Vad är en GAP-analys?
En GAP-analys är en systematisk jämförelse mellan var din organisation befinner sig idag (nuläge) och var den behöver vara (målläge). I det här fallet handlar det om NIS2-kraven. Resultatet visar vilka luckor som finns och behöver åtgärdas.
Det är första steget mot NIS2-compliance: innan du kan planera resan behöver du veta var du startar.
Värdet: En välgjord GAP-analys ger ledningen en tydlig bild av omfattningen. Den hjälper dig prioritera insatser och skapar grund för budget och resursplanering.
Innan du börjar
Förberedelser:
-
Förankra hos ledningen. GAP-analysen tar tid och kräver medverkan från flera. Säkra mandat först.
-
Definiera omfattningen: Vilka delar av organisationen omfattas av NIS2? Vilka system och processer?
-
Samla dokumentation: Befintliga policyer, procedurer, riskbedömningar, incidentrapporter, etc.
-
Identifiera intressenter: Vilka behöver involveras? IT, säkerhet, juridik, verksamhet, ledning.
-
Välj metod: Självbedömning, workshops, intervjuer, eller en kombination?
6-stegsprocessen
- Kartlägg NIS2-kraven Börja med att förstå vad NIS2 faktiskt kräver. Artikel 21 listar tio huvudområden. De omfattar riskhantering, incidenthantering, affärskontinuitet, leverantörssäkerhet, nätverkssäkerhet, sårbarhetspolicyer, utvärdering av effektivitet, kryptografi, personalutbildning samt åtkomstkontroll.
- Dokumentera nuläget För varje kravområde: Vad har du idag? Finns det dokumenterade processer? Implementerade tekniska kontroller? Hur mogen är organisationen? Använd en skala (till exempel 0--4) för att bedöma mognadsnivå.
- Identifiera GAP:ar Jämför nuläge med krav. Var finns bristerna? Kategorisera: saknas helt, delvis genomfört, finns men saknar dokumentation, finns och dokumenterat. Prioritera utifrån risk och komplexitet.
- Prioritera åtgärder Inte alla luckor är lika kritiska. Prioritera utifrån risknivå (vad är konsekvensen?), komplexitet (hur svårt är det att åtgärda?), beroenden (behöver något annat vara klart först?) och resurskrav (vad krävs?).
- Skapa handlingsplan Omsätt GAP-analysen till konkreta aktiviteter. Definiera vad som ska göras, vem som ansvarar, när det ska vara klart, vilka resurser som behövs och hur du följer upp.
- Följ upp och rapportera GAP-analysen är inte ett engångsprojekt. Följ upp regelbundet, uppdatera statusen och rapportera till ledningen. Använd resultatet som grund för kontinuerlig förbättring.
NIS2 Artikel 21: Kravområden
Här är de 10 områdena från NIS2 Artikel 21 som er GAP-analys bör täcka:
| # | Område | Vad det innebär |
|---|---|---|
| 1 | Riskhantering | Policyer och procedurer för riskbedömning |
| 2 | Incidenthantering | Processer för att hantera säkerhetsincidenter |
| 3 | Affärskontinuitet | Backup, katastrofåterställning, krishantering |
| 4 | Leverantörssäkerhet | Säkerhet i leveranskedjan |
| 5 | Nätverkssäkerhet | Säkerhet vid förvärv, utveckling, underhåll |
| 6 | Sårbarhetshantering | Policyer för att hantera sårbarheter |
| 7 | Effektivitetsbedömning | Processer för att utvärdera säkerhetsåtgärder |
| 8 | Kryptografi | Policyer för kryptering |
| 9 | Personal och utbildning | HR-säkerhet, medvetenhet, utbildning |
| 10 | Åtkomstkontroll | Tillgångshantering, autentisering |
Mognadsskala
Använd en mognadsskala för att bedöma nuläget per kravområde:
Inget finns på plats. Området är inte hanterat.
Ad hoc-aktiviteter finns. Ingen struktur eller dokumentation.
