Hvad er en GAP-analyse?
En GAP-analyse er en systematisk sammenligning mellem hvor organisationen befinder sig i dag (nuværende situation) og hvor den skal være (målsituation) — i dette tilfælde NIS2-kravene. Resultatet viser hvilke “gaps” der findes og skal afhjælpes.
Det er første skridt mod NIS2-compliance: før du kan planlægge rejsen, skal du vide hvor du starter.
Værdien: En velgennemført GAP-analyse giver ledelsen et tydeligt billede af omfanget, hjælper med at prioritere indsatser og skaber grundlag for budget- og ressourceplanlægning.
Før du begynder
Forberedelser:
-
Forankr hos ledelsen — GAP-analysen tager tid og kræver medvirken fra flere. Sikr mandat først.
-
Definer omfanget — Hvilke dele af organisationen omfattes af NIS2? Hvilke systemer og processer?
-
Saml dokumentation — Eksisterende politikker, procedurer, risikovurderinger, hændelsesrapporter, etc.
-
Identificer interessenter — Hvem skal involveres? IT, sikkerhed, juridisk, forretning, ledelse.
-
Vælg metode — Selvvurdering, workshops, interviews eller en kombination?
6-trins processen
- Kortlæg NIS2-kravene Begynd med at forstå hvad NIS2 faktisk kræver. Artikel 21 lister 10 hovedområder: risikostyring, hændelseshåndtering, forretningskontinuitet, leverandørsikkerhed, netværkssikkerhed, sårbarheds politikker, evaluering af effektivitet, kryptografi, personaleuddannelse samt adgangskontrol og aktivstyring.
- Dokumenter nuværende situation For hvert kravområde: Hvad har vi i dag? Findes der dokumenterede processer? Implementerede tekniske kontroller? Hvor modne er vi? Brug en skala (f.eks. 0-4) til at vurdere modningsniveau.
- Identificer GAP's Sammenlign nuværende situation med krav. Hvor er manglerne? Kategoriser: Mangler helt, Delvist implementeret, Findes men ikke dokumenteret, Findes og dokumenteret. Prioriter baseret på risiko og kompleksitet.
- Prioriter tiltag Ikke alle gaps er lige kritiske. Prioriter baseret på: Risikoniveau (hvad er konsekvensen?), Kompleksitet (hvor svært er det at rette?), Afhængigheder (skal noget andet være klart først?), Ressourcekrav (hvad kræves?).
- Opret handlingsplan Omsæt GAP-analysen til konkrete aktiviteter. Definer: Hvad skal gøres, Hvem er ansvarlig, Hvornår skal det være klart, Hvilke ressourcer er nødvendige, Hvordan følger vi op.
- Følg op og rapporter GAP-analysen er ikke et engangsprojekt. Følg op regelmæssigt, opdater status, rapporter til ledelsen. Brug som grundlag for kontinuerlig forbedring.
NIS2 Artikel 21 — Kravområder
Her er de 10 områder fra NIS2 Artikel 21 som jeres GAP-analyse bør dække:
| # | Område | Hvad det indebærer |
|---|---|---|
| 1 | Risikostyring | Politikker og procedurer for risikovurdering |
| 2 | Hændelseshåndtering | Processer til håndtering af sikkerhedshændelser |
| 3 | Forretningskontinuitet | Backup, katastrofegenoprettelse, krisestyring |
| 4 | Leverandørsikkerhed | Sikkerhed i leverandørkæden |
| 5 | Netværkssikkerhed | Sikkerhed ved anskaffelse, udvikling, vedligeholdelse |
| 6 | Sårbarhedshåndtering | Politikker for håndtering af sårbarheder |
| 7 | Effektivitetsvurdering | Processer til evaluering af sikkerhedsforanstaltninger |
| 8 | Kryptografi | Politikker for kryptering |
| 9 | Personale og uddannelse | HR-sikkerhed, bevidsthed, uddannelse |
| 10 | Adgangskontrol | Aktivstyring, autentificering |
Modningsskala
Brug en modningsskala til at vurdere nuværende situation per kravområde:
Intet er på plads. Området er ikke adresseret.
Ad hoc-aktiviteter findes. Ingen struktur eller dokumentation.
Processer er dokumenterede men ikke konsekvent fulgt.
