top of page
Genossenschaftsverband-der-Länder-e.V.-logo

NIS-2 für Agrargenossenschaften: Wann Lebensmittelbetriebe IT-Sicherheit regulieren beachten sollten

  • vor einigen Sekunden
  • 6 Min. Lesezeit

Aktualisiert: 30. Apr.

NIS-2 ist für viele Agrargenossenschaften das erste regulatorische Cybersicherheitsregime, das sie direkt trifft. Anders als branchenspezifische IT-Sicherheitsvorgaben setzt die Richtlinie nicht bei der Kritikalität einer einzelnen Anlage an, sondern bei der wirtschaftlichen Bedeutung einer Einrichtung im Sektor. Lebensmittelproduktion und -vertrieb gehören zu den wichtigen Einrichtungen nach Anhang II – und damit stehen Molkereien, Getreideverarbeiter und Obst- und Gemüsegroßhandel genossenschaftlicher Prägung gleichberechtigt neben Aktiengesellschaften und GmbHs im Fokus der Aufsicht. Der Beitrag zeigt, welche Pflichten daraus folgen und wie ein pragmatisches Umsetzungsprojekt aussieht.


Dokumentarische Aufnahme einer Produktionshalle einer Agrargenossenschaft, Edelstahltanks und Leitungen, gedämpftes Industrielicht am frühen Morgen.

Das Wichtigste in Kürze

  • Lebensmittelproduktion, -verarbeitung und -vertrieb gelten nach Anhang II der NIS-2-Richtlinie als wichtiger Sektor – Agrargenossenschaften mit mehr als 50 Beschäftigten oder mehr als 10 Millionen Euro Umsatz fallen in den Anwendungsbereich.

  • Verpflichtende Mindestmaßnahmen umfassen Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit und Zugriffskontrollen; Verstöße können Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes auslösen.

  • Die Geschäftsleitung haftet persönlich für die Einhaltung; die Pflicht zu Schulungen und zur Überwachung der Cybersicherheitsmaßnahmen wird in der deutschen Umsetzung besonders scharf gefasst.



Betroffenheitsprüfung nach Anhang II


Die NIS-2-Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen (Anhang I) und wichtigen Einrichtungen (Anhang II). Für Agrargenossenschaften ist Anhang II der zentrale Anwendungsrahmen. Unter Nummer 5 fällt der Sektor Lebensmittelproduktion und -vertrieb; das umfasst Großhändler ebenso wie industrielle Produzenten und Verarbeiter. Ausdrücklich genannt werden Molkereien, Obst- und Gemüsegroßhandel und Getreideverarbeiter. Die Einstufung als „wichtige Einrichtung“ bringt einen abgestuften Pflichtenkatalog mit sich, der zwar weniger streng ist als bei besonders wichtigen Einrichtungen, aber dennoch erheblichen Umsetzungsaufwand auslöst.


Entscheidend für die Betroffenheit ist die Größenschwelle: mindestens 50 Beschäftigte und Jahresumsatz oder Bilanzsumme von mehr als 10 Millionen Euro. Mikrounternehmen und kleine Unternehmen sind grundsätzlich ausgenommen. Die Einordnung knüpft an die wirtschaftliche Tätigkeit an, nicht an die Rechtsform – Genossenschaften stehen gleichberechtigt neben Aktiengesellschaften und GmbHs. Wichtig ist auch die Mehrfachzuordnung: Eine Agrargenossenschaft, die neben der Lebensmittelverarbeitung eine Biogasanlage betreibt, kann zusätzlich in den Energiesektor nach Anhang I fallen und damit zur besonders wichtigen Einrichtung werden – mit deutlich strengeren Nachweis- und Audit­pflichten.


