14 januar, 2026 Sparly.dk 0 Comments 1 category

Hvis du har prøvet at lave en gap-analyse før, kender du allerede plottet: Du starter med en fin intention om at “skabe overblik”, og ender med 14 faner i Excel, 86 kolonner, og et møde hvor alle nikker, mens ingen helt ved, hvad der skal ske bagefter.

En NIS2 gap-analyse behøver ikke være sådan. Den skal ikke være en evighedsrapport, der samler støv. Den skal være en praktisk måde at finde jeres vigtigste huller, prioritere dem, og få et realistisk program i gang, uden at I bruger hele året på at diskutere feltnavne i et regneark.

Her får du en konkret, trinvis metode, plus templates og typiske faldgruber, så du kan få det gjort ordentligt og i et tempo, der minder om virkeligheden.

Hvad er en NIS2 gap-analyse i praksis?

En gap-analyse er forskellen mellem:

  • hvor I er i dag (kontroller, processer, dokumentation, tekniske tiltag, roller)
  • hvor I skal være (krav, best practice, forventninger til risikostyring og sikkerhedsniveau)

Under NIS2 handler det typisk om at kortlægge:

  • governance (roller, ansvar, ledelsesforankring)
  • risikostyring og politikker
  • tekniske sikkerhedsforanstaltninger
  • incident management og rapportering
  • leverandør-/supply chain sikkerhed
  • dokumentation, evidens og løbende forbedring

En god gap-analyse er ikke en “tjekliste-succes”. Den er en handlingsplan.

Før du går i gang: hvorfor Excel ofte ødelægger projektet

Excel er ikke ond. Den er bare alt for god til at:

  • få dig til at tro, at “vi har fremdrift”, fordi der er farver
  • gøre alt lige vigtigt (hvilket er det samme som: intet er vigtigt)
  • invitere til endeløse diskussioner om scoringer, i stedet for at lukke huller

Løsningen er ikke “ingen Excel”. Løsningen er:

  • mindre data
  • bedre struktur
  • tydelig prioritering
  • evidens på de ting, der betyder noget

Metoden: NIS2 gap-analyse i 6 trin (uden kaos)

Trin 1: Afgræns scope, så I ikke prøver at “sikre hele universet”

Start med at beslutte:

  • Hvilke forretningsenheder / lokationer er med?
  • Hvilke systemer og processer er “kritiske”?
  • Hvilke leverandører er mest relevante?
  • Hvem ejer hvad?

Output: 1 side scope + liste over kritiske aktiver/processer.

Hvis du ikke afgrænser, ender du med at analysere kaffemaskinen og Teams-kanaler fra 2019.

Trin 2: Lav et kontrol-bibliotek, der er menneskeligt

Du skal bruge en struktur, der matcher NIS2-områderne, men stadig er håndterbar.

Praktisk opdeling (simpel og effektiv):

  1. Governance & ansvar
  2. Risiko & politikker
  3. Asset management & adgang
  4. Logging/monitorering
  5. Sårbarheder & patching
  6. Backup/restore & beredskab
  7. Incident response & rapportering
  8. Leverandører & kontrakter
  9. Awareness & træning
  10. Kontinuitet & recovery

Output: 30–60 kontroller, ikke 300.

Trin 3: Vurder modenhed med 4 niveauer (stop med 1–10 scoringer)

Brug en simpel maturity-model, så alle forstår den:

  • 0: Ikke eksisterende (ingen proces/ingen kontrol)
  • 1: Ad hoc (noget sker, men det er personafhængigt)
  • 2: Defineret (proces findes og bruges nogenlunde)
  • 3: Styret/optimeret (måles, forbedres, evidens er på plads)

Output: En status pr. kontrol, med kort begrundelse.

Trin 4: Saml evidens let (2–3 “beviser” pr. kontrol)

Evidens er det, der gør analysen troværdig, og som gør det nemmere at handle.

