Gap Analysis
Gap analysis to punkt startowy każdego projektu compliance. Porównujemy Twój obecny stan z wymaganiami normy lub regulacji. Dostajesz jasny obraz luk i konkretny plan ich zamknięcia.
Czym jest Gap Analysis bezpieczeństwa?
Gap Analysis to systematyczna analiza luk pomiędzy obecnym stanem cyberbezpieczeństwa organizacji a wymaganiami normy lub regulacji (ISO 27001, NIS2, DORA, PCI DSS). Dla każdego wymagania oceniamy stan faktyczny, identyfikujemy braki i priorytetyzujemy działania naprawcze. nFlo dostarcza raport z matrycą luk, scoringiem zgodności i roadmapą z szacunkiem kosztów wdrożenia.
Nie wiesz ile pracy przed Tobą i od czego zacząć
Jasny obraz stanu i plan działania
Assessment
Przegląd dokumentacji i wywiad
Scoring
Poziom zgodności per kontrola
Roadmap
Co, kiedy i w jakiej kolejności
Czym jest Gap Analysis bezpieczeństwa?
Gap Analysis bezpieczeństwa to systematyczna analiza luk pomiędzy obecnym stanem cyberbezpieczeństwa organizacji a wymaganiami normy, regulacji lub standardu (ISO 27001, NIS2, DORA), z roadmapą działań naprawczych.
| Atrybut | Wartość |
|---|---|
| Standardy | ISO 27001, NIS2, DORA, PCI DSS |
| Deliverable | Matryca luk + roadmapa wdrożenia |
| Priorytetyzacja | Według ryzyka i wysiłku |
| Czas realizacji | 1-3 tygodnie |
| Cena | od 25 000 PLN (stan na 2026) |
Projekt compliance 3x droższy niż planowany
Firma IT zaczęła wdrożenie ISO 27001 bez gap analysis. “Mamy podstawy, to będzie szybko”. Po 6 miesiącach: budżet przekroczony 3x, deadline przesunięty o rok, zespół sfrustrowany.
Bez gap analysis:
- Nie wiesz ile pracy przed Tobą
- Zaczynasz od łatwych rzeczy zamiast krytycznych
- Budżet i timeline są zgadywane
- Niespodzianki pojawiają się w trakcie projektu
- Ryzyko niezdania audytu
Strukturalna analiza punkt po punkcie
Gap analysis to nie ogólnikowy “assessment”. Przechodzimy przez każde wymaganie normy lub regulacji. Oceniamy stan obecny, identyfikujemy luki, priorytetyzujemy działania. Dostajesz konkretny plan z oszacowaniem kosztów i czasu.
Metodyka:
- Mapowanie wymagań normy/regulacji
- Przegląd dokumentacji (polityki, procedury)
- Wywiady z właścicielami procesów
- Przegląd techniczny (konfiguracje, narzędzia)
- Scoring per kontrola/wymaganie
- Priorytetyzacja gaps (critical/high/medium/low)
- Roadmapa z timeline i budżetem
Zakres gap analysis
ISO 27001:2022
- 93 kontrole Annex A
- 10 klauzul systemu zarządzania
- Dokumentacja SZBI
- Analiza ryzyka
NIS2
- 10 obszarów środków bezpieczeństwa
- Governance i accountability
- Zarządzanie ryzykiem
- Incident reporting
- Business continuity
DORA
- ICT risk management
- ICT incident management
- Digital operational resilience testing
- Third-party risk
- Information sharing
PCI DSS 4.0
- 12 wymagań
- ~250 kontroli
- SAQ vs ROC assessment
Deliverables
Gap Analysis Report
- Executive summary (dla zarządu)
- Scoring per kontrola/wymaganie
- Szczegółowy opis każdej luki
- Evidence (co znaleźliśmy)
- Rekomendacje zamknięcia
Remediation Roadmap
- Priorytetyzacja (quick wins → long-term)
- Timeline (fazy wdrożenia)
- Szacunek pracochłonności
- Oszacowanie kosztów
- Dependencies między działaniami
Presentation & Workshop
- Prezentacja wyników dla zarządu
- Warsztat z zespołem IT/security
- Q&A i ustalenie next steps
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Planujesz wdrożenie ISO 27001, NIS2, DORA, PCI DSS
- Chcesz wiedzieć ile będzie kosztować compliance
