Till följd av Europeiska Unionens strategi för cybersäkerhet som introducerades 2020 införde unionen ett nytt direktiv under 2022, NIS2-direktivet. NIS2, som är en förkortning av Network and Information Security 2, är en utveckling av det tidigare NIS-direktivet och avser att sätta högre cybersäkerhetskrav på ett större omfång av sektorer för att höja den gemensamma cybersäkerhetsnivån inom EU. De krav som ställs på väsentliga entiteter enligt direktivet är de som vidare kommer att undersökas i denna studie.

Denna studie syftar till att undersöka hur samhällsviktiga verksamheter träffas av det nya direktivet med huvudfrågeställning “Hur förberedda är Sveriges samhällsviktiga verksamheter inför det kommande NIS2-direktivet?”. För att kunna besvara denna frågeställning har studien som mål att undersöka samhällsviktiga verksamheters kompetens med följande delfrågor: “Vilken kompetens gällande informationssäkerhet finns hos samhällsviktiga verksamheter idag?”, och “Vad för kompetens hos samhällsviktiga verksamheter krävs för att de i framtiden ska kunna möta EUs kommande regulatoriska informationssäkerhetskrav”.

Data samlades in genom semistrukturerade intervjuer med informationssäkerhetskonsulter och relevanta myndigheter. Detta för att ta reda på vilken kompetens som idag finns hos samhällsviktiga verksamheter från ett informationssäkerhets-perspektiv. Datan från intervjuerna analyserades sedan med tematisk analysmetod vilket resulterade i fyra olika teman med tillhörande kategorier och koder.

Utifrån respondenternas svar går det att konstatera en generellt låg kompetensnivå hos och de ökade kraven innebär en stor utmaning för verksamheterna. Till följd av studiens kvalitativa ansats finns det vissa begränsningar gällande undersökningens generaliserbarhet och reproducerbarhet vilket gör att framtida forskning med fördel kan bidra med kvantitativa metoder och observationer för att bekräfta eller motbevisa resultatet.

Following the European Union's Cybersecurity strategy introduced in 2020 the union initiated a new directive in 2022, the NIS2 directive. NIS2, an abbreviation of Network and Information Security 2, is a development of the previous NIS directive with the objective to establish higher cybersecurity requirements on several sectors to enhance the common cybersecurity level across the EU. The requirements that critical entities are obliged to follow according to the directive are the requirements this study will focus on.

This study aims to investigate how this directive will affect vital societal functions work with information- och cybersecurity with the main research question: “How prepared are swedish vital societal functions for the upcoming NIS2 directive”. To be able to answer this the study has two following sub-research questions: “What competence do vital societal functions have today?”, and “What future competence is required of vital societal functions for them to be able to meet the EUs upcoming regulatory information security requirements?”.

Data was collected through semi structured interviews with consults with information security expertise along with relevant authorities with connections to vital societal functions. The data was then analysed using the thematic analysis method which resulted in 4 themes with related categories and codes.

The respondents state that the competence level amongst vital societal functions is generally low and the increased requirements will entail a great challenge for these organisations. Due to the qualitative methods used in this study there are some limitations with applicability and reproducibility of the results. By suggestion, future research can beneficially contribute with quantitative methods and observations to either verify or refute this study's findings.