NIS2 für Unternehmen in der Ernährungs- und Lebensmittelbranche

Die von der Europäischen Union eingeführte NIS2-Richtlinie markiert einen signifikanten Fortschritt in der Gesetzgebung zur Cybersicherheit und hat bedeutende Auswirkungen auf die Lebensmittelbranche. Angesichts der verstärkten Nutzung digitaler Technologien in dieser Branche ist es für Unternehmen, die im Bereich der Produktion, der Verarbeitung und dem Vertrieb von Lebensmitteln sowie der Lebensmittelversorgung arbeiten, entscheidend, mit den Vorgaben der NIS2 vertraut zu sein. Eine korrekte Umsetzung schützt nicht nur vor hohen Compliance-Strafen, sondern schafft Vertrauen bei allen Stakeholdern.

Cybersicherheit gewinnt zunehmend an Bedeutung in der Lebensmittelindustrie

Die Anzahl und Komplexität von Cyberangriffen auf die Lebensmittelindustrie steigen stetig an. Europäische Produzenten und Zulieferer haben in jüngster Zeit eine zunehmende Häufung von Cyberangriffen erlebt.

Ein Blick auf die Zahlen:

Laut einer repräsentativen Umfrage des Forsa-Institutes hat im Jahr 2022 bereits jedes vierte Unternehmen in der Lebensmittelbranche eine Cyberattacke erlebt, die auch erfolgreich war. Etwa bei der Hälfte der Betroffenen, zu denen vor allem Hersteller von Lebensmitteln gehörten, stand die Arbeit für eine Weile still – mit entsprechenden wirtschaftlichen Folgen und dem Risiko, dass daraus Versorgungsengpässe resultieren können.

Laut dem Gesamtverband der Versicherer besteht das Hauptproblem darin, dass die Unternehmen die reale Gefahr eines Cyberangriffes unterschätzen. Sie halten sich selbst für zu klein für einen Angriff und wiegen sich in falscher Sicherheit. 43 % aller befragten Unternehmen hatten nicht einmal ein Notfallkonzept. Cyberrisiken entstehen vor allem durch veraltete Software, eine zu lockere Vergabe von Zugriffsrechten für die Mitarbeiter und allgemein fehlende Schutzmaßnahmen.

Cybersecurity

Anfälligkeit der ICS/OT-Netzwerke für Sicherheitsvorfälle

ICS/OT-Netzwerke (Industrial Control Systems/Operational Technology) sind Netzwerke, die speziell für die Steuerung und Überwachung industrieller Prozesse und Systeme verwendet werden. Zu diesen ICS/OT gehören eine Vielzahl von Technologien, darunter SCADA-Systeme, DCS und PLCs, die für die Automatisierung und Kontrolle in Bereichen wie Fertigung, Energie und Transport entscheidend sind. Im Gegensatz zu IT-Netzwerken, die hauptsächlich auf Datenverarbeitung und Kommunikation fokussiert sind, liegt der Schwerpunkt bei ICS/OT-Netzwerken auf der Gewährleistung von Sicherheit, Zuverlässigkeit und einem Echtzeitbetrieb.

Lesen Sie her mehr über OT-Netzwerke und deren Sicherheitsanforderungen!

Viele Lebensmittelbetriebe vertrauen darauf, dass ihre Systeme der Lebensmittelproduktion vom Internet getrennt und daher gegen Cyberangriffe immun sind. Diese Annahme ist aber trügerisch, denn Cyberkriminelle nutzen gezielt Schwachstellen wie Fernwartungszeiten und Konfigurationsfehler aus. Sie können auch das Personal oder externe Dienstleister dazu verleiten, infizierte Software-Updates und Patches zu installieren oder durch USB-Geräte Schadsoftware in die industriellen Netzwerke einzuschleusen.

Ein Beispiel aus der Praxis: REvil-Ransomware

Ein Beispiel für die Gefährlichkeit solcher Angriffe ist der Vorfall mit der REvil-Ransomware. Bei diesem Angriff mussten die Täter nicht einmal direkten Zugriff auf die Produktionsnetzwerke haben, um einen Stillstand zu bewirken. Sie verschafften sich zunächst Zugang zu den Unternehmensnetzwerken oder nutzten die Systeme von Dienstleistern, um von dort aus in die Betriebstechnologie- und industriellen Steuerungssysteme (OT/ICS) einzudringen.

