Ernährung
Im Sektor Ernährung versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienstleistung – der Versorgung mit Lebensmitteln. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.
KRITIS-Betreiber erbringen die kritische Dienstleistung in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.
| Nr. | Unternehmen | Scope |
|---|---|---|
| Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Sektordefinition Ernährung:
|
||
| Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Sektordefinition Lebensmittel:
|
||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
| Thema | Betreiber kritischer Anlagen | Einrichtungen | |
|---|---|---|---|
| Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
| Fristen | ab 2024 | ab 2026 | ab 2024 |
| Scope | Kritische Anlage | Kritische Anlage | Unternehmen |
| Pflichten | Registrierung Vorfallsmeldungen Sanktionen Prüfungen |
Registrierung Vorfallsmeldungen Sanktionen |
Registrierung Vorfallsmeldungen Sanktionen |
| Maßnahmen | Informationssicherheit Risikomanagement IT-Sicherheit Angriffserkennung SzA |
Resilienz Risikomanagement Physische Sicherheit |
Informationssicherheit Risikomanagement IT-Sicherheit |
| Nachweise | Audits | Stichproben | Stichproben |
| Regulator | BSI | BBK/Länder | BSI |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Ernährung in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.
| Nr. | Anlage | Beschreibung | Schwellenwert | |
|---|---|---|---|---|
| 1. | Lebensmittelversorgung (Dienstleistung) | |||
| 1.1 | Herstellung | |||
| 1.1.1 | Herstellung von Lebensmitteln | im Sinne von §3 Abs. 1 Nr. 1 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.2 | Behandlung von Lebensmitteln | im Sinne von §3 Abs 1 Nr. 2 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.3 | Distribution von Lebensmitteln | Planung, Steuerung, Bereitstellung und Verteilung, z.B. Fuhrpark-, Hof- oder Flottenmanagement | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.4 | Zentrale Steuerung/Überwachung | Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2 | Handel | |||
| 1.2.1 | Behandlung von Lebensmitteln | im Sinne von §3 Nr. 3 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.2 | Distribution von Lebensmitteln | Planung, Steuerung, Bereitstellung und Verteilung | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.3 | Bestellung von Lebensmitteln | Lebensmittelbestellungen, z.B. EDI, Lieferanten-/Kundenstammdaten | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.4 | Inverkehrbringen von Lebensmitteln | im Sinne von (EG) 178/2002 Art. 3 Nr. 8, z.B. Verkaufsstelle Groß/Einzelhandel | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.5 | Zentrale Steuerung/Überwachung | Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung | 434500 t 350 Mio. l | Speisen Getränke |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Lebensmittelversorgung
Der Schwellenwert für alle Anlagen 1.1.1 bis 1.2.5 berechnet sich aus der durchschnittlichen Produktionsmenge pro Person von 0,869 Tonnen/Jahr Lebensmitteln und 700 l/Jahr nichtalkoholischen Getränken für 500.000 versorgte Personen:
- 434.500 Tonnen Lebensmitteln (außer Getränken) pro Jahr, oder
- 350 Mio. Liter Getränken mit Ausnahme von Getränken mit einem Alkoholgehalt von mehr als 1,2 Volumenprozent pro Jahr
- Bei den Anlagen 1.2.1 bis 1.2.5 (Handel) ist eine Umrechnung auf den Bruttoumsatz zu 3,90 EUR pro kg oder l möglich
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen und mittlere Unternehmen als wichtige Einrichtung.
| Nr. | Teilsektor | Einrichtungsart† | Besonderheit |
|---|---|---|---|
| Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Sektor, Anlage 2) | |||
| 4.1.1 | Lebensmittelunternehmen Art. 3 Nr. 2 (EG) 178/2022 | Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind | |
Regulierung und Standards
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Sicherheitsstandard für die Ernährungsindustrie, BVE, Version 3.1, Webseite des BSI (gültig bis April 2025)
- B3S für den Lebensmittelhandel, EHI, Version 2.2, Webseite des BSI (gültig bis März 2024)
Weitere Informationen
Literatur
- Schutz Kritischer Infrastrukturen: Studie zur Versorgungssicherheit mit Lebensmitteln, Wissenschaftsforum, Band 9, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 11.09.2019
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch (LFGB), in der Fassung der Bekanntmachung vom 3. Juni 2013 (BGBl. I S. 1426), das zuletzt durch Artikel 97 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist