Brain-Media.de/Compliance-Lexikon/Gap Analysis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Audit

Gap Analysis

[ɡæp əˈnæləsɪs] · auch: Lückenanalyse, GAP-Check

Eine Gap Analysis ist die systematische Gegenüberstellung des Ist-Zustands der implementierten Sicherheitskontrollen mit dem Soll-Zustand, der durch ein Compliance-Framework oder eine interne Richtlinie definiert wird – mit dem Ziel, Lücken zu identifizieren, zu priorisieren und zu schließen.

Warum Gap Analysis wichtig ist

Eine Gap Analysis ist der notwendige erste Schritt vor jeder ISMS-Einführung, Zertifizierung oder Audit-Vorbereitung. Sie zeigt nicht nur, was fehlt, sondern auch, was bereits vorhanden ist und wiederverwendet werden kann.

Wo Gap Analysis gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 6.1.2Risikobeurteilung und Behandlung: Gap Analysis ist der Ausgangspunkt für die Risikobehandlungsplanung.
NIS-2 / BSIG§ 30Bevor Maßnahmen implementiert werden können, muss der aktuelle Stand gegen Art. 21 geprüft werden.
DORAArt. 5 Abs. 10Jährliche Überprüfung des IKT-Risikomanagement-Rahmens – strukturierte Gap Analysis.

BAM-Objektreferenz

BAM-Objekt CROSS-GA-01
BeschreibungGap-Analysis-Objekt mit Soll/Ist-Vergleich, Priorisierungsmatrix und Remediation-Roadmap
GitHubBAM Core →

Häufige Audit-Fehler

  • Gap Analysis ohne definierten Zielrahmen
  • Lücken identifiziert, aber nicht priorisiert
  • Gap Analysis als einmaliges Projekt statt laufender Prozess
  • Ergebnis der Gap Analysis nicht als Audit-Nachweis archiviert

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Gap Analysis für NIS-2, DORA und ISO 27001 durchführen

Konkrete Methode für die Gap Analysis – Soll/Ist-Vergleich, Priorisierung und Dokumentation als Audit-Nachweis.

Verwandte Begriffe

ControlRisk RegisterRemediationStatement Of Applicability

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper