Ernährung
Im Sektor Ernährung versorgen Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienstleistung – der Versorgung mit Lebensmitteln. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.
Viele neue Einrichtungen erweitern den Sektor seit Dezember 2025 unter NIS2; sie werden als Unternehmen reguliert, wenn sie Umsatz und Mitarbeiterzahlen überschreiten. Zusätzlich gibt es Betreiber kritischer Anlagen, die kritische Dienstleistungen in eigenen Anlagen erbringen. Sie werden reguliert, wenn sie dabei Schwellenwerte überschreiten.
| Unternehmen | Scope | |
|---|---|---|
| Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Sektordefinition Lebensmittel:
|
||
| Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Sektordefinition Ernährung:
|
||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. NIS2 trat Ende 2025 in Kraft, das Dachgesetz folgt wohl 2026. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu.
| Thema | Betreiber kritischer Anlagen (KRITIS) | Einrichtungen | |
|---|---|---|---|
| Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
| Fristen | ab 2025 | ab 2026 | ab 2025 |
| Scope | Kritische Anlage | Kritische Anlage | Unternehmen |
| Pflichten | Registrierung Vorfallsmeldungen Sanktionen Prüfungen |
Registrierung Vorfallsmeldungen Sanktionen |
Registrierung Vorfallsmeldungen Sanktionen |
| Maßnahmen | Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal |
Resilienz Risikomanagement Physische Sicherheit Personal |
Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal |
| Nachweise | Prüfungen | Teil von Audits | Stichproben |
| Regulator | BSI | BBK und Länder | BSI |
Betroffenheit NIS2 und KRITIS
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen und mittlere Unternehmen als wichtige Einrichtung.
| Nr. | Teilsektor | Einrichtungsart^ | Besonderheit |
|---|---|---|---|
| Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Sektor, Anlage 2) | |||
| 4.1.1 | Lebensmittelunternehmen Art. 3 Nr. 2 (EG) 178/2002 | Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind | |
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Ernährung in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.
| Nr. | Anlage | Beschreibung | Schwellenwert | |
|---|---|---|---|---|
| 1. | Lebensmittelversorgung (Dienstleistung) | |||
| 1.1 | Herstellung | |||
| 1.1.1 | Herstellung von Lebensmitteln | im Sinne von §3 Abs. 1 Nr. 1 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.2 | Behandlung von Lebensmitteln | im Sinne von §3 Abs 1 Nr. 2 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.3 | Distribution von Lebensmitteln | Planung, Steuerung, Bereitstellung und Verteilung, z.B. Fuhrpark-, Hof- oder Flottenmanagement | 434500 t 350 Mio. l | Speisen Getränke |
| 1.1.4 | Zentrale Steuerung/Überwachung | Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2 | Handel | |||
| 1.2.1 | Behandlung von Lebensmitteln | im Sinne von §3 Nr. 3 LFGB | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.2 | Distribution von Lebensmitteln | Planung, Steuerung, Bereitstellung und Verteilung | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.3 | Bestellung von Lebensmitteln | Lebensmittelbestellungen, z.B. EDI, Lieferanten-/Kundenstammdaten | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.4 | Inverkehrbringen von Lebensmitteln | im Sinne von (EG) 178/2002 Art. 3 Nr. 8, z.B. Verkaufsstelle Groß/Einzelhandel | 434500 t 350 Mio. l | Speisen Getränke |
| 1.2.5 | Zentrale Steuerung/Überwachung | Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung | 434500 t 350 Mio. l | Speisen Getränke |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Lebensmittelversorgung
Der Schwellenwert für alle Anlagen 1.1.1 bis 1.2.5 berechnet sich aus der durchschnittlichen Produktionsmenge pro Person von 0,869 Tonnen/Jahr Lebensmitteln und 700 l/Jahr nichtalkoholischen Getränken für 500.000 versorgte Personen:
- 434.500 Tonnen Lebensmitteln (außer Getränken) pro Jahr, oder
- 350 Mio. Liter Getränken mit Ausnahme von Getränken mit einem Alkoholgehalt von mehr als 1,2 Volumenprozent pro Jahr
- Bei den Anlagen 1.2.1 bis 1.2.5 (Handel) ist eine Umrechnung auf den Bruttoumsatz zu 3,90 EUR pro kg oder l möglich
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
Regulierung und Standards
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- B3S Ernährungsindustrie, BVE, Version 3.1 (gültig bis April 2026)
- B3S Lebensmittelhandel, EHI, Version 3.0.2 (gültig bis März 2027)
Weitere Informationen
Literatur
- Schutz Kritischer Infrastrukturen: Studie zur Versorgungssicherheit mit Lebensmitteln, Wissenschaftsforum, Band 9, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 11.09.2019
Quellen
- Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) von 2016, geändert 2025
- Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch (LFGB), in der Fassung der Bekanntmachung vom 3. Juni 2013 (BGBl. I S. 1426), das zuletzt durch Artikel 97 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, Regierungsentwurf 25.07.2025, BMI
- Regierungsentwurf des Bundesregierung: KRITIS-Dachgesetz (KRITISDachG) 10. September 2025, Bundesinnenministerium