Kvantitativ cyberriskbedömning för NIS2 och DORA
Styrelsemötet där ”hög risk” inte längre räckte
Klockan är 08:15 en tisdag. Informationssäkerhetschefen på ett snabbväxande fintechbolag står utanför styrelserummet med tre versioner av samma berättelse om cyberrisk.
Den första versionen är välbekant: ransomware är ”hög”, molnavbrott är ”hög”, kompromettering av leverantör är ”medel” och missbruk av privilegierad åtkomst är ”hög”. Den är försvarbar, anpassad till det aktuella riskregistret och nästan oanvändbar för det beslut styrelsen behöver fatta.
Den andra versionen är en teknisk färdplan: inför oföränderliga säkerhetskopior, förbättra identitetskontroller, finansiera resiliensövningar, stärk leverantörsövervakningen och utöka loggtäckningen. Den är rimlig, men CFO:n ställer frågan som förändrar mötet: ”Vilket av detta minskar verksamhetsrisken mest per euro?”
Den tredje versionen förändrar samtalet.
Ett 12 timmar långt avbrott i plattformen för betalningsorkestrering uppskattas ge €620,000 i samlad operativ, avtalsmässig och intäktsrelaterad påverkan. Den nuvarande årliga exponeringen uppskattas till €186,000. Ett resilienspaket på €74,000 kan minska den förväntade årliga förlusten till cirka €62,000. Den kvarstående exponeringen ligger fortfarande över toleransnivån eftersom tjänsten stödjer en kritisk eller viktig funktion, exponeringen kopplad till kundavisering fortfarande är väsentlig och tredjepartsberoendet är högt.
Nu diskuterar styrelsen inte färger. Den diskuterar finansiell exponering, risktolerans, regulatorisk ansvarsskyldighet och investeringsprioriteringar.
Det är kvantitativ cyberriskbedömning 2026. Det är inte matematisk teater. Det är inte ett påstående om att cyberhändelser kan förutsägas med perfekt precision. Det är den disciplinerade översättningen av ”det här är rött” till ”det här är den rimliga finansiella exponeringen, det här är konfidensnivån, det här är den regulatoriska konsekvensen, det här är beslutet om riskbehandling och det här är spårbarheten i underlaget”.
För informationssäkerhetschefer, chefer för regelefterlevnad, revisorer och verksamhetsägare håller denna förflyttning i praktiken på att bli obligatorisk. ISO/IEC 27001:2022 kräver en dokumenterad, konsekvent och jämförbar process för riskbedömning och riskbehandling. NIS2 flyttar cybersäkerhetsrisk till ledningsorganets godkännande, tillsyn, utbildning och ansvar. DORA gör IKT-riskstyrning, resiliensövningar, incidentklassificering, tredjepartsrisk och ledningens ansvarsskyldighet centrala för finansiella entiteter. NIST CSF 2.0 ger ledningen ett styrningsspråk för riskaptit, prioritering och tillsyn. GDPR tillför ansvarsskyldighet när personuppgifter berörs.
Problemet är inte att organisationer saknar riskregister. Problemet är att många riskregister inte kan förklara pengar, prioriteringar, styrelseansvar eller revisionsunderlag.
Clarysecs arbetssätt stänger den luckan genom att kombinera Zenith Blueprint: en revisors 30-stegs färdplan Zenith Blueprint, Clarysec-policyer och Zenith Controls: vägledning för tvärgående regelefterlevnad Zenith Controls till en praktisk modell för underlag: kvantifiera det som är väsentligt, mappa det mot kontroller, visa vem som accepterade det och bevisa att riskbehandlingen fungerade.
Varför kvalitativa riskregister inte längre räcker
Kvalitativ riskbedömning är fortfarande viktig. En tydlig matris för sannolikhet och konsekvens hjälper team att prioritera när data är ofullständiga, särskilt inom en bred ISMS-omfattning. Problemet uppstår när organisationen stannar där.
En styrelse kan förstå att en risk är ”hög”, men den kan inte enkelt jämföra tre ”höga” risker som konkurrerar om samma budget. Är högsta prioritet ransomware-scenariot, molnavbrottet, leverantörskoncentrationsrisken eller svagheten i privilegierad åtkomst? Svaret beror på finansiell exponering, regulatorisk allvarlighetsgrad, kundpåverkan, avtalsförpliktelser, tjänstens kritikalitet och kvarstående risk efter riskbehandling.
Därför fungerar kvantitativ cyberriskbedömning bäst som en hybridmodell. Kvantifiera inte varje mindre fråga. Använd kvalitativ poängsättning i hela registret och lägg därefter till finansiell analys för de risker som kräver ledningsbeslut, investeringsgodkännande, avtalsåtgärd, risköverföring eller styrelsens tillsyn.