Processer är dokumenterade men inte konsekvent följda.
Processer är införda och följs konsekvent.
Nivå 4: Optimerad. Processer mäts, förbättras löpande och är en del av verksamheten.
Målnivå för NIS2: Minst nivå 3 på alla kravområden.
Mall för GAP-analys
| Kravområde | Nuläge (0-4) | Beskrivning av nuläge | Gap | Prioritet | Åtgärd |
|---|---|---|---|---|---|
| Riskhantering | 2 | Policyer finns, riskregister saknas | Implementera riskregister | Hög | Q1 2026 |
| Incidenthantering | 1 | Ad hoc-process, ingen dokumentation | Dokumentera process, skapa mallar | Kritisk | Omedelbart |
| Affärskontinuitet | 3 | Plan finns, testad senaste året | Mindre gap | Medium | Q2 2026 |
| … | … | … | … | … | … |
Exempel på GAP per område
Riskhantering: Typiska gap
- Ingen dokumenterad riskmetodik
- Riskregister saknas eller är inaktuellt
- Riskbedömningar genomförs inte regelbundet
- Ledningen är inte involverad i riskacceptans
Incidenthantering: Typiska gap
- Ingen definition av “betydande incident”
- Kontaktvägar till CSIRT saknas
- Mallar för rapportering saknas
- Jourberedskap saknas
- Processer har inte testats
Leverantörssäkerhet: Typiska gap
- Kritiska leverantörer är inte identifierade
- Säkerhetskrav ställs inte i avtal
- Ingen regelbunden uppföljning
- Underleverantörer kontrolleras inte
Från GAP till handling
Handlingsplanens innehåll:
För varje identifierat gap, definiera:
- Åtgärd: Vad ska göras konkret?
- Ansvarig: Vem äger aktiviteten?
- Deadline: När ska det vara klart?
- Resurser: Vad behövs (tid, pengar, kompetens)?
- Beroenden: Behöver något annat vara klart först?
- Status: Påbörjad, pågående, klar
- Verifiering: Hur vet vi att det är gjort?
Vanliga misstag
Att bara bocka av "ja/nej" utan att förstå mognadsnivån. Djup spelar roll.
Att genomföra analysen utan ledningens stöd. Resultatet blir hyllvärmare.
Att göra GAP-analysen en gång och sedan inte följa upp. Det är en kontinuerlig process.
Att identifiera luckor utan att säkra resurser för att täppa till dem.
Så kan Securapilot hjälpa
Securapilots GAP-analysmodul automatiserar och effektiviserar processen:
- Inbyggda kravramverk: NIS2:s alla krav förkonfigurerade
- Guidad bedömning: Steg-för-steg genom alla områden
- Automatisk prioritering: Baserad på risk och komplexitet
- Handlingsplansgenerator: Från gap till aktiviteter automatiskt
- Dashboards: Visualisering av nuläge och progress
- Exportfunktion: Rapporter för ledning och revision
Boka en demo och se hur vi kan hjälpa er genomföra en effektiv GAP-analys.
Vanliga frågor
Hur lång tid tar en GAP-analys?
En grundläggande GAP-analys kan genomföras på 2-4 veckor beroende på organisationens storlek och komplexitet. En djupare analys med intervjuer och dokumentgranskning tar längre.
Kan vi göra GAP-analysen själva?
Ja, mindre organisationer med intern kompetens kan genomföra analysen själva. Större organisationer eller de som saknar intern expertis har ofta nytta av extern hjälp för att säkerställa objektivitet och fullständighet.
Vad kostar en GAP-analys?
Kostnaden varierar mycket. Internt genomförd kostar främst arbetstid. Externa konsulter kostar typiskt 50-200 tkr beroende på omfattning. Automatiserade verktyg som Securapilot kan minska kostnad och tid.
Hur ofta ska GAP-analysen uppdateras?
Gör en initial GAP-analys och uppdatera sedan årligen eller vid större förändringar i verksamheten, IT-miljön eller regelverket. Använd resultatet för kontinuerlig förbättring.
