Ernährung

Food supermarket picture

Im Sektor Ernährung versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienst­leistung – der Versorgung mit Lebensmitteln. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

KRITIS-Betreiber erbringen die kritische Dienstleistung in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmens­größen überschreiten.

Nr. Unternehmen Scope
   Betreiber kritischer Anlagen Anlage über Schwellenwert (KRITIS)
KRITIS-Sektordefinition Ernährung:
   Wichtige Einrichtung Unternehmen (NIS2)
  • ≥50 Mitarbeiter oder
  • >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
NIS2-Sektordefinition Lebensmittel:

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Dezember 2023
Thema Betreiber kritischer Anlagen Einrichtungen
Gesetz NIS2-Umsetzung KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2024 ab 2026 ab 2024
Scope Kritische Anlage Kritische Anlage Unternehmen
Pflichten Registrierung
Vorfallsmeldungen
Sanktionen
Prüfungen
Registrierung
Vorfallsmeldungen
Sanktionen
Registrierung
Vorfallsmeldungen
Sanktionen
Maßnahmen Informationssicherheit
Risikomanagement
IT-Sicherheit
Angriffserkennung SzA
Resilienz
Risikomanagement
Physische Sicherheit
Informationssicherheit
Risikomanagement
IT-Sicherheit
Nachweise Audits Stichproben Stichproben
Regulator BSI BBK/Länder BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

up

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Ernährung in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV August 2021, Anhang 3
Nr. Anlage Beschreibung Schwellenwert
1.
Lebensmittel­versorgung (Dienstleistung)
1.1 Herstellung
1.1.1 Herstellung von Lebensmitteln im Sinne von §3 Abs. 1 Nr. 1 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.1.2 Behandlung von Lebensmitteln im Sinne von §3 Abs 1 Nr. 2 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.1.3 Distribution von Lebensmitteln Planung, Steuerung, Bereitstellung und Verteilung, z.B. Fuhrpark-, Hof- oder Flottenmanagement 434500 t
350 Mio. l
Speisen
Getränke
1.1.4 Zentrale Steuerung/Überwachung Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung 434500 t
350 Mio. l
Speisen
Getränke
1.2 Handel
1.2.1 Behandlung von Lebensmitteln im Sinne von §3 Nr. 3 LFGB 434500 t
350 Mio. l
Speisen
Getränke
1.2.2 Distribution von Lebensmitteln Planung, Steuerung, Bereitstellung und Verteilung 434500 t
350 Mio. l
Speisen
Getränke
1.2.3 Bestellung von Lebensmitteln Lebensmittelbestellungen, z.B. EDI, Lieferanten-/Kundenstammdaten 434500 t
350 Mio. l
Speisen
Getränke
1.2.4 Inverkehrbringen von Lebensmitteln im Sinne von (EG) 178/2002 Art. 3 Nr. 8, z.B. Verkaufsstelle Groß/Einzelhandel 434500 t
350 Mio. l
Speisen
Getränke
1.2.5 Zentrale Steuerung/Überwachung Steuerung und Überwachung anderer Anlagen, z.B. ERP, Warenwirtschaft, Lagerverwaltung 434500 t
350 Mio. l
Speisen
Getränke

up

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Lebensmittelversorgung

Der Schwellenwert für alle Anlagen 1.1.1 bis 1.2.5 berechnet sich aus der durchschnittlichen Produktionsmenge pro Person von 0,869 Tonnen/Jahr Lebensmitteln und 700 l/Jahr nicht­alkoholischen Getränken für 500.000 versorgte Personen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen und mittlere Unternehmen als wichtige Einrichtung.

aus NIS2-Umsetzungsgesetz, Entwurf Stand Dezember 2023
† - gemeint sind immer ganze Unternehmen als Betreiber von ...
Nr. Teilsektor Einrichtungsart† Besonderheit
Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Sektor, Anlage 2)
4.1.1 Lebensmittelunternehmen Art. 3 Nr. 2 (EG) 178/2022 Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

up

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

up

Weitere Informationen

Literatur

  1. Schutz Kritischer Infrastrukturen: Studie zur Versorgungssicherheit mit Lebensmitteln, Wissen­schafts­forum, Band 9, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 11.09.2019

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch (LFGB), in der Fassung der Bekanntmachung vom 3. Juni 2013 (BGBl. I S. 1426), das zuletzt durch Artikel 97 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist