Gap-analys för reglerade verksamheter
- Advisory
Den svagaste länken är sällan dokumentationen
Checklistan är ifylld. Policies finns på plats. Ändå uppstår problem vid tillsyn. Det beror sällan på att dokumentationen saknas, det beror på att ingen kan bevisa att kontrollerna faktiskt fungerar i drift. Det är övergången från kontrolldesign till verifierbar drift som avgör om en gap-analys håller vid granskning. Mönstret är detsamma oavsett om verksamheten lyder under NIS2, DORA eller ISO 27001, i finanssektorn, energisektorn, hälsa eller annan kritisk infrastruktur.
Varför gap-analyser misslyckas trots att allt ser rätt ut
En gap-analys för informationssäkerhet kartlägger skillnaden mellan nuläge och målläge. MSB:s metodstöd beskriver det som att identifiera skillnaden mellan den informationssäkerhetsnivå som behöver uppnås och den faktiska nivån i verksamheten, med ISO/IEC 27001 och dess bilaga A som referens. I praktiken innebär det tre steg: kartlägg nuläget, jämför mot krav, formulera en åtgärdsplan.
Det är steg tre som brister. Åtgärdsplanen avslutar gapet på papper men löser inte frågan som tillsynsmyndigheten eller en certifieringsrevisor ställer: kan ni visa att kontrollen fungerar i drift?
ISO 27001-certifieringsprocessen illustrerar detta tydligt. Stage 1 granskar design och dokumentation. Stage 2 testar implementering och operativ effektivitet via intervjuer och evidens. Det vanligaste fyndet i Stage 2 är att organisationen inte kan uppvisa loggar, beslut eller testresultat som bekräftar att kontrollen faktiskt används.
Den svagaste länken: kontroller som inte kan bevisas
Reglerade verksamheter lever med en tillsynslogik som är riskbaserad. Finansinspektionens undersökningar av informations- och cybersäkerhet återkommer till ett antal återkommande brister: bristande kontinuitets- och krisplanering, ofullständig tillgångsdokumentation, tredjepartsrisker och incidenthantering. Det är inte brist på policies som nämns. Det är brist på evidens.
I praktiken ser det ut så här:
- Incidenthanteringsprocessen finns dokumenterad, men ingen har övat på den under de senaste 18 månaderna.
- IKT-tillgångsregistret existerar, men uppdaterades senast vid en revision och speglar inte nuläget.
- Leverantörsstyrningen har ett avsnitt i CISO-rapporten, men det finns inga spårbara uppföljningsprotokoll från leverantörsmöten.
- Riskbedömningen genomfördes, men de identifierade riskerna har inte lett till dokumenterade behandlingsbeslut.
- Kontinuitetsplaner finns, men verksamheten har aldrig lyckats att följa den i testning.
Gapet är inte att kontrollen saknas. Gapet är att kontrollen inte kan verifieras.
Vad tillsynsmyndigheter brukar leta efter (och varför det märks efter gap-analysen)
Tillsynen bygger på en riskbaserad granskning där förmågan att hantera incidenter och återhämta sig är central. De brister som återkommer i tillsynsarbetet berör kontinuitets- och krisplanering, tillgångsdokumentation, tredjepartsrisker och incidenthantering. Det är exakt de områden där gap-analyser tenderar att producera åtgärdspunkter utan tillhörande evidensstruktur.
En gap-analys som inte kopplar varje identifierat gap till en tydlig evidenskedja ger ett falskt intryck av progress. Organisationen stänger gapet i backloggen men öppnar det igen vid nästa granskning.
Fyra steg för en evidensbaserad gap-analys
Steg 1: Definiera kravspårbarhet. För varje kontrollområde: vilket krav styr kontrollen, och vilken evidens bekräftar att den är aktiv? Svaret ska vara specifikt, inte generellt.
Steg 2: Säkra evidensupplägget i förväg. Bestäm vilka loggar, testprotokoll, beslutsdokument och avvikelserapporter som ska finnas, vem som äger dem och hur ofta de uppdateras. Gör detta innan åtgärdsarbetet börjar.
Steg 3: Identifiera verifieringsrisker. Skilja på två typer av gap: kontroll saknas helt, och kontroll finns men kan inte bevisas. Det andra är ofta allvarligare ur ett tillsynsperspektiv. Läs mer om skillnaden mellan gap-analys och internrevision.
Steg 4: Prioritera utifrån risk och tid till effekt. En prioritering som inte kan motiveras med sannolikhet, påverkan och proportionalitet håller inte vid granskning. Securances riskhantering av informationstillgångar utgår från exakt den här strukturen.
DORA:s pelare att väva in i gap-analysen
DORA:s ICT risk management-ramverk kräver att finansiella entiteter kan verifiera effektiviteten hos sina kontroller, och att intern revision utvärderar ramverkets faktiska funktion. Det räcker inte att ha ett ramverk. Det måste fungera och gå att granska. Se även vanliga frågor om DORA.
