'Norwegian University of Science and Technology (NTNU) Library'
Abstract
Denne masteroppgaven utforsker hvordan aktører i norsk kraftsektor og deres leverandører forstår og vil etterleve ikrafttredelsen av Lov om Digital Sikkerhet (DSL), samt hvilke faktorer som påvirker implementeringen i praksis. Studien har et kvalitativt forskningsdesign og er basert på åtte dybdeintervjuer med representanter fra regulerende myndigheter, kraftselskaper og leverandører.
Ved å bruke en trinnvis deduktiv-induktiv (SDI) tilnærming, ble dataene analysert og organisert i tematiske kodegrupper. Disse funnene ble deretter diskutert i forhold til Consolidated Framework for Implementation Research (CFIR). Analysen avslører at implementeringen av DSL påvirkes av ulike organisatoriske, teknologiske og regulatoriske faktorer. Spesielt kompetanse, regulatorisk forståelse, sikkerhetskultur og leverandørrelasjoner dukker opp som nøkkelmekanismer.
Funnene viser at implementeringskapasitet ikke bare formes av interne organisatoriske forhold, men også av det bredere regulatoriske økosystemet, inkludert veiledningspraksis, sektormodenhet og ulikheter i selskapers størrelse og ressurser. Ledelsesforankring og evne til å gjøre risikobaserte avveininger er avgjørende for hvordan sikkerhet blir prioritert. Basert på analysen utvikles et konseptuelt rammeverk for å illustrere hvordan implementeringskapasiteten formes gjennom samspillet mellom eksterne og interne kontekster, individuelle forutsetninger og regulatorisk kompleksitet.
Modellen understreker viktigheten av tydelige krav, tverrsektorielt samarbeid og støttestrukturer for å sikre en grundig og effektiv implementering av DSL. Den viser også at vellykket implementering forutsetter en helhetlig forståelse av teknologiske, menneskelige og organisatoriske forhold.
Denne studien bidrar med både teoretisk innsikt og praktiske anbefalinger for å forstå og styrke implementeringen av digitale sikkerhetsforskrifter i kritisk infrastruktur.This master's thesis explores how actors in the Norwegian power sector and their suppliers understand and will comply with the enactment of Digital Security Act (DSL), as well as the factors that influence its implementation in practice. The study employs a qualitative research design and is based on eight in-depth interviews with representatives from regulatory authorities, power companies, and suppliers.
Using a stepwise deductive-inductive (SDI) approach, the data was analyzed and organized into thematic code groupings. These findings were then discussed in relation to the Consolidated Framework for Implementation Research (CFIR). The analysis reveals that the implementation of the DSL is affected by various organizational, technological, and regulatory factors. Notably, competence, regulatory understanding, security culture, and supplier relations emerge as key mechanisms.
The findings show that the implementation capacity is shaped not only by internal organizational factors, but also by the broader regulatory ecosystem, including guidance practices, sector maturity, and differences in company size and resources. Management commitment and risk-based trade-offs are central to how security is prioritized. Based on the analysis, a conceptual framework is developed to illustrate how implementation capacity is shaped through the interaction of external and internal contexts, individual assumptions, and regulatory complexity.
The model emphasizes the importance of clear requirements, cross-sectoral cooperation, and support structures to ensure a thorough and effective implementation of the DSL. It also demonstrates that successful implementation depends on a holistic understanding of technological, human, and organizational conditions.
This study contributes to both theoretical insights and practical recommendations for understanding and enhancing the implementation of digital security regulations in critical infrastructure.
