Ydelser
IT-support Microsoft 365 IT-sikkerhed GAP-analyse & NIS2 Backup & restore Projektledelse IT-support i Nordsjælland IT-support i Nordsjælland
NIS2
NIS2 oversigt Er I omfattet? (tjek) NIS2 vs ISO 27001 NIS2 og leverandører
Værktøjer
Email-tjek NIS2-tjek Phishing-quiz
Menu
Blog Om Allan Kontakt
Ring til Allan: 6084 6320
GAP-analyse & NIS2

Sikkerhed der kan måles. Compliance du kan bevise.

En GAP-analyse giver jer et ærligt score-billede af, hvor jeres IT-sikkerhed faktisk står — målt mod CIS18 og NIS2. I får ikke en 80-siders PDF ingen læser. I får en score, en prioriteret plan og dokumentation der kan bruges i bestyrelseslokalet.

Book en GAP-analyse Ring direkte
Vi arbejder efter
Anerkendte rammer — ikke hjemmestrikket
  • CIS Controls v8 18 kontroller · 153 safeguards
  • NIS2-direktivet Artikel 21-krav
  • NIST Cybersecurity Framework Identify → Recover
  • ISO 27001:2022 93 kontroller

CIS Controls mapper direkte til NIS2 Artikel 21 og ISO 27001 — I dokumenterer på tværs af frameworks med én indsats. Jeg er NIS2DTP-certificeret (Cyber Risk GmbH, 2024).

18
CIS-kontroller
153
Konkrete safeguards
IG1 → IG3
Implementation Groups
~80%
Brud starter med mennesker
Sådan hænger det sammen

CIS18 siger hvordan. NIS2 siger at I skal kunne bevise det.

Mange virksomheder støder på CIS18 og NIS2 nogenlunde samtidigt — typisk fordi en kunde, et forsikringsselskab eller en revisor pludselig spørger. Det første skridt er at forstå, hvad hver af dem faktisk gør.

Framework
CIS Controls v8 (CIS18)

Et frivilligt, handlingsorienteret framework — 18 kontroller, der fortæller jer hvad I konkret skal gøre.

  • Konkrete safeguards, ikke abstrakte krav
  • Prioriteret via Implementation Groups (IG1–IG3)
  • Mapper direkte til NIS2 og ISO 27001
  • Bruges som reference af cyberforsikring
Lovgivning
NIS2-direktivet

EU-lovgivning der pålægger mange virksomheder dokumenterbar cybersikkerhed — med ledelsesansvar.

  • Gælder udvalgte sektorer og størrelser
  • Kræver dokumentation og hændelsesrapportering
  • Placerer ansvaret hos direktionen personligt
  • Mange SMV'er rammes indirekte via kunder og leverandørkæder
Kort sagt: CIS18 er værktøjskassen. NIS2 er lovkravet. Ved at bruge CIS18 som operationel base bygger I sikkerhed der samtidigt gør jer NIS2-parat — uden at skulle opfinde en struktur selv.
Sådan kommer vi i gang

Fire skridt fra uoverskueligt til dokumenteret

I skal ikke implementere 153 safeguards på én gang. Vi starter med et klart billede af hvor I står, prioriterer det der giver størst effekt først, og bygger derfra — målbart og i et tempo der passer til jeres drift.

Konsulent gennemgår GAP-analyse rapport med kunde
1

GAP-analyse

Vi scorer jeres nuværende sikkerhed mod CIS18 IG1 og identificerer de største huller. I får en rapport I selv kan læse — ingen konsulent-sprog.

2–3 uger
2

Prioriteret plan

Vi lægger en handlingsplan i 3–6 måneders horisont. Det der skal løses først, er det der giver mest sikkerhed for mindst indsats.

1 uge
3

Implementering

MFA, adgangsstyring, policies, awareness-træning, phishing-simulation. Vi eksekverer — eller sparrer med jeres IT, hvis I har det internt.