- Musisz uzasadnić budżet przed zarządem
- Nie wiesz od czego zacząć
- Chcesz uniknąć niespodzianek w trakcie projektu
Pricing
Single Standard
Gap analysis dla jednej normy/regulacji:
- ISO 27001 lub NIS2 lub DORA
Czas: 2-3 tygodnie | Cena od: 25 000 PLN
Multi-Standard
Gap analysis dla kilku norm jednocześnie:
- Zintegrowane podejście (overlapping controls)
- Jeden raport, wspólna roadmapa
Czas: 3-5 tygodni | Cena od: 40 000 PLN
Enterprise
Dla dużych organizacji z multiple scope:
- Kilka lokalizacji / business units
- Kompleksowa analiza IT i OT
- Workshops w każdej lokalizacji
Czas: 6-8 tygodni | Cena od: 80 000 PLN
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Gap Analysis z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Kick-off
Ustalenie zakresu i harmonogramu
Document review
Analiza istniejącej dokumentacji
Interviews
Rozmowy z kluczowymi osobami
Technical review
Przegląd konfiguracji i narzędzi
Report
Raport z gaps i roadmapą
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Pełna widoczność
Wiesz gdzie jesteś vs gdzie musisz być
Realne koszty
Oszacowanie budżetu wdrożenia
Realny timeline
Ile czasu zajmie zamknięcie luk
Priorytetyzacja
Zacznij od tego co najważniejsze
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
CVE-2026-39087: Zdalne wykonanie kodu (RCE) w Ntfy (ntfy.sh)
Podatność w Ntfy ntfy.sh w wersjach poniżej 2.21 pozwala zdalnemu atakującemu wykonać dowolny kod poprzez funkcję parseActions. Luka umożliwia pełne przejęcie serwera powiadomień...
Czytaj więcej →Machine-readable security attestations — automatyzacja zgodności w CI/CD
Statyczne raporty zgodności nie nadążają za tempem współczesnego developmentu. Machine-readable security attestations pozwalają automatycznie weryfikować bezpieczeństwo w każdym renderze pipeline CI/CD.
Czytaj więcej →Chmura publiczna, prywatna i hybrydowa — porównanie modeli cloud computing
Porównanie chmury publicznej, prywatnej i hybrydowej pod kątem kosztów, bezpieczeństwa, skalowalności i zgodności z regulacjami. Praktyczny przewodnik po modelach cloud computing dla organizacji.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Gap Analysis.
Ile kosztuje gap analysis?
Single Standard (ISO 27001 lub NIS2 lub DORA): od 25 000 PLN (2-3 tygodnie). Multi-Standard (kilka norm jednocześnie): od 40 000 PLN (3-5 tygodni). Enterprise (wiele lokalizacji, IT+OT): od 80 000 PLN (6-8 tygodni).
Jak długo trwa gap analysis?
Dla jednego standardu w średniej organizacji (50-200 osób): 2-3 tygodnie. Multi-standard lub enterprise: 4-8 tygodni. Obejmuje kick-off, przegląd dokumentacji, wywiady, technical review i raport z roadmapą.
Czy gap analysis jest obowiązkowy przed certyfikacją ISO 27001?
Formalnie nie, ale de facto tak. Bez znajomości luk nie oszacujesz realnie czasu i budżetu wdrożenia. 70% projektów compliance przekracza budżet przez złe oszacowanie. Gap analysis to inwestycja, która się zwraca.
Co zawiera raport z gap analysis?
Executive summary dla zarządu, scoring per kontrola/wymaganie, szczegółowy opis każdej luki z evidence, rekomendacje zamknięcia, roadmapa z priorytetyzacją (quick wins → long-term), timeline wdrożenia i szacunek kosztów.
Czym gap analysis różni się od audytu?
Gap analysis to ocena stanu PRZED wdrożeniem - identyfikuje luki i tworzy plan. Audyt to weryfikacja PO wdrożeniu - sprawdza czy wymagania są spełnione. Gap analysis zawsze poprzedza wdrożenie, audyt kończy cykl i prowadzi do certyfikacji.