Wichtigste Maßnahmen
Die wichtigsten MaßnahmenAls wichtigste Maßnahmen gelten jene, deren Umsetzung Investitionsausgaben (CAPEX) von mehr als EUR 5 Mio erfordert. Die CAPEX umfassen Zugänge zu Sachanlagen und immateriellen Vermögenswerten (inkl. IFRS 16 Nutzungsrechte), Ausgaben für Akquisitionen sowie at-equity bewertete Beteiligungen und andere Beteiligungen für vordefinierte CAPEX-Kategorien, die mit nachhaltigen Wirtschaftstätigkeiten verbunden sind. Nicht in den CAPEX-Zahlen enthalten sind Rekultivierungsvermögen, staatliche Zuschüsse, Fremdkapitalkosten und andere Zugänge, die per Definition nicht als Investitionsausgaben gelten. Im Rahmen der geltenden Rechnungslegungsvorschriften werden Ausgaben, die während der Projektdurchführung anfallen, in der Regel aktiviert und sind daher in den CAPEX-Zahlen enthalten. Die Zahlen werden nicht von externen Stellen validiert., die zur Erreichung unserer Ziele und Vorgaben ergriffen und geplant wurden, sind im Folgenden aufgeführt. Das Bestreben, einen Gesamtreifegrad der Cybersicherheit von 4,0 (auf einer Skala von 1 bis 5) zu erreichen, zeigt in direkter Korrelation die Effizienz des Richtlinienrahmens in Bezug auf das ISMS und die daraus resultierende Widerstandsfähigkeit gegen Bedrohungen, die sich in der Anzahl nennenswerter Cybersicherheitsvorfälle widerspiegelt. Da der menschliche Faktor ausschlaggebend für die Gewährleistung der Cybersicherheit im täglichen Betrieb ist, werden Sensibilisierungsmaßnahmen in allen möglichen Formaten entwickelt und bereitgestellt, um unsere Arbeitnehmer:innen entsprechend zu schulen. Im Jahr 2024 überschritt keine der Maßnahmen im Zusammenhang mit dem wesentlichen Thema Cybersicherheit den für unsere wichtigsten Maßnahmen festgelegten Schwellenwert von EUR 5 Mio. Folglich wird dieses Thema im Jahresabschluss nicht berücksichtigt.
OMV ist bestrebt, seine langfristige Finanzierungspolitik mit der Nachhaltigkeitsstrategie des Unternehmens in Einklang zu bringen. Aus diesem Grund prüft OMV die Möglichkeiten nachhaltiger Finanzierungen und nachhaltigkeitsbezogener Finanzierungen, bei denen die Kosten eines Finanzinstruments an die Erreichung bestimmter strategischer Nachhaltigkeitsziele gekoppelt sind. Für die Durchführung der in der nachstehenden Tabelle aufgeführten wichtigsten Maßnahmen steht derzeit kein nachhaltiges Finanzinstrument aus.
