Denna studie syftar till att undersöka vilka faktorer som påverkar svenska organisationers beslut att implementera en Zero Trust-arkitektur som en strategi för att stärka cybersäkerheten. Genom en kvalitativ metodansats, baserad på semi-strukturerade intervjuer med representanter från organisationer i olika stadier av Zero Trust-implementering, har insikter samlats in kring tekniska, organisatoriska, ekonomiska och kompetensrelaterade utmaningar kopplade till denna säkerhetsstrategi.

Resultaten visar att tekniska hinder ofta uppstår till följd av föråldrade system, bristande kompatibilitet och komplexa infrastrukturer. Ekonomiska faktorer spelar en central roll, där många organisationer uttrycker tveksamhet inför de omfattande investeringar som krävs. Internt motstånd identifieras främst på ledningsnivå och bland användare, ofta grundat i okunskap eller oro för försämrad användarupplevelse. Kompetensbrist, särskilt avseende helhetsperspektiv och arkitekturell förståelse, framstår som ett betydande hinder. Även om regulatoriska krav såsom NIS2 och GDPR bidrar till ett ökat intresse för Zero Trust, uppfattas de inte som tillräckligt konkreta för att direkt driva implementeringen.

Slutsatsen är att Zero Trust betraktas som en nödvändig men komplex och resurskrävande strategi. Studien begränsas av ett begränsat antal respondenter samt dess fokus på svenska organisationer, vilket innebär att generaliserbarheten är avgränsad till liknande kontextuella förhållanden.

This study aims to examine the factors that influence Swedish organizations' decisions to implement a Zero Trust architecture as a strategy to enhance cybersecurity. Using a qualitative research approach based on semi-structured interviews with representatives from organizations at various stages of Zero Trust implementation, insights were gathered regarding technical, organizational, economic, and competence-related challenges.

The results show that technical obstacles often arise due to outdated systems, lack of compatibility, and complex infrastructures. Economic factors play a central role, with many organizations expressing hesitation about the significant investments required. Internal resistance is primarily identified at the management level and among users, often rooted in a lack of knowledge or concerns about a diminished user experience. A shortage of competence, particularly concerning holistic perspectives and architectural understanding, emerges as a significant barrier. Although regulatory requirements such as NIS2 and GDPR contribute to increased interest in Zero Trust, they are not perceived as sufficiently concrete to directly drive implementation.

The conclusion is that Zero Trust is viewed as a necessary but complex and resource-intensive strategy. The study is limited by a small number of respondents and its focus on Swedish organizations, which means that the generalizability is restricted to similar contextual conditions.