NIS2 pro společnosti vyrábějící a distribuující potraviny
Výroba, zpracování a velkoobchodní distribuce potravin spadají do rozsahu přílohy II NIS2. Pokud má vaše společnost 50+ zaměstnanců nebo překračuje 10 mil. eur obratu, toto je váš praktický průvodce tím, co BSIG vyžaduje.
Proč se NIS2 vztahuje na potravinářské společnosti?
Moderní výroba potravin je hluboce závislá na IT systémech. ERP systémy spravují objednávky a fakturaci. Systémy řízení výroby (MES) plánují a monitorují výrobní linky. Systémy monitorování chladicího řetězce sledují teploty od výroby po dodání. Laboratorní informační systémy spravují testování kvality. Pokud ransomware vyřadí váš ERP, nemůžete expedovat. Pokud selže monitorování chladicího řetězce, nemůžete prokázat bezpečnost produktu. Proto EU zařadila potraviny mezi kritická odvětví.
EU zařadila výrobu, zpracování a velkoobchodní distribuci potravin pod přílohu II směrnice NIS2. Společnosti splňující velikostní práh (50+ zaměstnanců nebo přes 10 milionů eur ročního obratu) jsou klasifikovány jako 'wichtige Einrichtungen' (důležité subjekty) podle § 28 odst. 2 BSIG. To znamená, že platí celá sada povinností NIS2: registrace u BSI, 10 opatření pro řízení kybernetických rizik, hlášení incidentů, bezpečnost dodavatelského řetězce a odpovědnost vedení.
Většina potravinářských společností se dosud s regulací kybernetické bezpečnosti nesetkala. Předpisy o bezpečnosti potravin (HACCP, IFS, BRC) jsou známé, ale povinnosti IT bezpečnosti jsou nové. Dobrá zpráva: pokud vaše společnost již provozuje strukturovaný systém řízení kvality, mnoho konceptů se přenáší. Hodnocení rizik, dokumentace, audity, nápravná opatření. Rámec je podobný, jen aplikovaný na IT místo výrobní hygieny.
ERP a správa objednávek
Hlavní podnikový systém zpracovávající objednávky zákazníků, fakturaci, nákup a správu zásob. Běžně SAP Business One, Microsoft Dynamics, proALPHA nebo odvětvově specifická řešení jako CSB-System. Kompromitace tohoto systému zastaví zpracování objednávek, expedici a fakturaci. Jedna položka aktiva.
Řízení výroby (MES)
Systémy řízení výroby (Manufacturing Execution Systems), které plánují výrobní běhy, sledují čísla šarží a monitorují výstup linky. Často propojeny s ERP pro výrobu řízenou poptávkou. Mohou zahrnovat komponenty PLC a SCADA na výrobních linkách. Pokud toto vypadne, výroba se zastaví nebo běží naslepo. Seskupte podle výrobního zařízení.
Monitorování chladicího řetězce
Systémy monitorování teploty a vlhkosti pro skladování, přepravu a maloobchodní vystavení. Tyto systémy poskytují průběžné záznamy požadované pro soulad s HACCP. Dataloggery, senzory a monitorovací software, často cloudové. Selhání znamená ztrátu důkazního řetězce pro bezpečnost potravin. Jedna seskupená položka.
Logistika a doručení
Správa vozového parku, plánování tras, sledování doručení a systémy správy skladu. Mohou zahrnovat ruční skenery pro vychystávání a nakládku. Tyto systémy zajišťují pohyb produktů od výroby k zákazníkovi. Narušení zpožďuje dodávky a může způsobit znehodnocení teplotně citlivých produktů.
Laboratorní informační systém (LIMS)
Systémy spravující testování kvality: mikrobiologickou analýzu, chemické testování, senzorické hodnocení. LIMS sleduje vzorky, výsledky a rozhodnutí o uvolnění. Pokud je váš laboratorní systém kompromitován, nemůžete ověřit bezpečnost produktu a možná budete muset pozastavit expedice, dokud nebude dokončeno ruční ověření.
Koncová zařízení a kancelářské IT
Notebooky, stolní počítače a mobilní zařízení používaná kancelářským personálem, manažery kvality a koordinátory logistiky. Standardní kancelářské aplikace, e-mail a správa dokumentů. Grundschutz umožňuje seskupování: '50 standardních notebooků s Windows' je jedna položka aktiva. Zahrňte síťovou infrastrukturu (routery, přepínače, firewally, Wi-Fi) jako samostatnou seskupenou položku.
1. Registrace u BSI
Dokončete svou registraci podle § 33 BSIG přes muk.bsi.bund.de. Trvá to asi 30 až 60 minut a okamžitě vás zanese do evidence. Sankce za neregistraci činí až 500 000 eur. Pokud lhůta uplynula, registrujte se okamžitě.
2. Sestavte inventář aktiv
Vypište systémy, které podporují vaši výrobu potravin, zajištění kvality a distribuci. Použijte šest výše uvedených kategorií jako výchozí bod. U každého aktiva poznamenejte, co dělá, kdo jej spravuje a co se stane, pokud nebude 24 hodin k dispozici. Věnujte zvláštní pozornost systémům ovlivňujícím bezpečnost potravin. Ty mají nejvyšší regulační dopad.
