IT/OT-Sicherheitsrichtlinie
Die IT/OT-Richtlinie von OMV enthält umfassende Leitlinien und Präventivmaßnahmen zum Schutz der Integrität und Sicherheit von IT/OT-Systemen, die dazu beitragen, die negativen Auswirkungen potenzieller fortschrittlicher Cyberangriffe auf unsere IT/OT-Konvergenzsysteme zu adressieren. Diese Richtlinie ist von entscheidender Bedeutung für den Schutz kritischer Infrastrukturen und die Gewährleistung der Widerstandsfähigkeit von Prozesssteuerungssystemen gegen einen potenziellen fortschrittlichen Cyberangriff. Ein solcher Angriff könnte zu Fehlfunktionen und Unterbrechungen in wichtigen Prozesssteuerungen von Anlagen führen, was wiederum falsche Informationen über die Parameter von Produktionsprozessen zur Folge haben und möglicherweise eine Kettenreaktion auslösen könnte, die zu physischen Unfällen mit Auswirkungen auf die Umwelt führt, wie zum Beispiel Bränden, Gaslecks oder Ölaustritten. Unsere interne IT/OT-Sicherheitsrichtlinie legt die Details des IT/OT-Sicherheitsframeworks fest, mit dem themen- oder bereichsbezogene Sicherheitsstandards und ‑richtlinien laufend angepasst und verwaltet werden. Das Sicherheitsframework besteht aus insgesamt etwa 50 Regelwerken und ist auf die Empfehlungen der ISO-27000-Reihe für IT-Kontrollen und -Domänen (insbesondere ISO/IEC 27001:2022) abgestimmt, wobei die Zertifizierung durch externe Überwachungs- und jährliche Rezertifizierungsprozesse aufrechterhalten wird. Eine vollständige Rezertifizierungsprüfung wurde im Juli 2022 erfolgreich abgeschlossen und die Zertifizierungsperiode für OMV bis 2025 verlängert. Eines der Grundprinzipien eines Informationssicherheitsmanagementsystems (ISMS) ist der Zyklus der kontinuierlichen Verbesserungen, um potenzielle IT-Sicherheitslecks oder -schwachstellen zu identifizieren, zu verhindern bzw. zu reduzieren und entsprechende Korrekturmaßnahmen zu setzen. Es umfasst auch die Verpflichtung von OMV zur Sicherung des Betriebs seiner Services in bestimmten Bereichen, wie beispielsweise im Retail-Geschäft und den damit verbundenen PCI-DSS-Anforderungen.
Die IT/OT-Sicherheitsrichtlinie wird durch zusätzliche interne Standards und Vorschriften ergänzt, die genau beschreiben, wie wir das ISMS gemäß dem festgelegten Framework implementieren, pflegen und überwachen. Das ISMS wird laufend überwacht und zielt darauf ab, Risiken zu minimieren, die sich aus Cyberbedrohungen ergeben und zu Produktionsunterbrechungen, Rechtsverstößen und Reputationsschäden führen können. Die IT/OT-Sicherheitsrichtlinie spiegelt unsere Verpflichtung wider, die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen und IT/OT-Cyber-Assets innerhalb der Organisation zu schützen.
Diese Richtlinie gilt für den OMV Konzern weltweit, einschließlich unserer Tochtergesellschaften Borealis AG und OMV Petrom S.A. Wo immer erforderlich, werden die jeweils geltenden lokalen Gesetze und Vorschriften berücksichtigt. Sie gilt jedoch nicht für die SapuraOMV Upstream Sdn. Bhd. und deren Tochtergesellschaften. Die Richtlinie wird vom OMV Vorstand genehmigt, und die oberste Verantwortung für ihre Umsetzung trägt der:die CIO.
Sowohl das IT/OT-Sicherheitsframework als auch die Datenschutzrichtlinie wurden im Rahmen umfassender Konsultationen mit internen Interessenträger:innen entwickelt, darunter Vertreter:innen unserer eigenen Belegschaft, des Betriebsrats und der Geschäftsbereiche. Alle Richtlinien, internen Standards und Prozesse in Bezug auf IT/OT, die OMV bei der Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen und IT/OT-Cyber-Assets des Unternehmen leiten, werden über interne Kommunikationskanäle und über die OMV Regulations Alignment Platform im OMV Intranet regelmäßig an alle Arbeitnehmer:innen von OMV kommuniziert. Relevante Aspekte für bestimmte externe Interessenträger:innen, wie zum Beispiel Lieferant:innen, werden in vertragliche Vereinbarungen aufgenommen.