3–6 måneder
4

Dokumentation & opfølgning

Kvartalsvis review. I får dokumentation I kan vise revisor, bestyrelse eller forsikringsselskab — uden at skulle skrive den selv.

Løbende
Hvad I får

Konkrete ydelser inden for IT-sikkerhed

Vi leverer det I har brug for — hverken mere eller mindre. Nogle virksomheder har brug for hele pakken. Andre har brug for punktvis hjælp til awareness-træning eller en årlig review. Begge dele kan vi.

01 · Analyse

GAP-analyse & risikovurdering

Struktureret gennemgang af jeres IT-sikkerhed baseret på CIS18. I får en score, en rapport og en konkret prioriteret handlingsplan. Ikke en 80-siders PDF ingen læser — et dokument der kan bruges i bestyrelseslokalet og på IT-afdelingen.

CIS18 IG1/IG2 Risikovurdering Handlingsplan
02 · Mennesker

Awareness-træning & phishing-simulation

Ca. 80% af sikkerhedsbrud starter med et menneske, ikke en maskine. Vi kører awareness-programmer og phishing-simulationer der faktisk flytter adfærd — målbart, og så medarbejderne ikke føler sig talt ned til. NIS2 kræver dokumenteret træning; det får I.

Phishing-test Awareness-program NIS2-dokumentation
03 · Teknik

Firewall, VPN, MFA & adgangsstyring

De tekniske grundsten. Vi gennemgår jeres firewall- og VPN-opsætning, indfører MFA hvor det mangler, og strammer op på rettigheder. Alt dokumenteret, så I ved hvem der har adgang til hvad — og revisoren også kan se det.

MFA-rollout Firewall-review Adgangsstyring
04 · Ledelse

NIS2-compliance & ledelsesansvar

NIS2 placerer ansvaret hos direktionen — personligt. Vi hjælper ledelsen med at forstå kravene, bygger den dokumentation der skal til, og sikrer at bestyrelsen kan svare, når spørgsmålet kommer. Også for SMV'er der rammes indirekte via leverandørkrav.

NIS2 Artikel 21 Ledelsesrapport Hændelsesplan
05 · Beredskab

Incident response & recovery-plan

Når det går galt, betyder minutter penge. Vi udarbejder en konkret hændelsesplan: hvem ringer til hvem, hvad gør vi først, og hvordan kommer vi tilbage. Vi tester også restore — fordi en backup I aldrig har testet, er en backup I ikke ved virker.

Incident response Restore-test BCP/DR
Værktøjet bag analysen

Analysen køres i GapGuard — et værktøj jeg selv har bygget

I stedet for et Excel-ark der ender glemt i en drev-mappe, køres jeres GAP-analyse i GapGuard: en platform der holder styr på alle 153 safeguards i CIS Controls v8 (CIS18), mapper dem automatisk til NIS2 og ISO 27001, og giver jer et dashboard I selv kan logge ind på. Jeg byggede den fordi jeg var træt af at lave den samme rapport forfra for hver kunde — og fordi I fortjener at kunne se jeres egen fremdrift uden at skulle bede om en rapport.

Se GapGuard →

I er velkomne til at prøve det selv før vi tager snakken. Hvis det bliver for komplekst, eller I mangler en struktureret gennemgang i fællesskab, tager jeg over.

GapGuard dashboard med CIS Controls v8-, NIS2- og ISO 27001-score og fremdrift på safeguards

Jeres eget login

I ser jeres score, fremdrift og deadlines løbende. Ikke kun når jeg sender en rapport.

Ét framework, tre rapporter

CIS Controls v8 (CIS18) mapper automatisk til NIS2 og ISO 27001. Skifter revisoren krav, skifter I ikke værktøj.

Rapporten er klar når analysen er det

Professionel PDF på dansk, direkte fra platformen. Ingen nat-arbejde i Word for at få den ud.

Allan Schmidt

"Jeg gennemgår selv hver analyse — du får ikke en junior-konsulent. Det betyder jeg er dyrere end et stort hus med et trainee-team, men du får 30 års erfaring ind i de beslutninger der faktisk betyder noget for jeres sikkerhed."