3. Nastavte hlášení incidentů
Definujte, co pro vaši společnost znamená významný kybernetický incident. Ransomwarový útok, který zastaví výrobu, je jednoznačně významný. Phishingový e-mail, který byl zachycen, není. Stanovte řetězec hlášení: kdo rozhoduje, kdo podává hlášení BSI (lhůty 24h/72h/1 měsíc) a jak je zastihnout mimo pracovní dobu.
4. Zdokumentujte vztahy s dodavateli
Potravinářské společnosti se obvykle silně spoléhají na externí IT: cloudově hostovaný ERP, SaaS pro monitorování chladicího řetězce, řízené IT služby. Zdokumentujte, kdo jsou tito dodavatelé, jaký mají přístup a k jakým bezpečnostním opatřením se zavazují. Podle § 30 odst. 2 bodu 4 BSIG je bezpečnost dodavatelského řetězce povinným opatřením. Pokud dojde k narušení u poskytovatele vašeho cloudového ERP, je to váš problém.
5. Přezkoumejte řízení přístupu
Prověřte, kdo má přístup k vašim kritickým systémům, zejména ERP, řízení výroby a monitorování chladicího řetězce. Zaveďte vícefaktorové ověřování u vzdáleného přístupu a administrátorských účtů. Odstraňte účty bývalých zaměstnanců. Mnoho potravinářských společností má sdílená hesla pro výrobní terminály. Zdokumentujte to a naplánujte nápravu.
Potravinářské společnosti se nacházejí na průsečíku IT bezpečnosti a regulace bezpečnosti potravin. Váš systém HACCP, certifikace IFS nebo BRC a dokumentace kvality již vytvářejí kulturu zdokumentovaných procesů, pravidelných auditů a nápravných opatření. To je výhoda. Rámec NIS2 používá velmi podobné koncepty. Hodnocení rizik, kontrolní opatření, monitorování, dokumentace a pravidelný přezkum jsou věci, kterým váš tým kvality již rozumí.
Jedinečným rizikem pro potravinářské společnosti je propojení mezi IT systémy a bezpečností potravin. Pokud je váš systém monitorování chladicího řetězce kompromitován, možná nebudete vědět, zda byly produkty skladovány při bezpečných teplotách. Pokud je váš LIMS manipulován, můžete uvolnit nebezpečné produkty. Pokud je váš ERP mimo provoz, nemůžete vysledovat kontaminovanou šarži. Tyto scénáře dělají z IT bezpečnosti otázku bezpečnosti potravin, nejen otázku IT.
Většina potravinářských společností významně outsourcuje IT. Cloudový ERP, SaaS monitorování chladicího řetězce, řízené IT služby. To je standard. Podle NIS2 nesete odpovědnost, i když outsourcujete provoz. Vaší nejdůležitější činností v oblasti souladu je řízení dodavatelů: dokumentace vztahů, zahrnutí bezpečnostních požadavků do smluv a ověřování, že dodavatelé udržují přiměřenou bezpečnost. § 30 BSIG je jasný. Odpovědnost nemůžete outsourcovat.
Často kladené dotazy
Už máme certifikaci IFS/BRC. Pokrývá to NIS2?
Přímo ne, ale dává vám to významný náskok. IFS a BRC vyžadují zdokumentované procesy, hodnocení rizik, nápravná opatření a pravidelné audity. Tentýž rámec, který používá NIS2. Co chybí, je obsah specifický pro IT: inventář aktiv IT systémů, hodnocení kybernetických rizik, hlášení incidentů BSI, zásady řízení přístupu a dokumentace šifrování. Představte si NIS2 jako rozšíření vašeho systému řízení kvality o IT bezpečnost.
Naše výroba běží na starších strojích s Windows 7. Je to problém?
Starší operační systémy na výrobním zařízení jsou v potravinářské výrobě běžné a představují reálné riziko pro NIS2. Nemusíte nutně stroje okamžitě měnit, ale musíte riziko zdokumentovat a zavést kompenzační kontroly: segmentaci sítě (izolujte tyto stroje od internetu a kancelářské sítě), omezený přístup, monitorování neobvyklé aktivity a plán případného upgradu nebo výměny. Zdokumentujte to ve svém hodnocení rizik s jasným harmonogramem.
Je náš systém monitorování chladicího řetězce 'aktivem' podle NIS2?
Ano, rozhodně. Jakýkoli systém, který podporuje poskytování vašich kritických služeb (výroba a distribuce potravin), je aktivem podle NIS2. Monitorování chladicího řetězce je obzvláště důležité, protože přímo ovlivňuje bezpečnost potravin. Pokud monitorovací systém selže nebo je kompromitován, ztratíte schopnost prokázat, že vaše produkty byly bezpečně skladovány. Uveďte jej jako aktivum, posuďte rizika a zajistěte, aby váš dodavatel (pokud je cloudový) splňoval přiměřené bezpečnostní standardy.
Jak dlouho trvá soulad s NIS2 pro potravinářskou společnost naší velikosti?
Pro potravinářskou výrobní společnost se 100 až 200 zaměstnanci začínající od nuly očekávejte 3 až 6 měsíců k dosažení solidního základu. Společnosti se stávající certifikací IFS/BRC mohou postupovat rychleji, protože procesní disciplína již existuje. První měsíc pokrývá registraci, inventář aktiv a hodnocení rizik. Měsíce 2 a 3 pokrývají proces incidentů, řízení přístupu a počáteční zásady. Měsíce 4 až 6 doplňují řízení dodavatelů, kontinuitu provozu a technická opatření. Po nastavení je průběžné úsilí převážně o roční přezkumy.