Leistungsart · Alle Säulen
GAP-Analyse für Managementsysteme
Die GAP-Analyse bestimmt den Reifegrad Ihres Managementsystems gegen eine Zielnorm. Sie zeigt, wo Ihr Unternehmen steht, welche Anforderungen bereits erfüllt sind und wo konkreter Handlungsbedarf besteht. SECURAM führt diese Bestandsaufnahme für 15 Standards in vier Säulen durch und liefert einen priorisierten Maßnahmenplan.
Ausgangslage
Warum eine GAP-Analyse der erste Schritt ist
Die Frage nach dem Reifegrad eines Managementsystems steht am Anfang jedes Konformitätsprojekts. Ohne strukturierte Bestandsaufnahme fehlt die Grundlage für Zeitplanung, Budgetierung und Ressourcenzuordnung.
Die regulatorische Lage in der Informationssicherheit hat sich seit 2024 deutlich verschärft. Mit dem Inkrafttreten der NIS-2-Richtlinie und den Anforderungen der DORA-Verordnung stehen Tausende Unternehmen im DACH-Raum vor der Aufgabe, ihre bestehenden Sicherheitsstrukturen gegen neue Normvorgaben zu prüfen. Die GAP-Analyse liefert genau diese Prüfung: Sie identifiziert systematisch, welche Normkapitel bereits abgedeckt sind und wo Abweichungen bestehen.
In unseren Projekten sehen wir regelmäßig drei Ausgangssituationen: Unternehmen, die ein Managementsystem neu aufbauen wollen und den tatsächlichen Aufwand einschätzen müssen. Unternehmen, die bereits nach ISO 27001 zertifiziert sind und den Sprung auf eine zusätzliche Norm planen. Und Unternehmen, die nach einem Sicherheitsvorfall oder einer Prüfung durch die Aufsichtsbehörde den aktuellen Stand dokumentieren müssen.
Die GAP-Analyse beantwortet die zentrale Frage jeder Projektplanung: Wie weit ist der Weg von der aktuellen Situation bis zur Normkonformität? Das Ergebnis ist ein GAP-Report mit Reifegradwerten je Normkapitel, eine priorisierte Maßnahmenliste und eine Roadmap mit realistischen Zeitangaben. Auf dieser Grundlage entscheidet das Management, ob die Implementierung intern oder mit externer Begleitung erfolgt.
Normabdeckung
15 Standards in vier Säulen
Die GAP-Analyse ist normübergreifend angelegt. SECURAM prüft gegen jeden der 15 Standards im Portfolio und erkennt dabei Überschneidungen zwischen Normen, die bei der späteren Implementierung Aufwand reduzieren.
Ablauf
Vier Phasen bis zum GAP-Report
Scope-Definition
Festlegung der Zielnorm, des organisatorischen Geltungsbereichs und der beteiligten Stakeholder. Klärung, ob ein einzelner Standard oder mehrere Normen parallel geprüft werden. Erstellung der Dokumentenanfrage an die Organisation.
Dokumenten-Review
Systematische Prüfung der vorhandenen Dokumentation gegen die Anforderungen der Zielnorm. Abgleich von Richtlinien, Prozessbeschreibungen, Risikoanalysen, Betriebskonzepten und Nachweisen. Identifikation fehlender oder unvollständiger Dokumente.
Interviews und Begehungen
Vor-Ort-Termine mit Prozessverantwortlichen, IT-Leitung und Geschäftsführung. Prüfung der gelebten Praxis gegen dokumentierte Prozesse. Begehung von Serverräumen, Zutrittssystemen und physischen Sicherheitsmaßnahmen. Verifizierung der Nachweislage.
GAP-Report und Roadmap
Konsolidierung der Ergebnisse aus Dokumenten-Review und Interviews. Bewertung jedes Normkapitels mit Reifegrad und Ampelstatus. Erstellung des priorisierten Maßnahmenplans mit Aufwandsschätzungen. Übergabe und Präsentation der Ergebnisse an das Management.
Zeitangaben beziehen sich auf ein Erstprojekt. Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.
Ihre Ergebnisse
Was Sie erhalten
GAP-Report
Detaillierte Bewertung jedes Normkapitels mit Reifegradwert und Ampelstatus. Dokumentiert den Ist-Zustand, benennt Abweichungen und ordnet jede Lücke nach Schweregrad ein. Umfang: 30 bis 80 Seiten, abhängig vom Scope.
Maßnahmenplan
Priorisierte Liste aller identifizierten Maßnahmen mit Aufwandsschätzung, Verantwortlichkeiten und empfohlener Umsetzungsreihenfolge. Bildet die Grundlage für die Projektplanung der Implementierungsphase.
Management Summary
Übersicht für die Geschäftsführung mit Gesamtreifegrad, kritischen Abweichungen, Risikobewertung und Budgetrahmen. Konzipiert für die Vorlage im Management Board oder Aufsichtsrat.
Roadmap
Zeitlicher Fahrplan von der aktuellen Situation bis zur Zertifizierungsreife. Enthält Meilensteine, Abhängigkeiten zwischen Arbeitspaketen und realistische Zeitfenster für jede Phase.