Processer er implementerede og følges konsekvent.
Niveau 4: Optimeret — Processer måles, forbedres kontinuerligt og er integrerede i virksomheden.
Målniveau for NIS2: Mindst niveau 3 på alle kravområder.
Skabelon for GAP-analyse
| Kravområde | Nuværende situation (0-4) | Beskrivelse af nuværende situation | Gap | Prioritet | Tiltag |
|---|---|---|---|---|---|
| Risikostyring | 2 | Politikker findes, risikoregister mangler | Implementer risikoregister | Høj | Q1 2025 |
| Hændelseshåndtering | 1 | Ad hoc-proces, ingen dokumentation | Dokumenter proces, opret skabeloner | Kritisk | Omgående |
| Forretningskontinuitet | 3 | Plan findes, testet inden for det seneste år | Mindre gap | Medium | Q2 2025 |
| … | … | … | … | … | … |
Eksempler på GAP per område
Risikostyring — Typiske gaps
- Ingen dokumenteret risikometodologi
- Risikoregister mangler eller er forældet
- Risikovurderinger gennemføres ikke regelmæssigt
- Ledelsen er ikke involveret i risikoacceptans
Hændelseshåndtering — Typiske gaps
- Ingen definition af “væsentlig hændelse”
- Kontaktveje til CFCS mangler
- Skabeloner til rapportering mangler
- Vagttjeneste mangler
- Processer er ikke testet
Leverandørsikkerhed — Typiske gaps
- Kritiske leverandører er ikke identificeret
- Sikkerhedskrav stilles ikke i aftaler
- Ingen regelmæssig opfølgning
- Underleverandører kontrolleres ikke
Fra GAP til handling
Handlingsplanens indhold:
For hvert identificeret gap, definer:
- Tiltag: Hvad skal gøres konkret?
- Ansvarlig: Hvem ejer aktiviteten?
- Deadline: Hvornår skal det være klart?
- Ressourcer: Hvad er nødvendigt (tid, penge, kompetence)?
- Afhængigheder: Skal noget andet være klart først?
- Status: Påbegyndt, igangværende, færdig
- Verifikation: Hvordan ved vi at det er gjort?
Almindelige fejl
Kun at afkrydse "ja/nej" uden at forstå modningsniveaet. Dybde betyder noget.
At gennemføre analysen uden ledelsens støtte. Resultatet bliver til hyldevarmere.
At lave GAP-analysen én gang og derefter ikke følge op. Det er en kontinuerlig proces.
At identificere gaps uden at sikre ressourcer til at lukke dem.
Sådan kan Securapilot hjælpe
Securapilots GAP-analysemodul automatiserer og effektiviserer processen:
- Indbyggede kravrammeværk — NIS2’s alle krav præ-konfigureret
- Guidet vurdering — Trin-for-trin gennem alle områder
- Automatisk prioritering — Baseret på risiko og kompleksitet
- Handlingsplansgenerator — Fra gap til aktiviteter automatisk
- Dashboards — Visualisering af nuværende situation og fremskridt
- Eksportfunktion — Rapporter til ledelse og revision
Book en demo og se hvordan vi kan hjælpe jer med at gennemføre en effektiv GAP-analyse.
Ofte stillede spørgsmål
Hvor lang tid tager en GAP-analyse?
En grundlæggende GAP-analyse kan gennemføres på 2-4 uger afhængigt af organisationens størrelse og kompleksitet. En dybere analyse med interviews og dokumentgennemgang tager længere tid.
Kan vi selv gennemføre GAP-analysen?
Ja, mindre organisationer med intern kompetence kan gennemføre analysen selv. Større organisationer eller dem som mangler intern ekspertise har ofte gavn af ekstern hjælp for at sikre objektivitet og fuldstændighed.
Hvad koster en GAP-analyse?
Omkostningerne varierer meget. Intern gennemførelse koster primært arbejdstid. Eksterne konsulenter koster typisk 300-1.200 tkr afhængigt af omfang. Automatiserede værktøjer som Securapilot kan reducere omkostning og tid.
Hvor ofte skal GAP-analysen opdateres?
Gennemfør en indledende GAP-analyse og opdater derefter årligt eller ved større ændringer i virksomheden, IT-miljøet eller regelværket. Brug resultatet til kontinuerlig forbedring.