Clarysecs Enterprise Riskhanteringspolicy Riskhanteringspolicy stödjer detta uttryckligen. I avsnittet ”Krav för genomförande av policyn”, klausul 6.2.3, anges:
”Både kvalitativa och kvantitativa metoder får tillämpas beroende på riskkategori och tillgången till information.”
Den klausulen är viktig eftersom den motverkar ett vanligt fel: falsk precision. Mogna organisationer tvingar inte in finansiell modellering i varje liten risk. De tillämpar den där beslutet kräver det.
För små och medelstora företag kan grunden förbli enkel. Clarysecs SME Riskhanteringspolicy Riskhanteringspolicy – SME, avsnittet ”Styrningskrav”, klausul 5.1.2, anger:
”Varje riskpost ska omfatta: beskrivning, sannolikhet, konsekvens, poäng, ägare och riskbehandlingsplan.”
Förbättringen är inte att ersätta den strukturen. Förbättringen är att berika de viktigaste posterna med finansiella uppskattningar, särskilt där driftstopp, reglerade tjänster, personuppgifter, molnberoenden, IKT-outsourcing eller kritiska kundåtaganden ingår.
Styrningsskiftet: cyberrisk är nu styrelseunderlag
Kvantifiering av cyberrisk är inte bara en finansövning. Det är styrningsunderlag.
Enligt ISO/IEC 27001:2022 ska organisationen fastställa kontext, intressenter, rättsliga och avtalsmässiga krav, omfattning, gränssnitt och beroenden. Den ska definiera en process för informationssäkerhetsriskbedömning som ger konsekventa, giltiga och jämförbara resultat. Den ska identifiera risker för konfidentialitet, riktighet och tillgänglighet, identifiera riskägare, bedöma konsekvenser och sannolikhet, fastställa risknivåer och prioritera risker. Därefter ska den välja alternativ för riskbehandling, fastställa kontroller, jämföra dem med bilaga A, ta fram en tillämplighetsförklaring (Statement of Applicability, SoA), inhämta riskägarens godkännande och bevara dokumenterad information.
Det innebär att riskregistret inte är ett privat kalkylblad för säkerhetsteamet. Det är en ISMS-post som kopplar samman ledarskap, val av kontroller, ansvarsskyldighet för riskbehandling och ledningens genomgång.
NIS2 höjer förväntningarna ytterligare. Ledningsorgan i väsentliga och viktiga entiteter ska godkänna åtgärder för hantering av cybersäkerhetsrisk, övervaka genomförandet och få utbildning så att de kan förstå risker och bedöma cybersäkerhetspraxis. NIS2 Article 21 kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder med beaktande av den senaste utvecklingen, genomförandekostnad, riskexponering, entitetens storlek, sannolikhet, allvarlighetsgrad samt samhällelig och ekonomisk påverkan.
Formuleringen ”samhällelig och ekonomisk påverkan” är där finansiell kvantifiering av cyberrisk blir kraftfull. En leverantör som stödjer moln, datacenter, DNS, betrodda tjänster, hanterade tjänster, hanterade säkerhetstjänster, digital infrastruktur, onlinemarknadsplatser eller andra omfattade sektorer kan behöva visa inte bara att kontroller finns, utan också varför de är proportionerliga i förhållande till exponeringen.
För finansiella entiteter gäller DORA från den 17 januari 2025 och blir det sektorspecifika regelverket för digital operativ resiliens. Det omfattar IKT-riskhantering, rapportering av större IKT-relaterade incidenter, testning av digital operativ resiliens, delning av information om cyberhot, IKT-tredjepartsrisk och tillsyn över kritiska IKT-tredjepartstjänsteleverantörer. För finansiella entiteter som även identifieras enligt nationellt införlivande av NIS2 fungerar DORA som den sektorsspecifika unionsrättsakten för relevanta frågor om IKT-riskhantering och incidentrapportering.
I praktiken behöver ett fintechbolag inte fem frikopplade riskramverk. Det behöver en integrerad riskmodell som visar vilket regelverk som gäller, vilka beroenden som finns, vilken finansiell exponering som är rimlig och hur ledningen har godkänt och övervakat riskbehandlingen.
GDPR tillför ytterligare ett lager. Om personuppgifter berörs kan en cyberhändelse bli en personuppgiftsincident, inte bara en operativ incident. Riskmodellen bör identifiera behandlingskontext, roll som personuppgiftsansvarig eller personuppgiftsbiträde, datakategorier, särskilda kategorier av uppgifter där det är relevant, säkerhetsåtgärder, logik för incidentbedömning och implikationer för avisering.
Från värmekarta till euro: den praktiska hybridmodellen
Rätt fråga är inte: ”Ska vi ersätta kvalitativ riskbedömning?” Rätt fråga är: ”Vilka risker förtjänar finansiell kvantifiering?”
Zenith Blueprint, riskhanteringsfasen, steg 12, ”Riskbedömningsmetoder: kvalitativa och kvantitativa”, ger ett pragmatiskt svar:
”Kvantitativ riskbedömning försöker uppskatta risk i numeriska termer (t.ex. förväntad årlig förlust i valuta). Detta innebär ofta:
✓ Insamling av historiska incidentdata (t.ex. hur ofta en incident inträffar och vad den genomsnittliga kostnaden är). ✓ Användning av modeller som förväntad årlig förlust (ALE = enskild förlustpåverkan × årlig inträffandefrekvens) eller ramverk som FAIR (Factor Analysis of Information Risk) för mer komplex analys.”
Samma steg varnar för att ren kvantitativ analys kan vara svår för små och medelstora företag eftersom historiska data kan vara begränsade och processen kan vara resurskrävande. Det praktiska svaret är en lättviktig kvantitativ analys för de största riskerna.
| Element | Praktisk innebörd | Exempel |
|---|---|---|
| Enskild förlustpåverkan | Uppskattad påverkan om scenariot inträffar en gång | €620,000 för ett 12 timmar långt avbrott i en betalningsplattform |
| Årlig inträffandefrekvens | Uppskattad frekvens per år | 0,3, vilket innebär ungefär en gång vart 3,3:e år |
| Förväntad årlig förlust | Enskild förlustpåverkan multiplicerad med årlig inträffandefrekvens | €186,000 i förväntad årlig exponering |
| Kostnad för riskbehandling | Kostnad för kontrollpaket | €74,000 för failover, övervakning och testning |
| Kvarstående förväntad årlig förlust | Uppskattad årlig exponering efter riskbehandling | €62,000 |
| Beslut | Behandla, överför, undvik eller acceptera | Behandla och granska kvarstående risk vid ledningens genomgång |
Siffrorna behöver inte vara perfekta. De behöver vara förklarade. Antaganden om påverkan kan omfatta intäktsbortfall, SLA-krediter, kundkompensation, incidenthantering, juridisk rådgivning, forensiskt stöd, övertid, kundsupport, arbetsinsats för regulatorisk avisering, kundbortfall och anseendepåverkan. Frekvensantaganden kan komma från interna incidenter, rapporter om leverantörsavbrott, hotinformation, branscherfarenhet, sårbarhetsexponering, revisionsiakttagelser och kontrollmognad.
Zenith Blueprint, riskhanteringsfasen, steg 10, ”Fastställande av riskkriterier och konsekvensmatris”, förklarar varför modellen måste kalibreras:
”När konsekvens definieras är det klokt att relatera nivåerna till er specifika verksamhetsskala. Exempel: ’Större finansiell påverkan = förlust > $100k’ (anpassa till er kontext). Beakta även regulatorisk påverkan: exempelvis kan en personuppgiftsincident automatiskt vara ’större’ eller ’allvarlig’ på grund av GDPR-sanktionsavgifter och aviseringskrav, även om den direkta finansiella förlusten är oklar.”
Det är bryggan mellan kvalitativ och kvantitativ risk. ”Större” blir meningsfullt först när organisationen definierar vad större betyder i finansiella, operativa, rättsliga och kundrelaterade termer.
Genomarbetat exempel: kvantifiering av risk för molnavbrott hos leverantör
Föreställ dig en SaaS-leverantör som betjänar kunder i finanssektorn. Den är beroende av en molndriftleverantör, en hanterad databasplattform, en betalningsgateway och en tjänst för kundavisering. Teamet väljer ett scenario för kvantitativ analys:
”Långvarigt avbrott i hanterad databasplattform orsakar störningar i kundvänd tjänst och försenad transaktionshantering.”
Steg 1: definiera riskscenario och ägare
SME Riskhanteringspolicy kräver beskrivning, sannolikhet, konsekvens, poäng, ägare och riskbehandlingsplan. Enterprise Riskhanteringspolicy, avsnittet ”Styrningskrav”, klausul 5.2.2, tillägger att registret:
”Innehåller riskägare, konsekvens- och sannolikhetspoäng, riskbehandlingsplaner, tidsfrister och kontrollreferenser”
Ägaren är inte ”IT”. Den ansvariga ägaren är tjänsteägaren, med stöd av informationssäkerhetschef, CTO, chef för regelefterlevnad, leverantörsansvarig och ekonomi.