Weitere Leistungsarten
Alle Leistungsarten im Überblick
Aufbau und Zertifizierung
Managementsystem aufbauen und bis zur Zertifizierung begleiten.
Internes Audit
Unabhängige Prüfung Ihres Managementsystems gegen Norm-Anforderungen.
→ Internes AuditLaufender Betrieb
Managementsystem als externe Funktion im Retainer-Modell betreiben.
→ aaS-ProdukteWo steht Ihr Managementsystem?
Eine GAP-Analyse schafft Klarheit. In fünf Werktagen.
GAP-Analyse anfragen →Häufige Fragen
FAQ — GAP-Analyse
Eine GAP-Analyse ist eine strukturierte Bestandsaufnahme, die den aktuellen Reifegrad eines Managementsystems gegen die Anforderungen einer Zielnorm abgleicht. Das Ergebnis zeigt, welche Anforderungen bereits erfüllt sind, wo Abweichungen bestehen und welche Maßnahmen für die Normkonformität erforderlich sind. SECURAM führt GAP-Analysen für alle 15 Standards in vier Säulen durch.
Die typische Durchlaufzeit einer GAP-Analyse beträgt fünf Werktage von der Scope-Definition bis zur Übergabe des GAP-Reports. Bei Organisationen mit bestehenden Managementsystemen oder guter Dokumentationslage kann sich die Dauer auf drei bis vier Werktage verkürzen. Komplexe Scopes mit mehreren Standorten oder parallelen Normen erfordern entsprechend mehr Zeit.
Die Kosten einer GAP-Analyse hängen vom Scope ab: Anzahl der Standorte, Komplexität der Prozesse und Anzahl der betrachteten Normen. SECURAM erstellt nach einem kostenlosen Vorgespräch ein verbindliches Festpreisangebot. Typische Projekte im Mittelstand bewegen sich im niedrigen bis mittleren fünfstelligen Bereich. Das Vorgespräch klärt den Umfang und die erwarteten Ergebnisse.
SECURAM arbeitet normübergreifend über vier Säulen hinweg: ISMS, BCMS, AIMS und Risikomanagement. Die GAP-Analyse deckt 15 Standards ab und identifiziert Überschneidungen zwischen Normen. Dadurch entfallen Doppelarbeiten bei der späteren Implementierung. In unseren Projekten liefern wir keine generischen Checklisten, sondern einen projektspezifischen GAP-Report mit konkreten Maßnahmen, Aufwandsschätzungen und einer Roadmap bis zur Zertifizierungsreife.
SECURAM führt GAP-Analysen für 15 Standards in vier Säulen durch: ISMS (ISO 27001, CISIS12, TISAX, BSI IT-Grundschutz, KRITIS, DORA, CRA, NIS-2), BCMS (ISO 22301, BSI 200-4), AIMS (ISO 42001, EU AI Act) und Risikomanagement (ISO 27005, BSI 200-3, MaRisk). Bei Bedarf werden mehrere Normen in einer kombinierten Analyse betrachtet.
Die wichtigste Vorbereitung ist die Bereitstellung bestehender Dokumentation: Richtlinien, Prozessbeschreibungen, Risikoanalysen, Auditberichte und Organigramme. SECURAM stellt im Rahmen der Scope-Definition eine strukturierte Dokumentenanfrage bereit. Zudem sollten die relevanten Prozessverantwortlichen für Interviews eingeplant werden. Ein vollständiger Dokumentensatz verkürzt die Analysephase erheblich.
Der GAP-Report bildet die Grundlage für die weitere Projektplanung. In der Regel folgt die Implementierung der identifizierten Maßnahmen, begleitet durch SECURAM oder das interne Team. Die Roadmap im GAP-Report enthält priorisierte Arbeitspakete mit Aufwandsschätzungen und Verantwortlichkeiten. Auf Wunsch begleitet SECURAM den gesamten Weg bis zur Zertifizierungsreife.
Der Dokumenten-Review und ein Teil der Interviews können remote stattfinden. In unseren Projekten hat sich eine Kombination aus Remote-Vorbereitung und einem Vor-Ort-Tag für Interviews und Begehungen bewährt. Die physische Präsenz ermöglicht die Prüfung von Zutrittskontrollen, Serverräumen und weiteren organisatorischen Maßnahmen, die sich nur vor Ort verifizieren lassen.
Eine GAP-Analyse ist keine formale Pflicht für eine Zertifizierung. Keine Norm schreibt sie als Voraussetzung vor. In der Praxis ist sie jedoch der effizienteste Einstieg in jedes Normkonformitätsprojekt, weil sie den tatsächlichen Handlungsbedarf quantifiziert und eine realistische Zeitplanung ermöglicht. Ohne Bestandsaufnahme fehlt die Grundlage für eine belastbare Projektplanung.
Kontakt
Wir freuen uns auf Ihre Nachricht.
Ihre Ansprechpartnerin
Nadine Eibel
Gründerin & Geschäftsführerin
SECURAM Consulting GmbH
Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.
Kontaktdaten
20354 Hamburg
Direkter Kontakt
- Vertrieb: sales@securam-consulting.com
- Bewerbung: karriere@securam-consulting.com
Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.