Vad är en GAP-analys?
En GAP-analys är en systematisk jämförelse mellan var organisationen befinner sig idag (nuläge) och var den behöver vara (målläge), i det här fallet NIS2-kraven. Resultatet visar vilka “gap” som finns och behöver åtgärdas.
Det är första steget mot NIS2-compliance: innan du kan planera resan behöver du veta var du startar.
Värdet: En välgjord GAP-analys ger ledningen en tydlig bild av omfattningen, hjälper prioritera insatser, och skapar grund för budget och resursplanering.
Innan du börjar
Förberedelser:
-
Förankra hos ledningen. GAP-analysen tar tid och kräver medverkan från flera. Säkra mandat först.
-
Definiera omfattningen: Vilka delar av organisationen omfattas av NIS2? Vilka system och processer?
-
Samla dokumentation: Befintliga policyer, procedurer, riskbedömningar, incidentrapporter, etc.
-
Identifiera intressenter: Vilka behöver involveras? IT, säkerhet, juridik, verksamhet, ledning.
-
Välj metod: Självbedömning, workshops, intervjuer, eller en kombination?
6-stegsprocessen
- Kartlägg NIS2-kraven Börja med att förstå vad NIS2 faktiskt kräver. Artikel 21 listar 10 huvudområden: riskhantering, incidenthantering, affärskontinuitet, leverantörssäkerhet, nätverkssäkerhet, sårbarhetspolicyer, utvärdering av effektivitet, kryptografi, personalutbildning, samt åtkomstkontroll och tillgångshantering.
- Dokumentera nuläget För varje kravområde: Vad har vi idag? Finns det dokumenterade processer? Implementerade tekniska kontroller? Hur mogna är vi? Använd en skala (t.ex. 0-4) för att bedöma mognadsnivå.
- Identifiera GAP:ar Jämför nuläge med krav. Var finns bristerna? Kategorisera: Saknas helt, Delvis implementerat, Finns men ej dokumenterat, Finns och dokumenterat. Prioritera baserat på risk och komplexitet.
- Prioritera åtgärder Inte alla gap är lika kritiska. Prioritera baserat på: Risknivå (vad är konsekvensen?), Komplexitet (hur svårt är det att åtgärda?), Beroenden (behöver något annat vara klart först?), Resurskrav (vad krävs?).
- Skapa handlingsplan Omsätt GAP-analysen till konkreta aktiviteter. Definiera: Vad ska göras, Vem ansvarar, När ska det vara klart, Vilka resurser behövs, Hur följer vi upp.
- Följ upp och rapportera GAP-analysen är inte ett engångsprojekt. Följ upp regelbundet, uppdatera statusen, rapportera till ledningen. Använd som grund för kontinuerlig förbättring.
NIS2 Artikel 21: Kravområden
Här är de 10 områdena från NIS2 Artikel 21 som er GAP-analys bör täcka:
| # | Område | Vad det innebär |
|---|---|---|
| 1 | Riskhantering | Policyer och procedurer för riskbedömning |
| 2 | Incidenthantering | Processer för att hantera säkerhetsincidenter |
| 3 | Affärskontinuitet | Backup, katastrofåterställning, krishantering |
| 4 | Leverantörssäkerhet | Säkerhet i leveranskedjan |
| 5 | Nätverkssäkerhet | Säkerhet vid förvärv, utveckling, underhåll |
| 6 | Sårbarhetshantering | Policyer för att hantera sårbarheter |
| 7 | Effektivitetsbedömning | Processer för att utvärdera säkerhetsåtgärder |
| 8 | Kryptografi | Policyer för kryptering |
| 9 | Personal och utbildning | HR-säkerhet, medvetenhet, utbildning |
| 10 | Åtkomstkontroll | Tillgångshantering, autentisering |
Mognadsskala
Använd en mognadsskala för att bedöma nuläget per kravområde:
Inget finns på plats. Området är inte adresserat.
Ad hoc-aktiviteter finns. Ingen struktur eller dokumentation.
Processer är dokumenterade men inte konsekvent följda.