Allan Schmidt Stifter, ITNU 30+ års erfaring fra IT-drift, -ledelse og -sikkerhed

Kundehistorie · M Networks

"ITNU har spillet en central rolle som ekstern IT-sikkerhedskonsulent. Gennem et struktureret og tillidsfuldt forløb har ITNU bidraget til at styrke sikkerheden omkring vores kunders IT-løsninger — og gjort kompleks IT-sikkerhed tilgængelig og handlingsorienteret."

MN
M Networks
mnetworks.dk
Ofte stillede spørgsmål

Svar på det I sikkert tænker

Er CIS18 det samme som ISO 27001 eller NIS2?
Nej. CIS18 er et framework med konkrete handlinger. NIS2 er lovgivning med krav om dokumentation. ISO 27001 er en certificering. De tre overlapper, men har forskellige roller. CIS18 er typisk den praktiske motor der leverer compliance til de andre.
Er vi overhovedet omfattet af NIS2?
Måske — og måske indirekte. NIS2 gælder direkte for udvalgte sektorer og størrelser, men mange SMV'er rammes indirekte fordi deres kunder, leverandører eller forsikringsselskab stiller krav. Første skridt er at få afklaret hvor I står. Det kan vi gøre på et enkelt møde.
Hvad koster en GAP-analyse?
Prisen afhænger af virksomhedens størrelse og kompleksitet. I får en fast pris inden vi starter, ikke en åben regning. Ring eller skriv, så giver jeg jer et konkret bud baseret på jeres setup.
Skal vi have en fuldtidsansat IT-sikkerhedschef?
For langt de fleste SMV'er: nej. En fast ekstern sikkerhedspartner der kender jeres setup, kombineret med awareness-træning af medarbejderne, dækker langt det meste. Vi kan også træde ind som IT-chef på tid, hvis I ønsker mere strategisk tilstedeværelse.
Vi har allerede en IT-leverandør — kan vi stadig bruge jer?
Ja. Mange af vores sikkerhedskunder har en anden IT-leverandør til drift. Vi fungerer som ekstern sikkerhedsrådgiver og spiller godt sammen med jeres eksisterende setup. I behøver ikke skifte alt ud.
Hvor lang tid tager det før vi ser resultater?
GAP-analysen og handlingsplanen har I inden for 3-4 uger. De første håndfaste forbedringer (MFA, basale policies, første awareness-runde) kan være på plads 6-8 uger efter start. Det fulde CIS18 IG1-niveau tager typisk 4-6 måneder afhængig af udgangspunkt.
Låser I os fast i jeres eget værktøj?
Nej. Jeg bruger GapGuard — et GAP-analyseværktøj jeg selv har bygget — fordi det sparer tid og giver jer et dashboard I kan følge løbende. Men I ejer jeres data. Rapporterne eksporteres som PDF, og hvis I vælger at stoppe abonnementet senere, har I stadig analysen. Vil I absolut ikke bruge GapGuard, kan jeg også levere GAP-analysen som et klassisk dokument — det betyder bare mere manuelt arbejde og færre løbende opdateringer for jer.
Se også

Andre ydelser I kan have brug for

IT-sikkerhed

Generel sikkerhed, awareness, beredskab

Læs mere →

Projektledelse

IT-projekter der faktisk lander

Læs mere →

Backup & restore

Filer, M365, test af restore

Læs mere →
Kontakt

Skal vi tage en snak?

Skriv et par linjer om jeres situation, eller ring direkte. Den første samtale er gratis og uforpligtende.

Ring direkte
6084 6320
Skriv en mail
as@itnu.dk
Følg på LinkedIn
linkedin.com/company/itnudk
Svarer typisk inden for 2 timer i arbejdstiden

Ved at sende accepterer du vores privatlivspolitik. Dine oplysninger bruges kun til at besvare din henvendelse.