NIS2 für den Lebensmittelsektor: Großhandel und industrielle Verarbeitung

Verstehen Sie die NIS2-Anforderungen für Lebensmittelunternehmen. Wie Einrichtungen des Großhandels und der industriellen Verarbeitung Cybersicherheit gemäß Anhang II Sektor 4 umsetzen müssen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 12 Jun 2026 · 9 Min. Lesezeit
NIS2
NIS2 für den Lebensmittelsektor: Großhandel und industrielle Verarbeitung

Wer sollte das lesen: Operations Directors der Lebensmittelindustrie, Lieferkettenmanager, Compliance-Beauftragte in Lebensmittelunternehmen, Koordinatoren für kritische Infrastruktur im Lebensmittelbereich.

Die Aufnahme von Lebensmittelunternehmen in die NIS2-Richtlinie markiert einen bedeutenden Wandel in der Art und Weise, wie die EU die Cybersicherheit in der Landwirtschaft und Lebensmittelproduktion reguliert. Jahrzehntelang operierte der Lebensmittelsektor weitgehend außerhalb des Anwendungsbereichs der EU-weiten Cybersicherheitsregulierung. Die vorherige NIS-Richtlinie (2016) erfasste keine Lebensmittelunternehmen; sie galten nicht als Anbieter wesentlicher Dienste in der gleichen Weise wie Energieversorger oder Telekommunikationsbetreiber. NIS2 ändert diese grundlegende Klassifizierung. Lebensmittelunternehmen, die im Großhandelsvertrieb und in der industriellen Produktion und Verarbeitung tätig sind, werden nun als wichtige Einrichtungen eingestuft, was bedeutet, dass sie umfassende Maßnahmen zum Cybersicherheitsrisikomanagement umsetzen und erhebliche Vorfälle ihrem nationalen CSIRT melden müssen.

Dieser Wandel spiegelt eine realistische Einschätzung der Risiken im Lebensmittelsektor wider. Die moderne Lebensmittelproduktion ist umfassend digitalisiert. Von landwirtschaftlichen Managementsystemen, die Ernteverhältnisse überwachen und die Bewässerung automatisieren, über lebensmittelverarbeitende Betriebe mit vernetzten Überwachungs- und Qualitätskontrollsystemen bis hin zu Vertriebs- und Logistiknetzen, die die Integrität der Kühlkette und die Sendungsverfolgung verwalten: Der Lebensmittelsektor hängt von Netzwerk- und Informationssystemen ab. Ein Cyberangriff, der eine Lebensmittelverarbeitungsanlage stört, könnte die Lebensmittelsicherheit und -verfügbarkeit beeinträchtigen. Eine Kompromittierung der Lebensmittelverteilungslogistik könnte die Lebensmittelversorgung großer Bevölkerungszentren stören. Die regulatorische Einbeziehung von Lebensmittelunternehmen in NIS2 erkennt diese Realitäten an.

Anwendungsbereich der Erfassung von Lebensmittelunternehmen

Anhang II, Sektor 4 von NIS2 legt den Anwendungsbereich fest: “Lebensmittelunternehmen im Sinne von Artikel 3 Nummer 2 der Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates, die im Großhandelsvertrieb und in der industriellen Produktion und Verarbeitung tätig sind.” Diese Definition erfordert das Verständnis sowohl der NIS2-Klassifizierung als auch der Definition des “Lebensmittelunternehmens” im EU-Lebensmittelrecht.

Gemäß der Verordnung (EG) Nr. 178/2002 ist ein Lebensmittelunternehmen “jedes Unternehmen, gleichgültig ob es auf Gewinnerzielung ausgerichtet ist oder nicht und ob es öffentlich oder privat ist, das eine mit der Produktion, der Verarbeitung und dem Vertrieb von Lebensmitteln zusammenhängende Tätigkeit ausübt”. Diese Definition ist absichtlich weit gefasst und umfasst Organisationen in der gesamten Lebensmittelversorgungskette. NIS2 schränkt dies jedoch nur auf diejenigen ein, die im “Großhandelsvertrieb und in der industriellen Produktion und Verarbeitung” tätig sind.

Großhandelsvertrieb bedeutet den Vertrieb von Lebensmitteln in großen Mengen an Einzelhändler, andere Lebensmittelunternehmen oder institutionelle Verbraucher wie Krankenhäuser oder Schulen. Dies schließt Lebensmitteleinzelhändler aus (Supermärkte, Lebensmittelgeschäfte, Restaurants), die direkt an Verbraucher verkaufen. Industrielle Produktion und Verarbeitung bedeutet Lebensmittelherstellung in erheblichem Umfang: Fleischverarbeitungsbetriebe, Milchverarbeitungsanlagen, Mühlenbetriebe, Aktivitäten zur Zubereitung und Konservierung von Lebensmitteln. Dies schließt Kleinerzeuger und Handwerksbetriebe aus, die keine Operationen im industriellen Maßstab durchführen.

Die Absicht ist klar: NIS2 zielt auf die groß angelegten Operationen ab, die für die Ernährungssicherheit und die Kontinuität der Lebensmittelversorgung am kritischsten sind. Ein kleiner Käsehersteller im Handwerk ist keine wichtige Einrichtung im Sinne von NIS2. Eine große Milchverarbeitungsanlage mit hochentwickelten automatisierten Systemen schon. Ein lokaler Bauernmarkt ist nicht erfasst. Ein Großhandelsvertriebszentrum, das Hunderte von Einzelhandelsstandorten beliefert, schon.

Welche spezifischen Einrichtungen müssen innerhalb des Anwendungsbereichs der erfassten Lebensmittelunternehmen die Vorschriften einhalten? Ein Unternehmen, das den Großhandelsvertrieb oder die industrielle Produktion und Verarbeitung von Lebensmitteln durchführt, muss NIS2 einhalten, wenn es in den wirtschaftlichen Anwendungsbereich fällt (Großhandel oder industrieller Maßstab) und wenn es Lebensmittel in einer Weise verarbeitet, die dem Lebensmittelrecht unterliegt. Dies umfasst die Primärproduktion (mit bestimmten Einschränkungen), die Verarbeitung (Umwandlung von Rohstoffen in Lebensmittelprodukte) und den Vertrieb (Transport, Lagerung und Handhabung verarbeiteter Lebensmittel).

Verpflichtungen zum Cybersicherheitsrisikomanagement

Lebensmittelunternehmen, die als wichtige Einrichtungen gemäß NIS2 eingestuft sind, müssen die Maßnahmen zum Cybersicherheitsrisikomanagement nach Artikel 21 umsetzen. Für den Lebensmittelsektor haben mehrere dieser Maßnahmen besondere Bedeutung.

Erstens sind Risikoanalysen und Sicherheitsrichtlinien für Informationssysteme von entscheidender Bedeutung. Lebensmittelunternehmen müssen verstehen, welche Netz- und Informationssysteme für ihren Betrieb wesentlich sind, welchen Risiken diese Systeme ausgesetzt sind und welche Sicherheitsmaßnahmen erforderlich sind. Für eine Lebensmittelverarbeitungsanlage umfasst dies Produktionssteuerungssysteme, Systeme zur Qualitätssicherungsüberwachung, Kühl- und Kühlkettensysteme, Bestandsverwaltung und Logistiksysteme. Eine Störung in einem dieser Systeme kann die Lebensmittelsicherheit, -qualität und -verfügbarkeit beeinträchtigen.

Zweitens ist das Vorfallmanagement unerlässlich. Ein Lebensmittelunternehmen muss über Verfahren zur Erkennung, Meldung, Untersuchung und Reaktion auf Cybersicherheitsvorfälle verfügen. Diese Verfahren müssen die spezifischen Auswirkungen von Vorfällen in Lebensmittelverarbeitungsumgebungen berücksichtigen. Ein Vorfall, der ein Produktionssteuerungssystem betrifft, könnte die Lebensmittelsicherheit beeinflussen; die Reaktion muss dies berücksichtigen.

Drittens sind Geschäftskontinuität und Notfallwiederherstellung in der Lebensmittelproduktion besonders wichtig. Die Lebensmittelversorgungskette ist zeitkritisch. Störungen können zu Verderb, Lebensmittelverschwendung und Versorgungsengpässen führen. Lebensmittelunternehmen müssen über Geschäftskontinuitätspläne verfügen, die sicherstellen, dass kritische Produktions- und Vertriebsfunktionen weitergeführt oder schnell wiederhergestellt werden können, wenn Systeme kompromittiert sind.

