Wiley: Review of Policy Research: Table of Contents

Muddle and Match: Narrative Coherence in United States Cybersecurity Policy

Jonathan Lewallen — Mon, 01 Jun 2026 00:41:35 -0700

ABSTRACT

The Narrative Policy Framework (NPF) provides a systematic means of using narrative elements to describe how policymakers define issues, including characters, plot, and setting. In this article I introduce the concept of narrative coherence: the extent to which different narrative elements “fit” together in a logical way. Narrative coherence operates at three levels: facial validity across narrative elements, agreement across policy narrators, and consistency across issue domains. I then use narratives in U.S. congressional oversight reports on cybersecurity to generate hypotheses about the presence (or absence) and effects of narrative coherence and incoherence. Cybersecurity is a challenging policy problem for policymakers to define. The term generally refers to protection against vulnerabilities in computer systems and Internet activity, but cybersecurity has acquired multiple dimensions and causes with multiple component issues as more systems became connected to the Internet and computing changes in ways that create new vulnerabilities. I find that congressional oversight reports tell relatively coherent stories for individual component issues associated with cybersecurity, but across these component issues the overall narrative is less coherent. These findings indicate that policymakers define cybersecurity problems in different ways depending on what kind of vulnerability or problem they talk about, and calls into question the usefulness of cybersecurity as an umbrella term for some vulnerabilities. The article offers several hypotheses for further research into narrative coherence as both a dependent and independent variable.

摘要

叙事政策框架(NPF)提供了一种系统的方法，利用叙事要素来描述政策制定者如何定义议题，包括人物、情节和背景。本文引入了叙事连贯性的概念:不同叙事要素在逻辑上相互契合的程度。叙事连贯性体现在三个层面:叙事要素之间的表面效度、政策叙述者之间的一致性以及议题领域的一致性。随后，我利用美国国会关于网络安全的监督报告中的叙事，提出关于叙事连贯性和不连贯性的存在(或缺失)及其影响的假设。网络安全是一个令政策制定者难以界定的政策问题。该术语通常指的是保护计算机系统和互联网活动免受漏洞侵害，但随着越来越多的系统接入互联网以及计算方式的变革产生新的漏洞，网络安全已呈现出多维度、多成因的复杂局面。我发现，国会监督报告在描述与网络安全相关的各个组成部分时，叙述相对连贯，但就这些组成部分而言，整体叙事的连贯性较差。这些发现表明，政策制定者对网络安全问题的定义因所讨论的漏洞或问题类型而异，这使得“网络安全”作为涵盖某些漏洞的统称的有效性受到质疑。本文提出了若干假设，供进一步研究将叙事连贯性作为因变量和自变量的作用。

RESUMEN

El Marco de Política Narrativa (NPF, por sus siglas en inglés) proporciona un método sistemático para utilizar elementos narrativos que describan cómo los responsables políticos definen los problemas, incluyendo personajes, trama y contexto. En este artículo, presento el concepto de coherencia narrativa: el grado en que los diferentes elementos narrativos se “encajan” de forma lógica. La coherencia narrativa opera en tres niveles: validez aparente entre los elementos narrativos, acuerdo entre los narradores de políticas y consistencia entre los dominios de los problemas. A continuación, utilizo narrativas de informes de supervisión del Congreso de EE. UU. sobre ciberseguridad para generar hipótesis sobre la presencia (o ausencia) y los efectos de la coherencia e incoherencia narrativas. La ciberseguridad es un problema político complejo de definir para los responsables políticos. El término generalmente se refiere a la protección contra vulnerabilidades en sistemas informáticos y la actividad en Internet, pero la ciberseguridad ha adquirido múltiples dimensiones y causas con múltiples problemas componentes a medida que más sistemas se conectan a Internet y la informática cambia de maneras que crean nuevas vulnerabilidades. Observo que los informes de supervisión del Congreso presentan historias relativamente coherentes para los problemas componentes individuales asociados con la ciberseguridad, pero en el conjunto de estos problemas componentes, la narrativa general es menos coherente. Estos hallazgos indican que los responsables políticos definen los problemas de ciberseguridad de distintas maneras, según el tipo de vulnerabilidad o problema al que se refieran, y ponen en tela de juicio la utilidad de la ciberseguridad como término genérico para ciertas vulnerabilidades. El artículo propone varias hipótesis para futuras investigaciones sobre la coherencia narrativa como variable dependiente e independiente.