Wichtige Maßnahme (Summe von einzelnen Maßnahmen, deren Implementierung CAPEX |
Management und Verbesserung der Cybersicherheit1 |
||||
|---|---|---|---|---|---|
Status |
Geplant |
||||
Erwartetes Ergebnis |
Management und/oder Verbesserung der Cybersicherheit |
||||
Beitrag zu Vorgaben/Ziel der Richtlinie |
Trägt zum Ziel von OMV bei, eine allgemeine Cybersicherheitsreife von 4,0 (auf einer Skala von 1 bis 5) auf der Grundlage des „Capability Maturity Model Integration“-(CMMI-)Referenzmodells zu erreichen. Ein hoher Reifegrad wirkt sich auf die allgemeine Widerstandsfähigkeit gegenüber Cyberbedrohungen aus und schützt unsere Technologie, Anlagen und kritischen Informationen vor Risiken, die sich bei einem Vorfall in verschiedenen Dimensionen wie Rufschädigung, finanziellem Verlust oder Datenlecks manifestieren könnten. |
||||
Umfang |
Eigene Tätigkeiten |
||||
Zeithorizont |
Mittelfristig |
||||
Abhilfe |
n.a. |
||||
Fortschritt |
Bewertung |
||||
CAPEX 2024 |
EUR Mio |
keine Maßnahmen oberhalb des Schwellenwerts für wichtige Maßnahmen |
|||
CAPEX 2025–2030 |
EUR Mio |
~5 |
|||
Relevante IROs |
G1-5 |
||||
|
|||||
Zusätzlich zu den wichtigsten Maßnahmen, die zur Adressierung der wesentlichen IROs definiert wurden, sind auch Maßnahmen vorgesehen, die diesen Schwellenwert nicht erreichen, aber ebenso wichtig sind, um die negativen Auswirkungen eines potenziellen fortschrittlichen Cyberangriffs auf die IT/OT-Konvergenzsysteme von OMV zu adressieren, der zu Fehlfunktionen und Unterbrechungen der wesentlichen Prozesssteuerungen von Anlagen führen könnte.
Risikobewertungen und Audits
Ein wichtiger Aspekt der IT/OT-Sicherheitsrichtlinie ist die Bewertung von Risiken im Zusammenhang mit Cyber-Assets in IT und OT. OMV unterhält seit 2019 ein Exzellenzprogramm für Informationssicherheit. Jedes Jahr werden verschiedene Projekte auf der Grundlage von Vorevaluierungen durchgeführt, die die Grundsätze der Ressourcenzuweisung und deren Auswirkungen auf eine Verringerung der Cyberrisiken berücksichtigen. Die Umsetzung dieser Projekte erhöht den allgemeinen Reifegrad der Informationssicherheit bei OMV und trägt dazu bei, die Gefährdung durch Cyberbedrohungen zu verringern. Der Umfang konzentriert sich auf unsere eigenen Tätigkeiten. Risikobewertungen sind ein fortlaufender Prozess, wohingegen die ISMS-Aktivitäten von OMV jährlich externen Audits unterzogen werden, um die Einhaltung und Effizienz der entsprechenden Zertifizierung zu überprüfen. Die jüngste Zertifizierung nach ISO/IEC 27001:2022 wurde im Juni 2024 erteilt.
Technische, proaktive und reaktive Maßnahmen
Basierend auf den Leitlinien der IT/OT-Sicherheitsrichtlinie wird das Sicherheitsrisiko durch die Einführung von neuen Tools, individuellen Erkennungsstrategien und Reaktionsplänen reduziert, um unsere physischen und digitalen Umgebungen gut abzuschirmen. Technische „Housekeeping“-Maßnahmen sorgen mit der neuesten Hard- und Software sowie adäquaten Informationssicherheitsprozessen für eine solide Basis. Wir implementieren Sicherheitspatches und bieten Leitlinien für konsistente Hard- und Softwarelebenszyklen an.
Proaktive und reaktive Maßnahmen sorgen für eine permanente Transparenz rund um bestehende Risiken, Sicherheitslücken und Schwachstellen. Wir integrieren diese Maßnahmen, um unsere Anlagen vor Eindringlingen zu schützen, eventuelle Schäden auf ein Minimum reduzieren und eine schnelle und vollständige Wiederherstellung unserer Systeme zu gewährleisten. Beispiele für derartige Maßnahmen sind kontinuierliche Schwachstellen-Scans von Cyber-Assets, Simulationen von Sicherheitsverletzungen und Angriffen zur Bewertung potenzieller Angriffsflächen, laufende interne und externe Penetrationstests für kritische Anwendungen/Systeme sowie externe Audits zur Qualitätssicherung (ISO 27000, PCI-DSS, NIS usw.). Dieser umfassende Ansatz gewährleistet, dass wir proaktiv gegen potenzielle Bedrohungen vorgehen und die hohe Sicherheit unserer Systeme aufrechterhalten. Der Umfang konzentriert sich auf unsere eigenen Tätigkeiten. Die Einführung und Identifizierung neuer Tools, individueller Erkennungsstrategien und Reaktionspläne ist ein fortlaufender Prozess. Im Jahr 2024 wurden rund 500 IT-Projekte von der Funktion IT Security Governance begleitet (2023: 400), um die festgelegten Sicherheitsanforderungen zu erfüllen und somit die Anlagen von OMV entsprechend ihrem spezifischen Bedarf zu schützen.
