Mithilfe der Maßnahmen, die wir zum Umgang mit potenziellen negativen Auswirkungen auf Mensch und Umwelt als Folge eines fortschrittlichen Cyberangriffs umsetzen, wollen wir einen insgesamt hohen Standard an Cybersicherheit erreichen. Ein hoher Reifegrad in diesem Sinne bedeutet, dass sämtliche Abläufe quantitativ verwaltet werden und keine nennenswerten Cybersicherheitsvorfälle zu verzeichnen sind. Da der Faktor Mensch ausschlaggebend für die Gewährleistung der Cybersicherheit im täglichen Betrieb ist, werden unterschiedliche Sensibilisierungsmaßnahmen in allen möglichen Formaten entwickelt und bereitgestellt, um unsere Arbeitnehmer:innen entsprechend zu schulen. Im Jahr 2025 blieben diese Maßnahmen unter unserem Schwellenwert für wichtigste Maßnahmen.[MDR-A-69b] Als wichtigste Maßnahmen gelten jene, deren Umsetzung Investitionsausgaben (CAPEX) von mindestens EUR 5 Mio bis zum Ende des Planungszeitraums erfordern. Im Jahr 2025 wurde der Planungshorizont von fünf auf drei Jahre verkürzt, was zu niedrigeren zukunftsorientierten CAPEX im Vergleich zur Nachhaltigkeitserklärung 2024 führt. Die CAPEX umfassen Zugänge zu Sachanlagen und immateriellen Vermögenswerten (inkl. IFRS 16 Nutzungsrechte) und Ausgaben für Akquisitionen sowie at-equity bewertete Beteiligungen und andere Beteiligungen für vordefinierte CAPEX-Kategorien, die mit nachhaltigen Wirtschaftstätigkeiten verbunden sind. Nicht in den CAPEX-Zahlen enthalten sind Rekultivierungsvermögen, staatliche Zuschüsse, Fremdkapitalkosten, Zugänge zu veräußerten Vermögenswerten (unter bestimmten Bedingungen) und andere Zugänge, die per Definition nicht als Investitionsausgaben gelten. Im Rahmen der geltenden Rechnungslegungsvorschriften werden Ausgaben, die während der Projektdurchführung anfallen, in der Regel aktiviert und sind daher in den CAPEX-Zahlen enthalten. OPEX-Zahlen im Zusammenhang mit den wichtigsten Maßnahmen werden aufgrund der derzeit begrenzten Datenverfügbarkeit nicht ausgewiesen und können in künftige Berichte aufgrund neuer Berichterstattungsverfahren aufgenommen werden. Folglich wird dieses Thema im Jahresabschluss nicht berücksichtigt. Da die genauen Themengebiete und Inhalte unserer wichtigsten Maßnahmen sensible Informationen umfassen, deren Bekanntwerden OMV externen Risiken aussetzen könnte, machen wir von den Bestimmungen nach ESRS 1-7.7 Gebrauch, die die Auslassung vertraulicher Informationen zulassen. Daher werden keine genaueren Angaben zu den wichtigsten Maßnahmen in Bezug auf Cybersicherheit gemacht.
Innerhalb unserer Organisation bestehen folgende weitere Maßnahmen, die das Erreichen der im IT/OT-Sicherheitsrichtlinienframework festgehaltenen Vorgaben sowie unserer Ziele im Hinblick auf Cybersicherheit stützen:
Risikobewertungen und Audits
Das IT/OT-Sicherheitsrichtlinienframework legt die Notwendigkeit einer Bewertung von Risiken im Zusammenhang mit Cyber-Assets in IT und OT konzernweit fest. Daher unterhält OMV seit 2019 ein Exzellenzprogramm für Informationssicherheit. Jedes Jahr werden auf der Grundlage von Vorevaluierungen verschiedene Projekte durchgeführt, die neu auftretende Risiken für die Cybersicherheit behandeln. Die Umsetzung dieser Projekte trägt zum angestrebten allgemeinen Reifegrad der Informationssicherheit bei OMV – wie in unserer Zielsetzung für die Cybersicherheit festgelegt – bei und hilft damit, die Gefährdung durch Cyberbedrohungen zu verringern. Der Umfang konzentriert sich auf unsere eigenen Tätigkeiten weltweit. Risikobewertungen sind ein fortlaufender Prozess, wohingegen die ISMS-Aktivitäten von OMV jährlich externen Audits unterzogen werden, um deren Einhaltung und Effizienz mit einer entsprechenden Zertifizierung zu überprüfen. Die jüngste Zertifizierung nach ISO/IEC 27001:2022 wurde im August 2025 erteilt.
