Jesteśmy jednym z niewielu podmiotów zaakceptowanych przez Komisję Europejską, które mogą przeprowadzać oraz raportować audyty bezpieczeństwa informacji przetwarzanych w ramach utrzymywania repozytorium pierwotnego Systemu Track & Trace (T&T) przez producentów i importerów wyrobów tytoniowych.

​

System Track & Trace

System monitorowania wyrobów tytoniowych „Track and Trace” (T&T) na terenie Unii Europejskiej został wprowadzony w celu walki z nielegalnym handlem tytoniem, który stanowi poważne zagrożenie zarówno dla zdrowia publicznego, jak i dla gospodarek państw członkowskich. Celem systemu jest zapewnienie wysokiego poziomu przejrzystości i kontroli nad przepływem wyrobów tytoniowych od producenta do konsumenta, co umożliwia skuteczną walkę z nielegalnym obrotem tytoniem i fałszerstwem produktów.

Podstawy prawne

Podstawę prawną systemu T&T stanowi Dyrektywa Tytoniowa (2014/40/UE), która została przyjęta przez Parlament Europejski i Radę Unii Europejskiej. Dyrektywa ta zobowiązuje państwa członkowskie do wdrożenia systemu śledzenia i śledzenia wyrobów tytoniowych w celu ograniczenia dostępu do nielegalnych produktów na rynku europejskim. Implementacja systemu T&T w Unii Europejskiej rozpoczęła się w maju 2019 roku.

Jak działa system T&T?

System „Track and Trace” działa na zasadzie unikalnych identyfikatorów, które są przypisywane do każdego opakowania wyrobów tytoniowych na etapie produkcji. Identyfikatory te zawierają szereg informacji, takich jak: data i miejsce produkcji, miejsce przeznaczenia, a także szczegółowe dane o transporcie i dystrybucji produktu. Dzięki temu możliwe jest śledzenie każdego opakowania od momentu wyprodukowania aż do sprzedaży końcowej, co znacząco utrudnia wprowadzenie nielegalnych wyrobów do obiegu.

Terminy

Dyrektywa Tytoniowa Unii Europejskiej (2014/40/UE), która wprowadza system śledzenia i śledzenia („track and trace”, T&T) wyrobów tytoniowych, określa terminy i kamienie milowe dotyczące implementacji systemu. Najważniejsze z nich:

20 maja 2019 – Ten termin był kluczowym momentem dla systemu T&T, kiedy to zaczął obowiązywać dla papierosów i tytoniu do samodzielnego zwijania. Od tego dnia, wszystkie nowe opakowania tych wyrobów muszą być wyposażone w unikalne identyfikatory, umożliwiające ich śledzenie na każdym etapie łańcucha dostaw – od producenta do ostatecznego punktu sprzedaży detalicznej.

20 maja 2024 – Jest to rozszerzony termin, do którego wszystkie pozostałe wyroby tytoniowe (np. cygara, cygaretki) muszą być włączone do systemu T&T. Zapewnia to, że cała gama wyrobów tytoniowych sprzedawanych w Unii Europejskiej będzie monitorowana i śledzona w celu walki z nielegalnym handlem.

Dyrektywa nakłada na państwa członkowskie obowiązek zapewnienia, aby systemy informatyczne wykorzystywane do śledzenia były kompatybilne i interoperacyjne na poziomie międzynarodowym, co umożliwia skuteczne śledzenie wyrobów tytoniowych na terenie całej UE oraz poza jej granicami.

​

Audyt bezpieczeństwa informacji

Każde repozytorium pierwotne zakontraktowane przez producenta podlega corocznemu procesowi audytu. W przypadku, gdy ten sam dostawca będący stroną trzecią prowadzi dwa lub większą liczbę repozytoriów pierwotnych, dla każdego repozytorium powinno się przeprowadzić oddzielny audyt i przedłożyć odrębne sprawozdanie z audytu.

Należy przeprowadzić audyt w odniesieniu do repozytorium pierwotnego i powiązanych z nim usług, w tym pod kątem oceny, czy dany dostawca będący stroną trzecią oraz – w stosownych przypadkach – jego podwykonawcy spełniają odpowiednie wymogi prawne określone w dyrektywie 2014/40/UE, rozporządzeniu wykonawczym (UE) 2018/574 i rozporządzeniu delegowanym (UE) 2018/573.

Każdy producent lub importer musi powiadomić Komisję o proponowanym przez siebie audytorze, który ma przeprowadzić audyt jego repozytorium pierwotnego, i odpowiednim dostawcy będącym stroną trzecią. Wszyscy proponowani audytorzy podlegają zatwierdzeniu przez Komisję.

Jesteśmy dostawcą audytu zatwierdzonym przez Komisję Europejską!

Przeprowadzamy audyty repozytorium pierwotnego Systemu Track & Trace zgodnie z Wytycznymi w sprawie rocznych sprawozdań z audytu, które należy przedłożyć zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE w kontekście unijnego systemu identyfikowalności wyrobów tytoniowych.

Audyty przeprowadzamy zgodnie z listą kontrolną określającą wymagane dziedziny i punkty kontrolne zgodnie z normą ISO/IEC 27001:2013 dotyczącą systemów zarządzania bezpieczeństwem informacji, w tym w szczególności badamy:

• Bezpieczeństwo organizacyjne i fizyczne
• Bezpieczeństwo eksploatacji
• Kontrolę dostępu (użytkownicy i aplikacje)
• Bezpieczeństwo komunikacji
• Ciągłość działania
• Aktywa i integralność danych

Z przeprowadzonych działań audytowych sporządzamy raport, zwierający ustalenia oraz wnioski i rekomendacje dot. kwestii niezgodności lub innych zidentyfikowanych rodzajów ryzyka, jak również zalecenia określające działania niezbędne do usunięcia problemów i niedociągnięć stwierdzonych w trakcie audytu. Zgodnie z wymaganiami, raport przedkładany jest Komisji Europejskiej w formie elektronicznej. UWAGA! Podmiot audytowany, jak również podmiot zlecający przeprowadzenie audytu nie otrzymuje raportu.