Eksempler på evidens:

  • politik/dokument (dato + ejer)
  • systemindstilling/screenshot
  • rapport fra logs/monitorering
  • patch-rapport
  • backup test-log
  • incident runbook + øvelseslog

Regel: Hvis det tager 40 minutter at “finde bevis”, er processen sandsynligvis ikke stabil.

Trin 5: Prioritér gaps efter risiko, ikke efter hvor pinligt det føles

Når hullerne er identificeret, skal du undgå “vi starter der, hvor det er nemmest”.

Brug en enkel prioritering:

  • Impact (hvad sker der hvis det fejler?)
  • Likelihood (hvor sandsynligt er det?)
  • Eksponering (internet, brugere, leverandører, kritiske systemer)
  • Effort (tid/ressourcer)

Lav tre buckets:

  • P1 (0–90 dage): de farlige og/eller regulatorisk kritiske
  • P2 (3–6 måneder): høj værdi, kræver plan
  • P3 (6–12 måneder): modning og forbedringer

Output: Prioriteret roadmap med ejere.

Trin 6: Konverter til en realistisk handlingsplan (ellers var det spild)

En gap-analyse uden plan er bare en dyr liste over problemer.

Hver action bør have:

  • Owner (navn/rolle)
  • Deadline (realistisk)
  • Definition of done (hvad er “færdig”?)
  • Evidenskrav (hvad viser vi?)
  • Afhængigheder (hvad skal på plads først?)

“Uden at drukne i Excel”: sådan gør du helt konkret

Brug en 1-side “dashboard” + en kort backlog

I stedet for én gigantisk fil:

  1. Overblik (1 side)
  • status pr. område
  • top 10 gaps
  • plan pr. kvartal
  1. Backlog (kan være Excel/board)
  • action items med owner, deadline, evidens

Det gør det sværere at skjule sig i regneark og lettere at styre fremdrift.

De 7 mest almindelige fejl i NIS2 gap-analyser

  1. Scope er for stort (alt bliver halvt)
  2. Man vurderer “dokumenter”, ikke praksis (papirsikkerhed)
  3. Ingen evidens (alt ender som holdninger)
  4. For mange kontroller (analyse-paralyse)
  5. Ingen prioritering (alt er “rødt”)
  6. Ingen ejerskab (IT skal “fikse” governance)
  7. Ingen opfølgning (rapporten dør stille)

Mini-template: sådan kan din gap-tabel se ud (kort og brugbar)

Kolonner:

  • Område
  • Kontrol
  • Maturity (0–3)
  • Risiko (H/M/L)
  • Gap-beskrivelse (1–2 linjer)
  • Action (1 linje)
  • Owner
  • Deadline
  • Evidens (link/placering)

Det er nok. Alt andet er pynt.

Hvad bør du have klar som minimum efter 2–4 uger?

Hvis du kører det stramt, kan du typisk lande:

  • afgrænset scope
  • 30–60 kontroller vurderet
  • top 10–20 gaps prioriteret
  • et 90-dages program med ansvar og evidenskrav

Det er reelt nok til at flytte sikkerhedsniveau, og det er det, der tæller.

Hvis du vil have en mere konkret ramme at læne dig op ad

Hvis du vil have en mere samlet guide til, hvordan man griber det an i praksis (inkl. NIS2-vinkel), kan du bruge: NIS2 gap-analyse

Konklusion

En NIS2 gap-analyse er kun værdifuld, hvis den bliver omsat til handling. Drop idéen om at “dokumentere alt”, og fokusér i stedet på:

  • et tydeligt scope
  • et overskueligt kontrolsæt
  • simpel modenhedsvurdering
  • evidens på det vigtige
  • prioritering efter risiko
  • en konkret plan med ejere og deadlines

Det er sådan du finder huller i cybersikkerheden uden at drukne i Excel. Og uden at ende med endnu en rapport, der kun bliver åbnet én gang: den dag, den bliver skrevet.

Category: Hverdag & Forbrug

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Related Posts