Von der Pflicht weitgehend ausgenommen bleibt die reine landwirtschaftliche Urproduktion. Ackerbau und Tierhaltung fallen nicht automatisch unter Anhang II; entscheidend sind Verarbeitung und Vertrieb im industriellen Maßstab. In der Praxis sind die Grenzen fließend – gerade bei Genossenschaften, die eigene Verarbeitungsstufen vorhalten. Eine dokumentierte Betroffenheitsprüfung gehört daher an den Anfang jedes NIS-2-Projekts und sollte vom Vorstand formal beschlossen werden.



Die zehn Mindestmaßnahmen im Detail


Artikel 21 der NIS-2-Richtlinie zählt die Mindestmaßnahmen des Risikomanagements abschließend auf; die deutsche Umsetzung übernimmt sie wortgleich. Den Einstieg bilden Konzepte zur Analyse und Bewältigung von Risiken, also ein strukturiertes Risikomanagement mit Dokumentationspflicht, regelmäßigem Review und klarer Rollenverteilung. Darauf bauen zwei operative Säulen auf: die Bewältigung von Sicherheitsvorfällen durch einen Incident-Response-Plan mit dokumentierten Verfahren und Meldewegen sowie die Aufrechterhaltung des Betriebs – Backup-Management, Notfallkommunikation, Krisenmanagement und Wiederanlaufplan.


Den nächsten Block bildet die technische und prozessuale Kette rund um IT-Systeme. Die Sicherheit der Lieferkette verlangt eine Bewertung der Cybersicherheit der Lieferanten, insbesondere von IT-Dienstleistern und Softwarezulieferern, sowie vertragliche Absicherung. Sicherheit beim Erwerb, bei Entwicklung und Wartung von IT bedeutet Vulnerability-Management, einen geregelten Patch-Prozess und sichere Software-Entwicklung. Ergänzt wird das durch die Wirksamkeitsbewertung – regelmäßige Tests und Audits mit schriftlichem Bericht. Wer diese Kette einmal konsistent dokumentiert, hat die technische Hälfte der NIS-2-Pflichten in einem prüfbaren Format.


Die organisatorisch-menschliche Hälfte macht den Unterschied im Alltag. Schulung und Hygienepraktiken verlangen Awareness-Training für alle Mitarbeitenden und spezifische Formate für Leitungsorgane. Kryptografie und Verschlüsselung erfordern Leitlinien zu sicheren Verfahren, Schlüsselverwaltung und Einsatz nach aktuellem Stand der Technik. Personalsicherheit bedeutet ein sauberes Zugangskonzept mit Verpflichtungen vor, während und nach dem Arbeitsverhältnis nach dem Need-to-know-Prinzip. Multi-Faktor-Authentifizierung und sichere Kommunikation schließlich sind bei administrativen Zugängen und Fernzugriffen heute Standard – wer hier noch nachsteuert, sollte die MFA-Einführung in der NIS-2-Roadmap ganz oben einplanen.



Registrierung, Meldepflichten und Aufsicht


Über Technik und Prozesse hinaus trifft NIS-2 wichtige Einrichtungen mit organisatorischen Pflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Die zentrale Formalpflicht ist die Registrierung: Wichtige Einrichtungen müssen sich beim BSI melden – mit Kontaktdaten, Tätigkeitsbereich, IP-Bereichen und den Namen der Cybersicherheitsverantwortlichen. Die Registrierungsfrist beginnt mit Inkrafttreten der deutschen Umsetzung; eine frühzeitige Vorbereitung der zu hinterlegenden Daten ist sinnvoll, weil nachträgliche Änderungen dokumentiert und gemeldet werden müssen.


Operativ im Zentrum stehen die gestaffelten Meldefristen bei Sicherheitsvorfällen. Frühwarnung binnen 24 Stunden, Vorfallsmeldung binnen 72 Stunden, Abschlussbericht spätestens nach einem Monat – meldepflichtig sind bereits erhebliche Sicherheitsvorfälle, auch wenn der Geschäftsbetrieb nicht spürbar beeinträchtigt ist. Anders als besonders wichtige Einrichtungen müssen wichtige Einrichtungen nicht regelmäßig Audits einreichen; das BSI kann jedoch anlassbezogen Nachweise verlangen und Prüfungen anordnen. Ohne gepflegtes Dokumentationssystem lässt sich eine solche Aufforderung nicht fristgerecht beantworten.


