CRISP: Cybersecurity Regulation Impact Study on Practices
Authors
Belsnes, Joar ; Lozano Rebollo, Alejandro ; Krab-Johansen, Jacob Sylvest
Term
4. semester
Education
Publication year
2025
Submitted on
2025-06-03
Pages
82
Abstract
Denne kandidatafhandling undersøger, hvad EU’s regler for cybersikkerhed betyder i praksis, med fokus på NIS2-direktivet (en EU‑lov, der skal løfte et fælles niveau for cybersikkerhed på tværs af medlemslande). Afhandlingen spørger, om lovgivningen fører til reelle, varige forbedringer i organisationers sikkerhed, eller om den mest fremmer afkrydsnings‑compliance—at opfylde krav på papiret uden reel effekt. Resultaterne peger på, at tre forhold kan svække effekten: juridisk uklarhed (uklare krav), ujævn national implementering og en udbredt afhængighed af konsulenter til at fortolke reglerne. Der ses tilbagevendende problemer som compliance‑træthed, uforholdsmæssige byrder for små og mellemstore virksomheder (SMV’er) og fragmenteret håndhævelse på tværs af lande og sektorer. Afhandlingen giver et jordnært blik på, hvordan reglerne læses og bruges i hverdagen, og identificerer en markant afstand mellem direktivets hensigter og de observerede resultater. For at styrke cyberrobusthed—evnen til at modstå og komme sig efter cyberangreb—peger studiet på behovet for tydeligere forventninger, mere harmoniseret håndhævelse og stærkere støtteordninger. Undersøgelsen er eksplorativ og anvender et mixed‑methods design. Semistrukturerede interviews med ledende cybersikkerhedskonsulenter udgør kernen i den kvalitative analyse og suppleres af en målrettet spørgeskemaundersøgelse og gennemgang af relevant litteratur. Designet gør det muligt at fange praktiske indsigter og adfærdsmønstre, som ofte overses i den akademiske debat.
This Master’s thesis examines what EU cybersecurity rules mean in day‑to‑day practice, focusing on the NIS2 Directive (an EU law intended to raise a common level of cybersecurity across member states). It asks whether the law leads organizations to real, lasting security improvements, or mainly to box‑ticking compliance—meeting requirements on paper without meaningful impact. Findings indicate that three factors can undermine the directive’s impact: legal ambiguity (unclear requirements), uneven national implementation, and widespread reliance on consultants to interpret the rules. Recurring issues include compliance fatigue, disproportionate burdens on small and medium‑sized businesses (SMBs), and fragmented enforcement across countries and sectors. The thesis offers a grounded view of how the rules are read and applied in everyday settings and identifies a significant gap between the directive’s intentions and the outcomes observed. To strengthen cyber resilience—the ability to withstand and recover from cyberattacks—the study points to the need for clearer expectations, more harmonized enforcement, and stronger support mechanisms. The research is exploratory and uses a mixed‑methods design. Semi‑structured interviews with leading cybersecurity consultants form the core of the qualitative analysis, complemented by a targeted survey and a review of relevant literature. This design helps surface practical insights and behavioral dynamics that are often overlooked in academic debates.
[This summary has been rewritten with the help of AI based on the project's original abstract]
Keywords
Documents