Ez az útmutató azon élelmiszeripari vállalkozások számára készült, amelyeknek jelentős ellátási lánc függőségeik vannak és az SZTFH által fontosnak minősített entitások. Megismeri a kötelező cybersecurity intézkedéseket, az ERP- és nyomon követési rendszerek védelmét, valamint a szállítói biztonsági szerződési feltételeket.
Az SZTFH 2024. évi NIS2 kategorizáló határozata alapján azok az élelmiszeripari feldolgozók, disztribútorok és nagy kiskereskedelmi láncok tartoznak a fontosnak minősített entitások közé, amelyek élelmiszerellátási láncon belüli kritikus szerepet töltenek be, több millió forint éves forgalommal rendelkeznek, és legalább 50–100 alkalmazottjuk van. A besorolást az ellátási lánc függőségi szintje, a terméke nyomon követhetőségi rendszereinek kritikussága és a szállítói hálózat kiterjedtsége határozza meg.
Az élelmiszeripari szervezeteknek biztosítaniuk kell, hogy az ERP (Enterprise Resource Planning) rendszerek és a szállítási lánc irányítási szoftverek (SCM) szerepalapú hozzáférésel rendelkezzenek, mely korlátozza az adminisztrátori jogosultságokat és telepítési helyhez kötött hozzáféréseket. Minden adatbevitel, módosítás és törlés esemény naplózható legyen. A szoftverfrissítéseknek az SZTFH által ajánlott biztonsági patcheket kötelezően alkalmazni kell a kiadmányozást követő 30 napon belül.
Minden szállítói kapcsolat (logisztikai partnerek, komponens szállítók, szoftverfejlesztők) esetén a szervezetnek írásban rögzített cybersecurity minimumkövetelményeket kell előírnia. Ezekbe bele kell foglalni az ISO/IEC 27001 vagy azzal egyenértékű tanúsítást, az éves penetrációs tesztek elvégzését, valamint a biztonsági incidensek 24 órán belüli bejelentésének kötelezettségét.
Az élelmiszerbiztonsági jogszabályok (HACCP, IFS, BRC) által előírt nyomon követhetőségi rendszereket (Trace+, SAP Trace, vagy hasonló szoftverek) hetente biztonsági menteni kell izolált adattárolóra. A helyreállítási eljárások az SZTFH-nak elküldendő helyreállítási terv keretében minimum 6 havonta tesztelni kell. A helyreállítási idő célja (RTO) nem haladhatja meg a 4 órát, a helyreállítás pontossági szintje (RPO) pedig a 2 órát.
Az olyan cybersecurity incidenseket, amelyek az élelmiszerellátás folyamatosságát veszélyeztetik vagy 4 órát meghaladó termelési/szállítási leállást okoznak, az SZTFH-nak 24 órán belül be kell jelenteni. A bejelentésben fel kell tüntetni az incidens típusát (ransomware, DDoS, hozzáférés-meghiúsulás), az érintett rendszereket, az ellátási lánc szakaszait, valamint a kiadott közegészségügyi és élelmiszerbiztonságra vonatkozó közleményeket.
Az összes végpont eszköz (termelés irányító számítógépek, raktárizási terminálok, felügyeleti kamerák), hálózati infrastruktúra és harmadik féltől bérlelt felhőszolgáltatások (például QR-kód alapú nyomon követés) folyamatos biztonsági monitorozásban kell működjenek. Az anomáliadetektálási rendszereknek minimum 30 napos eseménynaplót kell őrizniük. Az SZTFH-nak félévente auditjelentést kell benyújtani az incidensekről és a helyreállítási időkről.
Az SZTFH 2024. évi kategorizáló határozata alapján azok az élelmiszeripari feldolgozók, disztribútorok és nagy kiskereskedelmi láncok tartoznak ide, amelyeknek legalább 50–100 alkalmazottjuk van, éves forgalmuk meghaladja a 10–20 millió eurót, és az ellátási lánc kritikus pontjaként funkcionálnak (például központi feldolgozófödém, nemzeti szintű disztribútor). Az SZTFH egyedileg felülvizsgálja az egyes szervezeteket az ellátási lánc függőségi szintje és a terméknyomon követés kritikussága alapján.
Ez azt jelenti, hogy az élelmiszeripari szervezeteknek ki kell jelölniük az egyes alkalmazottaknak a feladatkörükhöz kapcsolódó minimális jogosultságokat (például egy raktározási dolgozó csak a szállítási rendelések megtekintésére kaphat jogot, de nem szerkesztésre vagy törlésre). Minden módosítás az alkalmazott azonosítására nyomható (user ID, nem megosztott jelszó), és a naplózási rendszer rögzítenie kell, hogy ki, mikor és mit módosított.
Az SZTFH által hozott NIS2 implementálási szabályok alapján az élelmiszeripari fontosnak minősített entitások 2026. október 18-ig teljes mértékben megfelelni köteles. Az SZTFH 2024. évi 23. törvénye szerint az egyes biztonsági kötelezettségek elmulasztásáért 10 000–100 000 ezer forint közötti büntetés, illetve adott esetben az adott termékvonal vagy létesítmény üzemeltetésének korlátozása vagy felfüggesztése lehetséges.