Viertens ist die Sicherheit der Lieferkette im Lebensmittelsektor von Bedeutung. Lebensmittelunternehmen sind auf Lieferanten für Rohstoffe, Verpackung, Ausrüstung und Dienstleistungen angewiesen. Jeder Lieferant bringt ein potenzielles Cybersicherheitsrisiko mit sich. Eine Kompromittierung der Systeme eines Lieferanten könnte dazu führen, dass kontaminierte Lieferinformationen oder verfälschte Produkte verteilt werden. Artikel 21(3) verlangt, dass Lebensmittelunternehmen die Schwachstellen jedes Lieferanten berücksichtigen und die Qualität ihrer Cybersicherheitspraktiken bewerten.

Fünftens sind sichere Entwicklung und Schwachstellenmanagement relevant, wenn ein Lebensmittelunternehmen im Rahmen seiner Tätigkeit Software oder Steuerungen herstellt. Viele moderne Lebensmittelverarbeitungsanlagen umfassen maßgeschneidert entwickelte Steuerungssysteme und Überwachungssoftware. Diese Systeme müssen sicher entwickelt werden, und Schwachstellen müssen verantwortungsvoll verwaltet werden.

Sechstens sind Schulung und Sensibilisierung von entscheidender Bedeutung. Mitarbeiter in der Lebensmittelproduktion müssen grundlegende Cybersicherheitspraktiken verstehen, die für ihre Rollen relevant sind. Mitarbeiter der Produktionssteuerung, das Personal der Qualitätssicherung und das Logistikpersonal müssen verstehen, wie die Cybersicherheit ihre Arbeit beeinflusst und welche Verantwortung sie tragen.

Konvergenz von Lebensmittelsicherheit und Cybersicherheit

Ein wichtiger Aspekt der NIS2-Compliance für Lebensmittelunternehmen ist das Verständnis, wie sich Cybersicherheitsrisiken mit Lebensmittelsicherheitsrisiken überschneiden. Die Regulierung der Lebensmittelsicherheit ist seit Jahrzehnten eine Priorität im EU-Recht. Lebensmittelunternehmen müssen umfangreiche Anforderungen gemäß der Verordnung (EG) Nr. 178/2002 und anderen lebensmittelrechtlichen Vorschriften zur Hygiene, Gefahrenermittlung, Rückverfolgbarkeit und zu Rückrufverfahren einhalten.

Cyberangriffe auf Lebensmittelproduktionssysteme können Lebensmittelsicherheitsrisiken schaffen. Wenn die Qualitätsüberwachungssysteme einer Lebensmittelverarbeitungsanlage kompromittiert werden, kann es sein, dass die Anlage Kontaminationen oder Sicherheitsrisiken nicht erkennt. Wenn die Temperaturüberwachung für gekühlte Lebensmittel kompromittiert ist, kann die Anlage die Sichtbarkeit darüber verlieren, ob Lebensmittel auf sicheren Temperaturen geblieben sind. Wenn Rückverfolgbarkeitssysteme kompromittiert sind, kann die Anlage möglicherweise betroffene Produkte nicht schnell identifizieren und zurückrufen, falls ein Sicherheitsproblem auftritt.

Lebensmittelunternehmen, die Maßnahmen nach Artikel 21 umsetzen, sollten Cybersicherheitsaspekte in ihre bestehenden Lebensmittelsicherheitsrahmen integrieren. Gefahrenanalysen und Bewertungen kritischer Kontrollpunkte (HACCP) sollten Cybersicherheitsgefahren berücksichtigen, die kritische Kontrollpunkte betreffen. Risikobewertungen für die Lebensmittelsicherheit sollten Ausfälle von Informationssystemen und Cybersicherheitsvorfälle als Risikofaktoren einbeziehen. Notfallverfahren zum Umgang mit Lebensmittelsicherheitsnotfällen sollten die Möglichkeit berücksichtigen, dass Informationssysteme nicht verfügbar sein könnten.

Diese Konvergenz von Lebensmittelsicherheit und Cybersicherheit ist relativ neu. Fachleute für Lebensmittelsicherheit verfügen über umfangreiches Fachwissen im Umgang mit Lebensmittelsicherheitsrisiken, haben aber möglicherweise begrenzte Kenntnisse in der Cybersicherheit. CISOs und Informationssicherheitsfachleute verstehen die Cybersicherheit möglicherweise, haben aber möglicherweise kein Verständnis für Lebensmittelproduktionsprozesse. Eine erfolgreiche Umsetzung von NIS2 in Lebensmittelunternehmen erfordert die Zusammenarbeit zwischen diesen traditionell getrennten Bereichen.

