Gap-analys inom cybersäkerhet – så hittar du riskerna i din organisation

En gap-analys jämför nuläget i er cybersäkerhet med ett mål (t.ex. ISO 27001 eller NIS2), visar var brister finns och prioriterar åtgärder efter risk och effekt.

Vad är en gap-analys?

En gap-analys är en systematisk jämförelse mellan nuvarande säkerhetsnivå och önskat mål. Inom cybersäkerhet mäter du ofta mot:

• Standard: t.ex. ISO 27001 (ledningssystem för informationssäkerhet).
• Regelverk: t.ex. NIS2-krav för väsentliga/tidigare utpekade verksamheter.
• Interna mål: egna policyer, riskaptit, SLA/krav från kunder.

Resultat: en tydlig lista över styrkor, brister (gap) och rekommenderade åtgärder med ansvar och tidplan.

När ska man göra en gap-analys?

• Inför certifiering eller revision (t.ex. ISO 27001).
• Vid nya/uppdaterade krav (t.ex. NIS2 eller kundkrav).
• Vid större förändringar: nya IT-system, fusioner, molnflytt, ny leverantör.
• Årligen som del av riskprocessen och ledningens genomgång.

Gap-analys i fem steg:

1. Definiera mål och scope
   Välj referensram (t.ex. ISO 27001/NIS2) och avgränsa verksamhet, system och leverantörer.
2. Kartlägg nuläget
   Samla bevis: policyer, processer, loggar, konfigurationer, avtal, utbildningsdata. Intervjua nyckelpersoner.
3. Identifiera gap
   Jämför kraven mot nuläget. Notera brister i styrning, processer, teknik, människor och tredje part.
4. Risk- och effektprioritera
   Bedöm sannolikhet × konsekvens och genomförandeinsats. Rangordna: Hög, Medel, Låg.
5. Skapa och äg en handlingsplan
   Sätt åtgärd, ansvarig, förfallodatum, mätetal och uppföljningscykel. Rapportera till ledningen.

Vanliga gap

• Incidenthantering: Otydliga rapporteringsvägar, saknade playbooks, bristande övningar.
• Roller & ansvar (governance): Ingen tydlig ägare för ISMS, oklara beslutspunkter.
• Dokumentation: Policys/rutiner finns “i praktiken” men är inte fastställda eller kommunicerade.
• Åtkomst & identitet: Inkonsekvent MFA, bristande rollbaserad behörighet, svag offboarding.
• Detektion & övervakning: Ingen eller begränsad loggning/korrelation (SIEM), låg larmkvalitet.
• Backup & återställning: Otestade återläsningar, saknad isolering/immuterbarhet.
• Tredjepartsrisk: Avtal saknar säkerhetsbilagor, ingen uppföljning av leverantörer.

Enkel prioriteringsmatris

• Hög risk, låg insats → Gör nu (t.ex. tvinga MFA, stäng onödiga admin-konton).
• Hög risk, hög insats → Planera projekt (t.ex. SIEM/SOC, segregering av nät).
• Låg risk, låg insats → Snabba vinster (policyuppdatering, utbildningspåminnelser).
• Låg risk, hög insats → Avvakta eller kombinera med andra initiativ.

Fördelar med gap-analys

• Tydlig lägesbild: Slipp gissningar – få fakta.
• Bättre beslut: Underlag för investeringar och prioritering.
• Färre överraskningar vid revision: Högre träffsäkerhet mot krav.
• Stärkt motståndskraft: Minskar sannolikhet och påverkan vid incidenter.

Nästa steg:

En gap-analys är mer än ett förarbete inför certifiering – den är ett praktiskt verktyg för att översätta krav till konkreta åtgärder. Genom att jämföra nuläge med mål, risk-prioritera och driva en ägd handlingsplan, minskar ni riskerna och ökar efterlevnaden.