Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für Lebensmittelindustrie und KMU

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu Lebensmittelindustrie und KMU.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Sie produzieren Lebensmittel. Keine Software. Kein Rechenzentrum. Keine kritische Infrastruktur im klassischen Sinn.

Trotzdem kann Ihr Unternehmen unter NIS2 fallen. Nicht wegen Ihrer IT-Abteilung. Sondern wegen Ihrer Rolle in der Ernährungskette.

Wenn Sie als Lebensmittelproduzent die KMU-Schwelle erreichen, wird aus „betrieblicher IT-Sicherheit“ ein Thema für Geschäftsführerhaftung, Nachweispflichten und behördliche Kontrolle. Wer jetzt auf Bauchgefühl entscheidet, baut ein Risiko in die Geschäftsleitung ein.

Wer in der Lebensmittelindustrie von NIS2 betroffen sein kann

Die entscheidende Frage lautet nicht: „Sind wir ein IT-Unternehmen?“

Die entscheidende Frage lautet: Gehören Sie zu einem erfassten Sektor und erreichen Sie die Unternehmensgröße?

Das BSI formuliert den Anwendungsbereich klar: „Wichtige Einrichtungen sind mittlere Unternehmen dieser Sektoren sowie mittlere und große Unternehmen in den Sektoren Abfallbewirtschaftung, Chemie, Ernährung, Verarbeitendes Gewerbe...“

Für die Praxis heißt das:

  • Ernährung ist ausdrücklich genannt.
  • Verarbeitendes Gewerbe ist ausdrücklich genannt.
  • Lebensmittelproduktion sitzt genau in dieser Schnittmenge.
  • Ab ca. 50 Mitarbeitern oder entsprechender wirtschaftlicher Größe wird es kritisch.
  • Auch reine Produktionsstätten sind nicht automatisch draußen.

Der typische Irrtum in der Lebensmittelindustrie: „Wir betreiben nur Maschinen, Kühlketten, Lager und ERP. Keine kritische IT.“

Falsch gedacht.

NIS2 schaut auf die Funktionsfähigkeit des Unternehmens. Wenn Ihre Produktion durch Ransomware, manipulierte Rezepturdaten, ausgefallene Warenwirtschaft oder gestörte Kühlüberwachung steht, ist das kein IT-Problem mehr. Es ist ein Versorgungs-, Haftungs- und Meldeproblem.

Und genau dort beginnt der Pflichtenkatalog:

  • Risikomanagement für IT- und OT-Systeme
  • Maßnahmen zur Incident Response
  • Backup- und Wiederanlaufkonzepte
  • Lieferketten- und Dienstleisterkontrolle
  • Nachweisbare Management-Verantwortung
  • Meldeprozesse bei erheblichen Sicherheitsvorfällen

Papier allein reicht nicht. Die Geschäftsleitung muss zeigen können, dass sie das Risiko verstanden und angemessen gesteuert hat.

Warum Standardlösungen die Produktionsrealität verfehlen

Ein ISO-Template aus dem Internet löst Ihr Problem nicht.

Eine neue Firewall löst es auch nicht.

Warum? Weil NIS2 in der Lebensmittelindustrie nicht an der Firewall endet. Ihr Risiko steckt im Flickenteppich aus Produktion, Warenwirtschaft, Qualitätssicherung, Kühltechnik, Schichtbetrieb, externen Technikern und Legacy-Altlasten.

In der Praxis bleiben dabei häufig operative Fragen offen:

  • Sie prüfen IT-Systeme, aber nicht die Produktionsrealität.
  • Sie reden über Rechenzentren, aber nicht über Abfülllinien, Rezepturverwaltung oder Verpackungssteuerung.
  • Sie liefern Richtlinien, aber keinen belastbaren Entscheidungsbaum für Lebensmittel-KMU.
  • Sie ignorieren die Schwellenfrage: Sind Sie überhaupt betroffen – und wenn ja, in welcher Rolle?
  • Sie behandeln NIS2 wie ein IT-Projekt. Tatsächlich ist es ein Geschäftsführungsprojekt mit IT-Anteil.

Genau hier liegt der Fehler vieler Unternehmen.

Sie kaufen ein Standardpaket. Danach liegt ein Ordner im SharePoint. Niemand weiß, ob die Betroffenheit sauber geprüft wurde. Niemand kann erklären, welche Produktionssysteme kritisch sind. Niemand hat klare Meldewege.

Das ist ein Papier-Tiger.

Und Papier-Tiger schützen nicht vor Bußgeldern, Produktionsstillstand oder persönlicher Verantwortung.

Prüfpunkte für die NIS2-Einordnung in der Lebensmittelproduktion

  1. Betroffenheit hart feststellen: Prüfen Sie sofort, ob Ihr Unternehmen in den Sektor Ernährung oder Verarbeitendes Gewerbe fällt und ob Sie die Größenkriterien erreichen. Zählen Sie nicht nur „IT-Mitarbeiter“. Maßgeblich ist das Unternehmen. Mitarbeiterzahl, Umsatz, Bilanzsumme, Konzernverflechtungen. Dokumentieren Sie das Ergebnis schriftlich. Ohne diese Erstprüfung ist jede weitere Maßnahme Blindflug.

  2. Produktionskritische Systeme inventarisieren: Listen Sie nicht nur Server und Laptops. Erfassen Sie ERP, Warenwirtschaft, Rezepturdatenbanken, Produktionssteuerung, Kühlkettenüberwachung, Etikettierung, Qualitätsmanagement, Fernwartungszugänge und externe Dienstleister. Markieren Sie, welche Systeme bei Ausfall sofort Produktion, Auslieferung, Lebensmittelsicherheit oder Rückverfolgbarkeit treffen.

  3. Minimal belastbares NIS2-Kontrollset aufsetzen: Legen Sie für die kritischen Systeme drei Dinge fest: Verantwortlicher, Ausfallverfahren, Meldeweg. Ergänzen Sie MFA für externe Zugänge, getestete Backups, Patch-Regeln für produktionsnahe Systeme und eine einfache Incident-Matrix. Kein Enterprise-Overhead. Aber genug, um gegenüber Geschäftsleitung, Prüfern und Behörden nicht nackt dazustehen.

Checkliste: NIS2-Betroffenheit für die Lebensmittelindustrie

Die Checkliste unterstützt dabei, die Betroffenheitsfrage strukturiert zu prüfen: Sektor, Unternehmensgröße, relevante Systeme und erste Prüfpunkte für ein belastbares Mindestprogramm. Sie bietet eine erste Orientierung und ersetzt keine rechtliche oder behördliche Einzelfallklärung.

Verwandte Seiten

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

NIS2 für E-Commerce und Handel

Orientierung für Online-Händler und E-Commerce-Betreiber zu NIS2-Anforderungen, Kundendatenschutz und sicherer Zahlungsabwicklung.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.