Flankiert wird die Einrichtungspflicht durch die Schulungspflicht der Leitungsorgane. Vorstand und Aufsichtsrat müssen an regelmäßigen Cybersicherheitsschulungen teilnehmen; die Dokumentation der Teilnahme gehört in die Gremienunterlagen. Freiwillig, aber praxisrelevant, ist die Kooperationspflicht: sektorenspezifische Austauschgruppen – sogenannte ISACs – bieten Hilfestellung. Das BSI begrüßt die Teilnahme, sie kann im Vorfallfall zu einer milderen Bewertung der Reaktion beitragen und ist für Genossenschaften häufig der pragmatischste Zugang zu aktuellen Bedrohungsbildern.



Persönliche Haftung der Geschäftsleitung


Die Haftungsverschärfung gehört zu den auffälligsten Neuerungen. Die deutsche Umsetzung knüpft an die Artikel 20 und 34 der Richtlinie an: Leitungsorgane genehmigen die Risikomanagementmaßnahmen, überwachen deren Umsetzung und können bei Pflichtverletzungen zur Haftung herangezogen werden. Für Genossenschaften greift das Verantwortlichkeitsgefüge aus den §§ 34 und 41 Genossenschaftsgesetz ergänzend – ein doppelter Haftungsrahmen, der Vorstandshandeln im Cybersicherheitskontext deutlich schärfer prüfbar macht.


Finanziell drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nach dem, welcher Betrag höher ist. Das Bußgeld richtet sich gegen die Einrichtung, nicht unmittelbar gegen die Einzelperson; Zwangsgelder für die Durchsetzung einzelner Anordnungen stehen dem BSI zusätzlich zur Verfügung. Schwerer wiegt in der Praxis die mögliche Amtsenthebung: Artikel 32 Absatz 5 der Richtlinie sieht bei wiederholten Verstößen einen vorübergehenden Ausschluss von der Leitungsfunktion vor. Für wichtige Einrichtungen ist dieser Rahmen in der deutschen Umsetzung abgemildert, aber nicht aufgehoben.


Innengerichtet eröffnet das Haftungsregime einen weiteren Angriffswinkel: Pflichtverletzungen des Vorstands können eine Binnenhaftung nach § 34 Genossenschaftsgesetz auslösen – etwa wenn Bußgelder entstehen oder notwendige Cybersicherheitsinvestitionen schuldhaft unterbleiben. Vorstände sollten daher den Aufsichtsrat frühzeitig und schriftlich in die wesentlichen NIS-2-Entscheidungen einbinden; ein dokumentierter Beschluss über Cybersicherheitsbudgets und Prioritäten entlastet in der Haftungsprüfung deutlich und schafft im Ernstfall eine belastbare Aktenlage.



Umsetzungsprojekt für Agrargenossenschaften


Wer mit NIS-2 beginnt oder Bestehendes strukturiert, erzielt mit einem kleinschrittigen Vorgehen erfahrungsgemäß solide Ergebnisse. Den Anfang macht die Kartierung: eine vollständige IT-Landkarte mit Servern, Endgeräten, OT-Komponenten der Produktionsanlagen, Cloud-Diensten und Verbundnutzungen. Die Sicherheitsmaßnahmen folgen der Kartierung, nicht umgekehrt – ohne diese Grundlage werden Prioritäten blind gesetzt, und die Lücken, die am Ende tatsächlich zählen, bleiben unbeachtet.


Der zweite Schritt ist eine Lückenanalyse gegen die zehn Mindestmaßnahmen, strukturiert als Gap-Assessment mit einem einfachen Reifegradmodell. Die Ergebnisse gehören in den Aufsichtsrat und in die Dokumentation. Darauf aufbauend entsteht ein Umsetzungsplan mit Priorisierung nach Risiko und Aufwand, klarer Zuweisung von Verantwortlichkeiten und einer Budgetierung, die drei bis fünf Jahre abdeckt. Cybersicherheit ist ein Dauerthema, kein Einmalprojekt; die Finanzplanung sollte das von Anfang an spiegeln.


Zwei Hebel erhöhen die Schlagkraft zusätzlich. Das Lieferantenmanagement verlangt einen gezielten Dialog mit IT-Dienstleistern zu deren Cybersicherheitsprogramm; Musterverträge mit Mindestklauseln zur NIS-2-Konformität der Partner erleichtern die Nachweisführung erheblich. Und die Verbundkooperation: Viele Genossenschaftsverbünde bieten standardisierte Maßnahmenkataloge und Musterdokumente; der Rückgriff auf gemeinsame Lösungen senkt Aufwand, erhöht die Schlagkraft bei Vorfällen und macht die Umsetzung auch für mittelgroße Agrargenossenschaften realistisch.



Häufige Fragen


Gilt NIS-2 bereits oder warten wir auf das deutsche Gesetz?

Die NIS-2-Richtlinie entfaltet ihre Verpflichtungswirkung grundsätzlich über das nationale Umsetzungsgesetz. Bis zum Inkrafttreten des NIS2UmsuCG sind die Pflichten in Deutschland formal aufgeschoben, in der Praxis aber bereits wirksam, weil Geschäftspartner, Wirtschaftsprüfer und Versicherer die Maßnahmen erwarten. Der faktische Handlungsdruck besteht.


Wie werden Beschäftigte in der Saisonlandwirtschaft gezählt?

Für die Schwellenwertbetrachtung werden Vollzeitäquivalente über das Jahr gemittelt. Saisonkräfte zählen anteilig nach tatsächlicher Beschäftigungsdauer. Eine Genossenschaft mit 30 Ganzjahresmitarbeitenden und 45 Saisonarbeiterinnen über drei Monate liegt in der Rechnung deutlich unter der 50er-Schwelle.


Sind unsere Raiffeisen-Warenhäuser mit betroffen?

Die Warengenossenschaften verstehen sich häufig als Groß- und Einzelhandel für Lebens- und Futtermittel. Soweit Lebensmittel im großen Stil vertrieben werden, ist der Sektor Lebensmittelvertrieb einschlägig. Der reine Handel mit Agrartechnik oder Baustoffen ist nicht erfasst, eine Mischtätigkeit erfordert genaue Abgrenzung.


Welche Versicherungen helfen gegen NIS-2-Risiken?

Cyberversicherungen decken typischerweise die finanziellen Schäden aus Sicherheitsvorfällen, Lösegeldzahlungen und Betriebsunterbrechungen. Bußgelder aus NIS-2 sind meist nicht versicherbar, weil sie den Charakter einer hoheitlichen Sanktion haben. Die Versicherungswirtschaft passt ihre Produkte aktuell an die erweiterten Pflichten an.


Wie grenzt sich NIS-2 von DORA ab?

DORA ist für Finanzunternehmen die speziellere Regelung und verdrängt NIS-2 in den dortigen Geltungsbereichen. Für Agrargenossenschaften, die keine Finanzdienstleistungen erbringen, ist DORA irrelevant. Erbringt eine Genossenschaft Zahlungsdienste oder Kreditleistungen in nennenswertem Umfang, kann DORA ergänzend greifen.


Für eine individuelle Einschätzung oder Unterstützung steht Ihnen der Genossenschaftsverband der Länder e.V. (GVdL) gern zur Verfügung. Kontakt: Kathrin Becher, info@gvdl.de, www.gvdlverband.de.


Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle steuerliche oder rechtliche Beratung.



Quellen



Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings
Rating hinzufügen
bottom of page