KRITIS-Sektor Ernährung

Im KRITIS-Sektor Ernährung erbringen KRITIS-Betreiber eine kritische Dienstleistung zur Versorgung der Allgemeinheit mit Lebensmitteln — von der Herstellung bis zum Handel an Endkunden. Diese Prozesse sind in einer kritischen Dienst­leistung zusammengefasst:

  1. Lebensmittelversorgung: Herstellung, Behandlung und Handel von Lebensmitteln.

Erbringt ein Betreiber im Sektor diese kritische Dienstleistung in eigenen Anlagen und überschreitet dabei Schwellenwerte von 500 Tsd. versorgten Personen, wird er zum KRITIS-Betreiber. Die Anlagen und Schwellenwerte im Sektor sind unten aufgelistet.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Mit dem Entwurf der neuen KRITIS-Verordnung 2.0 ändern sich die Definitionen der Anlagen und Schwellenwerte im Sektor wahrscheinlich leicht:

  1. Der Schwellenwert Getränke umfasst anstatt nicht­alkoholischen nun Getränke mit Ausnahme von Getränken mit einem Alkoholgehalt von mehr als 1,2 Volumenprozent
  2. Änderung der Anlage standortübergreifende Steuerung in zentrale Steuerung oder Überwachung mit Beispielen ERP-, Warenwirtschafts- oder Lagerverwaltungs­systeme
  3. Konkretisierung der Anlage Distribution von Lebensmitteln mit den Beispielen Fuhrpark- Hof- oder Flottenmanagement­systeme
IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen im Sektor

Die folgenden KRITIS-Anlagen sind im Sektor Ernährung in der Lebensmittelversorgung definiert und zur Bestimmung der KRITIS-Betroffenheit relevant — überschreitet ein Betreiber bei einzelnen Anlagen die genannten Schwellenwerte, wird er zum KRITIS-Betreiber.

aus BSI-KritisV Stand Juni 2017, Anhang 3
Nr. Anlage Beschreibung Schwellenwert
1. Lebensmittelversorgung (Dienstleistung)
1.1.1 Herstellung von Lebensmitteln im Sinne von §3 Nr. 2 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.1.2 Behandlung von Lebensmitteln (Herstellung) im Sinne von §3 Nr. 3 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.1.3 Distribution von Lebensmitteln (Herstellung) Planung, Steuerung, Bereitstellung und Verteilung 434500 t
350 Mio. l
Speisen
Getränke
1.1.4 Standortübergreifende
Steuerung (Herstellung)
Steuerung und Überwachung anderer Anlagen, standortübergreifend 434500 t
350 Mio. l
Speisen
Getränke
1.2.1 Behandlung von Lebensmitteln (Handel) im Sinne von §3 Nr. 3 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.2.2 Distribution von Lebensmitteln (Handel) Planung, Steuerung, Bereitstellung und Verteilung 434500 t
350 Mio. l
Speisen
Getränke
1.2.3 Bestellung von Lebensmitteln Bestellung von Lebensmitteln 434500 t
350 Mio. l
Speisen
Getränke
1.2.4 Inverkehrbringen von Lebensmitteln im Sinne von §3 Nr. 1 LFGB. z.B. Verkaufsstelle Einzel- oder Großhandel 434500 t
350 Mio. l
Speisen
Getränke
1.2.5 Standortübergreifende
Steuerung (Handel)
Steuerung und Überwachung anderer Anlagen, standort- insb. filialübergreifend 434500 t
350 Mio. l
Speisen
Getränke

up

Schwellenwerte

Die Schwellenwerte zur Bestimmung der KRITIS-Betroffenheit einzelner Anlagen im Sektor Ernährung berechnen sich wie folgt — Grundlage sind 500 Tsd. versorgte Personen.

Alle Anlagen

Der Schwellenwert für alle Anlagen 1.1.1 bis 1.2.5 berechnet sich aus der durchschnittlichen Produktionsmenge pro Person von 0,869 Tonnen/Jahr Lebensmitteln und 700 l/Jahr nicht­alkoholischen Getränken für 500.000 versorgte Personen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Weitere Informationen

Literatur

  1. Schutz Kritischer Infrastrukturen: Studie zur Versorgungssicherheit mit Lebensmitteln, Wissen­schafts­forum, Band 9, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 11.09.2019

Branchenstandards

  1. Sicherheitsstandard für die Ernährungsindustrie, Webseite des BSI
  2. B3S für den Lebensmittelhandel, Webseite des BSI

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch (LFGB), in der Fassung der Bekanntmachung vom 3. Juni 2013 (BGBl. I S. 1426), das zuletzt durch Artikel 97 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist