From being physically isolated and autonomous, automated control systems such as Supervisory Control and Data Acquisition (SCADA) systems are increasingly being interconnected with external networks. These industrial control systems consist of Operational Technology (OT) that controls and monitors critical infrastructures. However, as these systems integrate with Information Technology (IT) in Industry 4.0, to enable remote control and central information aggregation, the distinction between OT and IT is becoming blurred. This integration introduces increased complexity and new vulnerabilities that can be exploited by threat actors, posing significant threats to Sweden’s security through potential interruptions in security-sensitive activities. Security-sensitive activities, which are organizations of national importance to Sweden, are regulated by the Protective Security Act (säkerhetsskyddslagen). Chapter 4 of this legislation affects decision-making in the implementation of information systems. A dozen paragraphs were selected from this chapter based on specific criteria and a focused subject within each paragraph to narrow the scope. To provide an example of an information system and set the context, the study focuses on examining the impact of these paragraphs by creating a hypothetical SCADA system controlling and monitoring several wind turbine farms. A literature review on the state-of-the-art SCADA systems and their application to wind turbine farms provided a basis for proposing a system that complies with the legislation. Additionally, to understand how different interpretations of the legislation influence these design decisions, semi- structured interviews were conducted. A qualitative analysis was performed to assess the answers from the interviews and with knowledgeable individuals in the field, discussing their views and decision-making processes in relation to the selected legislative paragraphs. The results indicate that the Protective Security Act promotes ”adequate re- quirements” that can be interpreted differently, often encouraging companies and organizations to adopt other established standards to enhance security. However, the flexibility in interpretation may lead to decisions driven by economic considerations rather than security priorities.

Från att ha varit fysiskt isolerade och autonoma, sammankopplas auto- matiserade kontrollsystem som Supervisory Control and Data Acquisition (SCADA) alltmer till externa nätverk. Dessa industriella styrsystem består av Operational Technology (OT) som styr och övervakar kritisk infrastruktur. Eftersom dessa system integreras med informationsteknologi (IT) i Industry 4.0, för att möjliggöra fjärrkontroll och central informationsaggregation, blir dock distinktionen mellan OT och IT suddig. Denna integration introducerar ökad komplexitet och nya sårbarheter som kan utnyttjas av hotaktörer, vilket utgör ett betydande hot mot Sveriges säkerhet genom potentiella avbrott i säkerhetskänsliga aktiviteter. Säkerhetskänslig verksamhet, som är organisationer av betydelse för Sverige, regleras av säkerhetsskyddslagen. Kapitel 4 i denna lagstiftning påverkar och ställer krav på beslutsfattande vid implementering av informationssystem. Ett dussintal olika paragrafer valdes ut från detta kapitel baserat på specifika kriterier och ett ämne inom varje stycke valdes att titta närmare på för att begränsa omfattningen. För att ge ett exempel på ett scenario med ett informationssystem att ta ställning till fokuserarde studien på ett hypotetiskt SCADA-system som styr och övervakar flera vindkraftsparker. En litteraturstudie av de senaste SCADA-systemen och deras tillämpning på vindkraftsparker gav underlag till att föreslå ett system som överensstämmer med den undersökta lagstiftningen. Dessutom, för att förstå hur olika tolkningar av lagstiftningen påverkar dessa designbeslut, genomfördes semistrukturerade intervjuer. En kvalitativ analys genomfördes för att bedömma svaren från intervjuerna, med kunniga personer inom området, där deras synpunkter och beslutsprocesser diskuterades i förhållande till de utvalda lagparagraferna. Resultaten indikerar att lagen om säkerhetsskydd främjar ”tillräckliga krav” som kan tolkas olika, vilket ofta uppmuntrar företag och organisationer att främja andra etablerade standarder för att öka säkerheten. Flexibiliteten i tolkningen kan dock leda till beslut som drivs av ekonomiska överväganden snarare än säkerhetsprioriteringar.