Die Änderung des Cybersicherheitsgesetzes zur Umsetzung der NIS 2-Richtlinie hat auch neue Verpflichtungen für Lebensmittelverarbeitungs- und Vertriebsunternehmen eingeführt. Das führende Unternehmen der slowakischen Fleischverarbeitungsindustrie hat beschlossen, rechtzeitig und systematisch zu reagieren. In Zusammenarbeit mit GAMO a.s. hat es einen umfassenden Prozess der Bewertung, Analyse und Stärkung seiner Cyber-Resilienz durchlaufen.
Dank des systematischen Ansatzes, den die MECOM GROUP bereits im Jahr 2023 eingeführt und im Laufe des Jahres 2024 weiterentwickelt hat, wurden die neuen gesetzlichen Anforderungen erfolgreich erfüllt. Im Februar 2025 ließ sich das Unternehmen als Betreiber eines kritischen Kerndienstes in der Lebensmittelproduktion und -verteilung registrieren. Es hat einen klaren Überblick über seine Cybersicherheitslage, hat Risiken und deren Auswirkungen kartiert und einen Plan mit spezifischen Maßnahmen mit klar priorisierten Prioritäten und Verantwortlichkeiten entwickelt.
Das Management des Unternehmens ist sich bewusst, dass Cybersicherheit kein einmaliges Projekt ist, sondern ein langfristiger Prozess, der eine regelmäßige Überprüfung und Aktualisierung erfordert. Dank dieses Ansatzes hat das Unternehmen nicht nur die gesetzlichen Vorschriften eingehalten, sondern auch die Widerstandsfähigkeit gegenüber Zwischenfällen erhöht und das Vertrauen von Partnern gewonnen, für die Zuverlässigkeit in der heutigen digitalen Umgebung entscheidend ist.
Neue gesetzliche Verpflichtungen für den Lebensmittelsektor
Mit dem Gesetz Nr. 69/2018 Slg. über Cybersicherheit in der geänderten Fassung von 2025 wurden strengere Regeln für eine Reihe von Sektoren im Bereich der Industrie, des Vertriebs oder der Erbringung von Dienstleistungen, einschließlich kritischer Infrastrukturen, eingeführt. Dazu gehören „Lebensmittelproduktion, -verarbeitung und -vertrieb“, d.h. Unternehmen, die im Großhandel und in der industriellen Lebensmittelproduktion und -verarbeitung tätig sind.
MECOM GROUP s.r.o. ist damit zu einem Unternehmen geworden, das den Verpflichtungen des Gesetzes unterliegt und angesichts seiner Position auf dem Markt als Anbieter eines kritischen wesentlichen Dienstes bezeichnet wird. Das Unternehmen beschloss, nicht auf den 1. Januar 2025 zu warten, wenn das geänderte Cybersicherheitsgesetz in Kraft treten sollte, sondern proaktiv und professionell zu handeln.
Strategischer Ansatz: Einbeziehung von Führungskräften und Unterstützung durch Experten
Cybersicherheit ist nicht nur eine technische Aufgabe für die IT-Abteilung – es ist ein strategisches Thema mit Auswirkungen auf den Geschäftsbetrieb, die Lieferkette und den Ruf. Die MECOM GROUP s.r.o. hat daher die Geschäftsleitung von Anfang an in den Vorbereitungsprozess einbezogen und Experten von GAMO zur Mitarbeit eingeladen.
Der erste Schritt war eine GAP-Analyse – eine unabhängige Bewertung des Status und des Niveaus der Sicherheitsmaßnahmen im Unternehmen im Hinblick auf die Anforderungen des Gesetzes und der entsprechenden Verordnungen. Die Analyse zeigte, wo Stärken vorhanden waren, und identifizierte auch Bereiche, die Ergänzungen oder Anpassungen erfordern würden. Die Ergebnisse der GAP-Analyse enthielten detaillierte Vorschläge in den Bereichen Sicherheitsprozesse, Verfahren und zum Teil auch Vorschläge für neue Technologien.
Inventarisierung von IT-Beständen und deren Kategorisierung
Auf der Grundlage der Ergebnisse der GAP-Analyse folgte eine Kartierung der in der MECOM GROUP s.r.o. verwendeten IT-Assets, d.h. eine Bestandsaufnahme dessen, was dem Cyberschutz unterliegen sollte. Nicht nur physische Server, Computer, Netzwerkinfrastruktur, sondern auch Software, Daten, Personal und die Räumlichkeiten in MECOM GROUP selbst. Gleichzeitig wurden Prioritäten festgelegt – kritische Werte in Bezug auf den Wert für das Unternehmen, basierend auf den Sicherheitsattributen: Vertraulichkeit, Integrität, Verfügbarkeit.
Die Verknüpfungen zwischen den Assets wurden ebenfalls im Asset-Katalog erfasst. Parallel zu dieser Tätigkeit aktualisierte die IT-Abteilung auch die Topologiekarte der IT-Infrastruktur, auf der der Asset-Katalog basiert.
