Seadot cybersecurity
EN

Från gap-analys till handlingsplan

Vad är en gap-analys?

En gap-analys (eller nulägesanalys) är en systematisk jämförelse mellan organisationens nuvarande status och ett önskat mål- eller kravläge. Inom cybersäkerhet innebär det att identifiera skillnaden mellan hur säkerhetsarbetet faktiskt fungerar i dag och vad som krävs enligt exempelvis ett ramverk, en standard eller ett regelverk – till exempel ISO 27001, NIS2 eller GDPR. Syftet är att tydligt visa vilka brister (”gap”) som finns, hur allvarliga de är och vad som behöver åtgärdas för att nå efterlevnad och ökad motståndskraft.

En gap-analys är ett viktigt verktyg för att identifiera var din organisation brister i cybersäkerhet och regelefterlevnad. Men själva analysen är bara början. Det verkliga värdet kommer först när resultaten omsätts i en konkret handlingsplan och den faktiskt genomförs. 

Varför räcker inte gap-analysen i sig?

Många organisationer fastnar i analysfasen. Rapporten blir ett dokument fullt av bra rekommendationer men utan tydliga prioriteringar, ansvar eller uppföljning riskerar den att bli en ”hyllvärmare”.

 

Tre vanliga problem är:

  1. Ingen ansvarsfördelning – brister dokumenteras men ingen äger åtgärderna.
  2. Otydliga prioriteringar – allt ser viktigt ut och ingenting blir gjort.
  3. Bristande uppföljning – handlingsplanen följs inte upp i ledningen.

För att lyckas måste gap-analysen följas av en plan som är konkret, riskbaserad och integrerad i organisationens styrning.

Så bygger man en handlingsplan i fem steg

  1. Klargör målet
    Bestäm vad ni vill uppnå: certifiering, regelefterlevnad eller stärkt motståndskraft. Målet styr prioriteringarna. Tydliggör också vilket ramverk eller regelverk handlingsplanen ska utgå ifrån – det vill säga mot vilken kravmängd gap-analysen ska göras.

    Exempel på vanliga ramverk:
    ISO 27001 – för informationssäkerhetslednin
    NIS2 – för regelefterlevnad och cybersäkerhetskrav inom samhällsviktiga verksamheter
    GDPR – för dataskydd och hantering av personuppgifter

    Genom att välja rätt ramverk blir målbilden tydlig och handlingsplanen fokuserad på relevanta krav.

  1. Bryt ner gapen till åtgärder
    För varje identifierad brist: definiera en tydlig åtgärd.

    Exempel:
    Gap: Ingen formaliserad incidentprocess.


    Åtgärd: Ta fram och testa en incidenthanteringsplan.
  1. Tilldela ansvar
    Varje åtgärd behöver en ansvarig person eller funktion. Skriv in det i planen och förankra hos ledningen.

     

  2. Sätt tidsramar och resurser
    Ge varje åtgärd en deadline och ange vilka resurser (tid, budget, personal) som krävs.

     

  3. Inför uppföljning
    Definiera KPI:er (t.ex. ”100 % av kritiska gap åtgärdade inom 6 månader”) och ta upp handlingsplanen i ledningens genomgångar.

Prioritera rätt- quick wins och långsiktiga projekt

Alla gap kan inte åtgärdas samtidigt. Därför är risk- och effektprioritering avgörande.

  • Quick wins: åtgärder som kan genomföras snabbt och billigt, men som reducerar risker effektivt.
    Exempel: införa MFA, uppdatera policydokument
  • Hög risk, hög insats: större projekt som kräver planering
    Exempel: implementera SIEM eller bygga SOC
  • Låg risk, låg insats: enkla förbättringar som kan tas i samband med andra initiativ
  • Låg risk, hög insats: kan ofta skjutas på framtiden eller kombineras med större projekt

En prioriteringsmatris kan hjälpa ledningen att förstå vad som måste göras nu och vad som kan vänta.

Roller och ansvar – vem ska äga handlingsplanen?

En vanlig utmaning är att säkerhetsfrågor ofta hamnar mellan stolarna. För att undvika detta bör handlingsplanen ägas centralt, ofta av:

  • CISO eller säkerhetschef – ansvar för koordinering och rapportering.
  • Systemägare/IT – ansvar för tekniska åtgärder.
  • Verksamhetschefer – ansvar för processer och rutiner.
  • Ledningen – ansvar för att ge mandat och resurser.

Genom att fördela ansvaret blir det tydligt vem som ska göra vad och när.

Ledningens roll – från säkerhetskrav till affärsvärde

En handlingsplan lyckas sällan utan stöd från högsta ledningen. Här är några sätt att skapa engagemang:

  • Koppla till affärsmål: Visa hur åtgärderna stärker kundförtroende, vinner affärer eller undviker böter.
  • Kvantifiera riskerna:  Gör en uppskattning av vad en incident skulle kunna kosta.
  • Rapportera regelbundet: Gör framdriften till en stående punkt i ledningsmöten.

Uppföljning och mätning

För att hålla planen levande krävs uppföljning. Några vanliga mätpunkter:

  • Antal genomförda åtgärder jämfört med plan.
  • Andel kritiska gap som är åtgärdade inom utsatt tid.
  • Resultat från interna revisioner och tester.
  • Minskning av incidenter eller säkerhetsavvikelser.

Digitala verktyg som dashboards eller projektstyrningssystem kan göra det enklare att visualisera framstegen.

Vanliga frågor:

Hur detaljerad ska en handlingsplan vara?
Den ska vara tillräckligt konkret för att ansvariga ska veta exakt vad som ska göras, men inte så detaljerad att den blir svår att få en överblick över.

Hur får man ledningen att prioritera åtgärderna?
Genom att koppla dem till affärsmål, riskreducering och ekonomiska konsekvenser.

Behöver alla gap åtgärdas?
Inte alltid. Vissa lågprioriterade gap kan accepteras om kostnaden för åtgärden överstiger risken.

Kan vi använda samma handlingsplan för ISO 27001, NIS2 och GDPR?
Ja, ofta kan planen kombineras och struktureras så att åtgärder adresserar flera regelverk samtidigt.

 

En gap-analys är startpunkten men det är handlingsplanen som skapar verklig förändring. Genom att omsätta brister i tydliga åtgärder, prioritera smart, tilldela ansvar och följa upp regelbundet kan organisationen inte bara uppnå efterlevnad, utan också bygga en långsiktigt stark säkerhetskultur.

 

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.