Hva er en GAP-analyse?
En GAP-analyse er en systematisk sammenligning mellom hvor organisasjonen befinner seg i dag (nåsituasjon) og hvor den må være (målsituasjon) — i dette tilfellet NIS2-kravene. Resultatet viser hvilke “gap” som finnes og må utbedres.
Det er første steg mot NIS2-compliance: før du kan planlegge reisen må du vite hvor du starter.
Verdien: En velgjennomført GAP-analyse gir ledelsen et tydelig bilde av omfanget, hjelper til med å prioritere innsats, og skaper grunnlag for budsjett- og ressursplanlegging.
Før du begynner
Forberedelser:
-
Forankre hos ledelsen — GAP-analysen tar tid og krever medvirkning fra flere. Sikre mandat først.
-
Definer omfanget — Hvilke deler av organisasjonen omfattes av NIS2? Hvilke systemer og prosesser?
-
Samle dokumentasjon — Eksisterende retningslinjer, prosedyrer, risikovurderinger, hendelsesrapporter, osv.
-
Identifiser interessenter — Hvem må involveres? IT, sikkerhet, juridisk, virksomhet, ledelse.
-
Velg metode — Selvvurdering, workshops, intervjuer, eller en kombinasjon?
6-stegsprosessen
- Kartlegg NIS2-kravene Begynn med å forstå hva NIS2 faktisk krever. Artikkel 21 lister 10 hovedområder: risikohåndtering, hendelsesvarsling, forretningskontinuitet, leverandørsikkerhet, nettverkssikkerhet, sårbarhetspolicyer, evaluering av effektivitet, kryptografi, personalopplæring, samt tilgangskontroll og aktivaforvaltning.
- Dokumenter nåsituasjonen For hvert kravområde: Hva har vi i dag? Finnes det dokumenterte prosesser? Implementerte tekniske kontroller? Hvor modne er vi? Bruk en skala (f.eks. 0-4) for å vurdere modningsnivå.
- Identifiser GAP-er Sammenlign nåsituasjon med krav. Hvor finnes manglene? Kategoriser: Mangler helt, Delvis implementert, Finnes men ikke dokumentert, Finnes og dokumentert. Prioriter basert på risiko og kompleksitet.
- Prioriter tiltak Ikke alle gap er like kritiske. Prioriter basert på: Risikonivå (hva er konsekvensen?), Kompleksitet (hvor vanskelig er det å utbedre?), Avhengigheter (må noe annet være klart først?), Ressursbehov (hva kreves?).
- Lag handlingsplan Omsett GAP-analysen til konkrete aktiviteter. Definer: Hva skal gjøres, Hvem har ansvar, Når skal det være ferdig, Hvilke ressurser trengs, Hvordan følger vi opp.
- Følg opp og rapporter GAP-analysen er ikke et engangsprosjekt. Følg opp regelmessig, oppdater statusen, rapporter til ledelsen. Bruk som grunnlag for kontinuerlig forbedring.
NIS2 Artikkel 21 — Kravområder
Her er de 10 områdene fra NIS2 Artikkel 21 som deres GAP-analyse bør dekke:
| # | Område | Hva det innebærer |
|---|---|---|
| 1 | Risikohåndtering | Retningslinjer og prosedyrer for risikovurdering |
| 2 | Hendelsesvarsling | Prosesser for å håndtere sikkerhetshendelser |
| 3 | Forretningskontinuitet | Backup, katastrofegjenoppretting, krisehåndtering |
| 4 | Leverandørsikkerhet | Sikkerhet i leveransekjeden |
| 5 | Nettverkssikkerhet | Sikkerhet ved anskaffelse, utvikling, vedlikehold |
| 6 | Sårbarhetshåndtering | Retningslinjer for å håndtere sårbarheter |
| 7 | Effektivitetsvurdering | Prosesser for å evaluere sikkerhetstiltak |
| 8 | Kryptografi | Retningslinjer for kryptering |
| 9 | Personal og opplæring | HR-sikkerhet, bevissthet, opplæring |
| 10 | Tilgangskontroll | Aktivaforvaltning, autentisering |
Modningsskala
Bruk en modningsskala for å vurdere nåsituasjonen per kravområde:
Ingenting finnes på plass. Området er ikke adressert.
Ad hoc-aktiviteter finnes. Ingen struktur eller dokumentasjon.
