöver små företag göra riskbedömning av cybersäkerhet?

Ja. Hotaktörer riktar sig aktivt mot små och medelstora företag just för att de ofta saknar strukturerat skydd. En proportionell riskbedömning behöver inte vara ett månader långt projekt — men den måste finnas, dokumenteras och följas upp.

Hur kopplar riskbedömning till NIS2-direktivet?

NIS2 ställer krav på att väsentliga och viktiga entiteter har en riskbaserad approach till cybersäkerhet, inklusive dokumenterade riskbedömningar, incidentrapportering och leverantörskedjegranskning. Ledningen har personligt ansvar för att säkerställa att detta genomförs.