Ovaj vodič je namenjen operatorima prehrambenih pogona, distributerima i velikim maloprodajnim lancima s izrazitom ovisnosti o lancu opskrbe. Saznajte kako strukturirati cybersecurity programa kako bi zadovoljili zahtjeve Agencije za sigurnost mreža i informacijskih sustava (SOA).
Pod NIS2/ZKS regulativu, kao važan entitet kvalificira se prehrambeni procesor, distributor ili maloprodajni lanac koji tehnički i organizacijski igra ključnu ulogu u prehrani hrvatskog tržišta, osobito ako upravlja kritičnom infrastrukturom opskrbe ili procesira podatke više od 500 zaposljenika. Najmanja mjerila variraju, ali većina većih regionalnih distributera i nacionalnih lanca (Konzum, Lidl, Kaufland i slični) sigurno se klasificiraju kao važni entiteti.
Morate institucionalizirati autentifikaciju s više čimbenika za sve pristupe ERP sustavima (SAP, Oracle, Navision) i sustavima upravljanja lancem opskrbe (SCADA, WMS). Šifriranje podataka tijekom prijenosa (TLS 1.2+) i u mirovanju obavezno je za sve baze podataka koje sadrže podatke o logistici, redoslijedu proizvodnje ili informacije o dobavljačima. Redovito testiranje penetracije najmanje dva puta godišnje mora biti dokumentirano.
Ako cybersecurity incident prouzrokuje prekid proizvodnje, distribucije ili dostave hrane koji traje duže od četiri sata ili utječe na više od 10% vaše dnevne kapacitete, dužni ste prijaviti ga SOA u roku od 24 sata. Prijavljivanje mora sadržavati vremensku liniju incidenta, affected sisteme, procijenjeni financijski utjecaj i primijenjene mjere oporavka. Bez своевремено prijavljivanja, kazne mogu doseći do 50.000 EUR ili 10% godišnjeg prometa.
Ugovori s dobavljačima, logističkim partnerima, IT vendorima i proizvodnjama trebaju sadržavati eksplicitne klauzule o cybersecurity-u: obaveza održavanja minimalnog standarda zaštite (ISO 27001 ili ekvivalentno), redovito testiranje sigurnosti, zaštita šifriranjem i obaveza prijavljivanja incidenta unutar 12 sati od otkrivanja. Nedostaju li ti zahtjevi, vi ostajete primarno odgovorni za breach kod dobavljača koji koristi vaše podatke.
Sustavi koji čuvaju podatke o porijeklu, vremenu kuhanja, roku trajanja i lokaciji svakog proizvoda moraju biti zaštićeni kako bi se osiguralo integritete podataka. Dnevne sigurnosne kopije s testiranjem oporavka najmanje tri puta godišnje obavezne su. Ako traceability sustav padne, morate moći vratiti pune podatke u roku od dva sata bez gubitka zapisa.
Svaki zaposlenik i vanjski pristupač mora imati dodijeljena samo dozvola potrebna za obavljanje posla — proizvodni inženjer nema pristupa financijskim podacima, vozač dostave ne može mijenjati recepture. Pristup se mora recertificirati najmanje godišnje. Prekinuti pristup ex-zaposlenika i partnera je obaveza u roku od 24 sata od završetka radnog odnosa ili ugovora.
Prekid je svaka situacija gdje cybersecurity incident sprječava normalnu proizvodnju, pakovanje ili distribuciju proizvoda duže od četiri uzastopna sata, ili gdje je zahvaćeno više od 10% dnevnog kapaciteta. Primjeri: ransomware na proizvodnoj liniji, denial-of-service na skladišnom sustavu, ili kompromitacija podataka o rokom trajanja koja zaustavlja otpremu. Tehničke greške ili planirano održavanje se ne računaju ako su unaprijed najavljena.
Ne, ali morate uspostaviti formalne sigurnosne zahtjeve u ugovoru — ISO 27001 je preporučena razina, ali prihvatljiv je i plan certifikacije ili samo dokumentirana procjena rizika. Kritični dobavljači (npr. hladnjače, transportni lanac, IT sustavi) trebali bi biti certificirani ili su predmet revizije sigurnosti najmanje godišnje. Lagani dobavljači (npr. jednokratna ambalaža) trebaju samo osnovne zahtjeve u ugovoru.
Kazne za kršenje NIS2/ZKS-a počinju od 50.000 EUR ili 10% godišnjeg prometa za prvi prekršaj (ovisno što je veće). Za ponavljajuće prekršaje ili kršenja incidenta reporting, kazne mogu doseći 200.000 EUR ili 20% godišnjeg prometa. Dodatno, SOA može odrediti povremene revizije i nadzore dugoročno, što značajno povećava troškove operativne suglasnosti.