Steg 2: uppskatta finansiell exponering
Teamet uppskattar:
- €35,000 per timme i förlorade transaktionsintäkter och SLA-krediter
- €8,000 per timme i kostnader för support, eskalering och incidenthantering
- €60,000 i kostnader för kundåtgärder och kommunikation
- €120,000 i potentiellt kundbortfall eller kommersiell påverkan
- 10 timmar som ett rimligt allvarligt avbrott baserat på leverantörshistorik och arkitekturgranskning
Enskild förlustpåverkan är:
10 × (€35,000 + €8,000) + €60,000 + €120,000 = €610,000
Nuvarande sannolikhet uppskattas till 0,25 per år. Förväntad årlig förlust är:
€610,000 × 0,25 = €152,500
Det föreslagna riskbehandlingspaketet omfattar failover-design över flera regioner, testad återställning av säkerhetskopior, granskning av leverantörens SLA, syntetisk övervakning, en skrivbordsövning och en uppdatering av exit-planen. Första årets kostnad är €82,000, med €34,000 i återkommande kostnad.
Efter riskbehandling uppskattas kvarstående sannolikhet till 0,10 per år och kvarstående enskild förlustpåverkan till €350,000 tack vare snabbare återställning. Kvarstående ALE är:
€350,000 × 0,10 = €35,000
Minskningen av förväntad årlig exponering under första året är cirka €117,500, före beaktande av regulatorisk resiliens, kundförtroende och avtalsmässiga fördelar.
Steg 3: välj riskbehandling och dokumentera motiveringen
Riskbehandling är inte alltid ren riskreducering. Clarysecs SME Riskhanteringspolicy, avsnittet ”Krav för genomförande av policyn”, klausul 6.1.3, anger:
”Överföring: Använd avtal, servicenivåavtal eller försäkring för att överföra risk externt.”
För detta scenario väljer organisationen en blandad riskbehandling: reducera genom teknisk resiliens, överföra en del genom SLA och avtalsmässiga rättsmedel samt acceptera kvarstående risk med ledningens godkännande.
Steg 4: mappa riskbehandling till tillämplighetsförklaringen
Enterprise Riskhanteringspolicy, avsnittet ”Anpassning till Statement of Applicability (SoA)”, klausul 6.5.1, anger:
”Kontrollbeslut som följer av riskbehandlingsprocessen ska återspeglas i SoA.”
Det är här den finansiella modellen blir revisionsfärdig. Scenariot med leverantörsavbrott kopplas till ISO/IEC 27001:2022-kontroller i bilaga A för leverantörer, moln, kontinuitet, incidenter och störningar. Det kopplas även till NIS2-säkerhet i leveranskedjan och verksamhetskontinuitet, DORA IKT-tredjepartsrisk och resiliensövningar, GDPR-säkerhet och incidentbedömning om personuppgifter påverkas samt NIST CSF-resultat för styrning, leveranskedja, respons och återställning.
Zenith Blueprint, riskhanteringsfasen, steg 13, ”Planering av riskbehandling och Statement of Applicability”, förklarar spårbarheten:
”SoA är i praktiken ett bryggdokument: det kopplar er riskbedömning/riskbehandling till de faktiska kontroller ni har. Genom att fylla i det dubbelkontrollerar ni också om ni har missat några kontroller.”
En stark SoA-motivering kan lyda: ”Tillämplig eftersom avbrott i hanterad databas påverkar kritisk kundtjänst, IKT-tredjepartsberoende, avtalsmässiga kundförpliktelser, kontinuitetsåtaganden och potentiell tillgänglighet för personuppgifter. Kontrollerna väljs för att minska en kvantifierad årlig exponering på €152,500 och stödja en ledningsgodkänd kvarstående risk.”
Steg 5: eskalera baserat på tröskelvärden
Enterprise Riskhanteringspolicy, avsnittet ”Styrningskrav”, klausul 5.6, kräver:
”Riskbefogenhetsmatrisen ska tydligt definiera tröskelvärden för eskalering till högsta ledningen eller styrelsen.”
En årlig exponering på €152,500 kan överskrida lokal ledningstolerans. En risk med lägre värde kan ändå kräva eskalering om den påverkar en kritisk eller viktig funktion, utlöser DORA-förväntningar, berör personuppgifter, hotar kundåtaganden eller skapar ansvarsskyldighet för ledningsorganet enligt NIS2.