Spezifische sektorale Herausforderungen

Lebensmittelunternehmen stehen bei der Umsetzung der NIS2-Verpflichtungen vor besonderen Herausforderungen. Die erste ist die Heterogenität des Sektors. “Lebensmittel” umfasst Fleischverarbeitung, Milchproduktion, Mühlen, Bäckereien, Getränkeproduktion, Obst- und Gemüseverarbeitung, Fertiglebensmittelherstellung und viele andere Teilsektoren. Jeder hat unterschiedliche Produktionssysteme, unterschiedliche Risiken und unterschiedliche anwendbare Standards. Ein Regulierungsrahmen, der für einen Teilsektor funktioniert, mag für einen anderen möglicherweise nicht gut funktionieren.

Die zweite ist die Verbreitung von Altsystemen. Ein Großteil der Infrastruktur für die Lebensmittelproduktion ist Jahrzehnte alt. Ältere Verarbeitungssysteme könnten entwickelt worden sein, bevor Cybersicherheit ein bedeutendes Anliegen war. Die Nachrüstung älterer Systeme mit modernen Cybersicherheitsmaßnahmen kann technisch anspruchsvoll und teuer sein. Das Verhältnismäßigkeitsprinzip von NIS2 ist hier relevant; Organisationen müssen verhältnismäßige Maßnahmen umsetzen, was bedeuten kann, bestimmte Risiken aus Altsystemen zu akzeptieren, anstatt sie vorzeitig zu ersetzen.

Die dritte ist die Komplexität der Lieferkette. Lebensmittelversorgungsketten sind global und umfassen zahlreiche Lieferanten in jeder Phase. Ein Lebensmittelverarbeiter kann Zutaten von Dutzenden von Lieferanten beziehen, viele davon in anderen Ländern. Die Bewertung der Cybersicherheitspraktiken all dieser Lieferanten ist zeitaufwendig und ressourcenintensiv. Artikel 21(3) verlangt jedoch, dass Lebensmittelunternehmen die Schwachstellen der Lieferanten berücksichtigen, was die Bewertung der Cybersicherheit in der Lieferkette zur Pflicht macht.

Die vierte ist die grenzüberschreitende Vernetzung. Der Lebensmittelsektor in Europa ist hoch integriert. Produkte überschreiten die Grenzen mehrfach, vom Rohstoff bis zum Endverbraucher. Das bedeutet, dass ein Cybersicherheitsvorfall, der eine Anlage betrifft, nachgelagerte Auswirkungen in mehreren Ländern haben kann. Es bedeutet auch, dass Bedrohungen für die Ernährungssicherheit in einem Mitgliedstaat schnell zu Bedrohungen für mehrere Mitgliedstaaten werden können.

Vorfallmeldung im Lebensmittelkontext

Lebensmittelunternehmen müssen erhebliche Vorfälle ihrem nationalen CSIRT melden. Artikel 23 definiert erhebliche Vorfälle als solche, die schwere operative Störungen oder finanzielle Verluste verursachen oder verursachen können, die Qualität oder Sicherheit von Diensten beeinträchtigen, mehrere Mitgliedstaaten betreffen oder die Gesundheit oder Sicherheit von Personen beeinträchtigen.

Für Lebensmittelunternehmen ist die Gesundheits- und Sicherheitsdimension besonders wichtig. Ein Vorfall, der die Fähigkeit einer Anlage zur Gewährleistung der Lebensmittelsicherheit beeinträchtigt, erreicht eindeutig die Erheblichkeitsschwelle. Ein Vorfall, der einen großen Lebensmittelverteilungsknoten betrifft, der mehrere Mitgliedstaaten beliefert, erreicht eindeutig die grenzüberschreitende Schwelle. Lebensmittelunternehmen sollten Kriterien für die Meldung von Vorfällen festlegen, die diese spezifischen Auslöser anerkennen.

Die Meldung von Vorfällen mit Auswirkungen auf die Lebensmittelsicherheit kann zusätzlich zu den CSIRTs auch eine Benachrichtigung der Lebensmittelsicherheitsbehörden erfordern. Die Verordnung (EG) Nr. 178/2002 verlangt eine schnelle Meldung von Lebensmittelsicherheitsgefahren. Wenn ein Cyberangriff ein Lebensmittelsicherheitsrisiko schafft, können sowohl Cybersicherheits- als auch Lebensmittelsicherheitsmeldepflichten gelten.