Processer är implementerade och följs konsekvent.
Nivå 4: Optimerad. Processer mäts, förbättras kontinuerligt och är integrerade i verksamheten.
Målnivå för NIS2: Minst nivå 3 på alla kravområden.
Mall för GAP-analys
| Kravområde | Nuläge (0-4) | Beskrivning av nuläge | Gap | Prioritet | Åtgärd |
|---|---|---|---|---|---|
| Riskhantering | 2 | Policyer finns, riskregister saknas | Implementera riskregister | Hög | Q1 2026 |
| Incidenthantering | 1 | Ad hoc-process, ingen dokumentation | Dokumentera process, skapa mallar | Kritisk | Omedelbart |
| Affärskontinuitet | 3 | Plan finns, testad senaste året | Mindre gap | Medium | Q2 2026 |
| … | … | … | … | … | … |
Exempel på GAP per område
Riskhantering: Typiska gap
- Ingen dokumenterad riskmetodik
- Riskregister saknas eller är inaktuellt
- Riskbedömningar genomförs inte regelbundet
- Ledningen är inte involverad i riskacceptans
Incidenthantering: Typiska gap
- Ingen definition av “betydande incident”
- Kontaktvägar till CSIRT saknas
- Mallar för rapportering saknas
- Jourberedskap saknas
- Processer har inte testats
Leverantörssäkerhet: Typiska gap
- Kritiska leverantörer är inte identifierade
- Säkerhetskrav ställs inte i avtal
- Ingen regelbunden uppföljning
- Underleverantörer kontrolleras inte
Från GAP till handling
Handlingsplanens innehåll:
För varje identifierat gap, definiera:
- Åtgärd: Vad ska göras konkret?
- Ansvarig: Vem äger aktiviteten?
- Deadline: När ska det vara klart?
- Resurser: Vad behövs (tid, pengar, kompetens)?
- Beroenden: Behöver något annat vara klart först?
- Status: Påbörjad, pågående, klar
- Verifiering: Hur vet vi att det är gjort?
Vanliga misstag
Att bara bocka av "ja/nej" utan att förstå mognadsnivån. Djup spelar roll.
Att genomföra analysen utan ledningens stöd. Resultatet blir hyllvärmare.
Att göra GAP-analysen en gång och sedan inte följa upp. Det är en kontinuerlig process.
Att identifiera gap utan att säkerställa resurser för att täppa till dem.
Så kan Securapilot hjälpa
Securapilots GAP-analysmodul automatiserar och effektiviserar processen:
- Inbyggda kravramverk: NIS2:s alla krav förkonfigurerade
- Guidad bedömning: Steg-för-steg genom alla områden
- Automatisk prioritering: Baserad på risk och komplexitet
- Handlingsplansgenerator: Från gap till aktiviteter automatiskt
- Dashboards: Visualisering av nuläge och progress
- Exportfunktion: Rapporter för ledning och revision
Boka en demo och se hur vi kan hjälpa er genomföra en effektiv GAP-analys.
Vanliga frågor
Hur lång tid tar en GAP-analys?
En grundläggande GAP-analys kan genomföras på 2-4 veckor beroende på organisationens storlek och komplexitet. En djupare analys med intervjuer och dokumentgranskning tar längre.
Kan vi göra GAP-analysen själva?
Ja, mindre organisationer med intern kompetens kan genomföra analysen själva. Större organisationer eller de som saknar intern expertis har ofta nytta av extern hjälp för att säkerställa objektivitet och fullständighet.
Vad kostar en GAP-analys?
Kostnaden varierar mycket. Internt genomförd kostar främst arbetstid. Externa konsulter kostar typiskt 50-200 tkr beroende på omfattning. Automatiserade verktyg som Securapilot kan minska kostnad och tid.
Hur ofta ska GAP-analysen uppdateras?
Gör en initial GAP-analys och uppdatera sedan årligen eller vid större förändringar i verksamheten, IT-miljön eller regelverket. Använd resultatet för kontinuerlig förbättring.