Mappning för tvärgående regelefterlevnad: en kvantifierad risk, flera skyldigheter
En kvantifierad cyberrisk bör inte kopieras till fem separata efterlevnadskalkylblad. Den bör bli ett riskobjekt med flera efterlevnadsvyer.
| Efterlevnadsperspektiv | Vad den kvantifierade risken ska visa | Underlagsartefakt |
|---|---|---|
| ISO/IEC 27001:2022 | Riskkriterier, ägare, sannolikhet, konsekvens, riskbehandling, acceptans av kvarstående risk, SoA-mappning och operativt underlag | Riskregister, riskbehandlingsplan, SoA, ledningens genomgång, revisionsunderlag |
| NIS2 | Lämpliga och proportionerliga åtgärder, ledningsorganets godkännande och tillsyn, incident- och kontinuitetsöverväganden, åtgärder för leveranskedjan | Styrelseprotokoll, utbildningsloggar, godkännanden av riskbehandling, incidentarbetsflöde |
| DORA | IKT-riskstyrning, kritiska eller viktiga funktioner, IKT-tredjepartsberoenden, testning, incidentklassificering och resiliensstrategi | IKT-riskramverk, informationsregister, testresultat, incidentklassificering, exit-plan |
| GDPR | Personuppgiftsomfattning, säkerhetsåtgärder, incidentkonsekvenser, ansvarsskyldighet som personuppgiftsansvarig eller personuppgiftsbiträde, behandlingskontext och rättslig grund | RoPA-koppling, DPIA där tillämpligt, incidentbedömning, säkerhetsunderlag |
| NIST CSF 2.0 | Riskaptit, standardiserad prioritering, styrning, leverantörsrisk, detektering, respons och återställningsresultat | Current Profile, Target Profile, handlingsplan, POA&M, underlag för leverantörsrisk |
| COBIT 2019 | Styrningsmål, prestationsövervakning, riskoptimering, resursbeslut och assurance | Styrningsrapportering, mätetal för kontrollprestanda, assurance-rapporter |
NIS2 Article 21 är särskilt relevant eftersom den omfattar riskanalys, säkerhetspolicyer, incidenthantering, verksamhetskontinuitet, säkerhetskopiering, katastrofåterställning, krishantering, säkerhet i leveranskedjan, säker utveckling, sårbarhetshantering, effektivitetsbedömning, cyberhygien, utbildning, kryptografi, HR-säkerhet, åtkomstkontroll, tillgångshantering och autentisering.
DORA skapar en liknande disciplin för finansiella entiteter, men med sektorspecifikt fokus. Den kräver ett internt styrnings- och kontrollramverk för IKT-risk, där ledningsorganet ytterst ansvarar. Den förväntar sig godkännande och tillsyn av IKT-policyer, roller, strategi för digital operativ resiliens, IKT-risktolerans, kontinuitets- och responsplaner, revisionsplaner, budgetar, utbildning, policyer för IKT-tredjeparter och rapporteringskanaler.
DORA ger även kvantitativ riskbedömning en direkt operativ utlösare: incidentklassificering. Större IKT-relaterade incidenter ska klassificeras med kriterier som berörda kunder, motparter och transaktioner, varaktighet, driftstopp, geografisk spridning, dataförluster som påverkar tillgänglighet, autenticitet, riktighet eller konfidentialitet, kritikaliteten hos berörda tjänster och ekonomisk påverkan. Om riskmodellen redan uppskattar driftstopp, kundpåverkan, datapåverkan och ekonomisk förlust stödjer den incidentklassificering när en faktisk händelse inträffar.
Kontrollmappningen som gör styrelsens ansvarsskyldighet granskningsbar
I Zenith Controls mappar Clarysec ISO/IEC 27002:2022-kontroll 5.4, ”Ledningens ansvar”, som ett styrningsankare för ansvarsskyldighet inom informationssäkerhet. Vägledningen behandlar den som förebyggande, med stöd för konfidentialitet, riktighet och tillgänglighet, anpassad till cybersäkerhetskonceptet ”Identify”, med styrning som operativ förmåga och styrning plus ekosystem som säkerhetsdomäner.