NIS2 ist für die Lebensmittelindustrie verpflichtend

Die Lebensmittelindustrie spielt eine wichtige Rolle im Bereich der nationalen und internationalen Sicherheit. Daher wurde die NIS2 auch auf diesen Sektor ausgeweitet. Die EU-weite Richtlinie gilt unter anderem für große Lebensmittelhersteller, -verarbeiter und -händler aber auch für kleinere und spezialisierte Anbieter.

Ein Cybersicherheitsvorfall kann schwere Konsequenzen haben

Kommt es zu einem Cybersicherheitsvorfall in diesem Industriezweig, dann können daraus schwerwiegende Konsequenzen entstehen – sowohl für das Unternehmen selbst als auch für die öffentliche Ordnung.

  • Störungen in der Lieferkette
    Cyberangriffe können kritische Lieferkettenprozesse unterbrechen, was zu Verzögerungen und Engpässen bei der Versorgung mit grundlegenden Lebensmitteln führen kann.

  • Gefahren für die Lebensmittelsicherheit
    Kompromittierte Lebensmittelsicherheitssysteme können ernsthafte Gesundheitsgefahren mit sich bringen, sollten sie nicht umgehend adressiert werden.

  • Finanzielle Verluste und Reputationsschäden
    Datenschutzverletzungen und daraus resultierende Betriebsstörungen können erhebliche finanzielle Einbußen nach sich ziehen und das Vertrauen der Konsumenten in einen Hersteller oder eine Marke dauerhaft beeinträchtigen.

Vor diesen Herausforderungen stehen Unternehmen in der Lebensmittelbranche

Viele Unternehmen der Ernährungs- und Lebensmittelbranche fangen erst unter dem Druck von NIS2 damit an, sich ernsthaft mit dem Thema der Cybersicherheit auseinanderzusetzen. Dabei stehen sie oft vor besonderen Herausforderungen, denn sie müssen nicht nur sich selbst, sondern auch ihre Lieferkette schützen. Dazu gehören unter anderem Transport- und Logistikunternehmen, landwirtschaftliche Betriebe als Lieferanten für Rohstoffe aber auch Technologieanbieter, die den Unternehmen IT-Lösungen zur Verfügung stellen.

Ein weiteres zentrales Element der Cybersicherheit in der Lebensmittelindustrie ist die bereits genannte Sicherheit von industriellen Kontrollsystemen (ICS). Diese Systeme sind grundlegend für viele Prozesse innerhalb der Branche und werden zunehmend Ziel von Cyber-Bedrohungen. Die Folgen einer Kompromittierung dieser Systeme können weitreichend sein, von der Störung der Produktion bis hin zu ernsthaften Sicherheitsrisiken.

Darüber hinaus ist die Integrität der Lebensmittelsicherheitssysteme von enormer Wichtigkeit. Die digitale Überwachung und Kontrolle der Sicherheit von Lebensmitteln muss durch fortlaufende Maßnahmen zur Cybersicherheit gewährleistet werden, um Vertrauen und Compliance zu schaffen und die Gesundheit der Verbraucher zu schützen.

Welche Auswirkungen hat NIS2 auf die Lebensmittelbranche?

In diesem Industriezweig sind vor allem Unternehmen in der Produktion, der Verarbeitung und dem Vertrieb von Lebensmitteln von NIS2 betroffen:

  1. Unternehmen in der Lebensmittelherstellung- und Behandlung
  2. Unternehmen im klassischen Lebensmittelhandel

Für den KRITIS-Sektor sind dabei bestimmte Schwellenwerte definiert. Betriebe fallen unter die KRITIS-Regulierung wie sie pro Jahr 434.500 Tonnen Lebensmittel (außer Getränken) produzieren oder 350 Mio. Liter Getränken mit Ausnahme von Getränken mit einem Alkoholgehalt von mehr als 1,2 Volumenprozent pro Jahr. Mit NIS2 fallen diese Schwellwerte weg.

NIS2 definiert insgesamt vier zentrale Anforderungen an die Unternehmen, die zu einer erhöhten Cyberresilienz beitragen sollen. Im Folgenden finden Sie einen Einblick, wie sich diese Anforderungen speziell auf die Lebensmittelbranche auswirken.

Registrierung bei der zuständigen Behörde

Betroffene Unternehmen bekommen keine offizielle Benachrichtigung darüber, dass sie unter die NIS2-Richtlinie fallen. Sie müssen sich aktiv darüber informieren und sich anschließend proaktiv registrieren. Die Registrierung muss innerhalb von 24h nach Inkrafttreten der NIS2 am 17. Oktober 2024 erfolgen.

Lebensmittelbetriebe benötigen bessere Cybersicherheitsprotokolle

Um den Anforderungen der NIS2-Richtlinie gerecht zu werden, müssen Unternehmen aus der Lebensmittelindustrie neue Cybersicherheitsrichtlinien und -maßnahmen implementieren.

Ein Beispiel:

Ein Unternehmen, das sich auf die Produktion und den Vertrieb von Tiefkühlprodukten spezialisiert hat, muss auf eine strenge Einhaltung der Kühlkette achten. Diese Betriebe müssen ihre Datenüberwachungssysteme in den Kühllagern besonders gut absichern, um zu verhindern, dass Hacker in die Temperaturregelung eingreifen und die Lebensmittelsicherheit gefährden. Auch das Transportunternehmen muss an dieser Stelle entsprechende Sicherheitsmaßnahmen ergreifen.

Lebensmittelbetriebe müssen dabei nicht nur ihre Temperaturkontrollsysteme absichern, sondern auch ihre Netzwerke und IT-Infrastrukturen gegen potenzielle Cyberangriffe schützen. Sie stehen in der Verantwortung, regelmäßige Sicherheitsüberprüfungen und IT-Sicherheitsaudits durchzuführen, geeignete Firewalls und Verschlüsselungstechnologien einzusetzen und ihre Mitarbeiter im Umgang mit diesen Sicherheitssystemen entsprechend zu schulen.

Schutz sensibler Daten in der Lieferkette

Eine besondere Herausforderung für alle NIS2-betroffenen Unternehmen ist die Herstellung der Lieferkettensicherheit. Insbesondere in der Lebensmittelindustrie sind Lieferketten oft komplex. Die NIS2-Richtlinie verlangt einen verstärkten Schutz der Informationsübermittlung zwischen Erzeugern, Versendern und Einzelhändlern.

Eine mögliche Maßnahme zur Sicherstellung der Datenintegrität ist die Implementierung der Blockchain-Technologie. Diese Technologie zeichnet jede Transaktion und jeden Datenaustausch transparent auf, was Manipulationen nahezu unmöglich macht. Außerdem können Produkte entlang der gesamten Lieferkette besser zurückverfolgt werden. So können die Betriebe bei einem Vorfall schnell und ohne Verzögerungen einen Produktrückruf veranlassen.

Lebensmittelunternehmen müssen sicherstellen, dass alle Beteiligten in der Lieferkette auf dem neuesten Stand der Sicherheitstechnologien sind. Nur so kann die Sicherheit der sensiblen Lieferkettendaten garantiert werden.

Schnelle Reaktion bei Sicherheitsvorfällen

Die NIS2-Richtlinie fordert eine schnelle und detaillierte Reaktion auf erhebliche Sicherheitsvorfälle. Innerhalb von 24 Stunden muss eine Frühwarnung mit Verdachtsbeschreibung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen, gefolgt von einer ersten Bewertung des Vorfalls innerhalb von 72 Stunden, die den Schweregrad und die Auswirkungen beschreibt. Nach einem Monat ist ein Abschlussbericht fällig, der die Art der Bedrohung, Ursachen und Abhilfemaßnahmen detailliert darlegt. Diese Anforderungen erhöhen die Reaktionsfähigkeit, Präzision in der Kommunikation und die langfristige Sicherheit in der Lebensmittelproduktion und -verarbeitung.

So können sich Unternehmen der Lebensmittelbranche auf NIS2 vorbereiten

Für die Umsetzung der NIS2-Richtlinie sollten sich betroffene Unternehmen aus dem Lebensmittelsektor einen erfahrenen Partner wie BREKOM suchen. Wir haben uns darauf spezialisiert, mittelständische Betriebe effizient, pünktlich und budgetschonend auf die Einhaltung der NIS2-Richtlinie vorzubereiten. Mit einem erprobten Konzept stellen wir NIS2-Konformität her und begleiten Sie von der Frage der Betroffenheit bis zur NIS2-Umsetzung und dem Betrieb.

Beitrag teilen:

Inhalt

Das könnte Sie auch interessieren:

Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.


Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.

Jetzt anmelden
und auf dem Laufenden bleiben!

Für den Versand unserer Newsletter nutzen wir rapidmail. Mit Ihrer Anmeldung stimmen Sie zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Beachten Sie bitte auch die AGB und Datenschutzbestimmungen.