Datenschutzrichtlinie
Um das Risiko eines möglichen Datenlecks oder -verlusts durch einen fortschrittlichen Cyberangriff zu mindern, setzt OMV ein ausgereiftes Informationssicherheitsmanagementsystem ein, das mit der Datenschutzrichtlinie abgestimmt ist. Diese Richtlinie ist die wichtigste Quelle für die Datenschutzgrundsätze, -verfahren und -verantwortlichkeiten im OMV Konzern und gewährleistet die Einhaltung der DSGVO und anderer relevanter Datenschutzbestimmungen. Sie besteht aus einem Hauptdokument und sieben Anhängen, die für OMV relevante Themen und regulatorische Verpflichtungen des Unternehmens behandeln. Die Richtlinie enthält eine umfassende Einführung in die Grundsätze für die Verarbeitung personenbezogener Daten, die sich aus der DSGVO ableiten, sowie in die Rechte der betroffenen Personen und die Verfahren zur Ausübung dieser Rechte. Sie bietet Erklärungen zu den vertraglichen Beziehungen mit Lieferant:innen und der Verwendung von Daten für Marketingzwecke des Unternehmens. Außerdem geht sie auf Fälle ein, in denen personenbezogene Daten von Dritten gemäß Artikel 28 DSGVO verarbeitet oder in Länder außerhalb der EU mit einem niedrigeren Datenschutzniveau als in der EU übermittelt werden. Darüber hinaus bietet sie detaillierte Informationen über wesentliche Verfahren und Aufgaben, die sich aus der DSGVO ergeben, wie etwa die Führung des Verarbeitungsverzeichnisses, die Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment; DPIA), das Management möglicher Datenschutzverletzungen sowie die korrekte Verwendung von Geräten des Unternehmens und die damit verbundenen möglichen Konsequenzen für Arbeitnehmer:innen im Falle deren Missbrauchs.
Diese Richtlinie gilt für die OMV Aktiengesellschaft weltweit, einschließlich unserer Tochtergesellschaften Borealis AG und OMV Petrom S.A. Wo immer erforderlich, werden die jeweils geltenden lokalen Gesetze und Vorschriften berücksichtigt. Anonymisierte Daten sowie Daten im Zusammenhang mit der Staatssicherheit, der Landesverteidigung und der öffentlichen Sicherheit fallen nicht unter die Datenschutzrichtlinie. Alle Arbeitnehmer:innen, Auftragnehmer:innen und Geschäftspartner:innen von OMV haben die in dieser Richtlinie enthaltenen Weisungen zu befolgen. Die Richtlinie wird vom OMV Vorstand genehmigt, der auch für ihre Umsetzung verantwortlich ist. Die Verantwortung für die Umsetzung liegt beim:bei der SVP Finance, Tax, Treasury & Risk Management.
Diese Datenschutzrichtlinie von OMV gilt für alle Systeme, die konzernweit zur Verarbeitung personenbezogener Daten eingesetzt werden, sowie für alle Unternehmen und Datenverarbeitungstätigkeiten von OMV, die der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; DSGVO) unterliegen (siehe unten stehenden Abschnitt 7 dieser Richtlinie). Die Datenschutzrichtlinie steht allen Arbeitnehmer:innen von OMV über die OMV Regulations Alignment Platform im OMV Intranet zur Verfügung und dient als Referenz für spezielle Schulungen zur Sensibilisierung der Arbeitnehmer:innen. Eine Zusammenfassung der wichtigsten Inhalte und des Geltungsbereichs der Richtlinie ist ebenfalls für alle Arbeitnehmer:innen von OMV über das Intranet verfügbar. Relevante Aspekte für externe Interessenträger:innen, wie zum Beispiel Lieferant:innen und Geschäftspartner:innen, werden in vertragliche Vereinbarungen aufgenommen. Darüber hinaus ist unsere Datenschutzrichtlinie auf unserer Website aufrufbar. In Bezug auf die Datenschutzrichtlinie werden die Interessen der wichtigsten Interessenträger:innen in der IT/OT-Sicherheitsrichtlinie behandelt.
1 Anstelle des in den ESRS verwendeten Begriffs „Konzept“ wird der Begriff „Richtlinie“ verwendet