Det är viktigt eftersom finansiell cyberexponering hör hemma i ledningens beslutsfattande. Zenith Controls kopplar ISO/IEC 27002:2022-kontroll 5.4 till flera stödjande kontroller:
| ISO/IEC 27002:2022 kontrollrelation | Varför den är viktig för kvantifierad risk |
|---|---|
| 5.2 Roller och ansvar inom informationssäkerhet | Riskägare, kontrollägare och eskaleringsbefogenheter ska definieras |
| 5.1 Policyer för informationssäkerhet | Beslut om kvantifierad risk ska vara anpassade till godkända policyåtaganden |
| 5.35 Oberoende granskning av informationssäkerhet | Oberoende granskning ger ledningen objektiv säkerhet om riskbehandling |
| 5.36 Efterlevnad av policyer, regler och standarder för informationssäkerhet | Övervakning av efterlevnad visar om riskbehandlingar fungerar som avsett |
| 5.8 Informationssäkerhet i projektledning | Nya produkter och ändringar ska tidigt omfatta cyberrisk och finansiell exponering |
Zenith Controls mappar även ledningens ansvar till ISO/IEC 27001:2022 klausulerna 5.1, 5.2 och 9.3, vilket kopplar samman ledarskap, policy och ledningens genomgång. Den mappar dessutom till ISO/IEC 27014:2020 klausulerna 6 och 7, som fokuserar på styrningsramverk och processer för att utvärdera, styra, övervaka och kommunicera informationssäkerhet.
Beviskedjan är tydlig:
- Ledningen definierar riskaptit, tolerans och eskaleringströsklar.
- Riskägare kvantifierar de största cyberriskerna.
- Kontroller väljs och återspeglas i SoA.
- Riskbehandlingsåtgärder genomförs och övervakas.
- Oberoende granskning och övervakning av efterlevnad testar effektiviteten.
- Ledningens genomgång utvärderar prestation, incidenter, revisionsresultat, resurser och förbättringsåtgärder.
- Styrelsen får finansiell exponering, kvarstående risk och underlag om ansvarsskyldighet uttryckt i verksamhetstermer.
Clarysecs SME Riskhanteringspolicy, avsnittet ”Roller och ansvar”, klausul 4.1.1, förstärker denna styrningsroll:
”Fastställer organisationens riskaptit och godkänner riskhanteringsramverket.”
För ett litet eller medelstort företag kan detta vara verkställande chef eller ägare. För en reglerad finansiell entitet kan det vara ledningsorganet. Ansvarsskyldighetsprincipen är densamma.
Hur revisorer och tillsynsmyndigheter testar era siffror
Kvantitativ cyberriskbedömning kommer inte att revideras som perfekt aktuariell vetenskap. Den kommer att revideras utifrån metod, konsekvens, spårbarhet, styrning och underlag.
| Revisorns eller granskarens perspektiv | Vad de kommer att testa | Underlag de förväntar sig |
|---|---|---|
| ISO/IEC 27001:2022 | Klausul 6.1.2 riskbedömning, klausul 6.1.3 riskbehandling, SoA-beslut, riskägarens godkännande och klausul 9.3 ledningens genomgång | Riskkriterier, register, riskbehandlingsplan, SoA, godkännanden, protokoll från ledningens genomgång |
| Behörig myndighet enligt NIS2 | Ledningsorganets godkännande och tillsyn, Article 21-åtgärder, proportionalitet, incidentberedskap och utbildning | Styrelsematerial, utbildningsloggar, riskgodkännanden, incidentrutiner, kontinuitetsunderlag |
| DORA-tillsynsmyndighet eller internrevisor | IKT-riskramverk, IKT-risktolerans, kritiska eller viktiga funktioner, testning, incidentklassificering och IKT-tredjepartsrisk | IKT-riskregister, resiliensstrategi, informationsregister, testresultat, exit-planer |
| NIST CSF 2.0-granskare | GOVERN-resultat, inklusive GV.RM-02 riskaptit och tolerans samt GV.RM-06 standardiserad prioritering | Current Profile, Target Profile, handlingsplan, koppling till företagsrisk |
| COBIT 2019-granskare | Styrning av verksamhetens IT, riskoptimering, beslutsrättigheter, resursallokering och assurance | Styrningsrapportering, prestationsmätetal, assurance-rapporter |
Clarysecs Policy för revision och efterlevnadsövervakning – SME Policy för revision och efterlevnadsövervakning – SME, avsnittet ”Styrningskrav”, klausul 5.4.3, gör revisionsloopen tydlig:
”Revisionsiakttagelser och statusuppdateringar ska ingå i processen för ledningens genomgång av ISMS.”
Detta är kritiskt. Om riskmodellen uppskattar en exponering på €500,000 men internrevisionen finner att återställningstestet misslyckades, måste den kvarstående risken ändras. Om leverantörens exit-plan är otestad bör organisationen inte acceptera kvarstående risk som om kontrollen vore mogen. Om DORA-testning identifierar en kritisk lucka måste iakttagelsen påverka riskbehandling, budget och ledningens genomgång.
