Audyt repozytorium pierwotnego systemu Track & Trace (T&T)
Jesteśmy jednym z niewielu podmiotów zaakceptowanych przez Komisję Europejską, które mogą przeprowadzać oraz raportować audyty bezpieczeństwa informacji przetwarzanych w ramach utrzymywania repozytorium pierwotnego Systemu Track & Trace (T&T) przez producentów i importerów wyrobów tytoniowych.
System Track & Trace
System monitorowania wyrobów tytoniowych „Track and Trace” (T&T) na terenie Unii Europejskiej został wprowadzony w celu walki z nielegalnym handlem tytoniem, który stanowi poważne zagrożenie zarówno dla zdrowia publicznego, jak i dla gospodarek państw członkowskich. Celem systemu jest zapewnienie wysokiego poziomu przejrzystości i kontroli nad przepływem wyrobów tytoniowych od producenta do konsumenta, co umożliwia skuteczną walkę z nielegalnym obrotem tytoniem i fałszerstwem produktów.
Podstawy prawne
Podstawę prawną systemu T&T stanowi Dyrektywa Tytoniowa (2014/40/UE), która została przyjęta przez Parlament Europejski i Radę Unii Europejskiej. Dyrektywa ta zobowiązuje państwa członkowskie do wdrożenia systemu śledzenia i śledzenia wyrobów tytoniowych w celu ograniczenia dostępu do nielegalnych produktów na rynku europejskim. Implementacja systemu T&T w Unii Europejskiej rozpoczęła się w maju 2019 roku.
Jak działa system T&T?
System „Track and Trace” działa na zasadzie unikalnych identyfikatorów, które są przypisywane do każdego opakowania wyrobów tytoniowych na etapie produkcji. Identyfikatory te zawierają szereg informacji, takich jak: data i miejsce produkcji, miejsce przeznaczenia, a także szczegółowe dane o transporcie i dystrybucji produktu. Dzięki temu możliwe jest śledzenie każdego opakowania od momentu wyprodukowania aż do sprzedaży końcowej, co znacząco utrudnia wprowadzenie nielegalnych wyrobów do obiegu.
Terminy
Dyrektywa Tytoniowa Unii Europejskiej (2014/40/UE), która wprowadza system śledzenia i śledzenia („track and trace”, T&T) wyrobów tytoniowych, określa terminy i kamienie milowe dotyczące implementacji systemu. Najważniejsze z nich:
20 maja 2019 – Ten termin był kluczowym momentem dla systemu T&T, kiedy to zaczął obowiązywać dla papierosów i tytoniu do samodzielnego zwijania. Od tego dnia, wszystkie nowe opakowania tych wyrobów muszą być wyposażone w unikalne identyfikatory, umożliwiające ich śledzenie na każdym etapie łańcucha dostaw – od producenta do ostatecznego punktu sprzedaży detalicznej.
20 maja 2024 – Jest to rozszerzony termin, do którego wszystkie pozostałe wyroby tytoniowe (np. cygara, cygaretki) muszą być włączone do systemu T&T. Zapewnia to, że cała gama wyrobów tytoniowych sprzedawanych w Unii Europejskiej będzie monitorowana i śledzona w celu walki z nielegalnym handlem.
Dyrektywa nakłada na państwa członkowskie obowiązek zapewnienia, aby systemy informatyczne wykorzystywane do śledzenia były kompatybilne i interoperacyjne na poziomie międzynarodowym, co umożliwia skuteczne śledzenie wyrobów tytoniowych na terenie całej UE oraz poza jej granicami.
Audyt bezpieczeństwa informacji
Każde repozytorium pierwotne zakontraktowane przez producenta podlega corocznemu procesowi audytu. W przypadku, gdy ten sam dostawca będący stroną trzecią prowadzi dwa lub większą liczbę repozytoriów pierwotnych, dla każdego repozytorium powinno się przeprowadzić oddzielny audyt i przedłożyć odrębne sprawozdanie z audytu.
Należy przeprowadzić audyt w odniesieniu do repozytorium pierwotnego i powiązanych z nim usług, w tym pod kątem oceny, czy dany dostawca będący stroną trzecią oraz – w stosownych przypadkach – jego podwykonawcy spełniają odpowiednie wymogi prawne określone w dyrektywie 2014/40/UE, rozporządzeniu wykonawczym (UE) 2018/574 i rozporządzeniu delegowanym (UE) 2018/573.
Każdy producent lub importer musi powiadomić Komisję o proponowanym przez siebie audytorze, który ma przeprowadzić audyt jego repozytorium pierwotnego, i odpowiednim dostawcy będącym stroną trzecią. Wszyscy proponowani audytorzy podlegają zatwierdzeniu przez Komisję.
Jesteśmy dostawcą audytu zatwierdzonym przez Komisję Europejską!
Przeprowadzamy audyty repozytorium pierwotnego Systemu Track & Trace zgodnie z Wytycznymi w sprawie rocznych sprawozdań z audytu, które należy przedłożyć zgodnie z art. 15 ust. 8 dyrektywy 2014/40/UE w kontekście unijnego systemu identyfikowalności wyrobów tytoniowych.
Audyty przeprowadzamy zgodnie z listą kontrolną określającą wymagane dziedziny i punkty kontrolne zgodnie z normą ISO/IEC 27001:2013 dotyczącą systemów zarządzania bezpieczeństwem informacji, w tym w szczególności badamy:
- Bezpieczeństwo organizacyjne i fizyczne
- Bezpieczeństwo eksploatacji
- Kontrolę dostępu (użytkownicy i aplikacje)
- Bezpieczeństwo komunikacji
- Ciągłość działania
- Aktywa i integralność danych
Z przeprowadzonych działań audytowych sporządzamy raport, zwierający ustalenia oraz wnioski i rekomendacje dot. kwestii niezgodności lub innych zidentyfikowanych rodzajów ryzyka, jak również zalecenia określające działania niezbędne do usunięcia problemów i niedociągnięć stwierdzonych w trakcie audytu. Zgodnie z wymaganiami, raport przedkładany jest Komisji Europejskiej w formie elektronicznej. UWAGA! Podmiot audytowany, jak również podmiot zlecający przeprowadzenie audytu nie otrzymuje raportu.