De fyra obligatoriska pelare som gap-analysen behöver täcka:
- IKT-riskhantering: Är ansvar och eskaleringsvägar dokumenterade och kända av verksamheten, är kontrollerna kopplade till en uppdaterad riskbedömning med behandlingsbeslut?
- Incidenthantering: Finns loggar, klassificeringsprotokoll och kommunikationskedjor som håller vid granskning?
- Resiliens- och sårbarhetstestning: Är tester schemalagda, utförda och dokumenterade med fynd och åtgärder?
- Tredjepartsrisk: Finns ett IKT-register med spårbar kravställning och uppföljning per leverantör? Läs mer om tredjepartsrisk och ISAE 3402.
Test är inte en checkbox. Det är valideringen av att resiliensförmågan faktiskt existerar. Standardiserad testning medför också spårbarhet där organisationen kan mäta förmågan över tid.
NIS2: riskhantering, incidentrapportering och ledningsansvar
NIS2-direktivet inför riskhantering och rapporteringskrav för berörda enheter i 18 sektorer, från energi och transport till hälsa och digital infrastruktur. Det som ofta underskattas är ledningsansvaret: ansvar och utbildning måste vara operativt, inte bara beskrivna i ett styrdokument.
En gap-analys för NIS2 behöver fånga styrning som inte fungerar i praktiken. Det innebär att fråga: vem i ledningen kan redogöra för de viktigaste riskerna just nu, och vilka beslut har fattats som ett resultat? Om svaret är oklart finns ett gap, oavsett hur välskrivet styrdokumentet är.
Incidentrapportering under NIS2 sker i tidssteg med tidiga varningar och vidare rapportering. Det förutsätter att incidenthanteringsprocessen är testad och att kommunikationskedjan är känd av dem som ska använda den.
Vanliga felmönster vi ser om och om igen
Efter ett stort antal gap-analyser i reglerade verksamheter återkommer fyra mönster:
- Policyn finns, men ingen uppföljningsmekanism visar att den följs.
- Riskbedömningen genomfördes en gång och uppdaterades aldrig, trots att verksamheten förändrades.
- Incidenthanteringen saknar testad förmåga och rollerna är otydliga när det väl händer något.
- Tredjepartsstyrningen har ett avsnitt i leverantörsavtalet men ingen spårbar uppföljning.
Dessa mönster är inte tecken på slarv. De är tecken på att gap-analysen var designad för att hitta gap, inte för att stänga dem på ett verifierbart sätt. Läs mer om vanliga misstag vid internrevision.
Konkreta leverabler: vad en användbar gap-analys innehåller
En gap-analys som håller vid tillsyn levererar minst följande:
- Nuläge mot målläge per kontrollområde, med tydlig kravkälla.
- En åtgärdsbacklog med ägare, tidsplan, beroenden och specificerade evidenskrav per punkt.
- En bevismatris: krav → kontroll → evidens → ägare → uppdateringsfrekvens.
- En test- och övningsplan för de gap där operativ förmåga måste verifieras, inte bara dokumenteras.
- Ett audit-ready dokumentationspaket som tydligt anger var varje evidenspost finns och hur den hämtas snabbt.
Vanliga frågor inför en gap-analys
Hur lång tid tar en gap-analys? Beroende på organisationens storlek och komplexitet tar en strukturerad gap-analys, kan ta allt från en dag upp till sex veckor, inklusive workshopfas och rapportleverans.
Vad behöver vi förbereda? Tillgångsdokumentation, befintliga policies och processbeskrivningar, senaste riskbedömning, incidentloggar eller incidentregister, samt tillgång till nyckelpersoner inom IT, compliance och verksamhet.
Hur säkerställer ni att gapet blir bevisbart? Genom att bygga in evidensstrukturen i analysen från dag ett, inte som ett tillägg i slutet. Varje åtgärdspunkt specificerar vilken evidens som krävs och vem som ansvarar för att den finns.
Hur prioriterar ni när budgeten är begränsad? Prioritering baseras på risk, sannolikhet, påverkan och tid till effekt. Åtgärder som stänger verifieringsrisker mot aktuell tillsynsmyndighet, DORA eller NIS2 prioriteras framför rent administrativa gap.
En gap-analys som inte kan visa att kontrollerna fungerar i drift ger ett falskt intryck av progress. Den stänger gapet i backloggen men öppnar det igen vid nästa tillsyn.
Securance genomför gap-analyser för reglerade verksamheter med fokus på evidens, kravspårbarhet och audit-beredskap, oavsett om ni lyder under NIS2, DORA eller ISO 27001. Vill du veta var era verifieringsrisker finns? Ta kontakt så kartlägger vi nuläget tillsammans.