Advania logo
    Kontakta oss
    Gå tillbaka

    Gap-analys

    Vad är en gap-analys?

    En gap-analys (även skrivet gapanalys), ibland kallad mognadsanalys, är en strukturerad jämförelse mellan hur en verksamhet arbetar i dag och hur den borde arbeta enligt en standard, ett regelverk eller en egen målnivå. Resultatet är en tydlig bild av gapet – skillnaden mellan nuläge och börläge – och en prioriterad plan för att stänga det. Inom IT- och informationssäkerhet görs gap-analyser ofta mot ramverk som ISO 27001, CIS Controls, NIS2 eller DORA.

    Betydelsen av en gap-analys

    Nya regelverk och standarder väcker alltid samma fråga: var står vi i dag, och hur långt är det kvar? Utan ett strukturerat svar blir anpassningsarbetet antingen överdimensionerat – allt görs om från grunden – eller underdimensionerat, där viktiga luckor missas tills en revision eller incident avslöjar dem.

    Gap-analysen ger svaret. Den visar vilka krav som redan uppfylls, vilka som delvis uppfylls och var det saknas helt, och översätter det till en åtgärdsplan med prioriteringar och uppskattad arbetsinsats. För ledningen blir den ett beslutsunderlag: vad kostar det att nå målnivån, vad ska tas först och vilka risker accepteras under tiden? Det är också därför gap-analysen är en av de vanligaste startpunkterna i governance-arbete – inför en ISO 27001-certifiering, en NIS2-anpassning eller en höjning av den allmänna säkerhetsmognaden.

    Så fungerar en gap-analys

    En typisk gap-analys genomförs i fyra steg:

    • Definiera målbilden: välj referensram – en standard som ISO 27001, ett ramverk som CIS Controls, ett regelverk som NIS2 eller en intern målnivå – och avgränsa vilka delar av verksamheten som ingår.
    • Kartlägg nuläget: samla in fakta genom dokumentgranskning, intervjuer och tekniska kontroller. Hur arbetar verksamheten faktiskt, inte bara enligt styrdokumenten?
    • Identifiera och värdera gapen: jämför nuläge mot krav, ofta med en mognadsskala (exempelvis från "saknas" till "optimerad"), och bedöm gapens betydelse utifrån risk.
    • Ta fram åtgärdsplan: prioritera åtgärder efter risk och nytta, uppskatta insats och föreslå en realistisk ordningsföljd – snabba förbättringar först, strukturella förändringar därefter.

    En mognadsanalys är i grunden samma övning men med betoning på nivåbedömning: i stället för bara uppfyllt/inte uppfyllt graderas hur väl och hur systematiskt varje område hanteras.

    Fördelar med en gap-analys

    Gap-analysen ger ett objektivt nuläge att utgå från, gör kostnader och tidsåtgång för regelefterlevnad förutsägbara och hjälper verksamheten att lägga resurserna där de gör störst nytta. Den skapar också ett gemensamt språk mellan IT, säkerhet och ledning – gapen beskrivs i termer av risk och åtgärd, inte teknik. Återkommande analyser gör dessutom förbättringen mätbar: mognaden kan följas över tid och redovisas för styrelse, revisorer och tillsynsmyndigheter.

    Gap-analys med Advania

    Värdet i en gap-analys avgörs av kvaliteten på bedömningen – och av att åtgärdsplanen är genomförbar. Advania genomför gap- och mognadsanalyser mot bland annat ISO 27001, CIS Controls, NIS2 och DORA, och hjälper verksamheter hela vägen från nulägesbild till genomförda åtgärder, med prioriteringar som balanserar risk, kostnad och verksamhetsnytta.

    Vanliga frågor och svar om gap-analys

    Vad är skillnaden mellan en gap-analys och en väsentlighetsanalys?

    En gap-analys jämför nuläget mot en standard eller målnivå och visar vad som saknas för att nå dit. En väsentlighetsanalys används framför allt i hållbarhetsrapportering enligt CSRD och handlar om att identifiera vilka hållbarhetsfrågor som är väsentliga för verksamheten att rapportera om. Förenklat: gap-analysen frågar "hur långt har vi kvar?", väsentlighetsanalysen frågar "vilka frågor är viktiga för oss?".

    Vad är skillnaden mellan gap-analys och mognadsanalys?

    Begreppen används ofta synonymt. Skillnaden i betoning är att gap-analysen jämför mot specifika krav (uppfyllt eller inte), medan mognadsanalysen graderar hur systematiskt och väl varje område hanteras på en skala. I praktiken kombineras de ofta: kraven bockas av och varje område får en mognadsnivå.

    Hur lång tid tar en gap-analys?

    Det beror på omfattning och organisationens storlek, men en avgränsad analys mot exempelvis ISO 27001 eller CIS Controls tar typiskt några veckor från uppstart till rapport – dokumentgranskning, intervjuer och bedömning inräknat. Bredare analyser över flera regelverk eller stora organisationer tar längre tid.

    Är en gap-analys samma sak som en revision?

    Nej. En revision granskar formellt om kraven uppfylls, ofta med certifiering eller tillsyn som följd. Gap-analysen är ett internt förbättringsverktyg utan formell påföljd – den genomförs med fördel före en revision, så att luckorna hinner åtgärdas i lugn och ro.

    Viktiga punkter att ta med sig om gap-analys
    • Nuläge mot börläge: gap-analysen visar skillnaden mellan hur ni arbetar i dag och vad standarden eller målet kräver.
    • Vanlig startpunkt: den naturliga första aktiviteten inför ISO 27001-certifiering, NIS2-anpassning eller säkerhetslyft.
    • Riskbaserad prioritering: gapen värderas efter risk så att åtgärderna hamnar där de gör störst nytta.
    • Mätbar mognad: återkommande analyser gör säkerhetsarbetets utveckling synlig över tid.
    • Inte en revision: gap-analysen är ett förbättringsverktyg – gör den före granskningen, inte efter.
    EFTERLEVNAD OCH STYRNING

    Behöver ni stöd i arbetet med regelefterlevnad och informationssäkerhet?

    Så skyddar vi er information

    Andra relevanta ord i samma kategori