Strengthening Information Security Resilience in the European Energy Retail Sector : A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks
| dc.contributor.author | Suorsa, Mikko | |
| dc.contributor.faculty | fi=Tekniikan ja innovaatiojohtamisen yksikkö|en=School of Technology and Innovations| | |
| dc.contributor.orcid | https://orcid.org/0000-0002-1649-4223 | |
| dc.contributor.organization | fi=Vaasan yliopisto|en=University of Vaasa| | |
| dc.date.accessioned | 2026-03-31T05:31:30Z | |
| dc.date.issued | 2026-05-29 | |
| dc.description.abstract | The energy retail sector provides essential services to consumers, businesses, and public organizations, and constitutes a critical part of the energy industry’s value network. It faces sophisticated cyber threats that may disrupt operations, compromise customer data, and cause financial, reputational, and societal harm. These challenges are intensified by geopolitical instability, state-sponsored cyberattacks, complex system architectures, and stringent regulatory requirements, including the EU General Data Protection Regulation (GDPR) and the Network and Information Security Directive (NIS2). Despite these pressures, empirical research adopting an IT Governance, Risk Management, and Compliance (IT-GRC) perspective on how organizational culture, critical security controls, and sector-specific risks jointly strengthen information security resilience in energy retail remains limited. This dissertation addresses this gap through four interconnected studies: a case study of a European energy retailer examining security culture using survey data and exploratory factor analysis; an analysis of internally reported incidents employing failure modes and effects analysis and bow-tie modelling; and a cross-sector review of GDPR penalty decisions using root cause analysis. The findings demonstrate that cybersecurity resilience depends on strong leadership commitment, clearly defined responsibilities for risk and incident reporting, and the integration of employee accountability and recognition into performance management. Critical control weaknesses—most notably in access management, privileged access controls, system lifecycle change management, security testing, malware protection, employee awareness and training, secure information handling, and comprehensive incident reporting and response—constitute primary sources of failure. The study identifies eight cybersecurity risk categories specific to the energy retail sector and shows that layered controls, combined with attack–defence modelling, enhance risk management and organizational situational awareness. The dissertation advances IT-GRC theory by offering an integrative framework that links organizational culture, security controls, and sector-specific risks. The findings provide senior leadership with a concrete roadmap for strengthening cybersecurity resilience through strategic governance, high-priority security controls, and sector-aligned risk management across technical, human, and organizational domains. | en |
| dc.description.abstract | Energia-alan myyntisektori on kriittinen osa energiateollisuuden arvoketjua, sillä se tuottaa keskeisiä palveluja kuluttajille, yrityksille ja julkisille organisaatioille. Sektori on altis vakaville kyberuhille, joita voimistavat geopoliittiset jännitteet, valtiollisten toimijoiden tukemat kyberhyökkäykset, monimutkaiset järjestelmäarkkitehtuurit sekä tiukka sääntely, kuten Euroopan unionin GDPR (General Data Protection Regulation) ja NIS2-direktiivi (Network and Information Security Directive 2). Näistä haasteista huolimatta empiirinen tutkimus siitä, miten organisaatiokulttuuri, kriittiset tietoturvakontrollit ja riskienhallinta yhdessä vahvistavat kyberturvallisuuden resiliens¬siä IT-hallinnon, riskienhallinnan ja vaatimustenmukaisuuden (IT Governance, Risk Management and Compliance, IT-GRC) viitekehyksessä, on puutteellista. Tämä