Дигиталната трансформация на компаниите в сектора “Храни и напитки” се ускори още повече от пандемията през предходните две години. Дигитализирането на една организация без съмнение носи големи ползи за функционирането ѝ, но носи със себе си и риск. Кибератаките през последните няколко години изостриха нуждата от по-сериозно внимание както на локално, така и на централно ниво. За да не изостава, Европейският Съюз бе принуден да адресира не само държавните структури, но и разширен набор от индустрии и вертикали.

Кибератаките срещу сектора

През април 2021 г. Ransomware атака беше насочена към дистрибутор от Холандия, прекъсвайки комуникацията на компанията между нейните клиенти, складове и транспорт. Станал известен като „the cheese hack“, в продължение на няколко дни, холандска верига супермаркети остава без жизненоважен продукт като сиренето. Този пример илюстрира какво би могло да се случи, при една мащабна и целенасочена атака. Два месеца след този инцидент друга атака срещу най-големия производител на месо в света, с централа в Бразилия, да затвори временно заводите си в САЩ, Канада и Австралия.

Законовите мерки на ЕС за киберсигурност на сектора

Последните атаки и повишената дигитализация в сектора създават предпоставка за нуждата от сигурност на продуктите и услугите на информационните и комуникационни технологии. Досега обаче законодателните институции на ЕС обръщаха незначително внимание на сектора. Законодателството, свързано с мрежовата сигурност, има специфичен за сектора подход и досега се фокусира върху ограничен брой вертикали. За първи път е засегнато в Директивата за европейските критични инфраструктури, при това само в два конкретни сектора – енергийния и транспортния.

Второто законодателство, въпреки разширения си обхват, не адресира пряко хранително-вкусовия и селскостопанския сектор, бе Директивата за мрежите и информационните сигурност (Директива NIS). Директивата NIS, приетa през 2016 г. въвежда изисквания за сигурност за операторите на основни услуги (OES) и доставчиците на цифрови услуги. Тя включва в себе си набор от критерии за идентификация и списък от сектори и подсектори, които трябва да определят OES като минимум. Въз основа на тези критерии и сектори всяка държава-членка определя по-конкретно кои субекти на тяхна територия се считат за OES. Държавите-членки могат да надхвърлят обхвата на директивата по собствена инициатива. Базирайки се на NIS, българското законодателство прокара наредбата за минимални изисквания за мрежова и информационна сигурност (МИМИС).

NIS счита дадена услуга за съществена, ако (1) тази услуга е от съществено значение за поддържането на критични социално-икономически дейности, (2) зависи от мрежови и информационни системи и (3) предоставянето на тази услуга може да бъде засегнати значително при инцидент. Що се отнася до първия критерий, достъпът до храна е от решаващо значение за поддържане на социума, а услугите по веригата за доставка на храни позволяват, точно както доставката на питейна вода, която е класифицирана като основна услуга, поддържането на тази критична дейност. Тези услуги също са икономически взаимозависими с предоставянето на други основни услуги, като например транспорт. Що се отнася до втория и третия критерий, последните атаки показват, че снабдяването с храна (все повече) зависи от мрежата и информационните системи и следователно има потенциал да бъде повлияно разрушително от кибер инциденти. По този начин хранителните и селскостопанските услуги биха могли потенциално да отговарят на минималните критерии, за да бъдат класифицирани като основни услуги.

Новото предложение на ЕС

За да се отговори на тези предизвикателства, ЕС прие в края на декември ревизирана версия на директивата. NIS2 разширява обхвата на своя предшественик, като добавя производители, преработватели, дистрибутори и търговци на храни и напитки като важни субекти в допълнение към много други сектори. Освен това той заменя минималните критерии за размера на комапнията. Това означава, че всички големи и средни субекти във веригата за доставка на храни ще бъдат изправени пред задължения за управление на риска и докладване в целия ЕС. Малките предприятия ще бъдат освободени от тези изисквания, освен ако държавите-членки не ги идентифицират като критични за обществената сигурност, безопасност или здраве.

Заключение

Киберсигурността в областта на храните и селското стопанство досега получаваше оскъдно внимание в законодателството и политиката на ЕС. Съществуващите правила биха могли да предоставят решение, макар и с ограничения поради техния тесен обхват. Предстои да видим как ще се запълни тази празнина с реалната имплементация на NIS2 в националното законодателство. Това, което е ясно засега е, че сигурността на хранително-вкусовия и селскостопанския сектор е нарастваща необходимост и изисква вниманието на всички участници във веригата за доставки и държавното управление.

Източник: KU Leuven Centre for IT & IP Law