Prosesser er dokumentert men ikke konsekvent fulgt.
Prosesser er implementert og følges konsekvent.
Nivå 4: Optimalisert — Prosesser måles, forbedres kontinuerlig og er integrert i virksomheten.
Målnivå for NIS2: Minst nivå 3 på alle kravområder.
Mal for GAP-analyse
| Kravområde | Nåsituasjon (0-4) | Beskrivelse av nåsituasjon | Gap | Prioritet | Tiltak |
|---|---|---|---|---|---|
| Risikohåndtering | 2 | Retningslinjer finnes, risikoregister mangler | Implementere risikoregister | Høy | Q1 2026 |
| Hendelsesvarsling | 1 | Ad hoc-prosess, ingen dokumentasjon | Dokumentere prosess, lage maler | Kritisk | Umiddelbart |
| Forretningskontinuitet | 3 | Plan finnes, testet siste året | Mindre gap | Medium | Q2 2026 |
| … | … | … | … | … | … |
Eksempel på GAP per område
Risikohåndtering — Typiske gap
- Ingen dokumentert risikometodikk
- Risikoregister mangler eller er utdatert
- Risikovurderinger gjennomføres ikke regelmessig
- Ledelsen er ikke involvert i risikoakseptanse
Hendelsesvarsling — Typiske gap
- Ingen definisjon av “betydelig hendelse”
- Kontaktveier til NSM mangler
- Maler for rapportering mangler
- Vaktberedskap mangler
- Prosesser har ikke blitt testet
Leverandørsikkerhet — Typiske gap
- Kritiske leverandører er ikke identifisert
- Sikkerhetskrav stilles ikke i avtaler
- Ingen regelmessig oppfølging
- Underleverandører kontrolleres ikke
Fra GAP til handling
Handlingsplanens innhold:
For hvert identifiserte gap, definer:
- Tiltak: Hva skal gjøres konkret?
- Ansvarlig: Hvem eier aktiviteten?
- Frist: Når skal det være ferdig?
- Ressurser: Hva trengs (tid, penger, kompetanse)?
- Avhengigheter: Må noe annet være klart først?
- Status: Påbegynt, pågående, ferdig
- Verifikasjon: Hvordan vet vi at det er gjort?
Vanlige feil
Å bare krysse av "ja/nei" uten å forstå modningsnivået. Dybde spiller en rolle.
Å gjennomføre analysen uten ledelsens støtte. Resultatet blir hyllevare.
Å gjøre GAP-analysen én gang og deretter ikke følge opp. Det er en kontinuerlig prosess.
Å identifisere gap uten å sikre ressurser for å tette dem.
Slik kan Securapilot hjelpe
Securapilots GAP-analysemodul automatiserer og effektiviserer prosessen:
- Innebygde kravrammeverk — NIS2s alle krav forhåndskonfigurert
- Veiledet vurdering — Steg-for-steg gjennom alle områder
- Automatisk prioritering — Basert på risiko og kompleksitet
- Handlingsplansgenerator — Fra gap til aktiviteter automatisk
- Dashboards — Visualisering av nåsituasjon og fremgang
- Eksportfunksjon — Rapporter for ledelse og revisjon
Book en demo og se hvordan vi kan hjelpe dere med å gjennomføre en effektiv GAP-analyse.
Ofte stilte spørsmål
Hvor lang tid tar en GAP-analyse?
En grunnleggende GAP-analyse kan gjennomføres på 2-4 uker avhengig av organisasjonens størrelse og kompleksitet. En dypere analyse med intervjuer og dokumentgjennomgang tar lengre tid.
Kan vi gjøre GAP-analysen selv?
Ja, mindre organisasjoner med intern kompetanse kan gjennomføre analysen selv. Større organisasjoner eller de som mangler intern ekspertise har ofte nytte av ekstern hjelp for å sikre objektivitet og fullstendighet.
Hva koster en GAP-analyse?
Kostnaden varierer mye. Internt gjennomført koster primært arbeidstid. Eksterne konsulenter koster typisk 500-2000 tkr avhengig av omfang. Automatiserte verktøy som Securapilot kan redusere kostnad og tid.
Hvor ofte skal GAP-analysen oppdateres?
Gjør en initial GAP-analyse og oppdater deretter årlig eller ved større endringer i virksomheten, IT-miljøet eller regelverket. Bruk resultatet for kontinuerlig forbedring.
