• Aktuelt
  • | 31.03.2026
  • | oyvind.bjerknes@habberstad.no
Forsvar og sikkerhet, Fagartikler, Informasjonssikkerhet, personvern og beredskap

Uønskede hendelser kan få store konsekvenser, enten det handler om sabotasje, digitale angrep eller økonomisk svindel. Likevel er det først når trusler settes i sammenheng med virksomhetens egne verdier at de blir relevante som beslutningsgrunnlag. Derfor bør alle virksomheter jevnlig gjennomgå og oppdatere sine risikovurderinger, særlig når det skjer endringer som kan påvirke verdier i vesentlig grad. Gode risikovurderinger er helt avgjørende for iverksetting av effektive forebyggende sikkerhetstiltak.

Årlige vurderinger er ikke valgfritt for alle? 

Virksomheter underlagt sikkerhetsloven skal gjennomgå sin risikovurdering årlig fordi konsekvensene kan ha betydning for nasjonal sikkerhet (Sikkerhetsloven § 4-2. og Virksomhetssikkerhetsforskriften kapittel 3 § 12.)

For virksomheter som er underlagt sikkerhetsloven, er årlig gjennomgang av risikovurderingen et krav. Bakgrunnen er at konsekvensene kan få betydning for nasjonal sikkerhet (Sikkerhetsloven § 4-2. og Virksomhetssikkerhetsforskriften kapittel 3 § 12.). Det gjelder også finansinstitusjoner og andre finansielle foretak som er pålagt å gjennomgå vesentlige risikoer minst én gang i året (Forskrift om risikostyring og internkontroll, kapittel 3 § 12.).

For virksomheter uten eksplisitte lovkrav, kan manglende sikkerhet  raskt bli forretningskritisk (les også CISO OG BISO- Når sikkerhet blir forretningskritisk

For å kunne beskytte virksomhetens verdier er det viktig å forstå både virksomheten og verden virksomheten opererer i

Hvert år publiserer EOS-tjenestene og politiet sine trussel- og risikovurderinger. Disse rapportene gir et viktig, overordnet bilde av utviklingstrekk i trusselbildet, dagens situasjon og hva som har endret seg det siste året. Dette gir oss en felles situasjonsforståelse på tvers av sektorer og virksomheter, og danner grunnlag for felles motstandskraft og ikke minst samordning og koordinering på tvers innen sikkerhet og beredskap (eksempelvis innenfor rammen av totalforsvaret) 

Når vi derimot beveger oss ned på virksomhetsnivå og spør: «hva betyr dette for min virksomhet?», er det virksomheten selv som har best forutsetning for å svare på spørsmålet. Det er først når man kontekstualiserer truslene og ser dem i sammenheng med virksomhetens verdier at man avdekker sårbarheter og får god risikoforståelse - som er anvendbar i den videre risikohåndteringen.

Man skal likevel ikke undervurdere verdien av de årlige trussel- og risikovurderingene på virksomhetsnivå. De kan bringe til torgs endringer og nye fenomen som virksomhetene ikke har tenkt på eller hensyntatt tidligere. På den måten kan rapportene være gode inngangsverdier - som gjør at virksomheter begynner å tenke proaktivt, «so what»: hva betyr dette for meg og min virksomhet? De årlige rapportene fra EOS-tjenestene og politiet gir først og fremst verdi når de følges opp på en strukturert og systematisk måte.

Verdiene er utgangspunktet for god risikostyring

Å kartlegge, identifisere og klassifisere verdier er virksomhetens eget ansvar. Ingen kjenner verdiene bedre enn virksomheten selv, enten de er knyttet opp mot grunnleggende nasjonale funksjoner, samfunnskritiske funksjoner, etterlevelse av lover og regler eller er av særlig betydning for annen forretningsmessig måloppnåelse.

Å kartlegge, identifisere og klassifisere verdier er virksomhetens eget ansvar.

Når virksomheten vet hvilke verdier man skal beskytte og har dannet seg et bilde av de mest aktuelle truslene begynner det å utkrystallisere seg hvilke sårbarheter som er mer og mindre relevante. Alternativet er at risikoer blir alt og ingenting. Det er det motsatte av god beslutningstøtte for tiltaksutvikling og risikohåndtering. God risikohåndtering hviler som regel på scenarioutvikling på bakgrunn av mer konkrete risikovurderinger enn de overordnede vurderingene til EOS-tjenestene tilbyr.

Årlig risikovurdering som fast punkt gir bedre beslutninger 

De fleste virksomheter vurderer og håndterere vesentlige risikoer løpende på en eller annen måte. Ved å revidere og gjøre nye risikovurderinger også som et årlig fastpunkt sikrer virksomhetene at man etterlever lover og regler, men viktigst av alt: bidrar til bedre risikohåndtering og bedre sikkerhet. Årlig risikovurdering sikrer en mer strukturert og dokumentert revisjon og gjennomgang av en delmengde innen sikkerhetsstyring: identifisere og kartlegge risiko. Risikovurderingene blir som regel også bedre. Dette skaper tillit og trygghet blant ledere som skal beslutte tiltak.

Vi i Habberstad anbefaler at virksomheter følger opp EOS-tjenestenes og politiets trussel- og risikovurderinger og gjennomgår egen risikovurdering, som årlig fastpunkt. Publiseringen av de årlige rapportene fra EOS-tjenestene og politiet er et godt tidspunkt for å stoppe opp og stille spørsmålet:

Hva betyr dette for oss – nå?

Når virksomheter følger opp endringer, anbefalinger og råd på denne måten, bidrar de ikke bare til egen sikkerhet, men også til et mer helhetlig og robust sikkerhetsarbeid i Norge.

Årlig risikovurdering som fast punkt gir bedre beslutninger

De årlige trussel- og risikovurderingene fra myndighetene har størst verdi når de følges opp strukturert og systematisk på virksomhetsnivå.

Som et årlig fast punkt bidrar risikovurderinger til blant annet : 

    1. bedre etterlevelse av lover og krav
    2. mer strukturert og dokumentert sikkerhetsstyring
    3. økt kvalitet i beslutningsgrunnlaget for ledelsen
    4. større trygghet når tiltak skal prioriteres og iverksettes

Trenger dere støtte i arbeidet? 

Habberstad bistår virksomheter med risikovurderinger innen sikkerhet og beredskap. Våre konsulenter har bred sikkerhetsfaglig bakgrunn og hjelper dere med å omsette overordnede trusselbilder til konkrete, virksomhetstilpassede vurderinger.

Ønsker dere å komme i gang eller videreutvikle eksisterende risikovurderinger?

Ta kontakt med en av våre sikkerhetsrådgivere