Tato stránka je určena vedoucím IT a bezpečnosti potravinářských distribučních center, řetězců a procesů. Seznámíte se s konkrétními požadavky na zabezpečení řetězů dodávek, ERP systémů a povinnostmi hlášení incidentů.
Potravinářští distributoři, velké maloobchodní řetězce a procesory s více než 250 zaměstnanci nebo roční tržbami přesahujícími 50 milionů EUR, kteří provozují kritické informační systémy pro správu zásob, distribuci a sledovatelnost potravin. Zahrnuti jsou i středně velcí dodavatelé klíčových komponent pro takové subjekty.
Potravinářské podniky musí implementovat kontrolu přístupu na základě rolí (RBAC) do všech ERP a WMS systémů, včetně omezení přístupu podle pracovního místa a funkce. Je nezbytné zavést vícefaktorovou autentizaci pro správce a vzdálené přístupy. Auditování všech změn v inventáři a objednávkách je povinné s uchováním záznamů minimálně 12 měsíců.
Smlouvy s novými dodavateli a subdodavateli informačních technologií musí obsahovat explicitní bezpečnostní klauzule včetně požadavků na šifrování, incident response a práv na audit. Před akceptací musí být ověřena minimální úroveň zralosti kybernetické bezpečnosti všech kritických dodavatelů. Vedení dodavatelských rizik musí být formalizováno s ročním auditem compliance.
Systémy sledovatelnosti (traceability) potravin musí být zálohované v reálném čase s geograficky odděleným úložištěm a testovány čtvrtletně na obnovu. Musí být zajištěna integrita dat v celém řetězci od výroby po maloobchod s kryptografickým podepisem klíčových záznamů. Jakýkoli výpadek sledovatelnosti delší než 2 hodiny musí být hlášen NÚKIB.
Kybernetické incidenty, které ohrožují schopnost dodávat potraviny po dobu delší než 24 hodin, musí být hlášeny NÚKIB bez zbytečného prodlení. Podnik musí mít stanovený postup pro klasifikaci incidentů a krizi plán pro obnovu služby v maximálně 72 hodinách. Hlášení musí obsahovat popis vektoru útoku, dopad na dostupnost a přijatá nápravná opatření.
Všichni zaměstnanci pracující s ERP, WMS nebo sistemas se musí zúčastnit povinného roční školení z kybernetické bezpečnosti. Zvláštní školení je nutné pro personál zodpovědný za řízení dodavatelů a incident management. Vedení musí publikovat bezpečnostní politiku a ročně provádět simulaci kybernetického incidentu.
Velké supermarkety a distribuční centra s více než 250 zaměstnanci nebo tržbami nad 50 milionů EUR, které provozují vlastní ERP, WMS nebo traceability systémy. Zahrnuti jsou i střední dodavatelé, pokud jsou jejich systémy kritické pro řetězec (například dodavatelé IT infrastruktury, cold chain managementu nebo logistics software).
Primárně data v ERP a WMS systémech (objednávky, inventář, informace o dodavatelích), systémy sledovatelnosti potravin (batch čísla, složení, místo původu), informace o kritických dodavatelích a jejich kybernetické bezpečnosti. Nezapomeňte na údaje o zdravotní a bezpečnosti pracovníků a údaje o kvalitě produktů.
Splnění je povinné do 17. října 2026. Sankce za porušení NIS2 zahrnují pokuty až 5 % roční tržby nebo přesněji — od pár set tisíc korun za menší nedostatky až po miliony za nedostatek incident reportingu nebo nekvalitní zabezpečení kritických systémů. NÚKIB provádí inspekce a uklád opravná opatření.