top of page
Sök

Varför Excel inte räcker – och varför FAIR blir nästa steg för AI-risk

  • Skribentens bild: Robert Böhlin
    Robert Böhlin
  • 5 sep.
  • 5 min läsning

Jag satt nyligen i ett möte med en säkerhetschef på ett energibolag. Han visade upp sin risk

matris i Excel – prydligt färgkodad, men hopplöst statisk. "Vi vet att det inte räcker," sa hen. "Men vi vet inte vad vi ska ersätta det med."

Det är ett återkommande tema. Riskhantering har länge varit något man gör för att uppfylla krav – inte för att styra verksamheten. Men med AI Act förändras det. Nu krävs något helt annat.

För första gången ställer lagstiftningen krav på att riskhantering ska vara kontinuerlig. Inte bara vid årsrevisionen. Inte bara när något går fel. Utan hela tiden – från design till drift.

Och det är inte en tolkning. Det står svart på vitt i Artikel 9 i AI Act:

"Högrisk-AI-system ska utformas och utvecklas med ett riskhanteringssystem som är kontinuerligt uppdaterat och dokumenterat under hela livscykeln."

Det här är en game changer. För det betyder att Excel – som verktyg – inte längre håller måttet.

Att hantera AI-risk i Excel är som att försöka navigera med en papperskarta i en självkörande bil. Du ser var du varit – men inte vart du är på väg. Du får ingen realtidsbild. Ingen dynamik. Ingen möjlighet att agera på förändringar.

Och det är just det som AI Act kräver.

När EU klubbade igenom AI Act sommaren 2024 var det många som drog en lättnadens suck – äntligen tydliga regler för AI. Men för de som arbetar med högrisk-AI blev det snabbt tydligt att det inte bara handlar om framtiden. Det handlar om nu.

Redan under 2025 börjar lagen tillämpas stegvis, och från 2026 är det full efterlevnad som gäller. För organisationer inom energi, transport, finans, hälsa eller offentlig sektor – där AI ofta är en del av kärnverksamheten – innebär det att ett fungerande riskhanteringssystem måste vara på plats långt innan deadline.

Det är alltså inte läge att vänta. Det är nu man bygger grunden för att kunna visa att man har kontroll – inte bara på papper, utan i praktiken.

Artikel 17 pratar om kvalitetshantering – men i praktiken handlar det om att ha ett system som håller koll på risker, dokumentation och övervakning, hela tiden. Inte bara vid revision. Inte bara när något går fel.

Och Artikel 25? Den sätter fingret på det som många missar: att riskhanteringen inte slutar när AI-systemet är i drift. Tvärtom – det är då det börjar. Du ska kunna visa att du övervakar prestanda, upptäcker avvikelser och agerar på dem. Kontinuerligt.

Det handlar alltså inte om att ha koll – det handlar om att ha kontroll. Och att kunna bevisa det.

Kvalitativ riskanalys är som en väderradar, du vet vad som händer, inget gissande

En riskmatris i Excel är lite som en heatmap: rött, gult, grönt. Det ger en känsla – men det är fortfarande en gissning. Du vet att något är ”rött”, men inte vad det betyder i kronor eller sannolikhet.

En kvantitativ modell som FAIR fungerar mer som en väderradar. Istället för färgkoder får du siffror: procentsatser, förväntad förlust, sannolikhetsfördelningar. Du får inte bara koll – du får kontroll.

Så hur gör man det?

Jag brukar börja med att introducera FAIR-modellen. Den ersätter subjektiva etiketter som "hög", "medel", "låg" med något mycket mer användbart: kronor, sannolikheter och förväntad förlust.

FAIR står för Factor Analysis of Information Risk, och bygger på att du kvantifierar risker i ekonomiska termer. Istället för att säga att något är "rött" eller "högt" – säger du att det kan kosta 2,3 miljoner kronor med 18 % sannolikhet. Det gör risker jämförbara. AI-projektet, molnplattformen, den klassiska IT-driften – allt kan värderas i samma valuta.

FAIR-CAM (Cybersecurity Analysis Model) är en vidareutveckling som kopplar risker till kontrollfunktioner. Den hjälper dig att förstå vilka kontroller som faktiskt påverkar risken – och vilka som bara är kosmetiska. Du kan se hur en viss kontroll minskar sannolikheten för en incident, eller hur den påverkar den ekonomiska konsekvensen.

FAIR-CAM ger dig en karta över:

• Vilka tillgångar som är mest exponerade

• Vilka hotaktörer som är mest relevanta

• Vilka kontroller som ger mest effekt

• Hur du kan prioritera åtgärder utifrån faktisk riskreduktion

Men FAIR är inte bara en modell – det är en metodik som ofta bygger på Monte Carlo-simuleringar. Det innebär att du kör tusentals scenarier på sekunder. Du varierar sannolikhet, påverkan, kontext – och får en sannolikhetsfördelning som visar hela landskapet.

Monte Carlo fungerar genom att slumpmässigt generera värden inom definierade intervall – till exempel sannolikheten för att en attack lyckas, eller kostnaden för en driftstörning. Genom att köra simuleringen tusentals gånger får du en fördelning som visar:

• Vad som är mest sannolikt

• Vad som är extremt men möjligt

• Hur stor risken är att du hamnar i ett worst-case-scenario

För AI-system, där små fel kan förstoras upp i stor skala, är det här avgörande.

Men FAIR och Monte Carlo är bara en del av lösningen. För att uppfylla AI Act och ISO 42001 krävs också ett ramverk som kan hantera risker i realtid.

Det är här en GRC-plattform kommer in.

Genom att koppla FAIR till en modern GRC-lösning får du ett system där riskhantering inte bara är en rapport, utan en kontrollfunktion. En som är aktiv, automatiserad och integrerad.

Du får en plattform som samlar in riskdata från olika system – inte bara från IT, utan från hela verksamheten. Du kan koppla risker till olika typer av tillgångar: hårdvara, mjukvara, resurser, processer, leverantörer. Du får en helhetsbild.

Och du kan jobba riskbaserat.

Det betyder att du kan prioritera åtgärder utifrån vad som faktiskt innebär störst risk. Du kan införa mitigerande kontroller där det gör mest nytta. Du kan hantera det som är mest kritiskt – först.

Och du kan göra det smart.

I GRC-plattform vi levererar har stöd för så kallad crosswalk – vilket innebär att du kan koppla ihop olika ramverk. Om du gör en bedömning enligt AI Act, kan du samtidigt se hur den mappas mot ISO 42001, NIS2, ISO 27001 eller andra relevanta standarder.

Du slipper dubbelarbete. Du får spårbarhet. Du får effektivitet.

Och du får trygghet.

Nyheten? GRC-lösning har nu fullt stöd för både EU:s AI Act och ISO 42001 – tillsammans med över 100 andra ramverk. Allt i samma plattform. Allt riskbaserat. Allt redo att användas.

Så vad betyder allt detta?

Det betyder att tiden för färgkodade Excelark är förbi. Det betyder att riskhantering måste bli en del av verksamhetens puls. Och det betyder att du behöver verktyg som kan hantera komplexitet, förändring och krav – i realtid.

AI Act gör kontinuerlig riskhantering till ett krav. ISO 42001 visar hur det ska göras. FAIR och Monte Carlo gör det praktiskt möjligt. Och med rätt GRC-plattform runtom blir det också enkelt.

Vill du se hur det fungerar i praktiken?

En längre och djupgående text finns på bloggen – men om du vill ha en konkret bild av hur det kan se ut i din miljö, så visar vi gärna.


 
 
bottom of page