SVENSKA VERKSAMHETERS UTMANINGAR MOT ETT CERTIFIKAT INOM INFORMATIONSSÄKERHET : En fallstudie om svenska verksamheters utmaningar för att certifiera sig enligt ISO 27001-standarden / SWEDISH ORGANIZATIONS CHALLENGES TOWARDS A CERTIFICATE WITHIN INFORMATION SECURITY : A case studie about Swedish organizations challenges to gain a certificate according to the ISO 27001 standard.

Moffat, Hanna

January 2023

I detta examensarbete är syftet att undersöka svenska verksamheters utmaningar i att uppnå en ISO 27001-certifiering med sitt arbete inom informationssäkerhet. Digitala medier och verktyg är numera en stor del av samhällsviktiga verksamheters tjänster samt operationer och det har bidragit till stora möjligheter såväl som stora sårbarheter. ISO 27001-certifieringar är den standard som ligger till grund för säkerhetsskyddslagen såväl som NIS-direktivet vilket gör att det är en standard som svenska verksamheter kan applicera. Genom bakgrunden ges en inblick i vad informationssäkerhet är och hur det står i relation med cybersäkerhet. Bakgrunden innehåller även en introduktion till den svenska lagstiftningen inom informationssäkerhet såväl som ISO 27001-standarden för att belysa vad svenska verksamheter har att förhålla sig till när det kommer till sitt arbete med informationssäkerhet. I problemformuleringen lyfts de aktuella hoten och myndigheters uttalanden inom informationssäkerhet i Sverige och hur svenska verksamheter brister i dessa. Detta i kombination med den tidigare forskningen om hur utmaningar inom ISO 27001-certifieringar har tagit sitt uttryck för andra verksamheter. Metoden redovisar hur kvalitativa intervjuer använts som verktyg för datainsamling till fallstudien men även hur det tagit sitt uttryck och beskriver processen – från förberedelse till läsbar produkt, vilket är detta examensarbete. I analysen ställs den insamlade datan i relation till tidigare forskning samt aktuella händelser för att se vilka utmaningar svenska verksamheter har för att uppnå en ISO 27001-certifiering. Resultatet baseras på den insamlade datan då det är svenska verksamheters utmaningar som är aktuellt för fallstudien. Det resulterade i fyra utmaningar: motivation, tid och ekonomi, bransch samt komplexitet. Dessa utmaningar och dess bidragande faktorer redovisas i text såväl som figurer. Somliga av dessa utmaningar är utmaningar som lyfts i tidigare forskning, vilket gör att de även kan appliceras som utmaningar för svenska verksamheter. Uppsatsen avslutas med en diskussion där fallstudiens resultat diskuteras i olika perspektiv – samhälleliga, etiska samt vetenskapliga. Diskussion om val av metod, studiens resultat samt förslag på framtida forskning lyfts, där det diskuteras om hur lagar samt standarder inom informationssäkerhet är svåra att implementera samt förstå och om det ens är möjligt att göra det lättare.

Information Systems

Informationssäkerhet inom energisektorn : En kvalitativ studie om hur energibolag arbetar med informationssäkerhet

Eriksson, Selim, Örjebo, Johan

January 2024

Energisektorn är en av de sektorer som är viktiga för att Sverige ska kunna fungera som land. Därför ställer makthavare extra krav på organisationer som verkar inom energisektorn. I takt med att digitaliseringen utvecklas ökar även hotet av cyberattacker och krav måste då även ställas i den digitala miljön för att undvika att samhällsviktiga tjänster blir utslagna eller att sekretessbelagd data hamnar i fel händer. I denna studie läggs fokuset på hur de organisationer som bedriver verksamhet inom sektorn arbetar med informationssäkerhet.  Studien har tagit reda på hur de som ansvarar för informationssäkerheten förhåller sig till de olika lagar, standarder och riktlinjer som finns inom området. I studien undersöks även hur organisationer inom energisektorn samarbetar med varandra och hur kommunikationen med myndigheter upplevs. Fokus läggs också på att ta reda på vilka utmaningar som finns inom området, och frågeställningarna besvaras med en kvalitativ semistrukturerad intervjustudie och en litteratursökning. Resultatet visar på att de lagar som driver fram informationssäkerhetsarbetet är NIS-direktivet och säkerhetsskyddslagen. Mycket arbete sker även utifrån ISO 27000-serien, men få är certifierade. Intervjuerna visar dessutom på att det samarbete som finns mellan branschkollegor främst bygger på personliga kontakter och personlig tillit. Energiföretagen upplevs som en bra yta för att diskutera säkerhetsfrågor och skapa kontakt med branschkollegor för att på ett öppet sätt diskutera säkerhetsfrågor. Det finns däremot önskemål om en central organisation i stil med Norges KraftCERT för att kunna diskutera säkerhetsfrågor inom sektorn. Vidare visar resultatet på att de utmaningar som upplevs till stor del handlar om brist på resurser för att kunna implementera rätt säkerhetsåtgärder och utbilda personal, men också hur ledningen väljer att prioritera informationssäkerhet inom organisationen.

EU

energisektorn

NIS-direktivet

NIS2-direktivet

informationssäkerhet

informationssäkerhetsarbete

samhällsviktig verksamhet

kritisk infrastruktur

Computer and Information Sciences

Data- och informationsvetenskap

The impact of the NIS 2 directive on subcontractors in the transportation sector

Sandström, Isabel

January 2024

This study examines the impact of the NIS2 Directive on subcontractors in the transport sector, a critical infrastructure. By focusing on small and medium-sized enterprises (SMEs) operating as subcontractors, the study analyzes the challenges and obstacles these companies face in implementing the NIS2 requirements in their supply chain. The study also highlights the strategies used to ensure adequate cyber security within the transport sector's supply chain. A qualitative research method was used, where data was collected through semi-structured in-depth interviews and document analysis. The results show that companies with ISO/IEC 27001 certification have a solid foundation to meet the NIS2 requirements, while companies without such certification face greater challenges. The study also identifies the need for cooperation and knowledge sharing between companies to effectively navigate the new regulations and strengthen collective cyber security within the EU. The conclusions show that the NIS2 directive will require significant adaptations for SMEs, but also that it offers opportunities to improve their cyber security capabilities and strengthen the trust of customers and partners. The study emphasizes the importance of implementing robust information security to ensure continuity and protection of critical services, and that proactive adaptation and collaboration are key to achieving full compliance with NIS2 requirements.

NIS2 directive

Cyber security

Subcontractors

The transport sector

Information security

ISO/IEC 27001

Supply chain

Risk management

Incident management

NIS2-direktivet

Cybersäkerhet

Underleverantörer

Transportsektorn

Informationssäkerhet

ISO/IEC 27001

leverantörskedja

Riskhantering

Incidenthantering

Other Engineering and Technologies

Annan teknik