NIS2 para empresas de produção e distribuição alimentar
A produção, transformação e distribuição grossista de alimentos estão no âmbito do Anexo II da NIS2. Se a sua empresa tem 50 ou mais colaboradores ou ultrapassa os 10 milhões de euros de volume de negócios, este é o seu guia prático sobre o que a BSIG exige.
Porque é que a NIS2 se aplica às empresas alimentares?
A produção alimentar moderna depende profundamente de sistemas informáticos. Os sistemas ERP gerem encomendas e faturação. Os sistemas de controlo da produção (MES) programam e monitorizam as linhas de fabrico. Os sistemas de monitorização da cadeia de frio acompanham as temperaturas desde a produção até à entrega. Os sistemas de informação laboratorial gerem os testes de qualidade. Se um ransomware paralisar o seu ERP, não consegue expedir. Se a monitorização da cadeia de frio falhar, não consegue provar a segurança do produto. É por isso que a UE classificou os alimentos como um setor crítico.
A UE colocou a produção, transformação e distribuição grossista de alimentos no Anexo II da Diretiva NIS2. As empresas que cumprem o limiar de dimensão (50 ou mais colaboradores ou mais de 10 milhões de euros de volume de negócios anual) são classificadas como 'wichtige Einrichtungen' (entidades importantes) ao abrigo do §28, n.o 2, BSIG. Isto significa que se aplica o conjunto completo de obrigações da NIS2: registo junto do BSI, 10 medidas de gestão de risco de cibersegurança, notificação de incidentes, segurança da cadeia de abastecimento e responsabilidade da direção.
A maioria das empresas alimentares nunca lidou antes com regulamentação de cibersegurança. As regras de segurança alimentar (HACCP, IFS, BRC) são familiares, mas as obrigações de segurança informática são novas. A boa notícia: se a sua empresa já dispõe de um sistema estruturado de gestão da qualidade, muitos dos conceitos transferem-se. Avaliação de risco, documentação, auditorias, ações corretivas: o quadro é semelhante, apenas aplicado às TI em vez da higiene da produção.
ERP e gestão de encomendas
O sistema central de negócio que trata encomendas de clientes, faturação, aprovisionamento e gestão de inventário. Habitualmente SAP Business One, Microsoft Dynamics, proALPHA ou soluções específicas do setor como o CSB-System. O comprometimento deste sistema paralisa o processamento de encomendas, a expedição e a faturação. Uma entrada de ativo.
Controlo da produção (MES)
Sistemas de Execução de Fabrico que programam as séries de produção, registam números de lote e monitorizam o débito das linhas. Frequentemente ligados ao ERP para produção orientada pela procura. Podem incluir PLC e componentes SCADA nas linhas de produção. Se isto falhar, a produção para ou trabalha às cegas. Agrupar por instalação de produção.
Monitorização da cadeia de frio
Sistemas de monitorização de temperatura e humidade para armazenamento, transporte e exposição no retalho. Estes sistemas fornecem os registos contínuos exigidos para a conformidade HACCP. Registadores de dados, sensores e software de monitorização, frequentemente na cloud. A falha significa que perde a cadeia de prova da segurança alimentar. Uma entrada agrupada.
Logística e entrega
Gestão de frota, planeamento de rotas, rastreio de entregas e sistemas de gestão de armazém. Pode incluir leitores portáteis para recolha e carga. Estes sistemas asseguram que os produtos passam da produção para o cliente. A perturbação atrasa as entregas e pode causar deterioração de produtos sensíveis à temperatura.
Sistema de informação laboratorial (LIMS)
Sistemas que gerem os testes de qualidade: análise microbiológica, ensaios químicos, avaliação sensorial. O LIMS regista amostras, resultados e decisões de libertação. Se o seu sistema laboratorial for comprometido, não consegue verificar a segurança do produto e pode ter de suspender as expedições até que a verificação manual esteja concluída.
Postos de trabalho e TI de escritório
Portáteis, computadores de secretária e dispositivos móveis usados por pessoal administrativo, gestores de qualidade e coordenadores logísticos. Aplicações de escritório padrão, correio eletrónico e gestão documental. O Grundschutz permite agrupar: '50 portáteis Windows padrão' é uma entrada de ativo. Inclua a infraestrutura de rede (routers, switches, firewalls, Wi-Fi) como uma entrada agrupada separada.
1. Registar-se junto do BSI
Conclua o seu registo do §33 BSIG através de muk.bsi.bund.de. Demora cerca de 30 a 60 minutos e coloca-o de imediato registado. A sanção pela falta de registo é de até 500 000 euros. Se o prazo já tiver passado, registe-se imediatamente.
2. Construir o seu inventário de ativos
Liste os sistemas que sustentam a sua produção alimentar, a garantia da qualidade e as operações de distribuição. Use as seis categorias acima como ponto de partida. Para cada ativo, anote o que faz, quem o gere e o que acontece se ficar indisponível durante 24 horas. Preste especial atenção aos sistemas que afetam a segurança alimentar: têm o maior impacto regulamentar.
