Gap-analys inom cybersäkerhet - så hittar du riskerna i din organisation
- Advisory
En gap-analys jämför nuläget i er cybersäkerhet med ett mål (t.ex. ISO 27001 eller NIS2), visar var brister finns och prioriterar åtgärder efter risk och effekt.
Vad är en gap-analys?
En gap-analys är en systematisk jämförelse mellan nuvarande säkerhetsnivå och önskat mål. Inom cybersäkerhet mäter du ofta mot:
Standard: t.ex. ISO 27001 (ledningssystem för informationssäkerhet).
Regelverk: t.ex. NIS2-krav för väsentliga/tidigare utpekade verksamheter.
Interna mål: egna policyer, riskaptit, SLA/krav från kunder.
Resultat: en tydlig lista över styrkor, brister (gap) och rekommenderade åtgärder med ansvar och tidplan.
När ska man göra en gap-analys?
Inför certifiering eller revision (t.ex. ISO 27001).
Vid nya/uppdaterade krav (t.ex. NIS2 eller kundkrav).
Vid större förändringar: nya IT-system, fusioner, molnflytt, ny leverantör.
Årligen som del av riskprocessen och ledningens genomgång.
Gap-analys i fem steg:
Definiera mål och scope
Välj referensram (t.ex. ISO 27001/NIS2) och avgränsa verksamhet, system och leverantörer.Kartlägg nuläget
Samla bevis: policyer, processer, loggar, konfigurationer, avtal, utbildningsdata. Intervjua nyckelpersoner.Identifiera gap
Jämför kraven mot nuläget. Notera brister i styrning, processer, teknik, människor och tredje part.Risk- och effektprioritera
Bedöm sannolikhet × konsekvens och genomförandeinsats. Rangordna: Hög, Medel, Låg.Skapa och äg en handlingsplan
Sätt åtgärd, ansvarig, förfallodatum, mätetal och uppföljningscykel. Rapportera till ledningen.
Vanliga gap
Incidenthantering: Otydliga rapporteringsvägar, saknade playbooks, bristande övningar.
Roller & ansvar (governance): Ingen tydlig ägare för ISMS, oklara beslutspunkter.
Dokumentation: Policys/rutiner finns “i praktiken” men är inte fastställda eller kommunicerade.
Åtkomst & identitet: Inkonsekvent MFA, bristande rollbaserad behörighet, svag offboarding.
Detektion & övervakning: Ingen eller begränsad loggning/korrelation (SIEM), låg larmkvalitet.
Backup & återställning: Otestade återläsningar, saknad isolering/immuterbarhet.
Tredjepartsrisk: Avtal saknar säkerhetsbilagor, ingen uppföljning av leverantörer.
Enkel prioriteringsmatris
Hög risk, låg insats → Gör nu (t.ex. tvinga MFA, stäng onödiga admin-konton).
Hög risk, hög insats → Planera projekt (t.ex. SIEM/SOC, segregering av nät).
Låg risk, låg insats → Snabba vinster (policyuppdatering, utbildningspåminnelser).
Låg risk, hög insats → Avvakta eller kombinera med andra initiativ.
Fördelar med gap-analys
Tydlig lägesbild: Slipp gissningar – få fakta.
Bättre beslut: Underlag för investeringar och prioritering.
Färre överraskningar vid revision: Högre träffsäkerhet mot krav.
Stärkt motståndskraft: Minskar sannolikhet och påverkan vid incidenter.
Nästa steg:
En gap-analys är mer än ett förarbete inför certifiering – den är ett praktiskt verktyg för att översätta krav till konkreta åtgärder. Genom att jämföra nuläge med mål, risk-prioritera och driva en ägd handlingsplan, minskar ni riskerna och ökar efterlevnaden.
Vanliga frågor
Vad är en gap-analys?
En gap-analys jämför organisationens nuvarande säkerhetsnivå med ett mål (t.ex. ISO 27001 eller NIS2) för att hitta brister. Resultatet är en prioriterad åtgärdslista med ansvar och tidsplan.
Vad kostar en gap-analys?
Varierar med scope och mognad. Mindre organisationer klarar ofta en första analys på några dagar; större kräver fler intervjuer och systemgranskningar.
Måste vi välja ISO 27001 som referens?
Nej, men ISO 27001 ger en heltäckande struktur. Många kombinerar ISO-krav med NIS2 och interna policys.
Hur ofta bör vi upprepa analysen?
Minst årligen eller vid större förändringar (nya system, leverantörer, regulatoriska krav).
Räcker gap-analys för efterlevnad?
Nej. Den visar vägen – efterlevnad kräver att åtgärderna faktiskt genomförs och följs upp.