Technische, proaktive und reaktive Maßnahmen
Basierend auf den Leitlinien des IT/OT-Sicherheitsrichtlinienframeworks wird das Sicherheitsrisiko durch die Einführung von neuen Tools, individuellen Erkennungsstrategien und Reaktionsplänen reduziert, um unsere physischen und digitalen Umgebungen gut abzuschirmen. Technische „Housekeeping“-Maßnahmen sorgen mit der neuesten Hard- und Software sowie adäquaten Informationssicherheitsprozessen für eine solide Basis. Wir implementieren Sicherheitspatches und bieten Leitlinien für konsistente Hard- und Softwarelebenszyklen an. Unsere fortlaufenden proaktiven und reaktiven Maßnahmen werden konstant entwickelt und umgesetzt und sorgen so für Transparenz rund um bestehende Risiken, Sicherheitslücken und Schwachstellen. Damit unterstützen sie die Zielsetzungen unseres IT/OT-Sicherheitsrichtlinienframeworks. Wir integrieren diese Maßnahmen, um unsere Anlagen vor Eindringlingen zu schützen, eventuelle Schäden auf ein Minimum reduzieren und eine schnelle und vollständige Wiederherstellung unserer Systeme zu gewährleisten. Beispiele für derartige Maßnahmen sind kontinuierliche Schwachstellen-Scans von Cyber-Assets, Simulationen von Sicherheitsverletzungen und Angriffen zur Bewertung potenzieller Angriffsflächen, laufende interne und externe Penetrationstests für kritische Anwendungen/Systeme sowie externe Audits zur Qualitätssicherung (ISO 27000, PCI-DSS, NIS usw.). Dieser Ansatz gewährleistet, dass wir proaktiv gegen potenzielle Bedrohungen vorgehen und die hohe Sicherheit unserer Systeme aufrechterhalten. Der Umfang konzentriert sich auf unsere eigenen Tätigkeiten weltweit. Die Einführung und Identifizierung neuer Tools, individueller Erkennungsstrategien und Reaktionspläne ist ein fortlaufender Prozess. Wir bearbeiten fortlaufend IT-Projekte, die von der Funktion IT Security Governance bewertet werden, um gezielt die Risiken von Cyberangriffen auf ein Minimum zu reduzieren.
Schulungen
Die ständige Sensibilisierung und fortlaufende Schulung aller Arbeitnehmer:innen weltweit innerhalb unserer eigenen Betriebe zum Thema Cybersicherheit sind grundlegende Anforderungen des IT/OT-Sicherheitsrichtlinienframeworks. OMV führt regelmäßige und ausführliche Schulungen durch, um das Bewusstsein unserer Arbeitnehmer:innen für Informationssicherheit auf einem angemessenen Niveau zu halten. Diese Schulungen decken allgemeine Fragen der Informationssicherheit, anlassbezogene Forderungen nach zeitnahen Gegenmaßnahmen für bestimmte Anwendungsfälle und zielgruppenorientierte Inhalte ab. Zu den Schulungsformaten gehören verpflichtende E-Learning-Kurse inklusive Wissensabfrage, themenbezogene Videos, Präsenzschulungen, Anti-Phishing-Trainings sowie der Austausch von Nachrichten über unser Intranet und interne Blog-Postings. Dieser facettenreiche Ansatz gewährleistet ein umfassendes Programm für kontinuierliches Lernen und damit eine effektive Vertiefung der Kenntnisse unserer Arbeitnehmer:innen in IT-Sicherheitsbelangen. So wird nicht nur die Zielsetzung des IT/OT-Sicherheitsrichtlinienframeworks, sondern auch unser allgemeines Bestreben rund um Cybersicherheit untermauert.