3. Estabelecer a notificação de incidentes
Defina o que significa um incidente de cibersegurança significativo para a sua empresa. Um ataque de ransomware que para a produção é claramente significativo. Um e-mail de phishing que foi bloqueado não é. Estabeleça a cadeia de notificação: quem decide, quem submete a notificação ao BSI (prazos de 24h/72h/1 mês) e como contactá-los fora do horário de expediente.
4. Documentar as relações com fornecedores
As empresas alimentares dependem habitualmente muito de TI externas: ERP alojado na cloud, SaaS de monitorização da cadeia de frio, serviços de TI geridos. Documente quem são estes fornecedores, que acesso têm e que medidas de segurança se comprometem a cumprir. Ao abrigo do §30, n.o 2, ponto 4, BSIG, a segurança da cadeia de abastecimento é uma medida obrigatória. Se o seu fornecedor de ERP na cloud for atacado, o problema é seu.
5. Rever os controlos de acesso
Audite quem tem acesso aos seus sistemas críticos, em especial ERP, controlo da produção e monitorização da cadeia de frio. Implemente autenticação multifator no acesso remoto e nas contas de administrador. Remova as contas de antigos colaboradores. Muitas empresas alimentares têm palavras-passe partilhadas nos terminais de produção: documente isto e planeie a correção.
As empresas alimentares situam-se na interseção entre a segurança informática e a regulamentação da segurança alimentar. O seu sistema HACCP, as certificações IFS ou BRC e a documentação da qualidade já criam uma cultura de processos documentados, auditorias regulares e ações corretivas. Isto é uma vantagem: o quadro da NIS2 usa conceitos muito semelhantes. Avaliação de risco, medidas de controlo, monitorização, documentação e revisão periódica são coisas que a sua equipa de qualidade já conhece.
O risco específico das empresas alimentares é a ligação entre os sistemas informáticos e a segurança alimentar. Se o seu sistema de monitorização da cadeia de frio for comprometido, pode não saber se os produtos foram armazenados a temperaturas seguras. Se o seu LIMS for manipulado, pode libertar produtos não seguros. Se o seu ERP estiver em baixo, não consegue rastrear um lote contaminado. Estes cenários tornam a segurança informática uma questão de segurança alimentar, e não apenas uma questão de TI.
A maioria das empresas alimentares subcontrata grande parte das TI. ERP na cloud, SaaS de monitorização da cadeia de frio, serviços de TI geridos: isto é a norma. Sob a NIS2, mantém a responsabilização mesmo quando subcontrata as operações. A sua atividade de conformidade mais importante é a gestão de fornecedores: documentar relações, incluir requisitos de segurança nos contratos e verificar que os fornecedores mantêm segurança adequada. O §30 BSIG é claro: não pode subcontratar a responsabilidade.
Perguntas frequentes
Já temos certificação IFS/BRC. Isso cobre a NIS2?
Não diretamente, mas dá-lhe uma vantagem significativa. As certificações IFS e BRC exigem processos documentados, avaliações de risco, ações corretivas e auditorias regulares, o mesmo quadro que a NIS2 usa. O que falta é o conteúdo específico das TI: inventário de ativos dos sistemas informáticos, avaliação de risco de cibersegurança, notificação de incidentes ao BSI, políticas de controlo de acessos e documentação de cifragem. Pense na NIS2 como uma extensão do seu sistema de gestão da qualidade para cobrir a segurança informática.
A nossa produção corre em máquinas antigas com Windows 7. Isto é um problema?
Os sistemas operativos antigos em equipamento de produção são comuns no fabrico alimentar e representam um risco real de NIS2. Não tem necessariamente de substituir as máquinas de imediato, mas tem de documentar o risco e implementar controlos compensatórios: segmentação de rede (isolar estas máquinas da Internet e da rede de escritório), acesso restrito, monitorização de atividade anómala e um plano para eventual atualização ou substituição. Documente isto na sua avaliação de risco com um calendário claro.
O nosso sistema de monitorização da cadeia de frio é um 'ativo' ao abrigo da NIS2?
Sim, sem dúvida. Qualquer sistema que sustente a prestação dos seus serviços críticos (produção e distribuição alimentar) é um ativo ao abrigo da NIS2. A monitorização da cadeia de frio é particularmente importante porque afeta diretamente a segurança alimentar. Se o sistema de monitorização falhar ou for comprometido, perde a capacidade de provar que os seus produtos foram armazenados em segurança. Liste-o como ativo, avalie os riscos e assegure que o seu fornecedor (se for na cloud) cumpre padrões de segurança adequados.
Quanto tempo demora a conformidade NIS2 para uma empresa alimentar da nossa dimensão?
Para uma empresa de produção alimentar com 100 a 200 colaboradores a começar do zero, conte com 3 a 6 meses para atingir uma base sólida. As empresas com certificação IFS/BRC existente podem avançar mais depressa, porque a disciplina de processos já existe. O primeiro mês cobre registo, inventário de ativos e avaliação de risco. Os meses 2 e 3 cobrem o processo de incidentes, controlos de acesso e políticas iniciais. Os meses 4 a 6 preenchem a gestão de fornecedores, a continuidade das atividades e as medidas técnicas. Após a configuração, o esforço contínuo é sobretudo revisões anuais.