Risikoanalyse: praktische Szenarien und konkrete Maßnahmen
Auf die Identifizierung der wichtigsten Vermögenswerte und Prozesse folgte eine Risikoanalyse, bei der die größten Risiken für die einzelnen IT-Vermögenswerte ermittelt wurden. Für jeden identifizierten Vermögenswert – Server, Anwendungen, Daten oder Prozesse – wurden die Wahrscheinlichkeit des Auftretens einer bestimmten Bedrohung und deren mögliche Auswirkungen ermittelt. Gleichzeitig wurde für jedes Risiko der Eigentümer ermittelt, der für die Verwaltung und Behandlung des Risikos verantwortlich ist. Das Ergebnis war eine Liste von Risiken, die:
- Sie können nur überwacht werden,
- Es ist wichtig, sie zu behandeln.
BIA Business Impact Analysis: Was ist für ein Unternehmen am wertvollsten?
Der Anlagenkatalog war auch die Grundlage für die BIA, die Business Impact Analysis. Ziel war es, herauszufinden, welche Prozesse und Dienstleistungen für das Unternehmen am kritischsten sind und welcher Ausfall eine erhebliche Bedrohung für die Kontinuität der Produktion und den anschließenden Vertrieb der Produkte darstellen würde.
MECOM GROUP hat die wichtigsten Prozesse in den Bereichen Planung, Verkauf, Einkauf, Produktion, Versand und anderen Bereichen identifiziert und festgelegt:
- Wichtige Prozesse und ihre Eigentümer,
- IT-Assets, die für die volle Funktionalität des Prozesses erforderlich sind.
Anschließend bestimmten die Prozessverantwortlichen zusammen mit dem IT-Manager:
- Das Ausmaß der Auswirkungen im Falle eines Ausfalls – finanziell, interne Prozesse, Auswirkungen auf den Ruf, Verstöße gegen vertragliche oder gesetzliche Verpflichtungen,
- Recovery Time Objective (RTO) und Recovery Point Objective (RPO) Anforderungen,
- Wichtige Personen, die für die Wiederherstellung des Betriebs im Falle eines Zwischenfalls unerlässlich sind.
Mit diesem Schritt hat das Unternehmen priorisiert, welche Prozesse bzw. welche IT-Assets kritisch und von höchster Bedeutung für die Aufrechterhaltung der Produktionskontinuität sind.
Schwachstellenanalyse des Systems und der Netzwerkumgebung
Die analytische Tätigkeit wurde auch durch eine praktische Untersuchung des Stands der IT- und OT-Technologien unterstützt, die darauf abzielen, Cyber-Bedrohungen im Netzwerk auf nicht-invasive Weise zu erkennen. Auf der Grundlage einer automatisierten Analyse des Netzwerkverkehrs und der Datenströme mit Hilfe von KI wurde nach Cyber-Bedrohungen und Sicherheitsanomalien, d.h. potenziell gefährlichen Ereignissen, gesucht.
Aus den Erkenntnissen, die sich aus der Erkennung von Netzwerk-Cyber-Bedrohungen ergaben, wurde eine Liste kritischer IT-Ressourcen zusammengestellt, zusammen mit einem Vorschlag zur Behebung der schwerwiegendsten Entdeckungen. Es wurden konkrete Vorschläge ausgearbeitet, wie die Widerstandsfähigkeit gegenüber Cyber-Risiken erhöht werden kann – sei es durch die Anwendung von Härtungsregeln, die Anpassung von Netzwerkelementen, die Erzwingung von Updates, die Deaktivierung von schlecht gesicherten Protokollen, wenn diese nicht verwendet werden, und mehr.
Gleichzeitig wurde ein Bild davon gewonnen, welche Schwachstellen mit welchem Schweregrad unterbehandelt werden.
Cybersecurity als Teil der Unternehmensstrategie
Dieser Fall zeigt, dass auch ein Produktionsunternehmen außerhalb des IT-Sektors aktiv daran arbeiten kann (und muss), seine Widerstandsfähigkeit zu erhöhen. Durch frühzeitiges Reagieren, die Einbindung des Managements und die fachkundige Abwicklung des gesamten Prozesses wurde sichergestellt, dass das Unternehmen nicht nur auf neue Aufgaben, sondern auch auf reale Bedrohungen vorbereitet war.
Cybersicherheit wird zu einem Wettbewerbsvorteil – nicht nur in Bezug auf die Regulierung, sondern vor allem in Bezug auf die Glaubwürdigkeit gegenüber Kunden, Partnern und der Öffentlichkeit.
Empfehlung für andere Unternehmen
- Warten Sie nicht auf ein Audit – beginnen Sie mit einem Audit und einer GAP-Analyse.
- Gewinnen Sie die Unterstützung des Managements und identifizieren Sie interne Prozessverantwortliche.
- Vergessen Sie nicht die Schulung des Personals – Sicherheit beginnt bei den Menschen.
- Betrachten Sie Cybersicherheit als einen fortlaufenden Prozess, nicht als ein einmaliges Projekt.