Schulungen
MDR-A 68a-68c, 68e] Die Sensibilisierung und Schulung von Arbeitnehmer:innen innerhalb unserer eigenen Betriebe zum Thema Cybersicherheit ist eine wesentliche Anforderung der IT/OT-Sicherheitsrichtlinie. OMV führt jährlich regelmäßige und intensive Schulungen durch, um das Bewusstsein unserer Arbeitnehmer:innen für Informationssicherheit auf einem angemessenen Niveau zu halten. Diese Schulungen decken eine Reihe von Themen ab, darunter allgemeine Fragen der Informationssicherheit, anlassbezogene Forderungen nach zeitnahen Gegenmaßnahmen für bestimmte Anwendungsfälle und zielgruppenorientierte Inhalte. Zu den Schulungsformaten gehören verpflichtende E-Learning-Kurse inklusive Wissensabfrage, themenbezogene Videos, Präsenzschulungen, Anti-Phishing-Trainings sowie der Austausch von Nachrichten über die MyNews-Plattform im Intranet und interne Blog-Postings. Dieser facettenreiche Ansatz gewährleistet ein umfassendes Programm für kontinuierliches Lernen und damit eine effektive Vertiefung der Kenntnisse unserer Arbeitnehmer:innen in IT-Sicherheitsbelangen. Im Jahr 2024 wurden rund >55 verschiedene Arten von Sensibilisierungsmaßnahmen durchgeführt (z. B. Präsenzübungen, Online-Schulungen und E-Mail-Phishing-Kampagnen, verpflichtendes E-Learning, MyNews im Intranet), um Cybersicherheitsrisiken zu mindern und gleichzeitig zu den positiven Auswirkungen im Zusammenhang mit dem ausgereiften Informationsmanagementsystem zum Schutz personenbezogener Daten beizutragen (2023: rund 65).
IT Business Continuity
Die Kontinuität der Informationssicherheit unserer eigenen Tätigkeiten ist in die Managementsysteme von OMV zur Aufrechterhaltung des Geschäftsbetriebs integriert, wie in unserer IT/OT-Sicherheitsrichtlinie dargelegt. OMV testet seine IT-Business-Continuity-Pläne und Verfahren zur Reaktion auf IT-Vorfälle jährlich in Cyber-Notfallübungen. Diese werden in bestimmten Formaten durchgeführt (z. B. im Jahr 2024 durch die Teilnahme an der Übung Cyber Europe 2024) und konzentrieren sich auf realistische Bedrohungsszenarien mit dem Ziel, die entsprechenden Verfahren und Prozesse zur Schadensbegrenzung zu testen. Diese Übungen umfassen eine Reihe von sogenannten „Injects“. Jedes Inject stellt ein Ereignis oder eine Teilinformation dar, das bzw. die im Laufe des Szenarios eingespielt wird und sich auf den jeweiligen Sicherheitsvorfall bezieht. Die Zielgruppe für dieses Szenario besteht in der Regel aus Vertreter:innen verschiedener Funktionen, darunter IT-Sicherheit, oberes IT-Management, OT-Sicherheit und Kommunikation. Nach jedem Inject wird eine Überprüfung und Bewertung des Prozesses durchgeführt. Dazu gehört auch eine Evaluierung der gewonnenen Erkenntnisse.