Zenith Blueprint, fasen revision, granskning och förbättring, steg 28, ”Ledningens genomgång”, stödjer detta genom att rekommendera indata till ledningens genomgång, såsom förändringar i interna och externa frågor, regulatoriska krav, revisionsresultat, övervakning och mätning, mål, incidenter, avvikelser, förbättringsmöjligheter och resursbehov. I ett program för kvantifierad cyberrisk bör paketet för ledningens genomgång omfatta de största finansiella exponeringarna, trend sedan föregående genomgång, framdrift i riskbehandling, försenade åtgärder, kvarstående risk över toleransnivå och beslut som krävs.
Bygga ett styrelseanpassat cyberriskpaket
Ett styrelseanpassat cyberriskpaket ska inte dränka styrelseledamöter i sårbarhetsantal, FAIR-variabler eller kontroll-ID:n. Det ska översätta cyberrisk till beslut.
För varje större kvantifierad risk bör följande ingå:
- Scenarionamn och berörd verksamhetstjänst
- Tjänstens eller funktionens kritikalitet
- Markeringar för personuppgifter, reglerad tjänst och leverantörsberoende
- Aktuell uppskattning av enskild förlustpåverkan
- Aktuell uppskattning av årlig inträffandefrekvens
- Aktuell förväntad årlig förlust
- Antaganden och konfidensnivå
- Nuvarande kontroller och kända luckor
- Riskbehandlingsalternativ och kostnad
- Förväntad kvarstående exponering efter riskbehandling
- Relevans för ISO/IEC 27001:2022, NIS2, DORA och GDPR
- Riskägare och beslut som krävs
- SoA- och policyreferenser
- Tidsfrist och granskningsdatum
En förenklad styrelsevy kan se ut så här:
| Riskscenario | Aktuell ALE | Kostnad för riskbehandling | Kvarstående ALE | Regulatorisk drivkraft | Beslut |
|---|---|---|---|---|---|
| Avbrott i hanterad databas som påverkar transaktionshantering | €152,500 | €82,000 | €35,000 | DORA IKT-risk, ISO-riskbehandling, leverantörskontinuitet | Godkänn riskbehandling |
| Ransomware som påverkar kunddataplattform | €372,000 | €100,000 | €95,000 | GDPR-risk för personuppgiftsincident, NIS2-incidenthantering, ISO-incidentkontroller | Godkänn EDR och oföränderliga säkerhetskopior |
| Kompromettering av privilegierad åtkomst i molnets administrationskonsol | €260,000 | €58,000 | €72,000 | ISO åtkomstkontroll, NIS2 autentisering, DORA dataintegritet | Godkänn höjning av MFA och PAM |
| Koncentrationsrisk hos kritisk SaaS-leverantör | €190,000 | €45,000 | €95,000 | DORA tredjepartsrisk, NIS2 leveranskedja, ISO leverantörskontroller | Godkänn testning av exit-plan |
Siffrorna är uppskattningar, men styrningsvärdet är verkligt. Styrelsen kan jämföra prioriteringar. Informationssäkerhetschefen kan motivera investeringar. Ekonomi kan validera antaganden. Funktionen för regelefterlevnad kan koppla beslut till skyldigheter. Revisorer kan följa revisionsspåret.
Vanliga misstag vid kvantifiering av cyberrisk
Det första misstaget är falsk precision. En modell som påstår en förlust på €487,239.17 utan tydliga antaganden är mindre trovärdig än ett intervall med dokumenterad grund. Använd intervall där det är lämpligt och granska antaganden efter incidenter, revisioner, leverantörsförändringar och större arkitekturbeslut.
Det andra misstaget är att bara räkna teknisk kostnad. En större cyberincident kan omfatta intäktsbortfall, kundkompensation, driftstörning, regulatorisk rapportering, juridisk rådgivning, forensiskt stöd, kommunikationskostnader, avtalsviten, kundbortfall, ledningstid och anseendepåverkan.
Det tredje misstaget är att ignorera regulatorisk allvarlighetsgrad. En personuppgiftsincident kan vara större även när den direkta operativa förlusten verkar måttlig. En DORA-incident kan vara betydande på grund av tjänstekritikalitet, driftstopp, dataförlust eller berörda kunder. En NIS2-incident kan vara väsentlig eftersom den orsakar allvarlig driftstörning, ekonomisk förlust eller betydande skada för andra.
Det fjärde misstaget är att inte uppdatera SoA. Om riskbehandlingsbeslut väljer leverantörsövervakning, molnexit-planering, insamling av incidentunderlag, IKT-beredskap för verksamhetskontinuitet eller störningskontroller, måste SoA återspegla tillämpliga kontroller och genomförandestatus.
