SVENSKA VERKSAMHETERS UTMANINGAR MOT ETT CERTIFIKAT INOM INFORMATIONSSÄKERHET : En fallstudie om svenska verksamheters utmaningar för att certifiera sig enligt ISO 27001-standarden / SWEDISH ORGANIZATIONS CHALLENGES TOWARDS A CERTIFICATE WITHIN INFORMATION SECURITY : A case studie about Swedish organizations challenges to gain a certificate according to the ISO 27001 standard.

Moffat, Hanna

January 2023

I detta examensarbete är syftet att undersöka svenska verksamheters utmaningar i att uppnå en ISO 27001-certifiering med sitt arbete inom informationssäkerhet. Digitala medier och verktyg är numera en stor del av samhällsviktiga verksamheters tjänster samt operationer och det har bidragit till stora möjligheter såväl som stora sårbarheter. ISO 27001-certifieringar är den standard som ligger till grund för säkerhetsskyddslagen såväl som NIS-direktivet vilket gör att det är en standard som svenska verksamheter kan applicera. Genom bakgrunden ges en inblick i vad informationssäkerhet är och hur det står i relation med cybersäkerhet. Bakgrunden innehåller även en introduktion till den svenska lagstiftningen inom informationssäkerhet såväl som ISO 27001-standarden för att belysa vad svenska verksamheter har att förhålla sig till när det kommer till sitt arbete med informationssäkerhet. I problemformuleringen lyfts de aktuella hoten och myndigheters uttalanden inom informationssäkerhet i Sverige och hur svenska verksamheter brister i dessa. Detta i kombination med den tidigare forskningen om hur utmaningar inom ISO 27001-certifieringar har tagit sitt uttryck för andra verksamheter. Metoden redovisar hur kvalitativa intervjuer använts som verktyg för datainsamling till fallstudien men även hur det tagit sitt uttryck och beskriver processen – från förberedelse till läsbar produkt, vilket är detta examensarbete. I analysen ställs den insamlade datan i relation till tidigare forskning samt aktuella händelser för att se vilka utmaningar svenska verksamheter har för att uppnå en ISO 27001-certifiering. Resultatet baseras på den insamlade datan då det är svenska verksamheters utmaningar som är aktuellt för fallstudien. Det resulterade i fyra utmaningar: motivation, tid och ekonomi, bransch samt komplexitet. Dessa utmaningar och dess bidragande faktorer redovisas i text såväl som figurer. Somliga av dessa utmaningar är utmaningar som lyfts i tidigare forskning, vilket gör att de även kan appliceras som utmaningar för svenska verksamheter. Uppsatsen avslutas med en diskussion där fallstudiens resultat diskuteras i olika perspektiv – samhälleliga, etiska samt vetenskapliga. Diskussion om val av metod, studiens resultat samt förslag på framtida forskning lyfts, där det diskuteras om hur lagar samt standarder inom informationssäkerhet är svåra att implementera samt förstå och om det ens är möjligt att göra det lättare.

Information Systems

Förändringar vid införande av cybersäkerhetsdirektiv hos kommuner : En kvalitativ kartläggning över vilka förändringar som kan uppstå i svenska kommuner till följd av EU-direktiv för cybersäkerhet / Changes when implementing cybersecurity directives in municipalities : A qualitative survey of the changes that may occur in Swedish municipalities as a result of EU cybersecurity directives

Ström, Sandra, Plyhr, Matilda

January 2024

The purpose of this study is to investigate changes in municipalities that occur when the NIS and NIS 2 directives are introduced. The changes refer to internal and external changes that municipalities experience. Furthermore, an increased threat of cyber attacks as well as a lack of cyber security is the basis for conducting the survey. A research gap has been identified regarding municipalities' work with EU directives for cyber security, which the study intends to contribute to. The study's empirical data consists of six semi-structured interviews with various Swedish municipalities, where the result is the identified changes that the municipalities state. In a thematic analysis, the following themes are presented: IT focus, IT systems, competence development and cooperation, employment, clarity, conflict of interest, prerequisites for the NIS 2 directive and meaningfulness. The study uses Bolman and Deal's (2021) framework Four frame model, which forms the structure for the results and the analysis and strengthens the study by contributing with a comprehensive theory for possible changes. The study contributes with insight into the changes that municipalities may face upon the introduction of the NIS 2 directive, as well as what changes municipalities have experienced upon the introduction of the NIS directive. / Denna studie har till syfte att undersöka förändringar hos kommuner som uppstår vid införandet av NIS- och NIS 2-direktivet. Förändringarna avser interna och externa förändringar som kommuner upplever. Vidare ligger ett ökat hot om cyberattacker samt en bristande cybersäkerhet till grund för undersökningens genomförande. Ett forskningsgap har identifierats kring kommuners arbete med EU-direktiv för cybersäkerhet, vilket studien ämnar bidra till. Studiens empiri utgörs av sex stycken semistrukturerade intervjuer med olika svenska kummuner, där resultatet utgörs av de identifierade förändringar som kommunerna uppger. I en tematisk analys presenteras följande teman: IT-fokus, IT-system, kompetensutveckling och samarbete, anställning, tydlighet, intressekonflikter, förutsättningar för NIS 2-direktivet samt meningsfullhet. I studien tillämpas även Bolman och Deals (2021) ramverk Four frame model, vilken utgör strukturen för resultatet och analysen samt stärker studien genom att bidra med en heltäckande teori för möjliga förändringar. Studien ämnar bidra med insikt i de förändringar som kommuner kan ställas inför vid införandet av NIS 2-direktivet, samt vilka förändringar kommuner har upplevt vid införandet av NIS-direktivet.

NIS directive

NIS 2 directive

Municipality

Cyber security

Information security

IT security

EU directive

Change

NIS-direktivet

NIS 2-direktivet

Kommun

Cybersäkerhet

Informationssäkerhet

IT-säkerhet

EU-direktiv

Förändring

Information Systems