Governance und Verantwortlichkeit des Managements

Artikel 20 verlangt, dass die Leitungsorgane wichtiger Einrichtungen Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Für Lebensmittelunternehmen bedeutet dies, dass Vorstände oder gleichwertige Leitungsorgane die Verantwortung für die Cybersicherheits-Governance übernehmen müssen. Dies kann in einem Sektor herausfordernd sein, der sich historisch eher auf Lebensmittelsicherheit, regulatorische Compliance und operative Effizienz konzentriert hat als auf Cybersicherheit.

Vorstände von Lebensmittelunternehmen sollten Schulungen zu Cybersicherheitsrisiken erhalten, die für den Lebensmittelsektor spezifisch sind, verstehen, wie die Cybersicherheit die Lebensmittelsicherheit und die Geschäftskontinuität beeinflusst, und ihre Governance-Verantwortlichkeiten gemäß NIS2 verstehen. Das Management der Cybersicherheit auf Vorstandsebene sollte in das Management der Lebensmittelsicherheit und der operativen Risiken auf Vorstandsebene integriert werden.

Sektorale Leitlinien und Unterstützung

Angesichts der Neuheit der Anwendung von NIS2 auf den Lebensmittelsektor suchen viele Lebensmittelunternehmen nach Leitlinien. Die Kommission und die ENISA werden Durchführungsrechtsakte und Leitlinien zur Umsetzung von NIS2 entwickeln. Die zuständigen Behörden und CSIRTs der Mitgliedstaaten können Informationen über die nationalen regulatorischen Erwartungen bereitstellen. Branchenverbände im Lebensmittelsektor können dabei helfen, ein gemeinsames Verständnis bewährter Verfahren zu entwickeln.

Lebensmittelunternehmen sollten die Entwicklung der Leitlinien verfolgen und sich frühzeitig mit ihrer zuständigen nationalen Behörde in Verbindung setzen, wenn sie Fragen zum Anwendungsbereich oder zu Compliance-Erwartungen haben. Eine frühzeitige Zusammenarbeit trägt dazu bei, sicherzustellen, dass Compliance-Maßnahmen angemessen und verhältnismäßig sind, und reduziert das Risiko, später festzustellen, dass die Compliance-Erwartungen nicht erfüllt werden.

Wichtigste Erkenntnisse

  • Lebensmittelunternehmen, die im Großhandelsvertrieb sowie in der industriellen Produktion oder Verarbeitung tätig sind, werden als wichtige Einrichtungen gemäß Anhang II, Sektor 4 von NIS2 eingestuft. Dazu gehören große Verarbeitungsanlagen, Großhandelsvertriebszentren und Lebensmittelhersteller großen Maßstabs.

  • Lebensmittelunternehmen müssen die Maßnahmen zum Cybersicherheitsrisikomanagement nach Artikel 21 umsetzen, mit besonderem Schwerpunkt auf Geschäftskontinuität (Schutz der Lebensmittelversorgung), Sicherheit der Lieferkette (Management des Lieferantenrisikos) und Vorfallmanagement (Schutz der Lebensmittelsicherheit).

  • Cybersicherheit und Lebensmittelsicherheit sind zusammenlaufende Anliegen. Lebensmittelunternehmen sollten Cybersicherheitsaspekte in Lebensmittelsicherheitsrahmen integrieren und anerkennen, dass Systemkompromittierungen die Lebensmittelsicherheit beeinträchtigen können und dass Lebensmittelsicherheitsnotfälle mit Störungen von Informationssystemen verbunden sein können.

  • Die Leitungsorgane von Lebensmittelunternehmen sind dafür verantwortlich, Cybersicherheitsmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Die Governance der Cybersicherheit auf Vorstandsebene sollte in das Management der Lebensmittelsicherheit und der operativen Risiken auf Vorstandsebene integriert werden.

  • Erhebliche Vorfälle, die die Lebensmittelsicherheit, die operative Kontinuität oder grenzüberschreitende Auswirkungen betreffen, müssen dem nationalen CSIRT gemeldet werden. Meldepflichten zur Lebensmittelsicherheit können ebenfalls gelten, wenn Vorfälle Lebensmittelsicherheitsrisiken schaffen.

  • Lebensmittelunternehmen sollten sich mit den zuständigen nationalen Behörden in Verbindung setzen und sektorspezifische Leitlinien einholen, sobald diese entwickelt werden. Eine frühzeitige Zusammenarbeit trägt dazu bei, sicherzustellen, dass Compliance-Maßnahmen angemessen, verhältnismäßig und auf die regulatorischen Erwartungen abgestimmt sind.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.