Acest ghid este destinat procesatorilor alimentari, distribuitorilor și lanțurilor mari de retail cu dependență critică de lanțul de aprovizionare. Veți afla obligațiile specifice de cybersecuritate, cerințele de raportare a incidentelor și măsurile de protecție a sistemelor de trasabilitate impuse de Legea 362/2022 (NIS2).
Organizațiile din sectorul alimentar care operează sisteme critice pentru continuitatea aprovizionării (ERP, sisteme de management al lanțului de aprovizionare, controlul calității și trasabilitate), cu operații în România și cu dependență semnificativă de furnizori externi sau de infrastructură IT digitalizată, se încadrează ca entități importante conform Legii 362/2022. Aceasta include procesatorii alimentari cu mai mult de 250 de angajați sau cu cifră de afaceri anuală care depășește 50 de milioane EUR, distribuitorii cu rețele regionale și lanțurile de retail cu mai mult de 500 de puncte de vânzare.
Trebuie să implementați controale de acces pe bază de rol (RBAC) strict pentru toți utilizatorii sistemelor ERP și platformelor de management al lanțului de aprovizionare, cu autentificare multifactor obligatorie pentru acces la distanță și din locații diferite. Sistemele trebuie să dispună de criptare end-to-end pentru datele în tranzit și în repaus, iar accesul trebuie monitorizat continuu cu înregistrări de audit non-ștergibile. Efectuați auditări de securitate anuale și testări de penetrare specifice pentru sisteme de traceabilitate și controlul calității.
Orice contract nou cu furnizori critici (inclusiv furnizori de servicii IT, logistică și materii prime) trebuie să includă clauze explicite privind conformitatea NIS2, standardele de securitate informațională (ISO 27001 sau echivalent) și obligația de raportare a incidentelor de securitate în maximum 48 de ore. Trebuie să efectuați evaluări anuale de risc cybernetic pentru toți furnizorii critici și să documentați pStatus-ul acestora. Furnizori care refuză auditurile de securitate trebuie să fie înlocuiți cu prioritate.
Orice incident de securitate care afectează continuitatea alimentării piețelor (întreruperi ale sistemelor de traceabilitate, compromisiuni ale datelor de control calitate, indisponibilitate a platformelor de distribuție) trebuie raportate către DNSC în termen de 24 de ore de la detectare, cu detalii despre natura incidentului, sistemele afectate și impactul asupra lanțului de aprovizionare. Trebuie să mențineți un jurnal detaliat al tuturor incidentelor cu descriere, impact, și măsuri remediale. Rapoartele trebuie să cuprindă estimări ale pierderii de continuitate operațională și riscurile de siguranță alimentară induse.
Sistemele de trasabilitate produselor (de la materii prime până la consumator final) și platformele de controlul calității trebuie să beneficieze de backup-uri complete efectuate zilnic și stocate în locații geografice separate cu testare trimestrială a capacității de recuperare. Planurile de continuitate a activității (BCP) și planurile de recuperare în caz de dezastru (DRP) trebuie să specifice RPO (Recovery Point Objective) de maximum 1 oră și RTO (Recovery Time Objective) de maximum 4 ore pentru aceste sisteme. Trebuie să documentați și să testați procedurile de restabilire a datelor de trasabilitate în scenarii de compromisiune sau ștergere malițioasă.
Toți angajații cu acces la sisteme ERP, date de aprovizionare sau controlul calității trebuie să urmeze anual training obligatoriu de conștientizare a cybersecurității și phishing, cu teste de verificare a cunoștințelor. Personalul din departamentele IT, operații și calitate trebuie să dețină certificări specifice (CCNA, Security+, ISO 27001 Lead Auditor) conform rolului. Documentați participarea la training și păstrați înregistrări pentru audit DNSC.
Trebuie să raportați incidentul către DNSC în maximum 24 de ore de la detectare cu detalii despre impact și măsuri remediale. Absența backup-urilor testate și a unui RTO documentat de sub 4 ore constituie o lacună critică care poate atrage sancțiuni materiale. Asigurați backup-uri zilnice cu testare trimestrială și proceduri de recuperare în caz de urgență.
Da, orice contract nou sau reînnoit cu furnizori critici trebuie să conțină clauze explicite privind conformitatea NIS2, standardele ISO 27001, obligații de raportare a incidentelor în 48 de ore, și dreptul de audit anual. Furnizori care refuză aceste obligații constituie un risc neacceptabil pentru continuitatea aprovizionării și trebuie înlocuiți.
Penalitățile pentru non-conformitate cu Legea 362/2022 pot ajunge la 10 milioane EUR sau 2% din cifra de afaceri anuală globală (pentru contravenții grave), cu termenul final de conformitate complet stabilit la 17 octombrie 2024 pentru entitățile importante. Neraportarea incidentelor în termenele prescrise sau lipsa măsurilor de protecție a sistemelor critice atrage sancțiuni Administrative și penale specificate de DNSC.