Novelizácia zákona o kybernetickej bezpečnosti transponujúca smernicu NIS 2 priniesla nové povinnosti aj pre podniky venujúce sa spracovaniu a distribúcii potravín. Líder slovenského mäsospracujúceho priemyslu sa rozhodol reagovať včas a systematicky. V spolupráci so spoločnosťou GAMO a.s. prešiel komplexným procesom hodnotenia, analýzy a posilňovania svojej kybernetickej odolnosti.
Výsledkom systematického prístupu, ktorý MECOM GROUP spustil už v roku 2023 a rozvinul v priebehu roka 2024, bolo úspešné splnenie nových zákonných požiadaviek. Vo februári 2025 sa spoločnosť zaregistrovala ako prevádzkovateľ kritickej základnej služby v oblasti výroby a distribúcie potravín. Disponuje jasným prehľadom o úrovni svojej kybernetickej bezpečnosti, má zmapované riziká a ich dopady a vypracovaný plán konkrétnych opatrení s jasne stanovenými prioritami a zodpovednosťami.
Manažment spoločnosti si uvedomuje, že kybernetická bezpečnosť nie je jednorazový projekt, ale dlhodobý proces vyžadujúci si pravidelné prehodnocovanie a aktualizáciu. Vďaka tomuto prístupu získala spoločnosť nielen súlad s legislatívou, ale aj zvýšenú odolnosť voči incidentom a dôveru partnerov, pre ktorých je spoľahlivosť v dnešnom digitálnom prostredí kľúčová.
Nové zákonné povinnosti pre potravinársky sektor
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v novele z roku 2025 zaviedol sprísnené pravidlá pre viaceré sektory z oblasti priemyslu, distribúcie alebo poskytovania služieb vrátane kritickej infraštruktúry. Medzi ne patrí aj „výroba, spracovanie a distribúcia potravín“ – teda podniky zaoberajúce sa veľkoobchodnou distribúciou a priemyselnou výrobou a spracovaním potravín.
Spoločnosť MECOM GROUP s.r.o. sa tak stala subjektom, na ktorý sa vzťahujú povinnosti zákona a vzhľadom na svoje postavenie na trhu je určený ako poskytovateľ kritickej základnej služby. Spoločnosť sa rozhodla nečakať na 1.1.2025, odkedy mal začať platiť novelizovaný zákon o kybernetickej bezpečnosti, ale konať proaktívne a odborne.
Strategický prístup: zapojenie vedenia a odborná pomoc
Kybernetická bezpečnosť nie je len technická úloha pre IT oddelenie – je to strategická otázka s dopadom na chod firmy, dodávateľský reťazec aj reputáciu. MECOM GROUP s.r.o. preto od začiatku zapojil do procesu prípravy aj manažment a prizval si na spoluprácu odborníkov zo spoločnosti GAMO.
Prvým krokom bola GAP analýza – nezávislé zhodnotenie stavu a úrovne bezpečnostných opatrení vo firme s požiadavkami zákona a súvisiacich vyhlášok. Analýza ukázala, kde sú silné stránky, a zároveň identifikovala oblasti, ktoré si vyžiadajú doplnenie alebo úpravu. Výsledky GAP analýzy obsahovali detailné návrhy v oblasti bezpečnostných procesov, postupov, čiastočne aj návrhy nových technológií.
Inventarizácia IT aktív a ich kategorizácia
Na základe výsledkov GAP analýzy nasledovalo zmapovanie IT aktív využívaných v MECOM GROUP s.r.o., čiže inventúra toho, čo má byť predmetom kybernetickej ochrany. Nielen fyzické servery, počítače, sieťová infraštruktúra, ale aj softvér, dáta, ľudské zdroje a samotné priestory v MECOM GROUP. Zároveň boli určené priority – kritické aktíva z pohľadu hodnoty pre firmu, na základe bezpečnostných atribútov: dôvernosť, integrita, dostupnosť.
Do katalógu aktív boli zaznamenané aj nadväznosti medzi aktívami. Súbežne s touto činnosťou bola IT oddelením aj zaktualizovaná mapa topológie IT infraštruktúry, z ktorej katalóg aktív vychádza.
