• Außenwirtschaft & Zoll, Brüssel & EU, Nachhaltigkeit, Wettbewerb & Recht

Cybersicherheit wird Chefsache

Für die Lebensmittelindustrie beginnt eine neue Ära der IT-Sicherheit. Mit dem Regierungsentwurf zur Umsetzung der europäischen NIS-2-Richtlinie werden erstmals verbindliche Vorgaben für Hersteller, Verarbeiter und Händler eingeführt. Unternehmen ab 50 Mitarbeitern und zehn Millionen Euro Umsatz gelten künftig als „wichtige Einrichtungen“ und müssen Risikomanagement, Meldeketten und technische Schutzmaßnahmen nachweisen.

IT-Spezialist arbeitet mit Laptop im Serverraum – Symbolbild für Cybersicherheit und NIS-2 RichtlinieQuelle: Nomad_Soul / Adobe Stock

Bei einem Lunchtalk der Bundesvereinigung der Deutschen Ernährungsindustrie (BVE) Mitte August machten die Referenten deutlich, welche Tragweite die Regulierung hat. „Cybersicherheit entscheidet über Wettbewerbsfähigkeit und Versorgungssicherheit. Sie gehört nicht mehr in die IT-Abteilung, sondern auf die Agenda der Geschäftsleitungen“, betont BVE-Geschäftsführerin Kim Cheng.

Umfangreiche Pflichten, hohe Bußgelder

Der Anwendungsbereich ist deutlich erweitert: Rund 30.000 Unternehmen in Deutschland fallen unter die Richtlinie. Sie müssen künftig Sicherheitsvorfälle innerhalb von 24 Stunden melden, regelmäßige Prüfungen durchführen und sich binnen drei Monaten nach Inkrafttreten des Gesetzes registrieren. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes.

Im Zentrum der neuen Vorgaben steht die Rolle des Managements. Geschäftsleitungen sind verpflichtet, Risiken zu überwachen, an Schulungen teilzunehmen und für die Wirksamkeit der Maßnahmen einzustehen – verbunden mit einem persönlichen Haftungsrisiko. Auch die Referenten des BVE-Seminars machten deutlich: Informationssicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

Investitionsdruck auf Mittelständler

Der Regierungsentwurf kalkuliert für den Bundeshaushalt bis 2029 mit zusätzlichen Ausgaben von mehr als 900 Millionen Euro. Für die Unternehmen selbst dürfte der Anpassungsbedarf ebenfalls erheblich sein – von technischen Schutzsystemen über externe Beratung bis hin zu branchenspezifischen IT-Sicherheitsstandards.

„Natürlich bringt die Umsetzung Aufwand mit sich“, sagt Cheng. „Aber sie zwingt uns auch, Strukturen zu modernisieren und unsere Systeme auf ein neues Sicherheitsniveau zu heben. Investitionen in Cybersicherheit sind mehr als nur Compliance. Sie schaffen Stabilität für die gesamte Versorgungskette. Überdies ist die Ernährungsindustrie gut aufgestellt, da sie einen eigenen branchenspezifischen Sicherheitsstandard erarbeitet hat.“

Tatsächlich haben Angriffe auf Lebensmittelunternehmen in den vergangenen Jahren zugenommen. Produktionsanlagen, Logistiksysteme und Verwaltungsnetzwerke wurden durch Schadsoftware lahmgelegt, Lieferketten unterbrochen. Oft steckten nicht nur kriminelle Motive dahinter, sondern auch politisch oder ideologisch motivierte Akteure. „Die Verfügbarkeit von Lebensmitteln ist ein Grundpfeiler gesellschaftlicher Stabilität. Das macht unsere Branche zu einem besonders attraktiven Ziel“, so Cheng.

Kritik am Gesetzgebungsverfahren

Der deutsche Gesetzgebungsprozess bleibt allerdings umstritten. Zahlreiche Verbände, so auch die BVE, monieren unklare Begriffe, Doppelregulierungen und eine Ausweitung des Anwendungsbereichs über die EU-Vorgaben hinaus. Besonders der neue Rechtsbegriff „vernachlässigbare Geschäftstätigkeiten“ sorgt für Diskussionen. Kritiker warnen: Da diese Ausnahme in der EU-Richtlinie nicht vorgesehen ist, könnte sie vor dem Europäischen Gerichtshof gekippt werden. Das könnte zur Folge haben, dass Unternehmen und Behörden in Rechtsunsicherheit geraten.

Überdies hat die BVE bei der Anhörung im BMI kritisiert, dass Cybersicherheit eine gesamtgesellschaftliche Aufgabe ist. Viele KMU sind mit der anstehenden Umsetzung überfordert und fühlen sich alleine gelassen.

„Wir sehen einen großen Bedarf an Beratung und Information und benötigen dringend mehr Unterstützung seitens der Politik und Verwaltung“, so Cheng weiter.

Hinzu kommt: Deutschland hat die EU-Frist zur Umsetzung der Richtlinie bereits verpasst. Nun soll das Gesetz bis Ende des Jahres verabschiedet werden. Unternehmen, deren Betroffenheit außer Zweifel steht, sind gut beraten, sofort mit Bestandsaufnahmen, Schulungen und ersten technischen Maßnahmen zu beginnen. Die BVE steht hier gerne beratend zur Seite und wird im Laufe des Jahres weitere Seminare anbieten.

Fazit: Sicherheit als Standortfrage

Die NIS-2-Richtlinie rüttelt die Lebensmittelbranche auf. Sie zwingt Unternehmen, über IT-Sicherheit nicht nur nachzudenken, sondern konsequent zu handeln. „Cybersicherheit ist längst kein rein technisches Thema mehr“, so Cheng. „Sie ist Standortfaktor, Wettbewerbsfrage und gesellschaftliche Verantwortung zugleich. Unsere Branche muss vorbereitet sein. Nicht nur, weil es das Gesetz so vorgibt, sondern weil die Sicherheit unserer Lebensmittelversorgung auf dem Spiel steht.“

PDF-Download
Eine Hand auf dem Keyboard eines Laptops, die gerade eine Malware-Warnung öffnet
  • Brüssel & EU, Wettbewerb & Recht

Cyberangriffe – wie neue Maßnahmen schützen

Wie sich die Unternehmen der Ernährungsindustrie gegen zunehmende Cyberangriffe schützen können, erfahren Sie hier.
Ravioli aus der Konservendose auf einem Teller serviert
  • Brüssel & EU, Rohstoffe & Agrar, Umwelt & Energie, Verkehr & Logistik

Ravioli-Reserve für den Ernstfall: Die BVE fordert klare Regeln

Minister Rainer will die Notfallreserve mit Fertiggerichten erweitern, um die Bevölkerung in einer Krise schneller versorgen zu können. Die BVE unterstützt den Ansatz, betont aber: Finanzierung und Umsetzung sind Sache des Staates.