väitöskirja vastaa tunnistettuun tutkimustarpeeseen monimenetelmällisellä tutkimusasetelmalla, joka koostuu neljästä toisiinsa kytkeytyvästä osatutkimuksesta. Tutkimus sisältää tapaustutkimuksen eurooppalaisen energiayhtiön tietoturva-kulttuurista henkilöstökyselyjen ja eksploratiivisen faktorianalyysin avulla sekä sisäisesti raportoitujen tietoturvapoikkeamien analyysin hyödyntäen vika- ja vaikutus-analyysiä sekä bow-tie-mallinnusta. Lisäksi väitöskirja tarkastelee toimialarajat ylittävästi GDPR-seuraamusraportteja juurisyyanalyysin keinoin. Tulokset osoittavat, että kyberturvallisuuden resilienssi edellyttää johdon vahvaa sitoutumista, selkeitä vastuita sekä henkilöstön kannustamista riski- ja tietoturvapoikkeamien raportointiin. Kriittiset tietoturvapuutteet liittyvät erityisesti pääsyn-hallintaan, korkean käyttöoikeustason valvontaan, tietojärjestelmien elinkaaren muutostenhallintaan, tietoturvatestaukseen, haittaohjelmasuojaukseen, henkilöstön tietoisuuteen ja koulutukseen, turvalliseen tiedonkäsittelyyn sekä tietoturvapoikkeamien kokonaisvaltaiseen hallintaan. Tutkimus tunnistaa kahdeksan energia-alan myyntisektorille tyypillistä kyberriskiä ja osoittaa, että kerrokselliset kontrollit sekä hyökkäys–puolustus-mallinnus vahvistavat riskienhallintaa ja organisaation tilannekuvaa. Väitöskirja edistää IT-GRC -teoriaa tarjoamalla integroivan viitekehyksen, joka yhdistää organisaatiokulttuurin, kontrollit ja sektorikohtaiset riskit. Tulokset tarjoavat yritysjohdolle konkreettisia keinoja vahvistaa kyberturvallisuuden resilienssiä strategisen ohjauksen, korkean prioriteetin tietoturvakontrollien ja sektorikohtaisten riskien hallinnan avulla. | fi |
| dc.description.accessibilityfeature | navigointi mahdollista | |
| dc.description.accessibilityfeature | looginen lukemisjärjestys | |
| dc.description.accessibilitysummary | Kuvien ja kuvioiden vaihtoehtoiset kuvaukset puutteelliset tai puuttuvat. Artikkeli 3 ei ole saavutettava. | |
| dc.description.notification | Compilation dissertation’s summary section is licensed under Creative Commons Attribution NonCommercial 4.0 International. | |
| dc.description.reviewstatus | fi=vertaisarvioitu|en=peerReviewed| | |
| dc.embargo.lift | 2026-05-29 | |
| dc.embargo.terms | 2026-05-29 | |
| dc.format.extent | 167 | |
| dc.identifier.citation | Suorsa, M. (2026). Strengthening Information Security Resilience in the European Energy Retail Sector : A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks [Doctoral dissertation, University of Vaasa]. Osuva. https://urn.fi/URN:ISBN:978-952-395-264-5 | |
| dc.identifier.isbn | 978-952-395-264-5 | |
| dc.identifier.uri | https://osuva.uwasa.fi/handle/11111/20042 | |
| dc.identifier.urn | URN:ISBN:978-952-395-264-5 | |
| dc.language.iso | eng | |
| dc.publisher | Vaasan yliopisto | |
| dc.relation.isbn | 978-952-395-263-8 | |
| dc.relation.ispartofseries | Acta Wasaensia | |
| dc.relation.issn | 2323-9123 | |
| dc.relation.issn | 0355-2667 | |
| dc.relation.numberinseries | 582 | |
| dc.subject.discipline | fi=Tuotantotalous (tekniikka)|en=Industrial Engineering and Management| | |
| dc.subject.yso | data security | |
| dc.subject.yso | technology | |
| dc.subject.yso | leadership (activity) | |
| dc.subject.yso | information networks | |
| dc.subject.yso | risk management | |
| dc.subject.yso | organisational culture | |
| dc.subject.yso | innovations | |
| dc.subject.yso | information technology | |
| dc.subject.yso | root cause analysis | |
| dc.title | Strengthening Information Security Resilience in the European Energy Retail Sector : A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks | |
| dc.type.okm | fi=G5 Artikkeliväitöskirja|en=G5 Doctoral dissertation (article)|sv=G5 Artikelavhandling| | |
| dc.type.ontasot | fi=Artikkeliväitöskirja|en=Doctoral dissertation (article-based)| | |
| dc.type.publication | doctoralThesis | |
| dc.type.version | publishedVersion |
Tiedostot
1 - 1 / 1