Analýza rizík: Praktické scenáre a konkrétne opatrenia
Po identifikácii kľúčových aktív a procesov nasledovala analýza rizík, ktorá identifikovala tie najzávažnejšie riziká voči jednotlivým IT aktívam. Pre každý identifikovaný prvok – servery, aplikácie, dáta či procesy – sa určila pravdepodobnosť výskytu konkrétnej hrozby a jej potenciálny dopad. Zároveň sa pre každé riziko určil jeho vlastník, zodpovedajúci za jeho riadenie a ošetrenie. Výsledkom bol zoznam rizík, ktoré:
- Môžu byť iba monitorované,
- Je nevyhnutné ošetriť.
Analýza dopadu na podnikanie BIA: Čo je pre firmu najcennejšie
Katalóg aktív bol zároveň východiskom pre vykonanie BIA, analýzy dopadu na podnikanie (Business Impact Analysis). Cieľom bolo zistiť, ktoré procesy a služby sú pre firmu najkritickejšie a ktorý výpadok by znamenal významné ohrozenie plynulosti výroby a následnej distribúcie výrobkov.
MECOM GROUP identifikovala kľúčové procesy z pohľadu plánovania, obchodu, nákupu, výroby, expedície a ďalších oblastí, pričom stanovila:
- Kľúčové procesy a ich vlastníkov,
- IT aktíva nevyhnutné pre plnú funkčnosť procesu.
Následne vlastníci procesov spolu s IT managerom určili:
- Úroveň dopadu pri výpadku – v oblasti financií, interných procesov, reputačných následkov, porušení zmluvných alebo právnych povinností,
- Požiadavky na RTO (Recovery Time Objective) a RPO (Recovery Point Objective),
- Vitálne osoby, ktoré sú v prípade incidentu nevyhnutné pre obnovu prevádzky.
Týmto krokom si spoločnosť určila priority v tom aké procesy, respektíve ktoré IT aktíva, sú kritické a majú najvyššiu dôležitosť pre udržanie plynulosti výroby.
Analýza zraniteľností systémového a sieťového prostredia
Analytická činnosť bola podporená aj praktickým preskúmaním stavu IT a OT technológií, zameraných na detekciu sieťových kybernetických hrozieb neinvazívnym spôsobom. Na základe automatizovanej analýzy sieťovej prevádzky a tokov dát s využitím AI bolo cieľom vyhľadať kybernetické hrozby a bezpečnostné anomálie, čiže potenciálne nebezpečné udalosti.
Zo zistení, ktoré vyplynuli z detekcie sieťových kybernetických hrozieb, bol spracovaný zoznam kritických IT aktív spolu s návrhom na vyriešenie najzávažnejších detekcií. Pripravené boli konkrétne návrhy ako zvýšiť odolnosť voči kybernetickým rizikám – či už aplikovaním pravidiel pre hardening, nastavením sieťových prvkov, vynútenou aktualizáciou, vypnutím slabo zabezpečených protokolov, ak nie sú využívané, a ďalšími.
Zároveň bol získaný obraz o tom aké zraniteľnosti a s akou úrovňou závažnosti sú nedostatočne ošetrené.
Kybernetická bezpečnosť ako súčasť biznis stratégie
Tento prípad ukazuje, že aj výrobná firma mimo IT sektora môže (a musí) aktívne pracovať na zvyšovaní svojej odolnosti. Včasná reakcia, zapojenie vedenia a odborné spracovanie celého procesu zabezpečili, že spoločnosť sa pripravila nielen na nové povinnosti, ale aj na reálne hrozby.
Kybernetická bezpečnosť sa stáva konkurenčnou výhodou – nie len z hľadiska regulácie, ale najmä z pohľadu dôveryhodnosti pre zákazníkov, partnerov aj verejnosť.
Odporúčanie pre ostatné firmy
- Nečakajte na kontrolu – začnite s auditom a GAP analýzou.
- Získajte podporu vedenia a určte interných vlastníkov procesov.
- Nezabúdajte na školenia zamestnancov – bezpečnosť sa začína pri ľuďoch.
- Pristupujte ku kybernetickej bezpečnosti ako k nepretržitému procesu, nie ako k jednorazovému projektu.
