Sammanfattning: En gap-analys jämför ert nuvarande arbetssätt med kraven i till exempel Cybersäkerhetslagen/NIS2, CRA, GDPR eller ISO 27001 och visar vad som redan finns på plats, vad som delvis finns och vad som saknas. Rätt genomförd stannar den inte vid en rapport – varje gap kopplas till en prioriterad åtgärd, ett ansvar och ett nästa steg.
Många organisationer står just nu med flera kravbilder samtidigt. Cybersäkerhetslagen/NIS2, GDPR, ISO 27001 och i vissa fall Cyber Resilience Act, CRA. Det kan snabbt bli rörigt om varje regelverk hanteras som ett separat projekt.
En bra gap-analys hjälper er att se vad ni redan har på plats, vad som delvis finns och vad som faktiskt saknas. Men det viktigaste är inte själva rapporten. Det viktiga är att analysen leder till prioriteringar, ansvar och genomförbara åtgärder.
Vad är en gap-analys?
En gap-analys jämför ert nuvarande arbetssätt med de krav eller den standard ni vill mäta er mot. Det kan handla om styrdokument, riskhantering, incidentprocesser, leverantörsstyrning, tekniska kontroller, kontinuitet eller ledningens uppföljning.
Resultatet bör inte bara vara en lista med brister. Det bör vara ett beslutsunderlag som visar:
- vad som redan fungerar
- vad som behöver förbättras
- vad som saknas
- vad som bör prioriteras först
- vem som bör äga respektive åtgärd
Så brukar vi lägga upp arbetet
Vi börjar med att definiera omfattningen. Alla organisationer behöver inte mäta sig mot allt samtidigt. Därför behöver vi först förstå verksamheten, vilka krav som är relevanta och vad ni redan har gjort.
Därefter går vi igenom dokumentation, intervjuar nyckelpersoner och stämmer av hur arbetet faktiskt fungerar i praktiken. Det är ofta där de viktigaste insikterna kommer fram. En rutin kan se bra ut på papper, men ändå vara okänd i verksamheten. En teknisk kontroll kan finnas, men sakna ägare eller uppföljning.
Vi mappar sedan nuläget mot relevanta krav, exempelvis Cybersäkerhetslagen/NIS2, GDPR, ISO 27001 eller CRA. Ofta använder vi ISO 27001 som en gemensam struktur, eftersom standarden ger ett bra ramverk för styrning, risk, uppföljning och förbättring.
Det vanligaste misstaget
Det vanligaste misstaget är att gap-analysen stannar vid analys.
Rapporten blir klar. Bristerna är identifierade. Men ingen äger åtgärderna, inget har en tydlig tidsplan och arbetet tappar fart.
Därför kopplar vi varje identifierat gap till en rekommenderad åtgärd, en prioritering och ett nästa steg. Målet med gap-analysen är att identifiera och prioritera förbättringsområden utifrån risk, för att stärka och vidareutveckla ert ledningssystem för informationssäkerhet – inte att bli en fristående rapport som bara tas fram inför revision eller tillsyn.
En startpunkt, inte en engångsinsats
En gap-analys är ofta början på ett mer långsiktigt arbete. Nya krav, förändrad verksamhet, nya system, incidenter och revisioner kan alla göra att nuläget behöver omprövas.
Rätt genomförd ger analysen er ett tydligare grepp om var ni står och vad som krävs för att komma vidare.
Vill ni veta var ni faktiskt står mot Cybersäkerhetslagen/NIS2, CRA, GDPR eller ISO 27001? Kontakta oss så tar vi ett första samtal om ert nuläge.
Exempel från verkligheten finns bland våra referenscase – till exempel en oberoende granskning av IT och säkerhet.
Detta är en översikt och inte juridisk rådgivning. Varje organisation behöver bedömas utifrån sin verksamhet, sina system och sina krav.