Det femte misstaget är att lämna ekonomi utanför. Kvantitativ cyberriskbedömning är starkast när säkerhet, ekonomi, juridik, drift, produkt och regelefterlevnad är överens om antaganden om påverkan. Informationssäkerhetschefen bör inte ensam hitta på siffror för intäktsbortfall.
Det sjätte misstaget är att behandla försäkring som full risköverföring. Försäkring kan minska finansiell påverkan, men den tar inte bort regulatorisk ansvarsskyldighet, tjänstestörning, skadat kundförtroende eller ledningens ansvar.
Var Clarysec passar in
Clarysec hjälper organisationer att bygga ett cyberriskprogram som är tillräckligt praktiskt för små och medelstora företag och tillräckligt stringent för reglerade miljöer.
Zenith Blueprint vägleder organisationen från omfattning och kontext via riskkriterier, kvalitativ och kvantitativ bedömning, riskbehandlingsplanering, SoA-spårbarhet, revision, ledningens genomgång och förbättring. Zenith Controls hjälper till att mappa kontrollförväntningar i ISO/IEC 27001:2022 och ISO/IEC 27002:2022 mot andra ramverk, revisioner och styrningsskyldigheter. Clarysec-policyer ger det språk revisorer förväntar sig, inklusive riskaptit, befogenhetsmatriser, riskbehandlingsalternativ, register över regelefterlevnadskrav, SoA-anpassning och integrering med ledningens genomgång.
SME Policy för rättslig och regulatorisk efterlevnad Policy för rättslig och regulatorisk efterlevnad – SME, avsnittet ”Styrningskrav”, klausul 5.1.1, börjar med en enkel skyldighet:
”GM ska upprätthålla ett enkelt, strukturerat register över regelefterlevnadskrav som listar:”
Det enkla registret är viktigt. Rättsliga, regulatoriska och avtalsmässiga skyldigheter måste vara synliga i ISMS. För kvantitativ risk innebär det att NIS2, DORA, GDPR, kundavtal, SLA:er, outsourcingskyldigheter, skyldigheter för incidentrapportering och revisionsåtaganden formar påverkan, prioritering av riskbehandling och eskalering.
Enterprise Riskhanteringspolicy, avsnittet ”Referensstandarder och ramverk”, klausul 11.9.1, återspeglar också DORA-liknande styrning direkt:
”Article 5: Föreskriver ett dokumenterat ramverk för IKT-riskhantering, fullt täckt av denna policys struktur, inklusive SoA-mappning och KRI:er.”
Det är Clarysec-modellen i en mening: dokumenterad IKT-riskhantering, mappad mot kontroller, mätt genom indikatorer, granskad av ledningen och styrkt med revisionsunderlag.
Nästa steg: gör ert cyberriskregister för 2026 finansiellt försvarbart
Om ert nuvarande cyberriskregister fortfarande säger ”hög” utan att förklara finansiell exponering, riskbehandlingens ekonomi eller regulatorisk påverkan, börja med fem åtgärder detta kvartal:
- Välj era 5 till 10 viktigaste cyberriskscenarier utifrån verksamhetspåverkan.
- Definiera tröskelvärden för finansiell påverkan för mindre, medel, större och allvarlig.
- Uppskatta enskild förlustpåverkan, årlig inträffandefrekvens och förväntad årlig förlust för varje större scenario.
- Mappa varje riskbehandlingsbeslut till ISO/IEC 27001:2022-kontroller, SoA, NIS2- eller DORA-skyldigheter där tillämpligt, GDPR-implikationer och NIST CSF-resultat för styrning.
- Presentera kvarstående risk, kostnad för riskbehandling och eskaleringströsklar vid ledningens genomgång.
Clarysec kan hjälpa er att omvandla detta till ett repeterbart underlagssystem med Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise Riskhanteringspolicy Riskhanteringspolicy, SME Riskhanteringspolicy Riskhanteringspolicy – SME samt stödjande mallar för revision och regelefterlevnad.
Målet är inte att göra cyberrisk perfekt förutsägbar. Målet är att göra den förklarbar, jämförbar, finansiellt meningsfull och möjlig att granska.
Ladda ner Clarysecs mallar för risk- och regelefterlevnadspolicyer, utforska Zenith Blueprint, eller boka en Clarysec-bedömning för att omvandla ert cyberriskregister för 2026 till styrelseanpassat underlag för ISO/IEC 27001:2022, NIS2, DORA och GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
