EU:s NIS2-direktiv (Network and Information Security Directive) främjar cybersäkerhet i EU, vilket innebär att vidta de nödvändiga åtgärderna inom många sektorer. Direktivet syftar till att fastställa gemensam praxis för att förbättra informationssäkerheten vid tillhandahållande av samhällskritiska tjänster.
Arbetet med lagstiftning som är relaterad till direktivet pågår, och den tillämpliga lagstiftningen förväntas träda i kraft den 18 oktober 2024.
NIS2 kommer att skärpa hanteringen av cybersäkerhet över hela linjen. Ur synvinkeln av vem som berörs av direktivets bestämmelser är inte bara storleken på operatörens verksamhet viktig, utan också hur kritisk sektorn är. Till exempel är energisektorn klassad som kritisk i NIS2, vilket innebär att även fjärrvärmeproduktionen omfattas av kraven. I det här fallet påverkas direkt de inom träindustrin som producerar fjärrvärme. Indirekt påverkas även de, som levererar råvaror till energibolagen. De flesta av träindustrins fabriker måste nu senast ta hänsyn till direktivets krav i sin verksamhet.
Ledningens personliga ansvar för att upprätthålla adekvata strukturer relaterade till cybersäkerhet är centralt.
Dessutom har man i NIS2-direktivet undersökt operatörernas storlek och definierat följande kategorier: väsentliga, dvs. stora, viktiga, dvs. medelstora, och som inte omfattas, dvs. små operatörer och mikrooperatörer. Redan nu passeras gränsen för en viktig operatör för fjärrvärmeproducenter ganska snabbt – förändringarna påverkar därför ett stort antal operatörer inom träindustrin samt deras underleverantör- och leveransnät.
Direktivets praxis är i huvudsak relaterad till exempelvis hantering av cyberrisker, incidentrapportering, säkerställande av verksamhetskontinuitet och proaktiv tillsyn. Ledningens personliga ansvar för att upprätthålla adekvata strukturer relaterade till cybersäkerhet är centralt. Till skillnad från tidigare kommer ledningen för en organisation nu att vara personligen ansvarig för att uppfylla kraven i direktivet, och de ekonomiska påföljderna för bristande efterlevnad kan vara betydande.
En extern partner kan genomföra en objektiv auditering av organisationens praxis och den potentiella befintliga IT-partnerns beredskap att uppfylla kraven i direktivet. Pinja har ett starkt ICT-kunnande och har även ett ISO 27001-certifikat som bevis på sin kompetens inom informationssäkerhet.
Vill du höra mer från våra experter? Kontakta oss.
Informationssäkerhet inom skogsindustrin kräver regler, samarbete och ansvarstagande
Avskogningsförordningen EUDR ställer krav på träindustrin
FSC-certifikat inom träindustrin – hur säkerställa leveranskedjans spårbarhet?
Timber by Pinja – ERP-system för sågverk och träbearbetningsanläggningar