NIS-2 und KRITIS-Dachgesetz verschärfen Anforderungen

Neue EU-Regulierungen überfordern internationale Konzerne
NIS-2 und KRITIS-Dachgesetz verschärfen Anforderungen

Neue EU-Regulierungen überfordern internationale Konzerne

Etwa 30.000 deutsche Unternehmen müssen sich bis zum 6. März 2026 wegen NIS2 beim BSI registrieren. International tätige Konzerne stehen außerdem vor der Herausforderung unterschiedliche nationaler NIS-2-Umsetzungen vereinen zu müssen – Schwellenwerte und Meldepflichten variieren erheblich. In Deutschland kommt das KRITIS-Dachgesetz mit zusätzlichen Anforderungen hinzu.

Auf etwa 30.000 Unternehmen kommen in diesem Jahr verschärfte Anforderungen im Bereich der Cybersicherheit zu. Vor großen Herausforderungen stehen beispielsweise EU-weit tätige Unternehmen und deren Tochtergesellschaften. Grund ist die NIS-2-Richtlinie zur Netzwerk- und Informationssicherheit der EU, die im Dezember 2025 beschlossen wurde und seither verbindlich gilt. Dies hat auch zur Folge, dass betroffene Unternehmen sich bis spätestens zum 6. März 2026 im Portal des BSI registrieren müssen. Im Zuge der NIS-2-Umsetzung wird in Deutschland zudem das geplante KRITIS-Dachgesetz eingeführt. Dies betrifft beispielsweise viele international tätige Lebensmittelkonzerne, wenn sie Betreiber kritischer Anlagen sind und als wesentlicher Teil der Versorgungskette gelten. Das KRITIS-Dachgesetz stellt an die physische und IT-Sicherheit zusätzliche und sektorenübergreifend einheitliche Mindestanforderungen. Für die betroffenen Unternehmen bringt dies die Notwendigkeit mit sich, Cybersicherheit als strategisches Kernthema der Unternehmensführung zu verankern. Das Ziel ist eine Integration der Cyber-Risiken in bestehende Enterprise-Risk-Management-Strukturen und die Etablierung einer einheitlichen „Risikosprache“ im Unternehmen.

Lebensmittelkonzerne unterlagen in der Vergangenheit bisher meist der KRITIS-Verordnung, sofern sie die jeweiligen Schwellenwerte erreicht haben. Mit den neuen Anforderungen aus NIS-2 werden diese Vorgaben deutlich erweitert. Insbesondere international tätige Konzerne stehen vor der Herausforderung, die gestiegenen Anforderungen konzernweit einheitlich zu gestalten und umzusetzen, um regulatorische Vorgaben in allen Ländern zu erfüllen. Sie stehen mit der Übernahme der NIS-2-Richtlinie in die nationale Gesetzgebung vor der Aufgabe, sich gezielt mit voneinander abweichenden Umsetzungsregelungen auf EU-Ebene auseinander­zu­set­zen. In den einzelnen Mitgliedstaaten finden sich teils unterschiedliche Ausgestaltungen und Übergangsfristen der NIS-2-Richtlinie. Somit sehen sich etwa international tätige Le­bens­mit­tel­kon­zer­ne mit uneinheitlichen Rahmenbedingungen konfrontiert. Dies betrifft vornehmlich Schwellenwerte bei Umsatz, Mitarbeiteranzahl oder der Bedeutung für die Versorgung und erschwert die richtige Einordnung der Tochtergesellschaften in die Kategorien „wichtige“ oder „wesentliche“ Einrichtungen. Für Konzernstrukturen bedeutet dies, dass eine rein zentrale Betrachtung nicht ausreicht. Vielmehr ist eine länderspezifische Bewertung jeder Gesellschaft erforderlich.

EU-weit tätige Lebensmittelkonzerne müssen beide Gesetzgebungen beachten

Deutschland führt im Zuge der nationalen NIS-2-Umsetzung auch das KRITIS-Dach­gesetz ein. Das Gesetz schafft unabhängig vom Sektor eine Grundlage für die Identifikation und den Schutz kritischer Anlagen. Unternehmen, die wesentliche Teile der Lebensmittelversorgungskette sind, müssen zusätzliche und sektoren­über­grei­fend einheitliche Mindestanforderungen an die physische und an die IT-Sicherheit erfüllen. In der Lebensmittelindustrie betrifft dies insbesondere bedeutende Produktionsstandorte mit entsprechenden Produktionsanlagen, Steuerungssysteme, große Lagerhäuser mit Lagerverwaltungssystemen, große Kühlhäuser mit Kühlhaussteuerungen und zentrale Logistikzentren mit Logistik­plattformen.

Für Lebensmittelkonzerne mit diversen internationalen Tochtergesellschaften bedeutet dies, dass neben den NIS-2 Vorgaben künftig auch die Anforderungen des KRITIS-Dachgesetzes einzuhalten sind. So müssen Betreiber kritischer Anlagen nicht nur IT-sicher­heits­rele­van­te Maßnahmen umsetzen, sondern ebenfalls auf robuste physische Sicherungsmaßnahmen achten und diese umfassend dokumentieren. Diese Vorgaben sind in vielen EU-Staaten in vergleichbarer Form nicht vorhanden. International aufgestellte Konzerne sind dadurch gefordert, sowohl die deutschen als auch die jeweiligen nationalen Besonderheiten anderer Länder im Blick zu behalten und in ihre konzernweiten Sicherheitsstrategien zu integrieren.

Töchter im Fokus: Unterschiede in den Rechtsregimen


Häufig sind in verschiedenen Ländern juristisch eigenständige Toch­ter­ge­sell­schaf­ten tätig. Eine deutsche Gesellschaft kann in diesem Fall bereits durch die kritische Infrastruktur­verordnung als Betreiber einer kritischen Dienstleistung identifiziert werden. Eine vergleichbare Schwes­ter­ge­sell­schaft in einem anderen Mitgliedstaat fällt dagegen erst bei höheren Schwellenwerten oder abweichender Sektoren­zuordnung unter die nationale Umsetzung von NIS-2. Der Mutterkonzern muss in dieser Situation die Einhaltung aller relevanten Vorschriften sicherstellen. Dies ist eine anspruchsvolle und komplexe Aufgabe, da Compliance– und Meldepflichten länderspezifisch ausgestaltet sind. Insbesondere Betreiber kritischer Anlagen kann dies vor Probleme stellen. Denn die Bewertung solcher Anlagen als „kritische“ Strukturen unterliegt in vielen EU-Ländern spezifischen Vorgaben. Im Ergebnis können internationale Konzerne interne Prozesse nicht zentral steuern. Sie müssen sie situationsabhängig auf die einzelne Tochter und deren operative Umgebung abstimmen. Das Problem: Schwellenwert­gebundene Pflichten – wie regelmäßige Risikoanalysen, Implementierung von Maßnahmen für die IT-Sicherheit oder Meldepflichten bei Sicherheitsvorfällen – können somit konzernweit inkonsistent wirken.

Risikomanagement: mehr als klassische IT-Sicherheitsmaßnahmen


Ein wirkungsvolles Risikomanagement im Sinne der NIS-2-Richtlinie erfordert ein struk­tu­rier­tes, mehrstufiges Vorgehen und geht deutlich über klassische IT-Si­cher­heits­maß­nah­men hinaus. Ziel ist es, Cyber-Risiken systematisch zu identifizieren, zu bewerten und als integralen Bestandteil der unternehmerischen Gesamtsteuerung zu verankern. Dies beginnt mit einer Bestandsaufnahme aller relevanten IT- und OT-Systeme, Anwendungen sowie kritischer Anlagen. Denn Unternehmen müssen nachvollziehbar dokumentieren, welche Systeme und Prozesse für das Kerngeschäft und die Ver­sor­gungs­si­cher­heit wesentlich sind und wie diese technisch und organisatorisch miteinander verknüpft sind.

Darauf aufbauend erfolgt eine strukturierte Risikoanalyse. Für alle identifizierten Systeme und Prozesse sind sowohl externe Bedrohungen, etwa Cyberangriffe, Ransomware oder gezielte Sabotage, als auch interne Risiken, wie Fehlbedienung, technische Defekte oder unzureichende Zugriffskontrollen, zu bewerten. Maßgeblich ist dabei vor allem die potenzielle Auswirkung auf die Geschäftsprozesse. Und eben nicht nur die technische Verwundbarkeit eines Systems.

Cyber-Bedrohungen als Unternehmensrisiko verstehen


Viele Organisationen verstehen Cyber-Risiken primär als technische Einzelrisiken. NIS-2 verlangt hingegen die konsequente Verknüpfung mit der operativen Wertschöpfung. Technische Kritikalität ist nicht automatisch gleichzusetzen mit geschäftlicher Kritikalität: Ein scheinbar unscheinbares System kann für einen bestimmten Produktions- oder Lo­gis­tik­pro­zess existenziell sein, während hochverfügbare Komponenten unter Umständen nur unterstützende Funktionen erfüllen. Entscheidend ist, welche Folgen ein Ausfall oder eine Manipulation auf Produktionskontinuität, Lieferfähigkeit, Vertragsstrafen, Umsatz und Reputation hätte.

Vor diesem Hintergrund verschiebt NIS-2 den Blick vom isolierten IT-Risiko hin zum Unternehmensrisiko. Cyber-Bedrohungen sind im Kontext finanzieller, operativer, regulatorischer und strategischer Risiken zu betrachten. Getrennte Risiko-Register für IT und Fachbereiche stoßen hierbei an ihre Grenzen. Zielbild ist eine Integration der Cyber-Risiken in bestehende Enterprise-Risk-Management-Strukturen und die Etablierung einer einheitlichen „Risikosprache“. Für eine belastbare Bewertung ist die systematische Einbindung der Fachbereiche unerlässlich. Denn Produktionsverantwortliche, Logistik, Qualitätssicherung, Einkauf und Vertrieb können einschätzen, welche Prozesse zeitkritisch sind, welche Notfalllösungen existieren und ab wann erhebliche wirtschaftliche Schäden entstehen. Auf Basis dieser Risikoanalyse lassen sich geeignete technische und organisatorische Maßnahmen ableiten. Dazu zählen unter anderem Netzsegmentierung, Firewalls, Intrusion-Detection-Systeme, Verschlüsselung, Härtung von Systemen, sichere Authentifizierungsverfahren sowie Backup– und Wiederanlaufkonzepte. Ergänzend können Unternehmen klare Meldewege, Eskalations­mechanismen und ein kontinuierliches Monitoring etablieren, um Sicherheitsvorfälle frühzeitig zu erkennen und strukturiert zu behandeln.

Das Risikomanagement ist als fortlaufender Prozess zu verstehen, der regelmäßig überprüft und weiterentwickelt wird. Sämtliche Aktivitäten von der Inventarisierung über die Risikoanalyse bis hin zu umgesetzten Maßnahmen, sind nachvollziehbar zu dokumentieren, um sie gegenüber Behörden und Prüfern belegen zu können.

Praxisnahe Sicherheitsbriefings für die Mitarbeitenden


In der Lebensmittelindustrie mit Schichtbetrieb, hoher Mitarbeiterzahl und stark operativ geprägten Arbeitsplätzen ist der Faktor Mensch ein weiterer zentraler Baustein. Viele erfolgreiche Angriffe nutzen menschliche Fehlhandlungen, etwa durch Social Engineering. Für Mitarbeitende kritischer Anlagen sind kurze, praxisnahe Briefings wirksamer als umfangreiche Regelwerke. Bewährt haben sich regelmäßige Awareness-Impulse, die jeweils ein konkretes Thema adressieren. Beispiele sind die Durchführung von Trainings und Unterweisungen zur sicheren Handhabung von Zutrittsausweisen, Schlüsselverwaltung und den geltenden Zugriffsrechten für verschiedene Bereiche, der sichere Umgang mit USB-Sticks an Produktionsarbeitsplätzen oder die Erinnerung an die Kontrollpflicht beim Schichtwechsel. Wesentlich ist zudem die klare Zuweisung von Verantwortlichkeiten bis in die Management­ebene. Denn Sicherheit wird nur dann wirksam gelebt, wenn Führungskräfte als Vorbilder agieren und die Umsetzung aktiv einfordern.

Fazit


Für große Lebensmittelkonzerne mit dezentralem Geschäftsmodell und internationalem Portfolio entsteht durch NIS-2 und das KRITIS-Dachgesetz eine vielschichtige Compliance-Landschaft. Die operative Herausforderung liegt darin, aus einer zentralen Sicherheitsstrategie heraus die lokalen Anforderungen maßgeschneidert zu implementieren. Dies erfolgt stets unter Berücksichtigung der faktischen Betreiberverantwortung, der unterschiedlichen regulatorischen Schwellenwerte sowie der Melde- und Dokumentationspflichten. Besonders das Zusammenspiel von NIS-2 und dem deutschen KRITIS-Dachgesetz erfordert ein hohes Maß an Abstimmung. Zukünftig wird die Fähigkeit, die jeweiligen nationalen Umsetzungen der NIS-2-Richtlinie umfassend zu überblicken und kontextgerecht umzusetzen, ein entscheidender Erfolgsfaktor für die nachhaltige Informationssicherheit und Versorgungssicherheit im lebensmittel­wirtschaftlichen Umfeld sein.