Governing Cybersecurity in the Digital Age: Mapping Comprehensive Policy Mixes With the Nodality‐Authority‐Treasure‐Organization Lens

Benedetta Cotta, Maria Stella Righettini — Mon, 01 Jun 2026 00:40:53 -0700

ABSTRACT

The accelerated digitalisation of society has amplified cybersecurity threats and revealed their cross-sectoral nature. Yet, the policy instruments used to address these challenges remain insufficiently examined. This study conducts a scoping review of 980 academic articles (2007–2024) and applies Hood's NATO framework (Nodality, Authority, Treasure, Organisation) to map how cybersecurity policy instruments are deployed and combined. The analysis identifies emerging thematic domains and shows that governance approaches are multi-instrumental, sector-specific, and evolving. It highlights differences in reliance on informational, regulatory, financial, and operational tools, as well as patterns in their combination. These findings underscore the need for coordinated policy mixes that respond to both digital risks and institutional contexts. Advancing a Whole-of-Government (WoG) perspective, the study shows that a holistic, cross-sectoral integration of tools can tackle the cybersecurity's technical complexity while accounting for human and organisational factors. By offering a novel framework for analysing instrument configurations, the article contributes to more adaptive and integrated cybersecurity governance strategies.

RESUMEN

La acelerada digitalización de la sociedad ha intensificado las amenazas a la ciberseguridad y revelado su carácter intersectorial. Sin embargo, los instrumentos políticos utilizados para abordar estos desafíos siguen sin estar suficientemente analizados. Este estudio realiza una revisión exploratoria de 980 artículos académicos (2007–2024) y aplica el marco NATO de Hood (Nodalidad, Autoridad, Recursos, Organización) para analizar cómo se implementan y combinan los instrumentos políticos de ciberseguridad. El análisis identifica dominios temáticos emergentes y muestra que los enfoques de gobernanza son multiinstrumentales, sectoriales y en constante evolución. Destaca las diferencias en la dependencia de herramientas informativas, regulatorias, financieras y operativas, así como los patrones en su combinación. Estos hallazgos subrayan la necesidad de combinaciones de políticas coordinadas que respondan tanto a los riesgos digitales como a los contextos institucionales. Al promover una perspectiva integral del gobierno, el estudio demuestra que una integración holística e intersectorial de herramientas puede abordar la complejidad técnica de la ciberseguridad, teniendo en cuenta los factores humanos y organizativos. Al ofrecer un marco novedoso para el análisis de configuraciones de instrumentos, este artículo contribuye a estrategias de gobernanza de la ciberseguridad más adaptativas e integradas.

摘要

社会数字化进程的加速加剧了网络安全威胁，并凸显了其跨部门的性质。然而，用于应对这些挑战的政策工具仍未得到充分研究。本研究对980篇学术文章(2007-2024年)进行了范围界定性回顾，并运用胡德的北约框架(节点性、权威性、资源、组织)来分析网络安全政策工具的部署和组合方式。分析结果识别出新兴的主题领域，并表明治理方法是多工具的、特定于行业的，且不断演变。研究重点关注了对信息、监管、金融和运营工具的依赖程度差异，以及这些工具组合的模式。这些发现强调了制定协调一致的政策组合的必要性，以应对数字风险和制度环境。本研究提出全政府(WoG)视角，表明工具的整体性、跨部门整合能够在应对网络安全技术复杂性的同时，兼顾人为因素和组织因素。本文提出了一种分析工具配置的新框架，有助于构建更具适应性和一体化的网络安全治理战略。

Issue Information

Mon, 01 Jun 2026 00:11:03 -0700

Review of Policy Research, Volume 43, Issue 4, July 2026.