Welche Lebensmittelindustrie-Unternehmen sind NIS2-pflichtig?
Lebensmittelindustrie (Produktion, Verarbeitung, Vertrieb) ist in Anhang II der NIS2-Richtlinie gelistet. Wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Großunternehmen ab 250 MA / 50 Mio. € sind wesentliche Einrichtungen.
Typische Adressaten
- Lebensmittelhersteller (Backwaren, Fleisch, Milch, Getränke)
- Lebensmittelverarbeiter (Convenience, Tiefkühl, Konserven)
- Verpackungsbetriebe für Lebensmittel
- Großbäckereien, Molkereien, Schlachthöfe ab Mittelstandsgröße
- Lebensmittel-Großhandel und -Logistik (Schnittstelle zu Sektor Logistik)
Top-Mindestmaßnahmen für Lebensmittelindustrie
NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Lebensmittelindustrie-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.
Maßnahme 1 von 3
OT-Sicherheit in der Produktionslinie
Warum
Moderne Lebensmittel-Produktion ist hoch automatisiert: SPS-gesteuerte Abfüll-, Verpackungs- und Hygiene-Anlagen. Ein Ransomware-Stillstand kann Tagesproduktion vernichten — bei verderblicher Ware existenzbedrohend.
In der Praxis
Netzsegmentierung zwischen Office, MES und SPS-Ebene. Backup-Konzept für Rezepturen und Steuerungs-Programme. Offline-Notbetriebs-Verfahren für die kritischen Linien.
Maßnahme 2 von 3
Backup- und Recovery-Strategie
Warum
Ransomware ist der häufigste Vorfall-Typ im Lebensmittel-Mittelstand. NIS2 verlangt geprüfte Wiederanlauf-Verfahren.
In der Praxis
3-2-1-Backup-Regel (3 Kopien, 2 Medientypen, 1 offsite/offline). Air-gapped Backup für ERP und MES. Regelmäßige Restore-Tests mit dokumentiertem Ergebnis.
Maßnahme 3 von 3
Lieferketten-Mapping
Warum
Lebensmittel-Lieferketten sind komplex: Rohstoff-Lieferanten, Verpackungshersteller, Logistik, Kühlhäuser, Handel. NIS2 verlangt Risikobewertung der direkten Zulieferer.
In der Praxis
Lieferanten-Inventar mit Kritikalitäts-Klassifizierung. Sicherheits-Anforderungen in Verträgen mit kritischen Zulieferern (IT-Dienstleister, ERP-Hosting, EDI-Anbieter).
Lieferketten-Pflicht in der Lebensmittelindustrie
Lebensmittel-Hersteller sind Teil einer langen Kette: Rohstoff → Verarbeitung → Verpackung → Logistik → Handel. Cyber-Risiken propagieren entlang der Kette — ein Vorfall beim Hauptlieferanten stoppt die Produktion. NIS2 verlangt aktives Lieferketten-Management.
Typische Lieferanten- und Dienstleister-Beziehungen
- ERP-Anbieter (SAP, Microsoft Dynamics): Sicherheitsanhang und Patch-SLA
- Rohstoff-Lieferanten ohne Schwellen-Pflicht: Mindeststandard via Vertrag
- Logistik-Dienstleister (Sektor Logistik): NIS2-Konformität als Auswahl-Kriterium
- Verpackungs-Hersteller: Inbound-Schnittstellen (EDI, APIs) absichern
Erste Einordnung
NIS2-Check mit Sektor-Vorbelegung für Lebensmittelindustrie
Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Lebensmittelindustrie-Profilen passt, und zeigt eine priorisierte erste Roadmap.
NIS2-Check für Lebensmittelindustrie startenHäufige Fragen zu NIS2 in der Lebensmittelindustrie
Fällt eine mittelständische Bäckerei mit 60 Filialen unter NIS2?
Wahrscheinlich ja. Mit 60 Filialen wird die 50-MA-Schwelle vermutlich überschritten, und die 10-Mio.-€-Umsatzgrenze ebenfalls erreicht. Lebensmittelproduktion ist in Anhang II gelistet. Eine BSI-Voranfrage oder Beratung schafft Klarheit.
Was ist mit Bio-Lebensmittelherstellern?
Die Branchen-Differenzierung (Bio, konventionell, vegan) ist NIS2-irrelevant. Es zählt die Tätigkeit (Lebensmittelproduktion / -verarbeitung) und die Unternehmensgröße.
Wie passen NIS2 und HACCP zusammen?
HACCP ist ein Lebensmittelsicherheits-Konzept (Hazard Analysis Critical Control Points). NIS2 ist Cybersicherheit. Praktisch überschneiden sie sich im Risikomanagement-Ansatz — wer HACCP-Prozesse beherrscht, kann das methodische Vorgehen auf IT-Risiken übertragen.
Sind Verpackungs-Hersteller separat zu prüfen?
Lebensmittel-Verpackungshersteller fallen unter „verarbeitendes Gewerbe“ (Anhang II) oder als Lebensmittel-Zulieferer in die Lebensmittel-Lieferkette. Beide Wege führen zu NIS2-Berührung — bei Lebensmittel-Schwellen-Größe meist als wichtige Einrichtung.
Welche Vorfälle sind in der Branche bekannt?
Prominente Fälle: JBS Foods (2021, Ransomware, weltweite Produktionsstillstände), Symrise (2020, Datenabfluss), Schwartz Group (2022, Phishing). Die Bedrohungslage für mittelständische Lebensmittel-Hersteller ist real.
Müssen Lebensmittel-Logistiker doppelt unter NIS2 fallen?
Wer als Logistik-Unternehmen für Lebensmittel arbeitet, fällt in der Regel unter den Logistik-Sektor (Verkehr/Spedition). Eine separate Lebensmittel-Pflicht entsteht nur, wenn das Unternehmen selbst Lebensmittel verarbeitet oder herstellt.