Ab wann gilt eine Bäckerei als NIS2-pflichtig?

Eine Bäckerei fällt unter NIS2 Anhang II Nr. 5 (Lebensmittelproduktion), sobald sie industrielle Produktionsstruktur und mittlere Unternehmensgröße erfüllt. Industrielle Struktur bedeutet konkret: zentrale Produktion für mehrere Filialen, automatisierte Anlagen oder B2B-Belieferung. Die Größenschwelle (KMU-Empfehlung 2003/361/EG Art. 2) liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Die klassische Handbackstube ohne Filialnetz bleibt außerhalb des Anwendungsbereichs.

Was ist der Unterschied zwischen NIS2 und KRITIS für Bäckereien?

NIS2 (Anhang II Nr. 5) erfasst Bäckereien mit industrieller Struktur ab mittlerer Unternehmensgröße. KRITIS nach BSI-KritisV § 4 Anhang 3 greift erst bei einer Jahresproduktion von über 434.500 Tonnen Backwaren, was faktisch nur die größten Industriebäcker betrifft. NIS2-Pflichten umfassen Risikomanagement, Meldeketten und BSI-Registrierung; KRITIS fügt 24/7-Kontaktstellen und härtere Auditzwänge hinzu. Die meisten Filialbäcker fallen nur unter NIS2, nicht unter KRITIS.

Welche Mitarbeiter- und Umsatzschwellen gelten für die NIS2-Pflicht?

Grundlage ist die KMU-Empfehlung 2003/361/EG Art. 2: Ein mittleres Unternehmen hat 50 bis 249 Mitarbeitende und einen Jahresumsatz von 10 bis 50 Millionen Euro. Ein Großunternehmen hat 250 oder mehr Mitarbeitende oder einen Umsatz über 50 Millionen Euro. Beide Kategorien fallen als Wichtige Einrichtung (mittel) bzw. Wesentliche Einrichtung (groß) unter NIS2. Die Schwellen müssen zwei aufeinanderfolgende Geschäftsjahre überschritten werden.

Welche Bußgelder drohen Bäckereien bei NIS2-Verstößen?

Wichtige Einrichtungen (mittlere Bäckereien) riskieren nach § 65 BSIG-neu Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wesentliche Einrichtungen (große Betriebe) können mit bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes belegt werden. Hinzu kommt persönliche Haftung der Geschäftsleitung nach § 38 BSIG-neu bei nachgewiesenem Organisationsverschulden.

Wann muss sich eine Bäckerei beim BSI registrieren?

Nach § 33 BSIG-neu ist die Registrierung beim BSI innerhalb von drei Monaten nach Feststellen der Betroffenheit verpflichtend. Für Betriebe, die ab Inkrafttreten des BSIG-neu direkt betroffen sind, gilt eine Übergangsfrist von drei Monaten ab dem Geltungsdatum. Die Registrierung erfolgt über das BSI-Portal und umfasst Kontaktdaten, Sektorangabe und eine Erklärung zur Einrichtungskategorie.

Was bedeuten die Lieferketten-Pflichten für eine Bäckerei konkret?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Sicherheit in der Lieferkette: Bäckereien müssen Cybersicherheitsanforderungen an Lieferanten stellen, Verträge mit Mehl- und Zutatenproduzenten prüfen und kritische Zulieferer einer Risikobeurteilung unterziehen. In der Praxis bedeutet das: schriftliche Sicherheitsanforderungen in Einkaufsverträge aufnehmen und regelmäßige Lieferantenaudits für IT-verknüpfte Bezugsquellen (z. B. ERP-Anbieter, Logistiksoftware) durchführen.

Haften Geschäftsführer einer Bäckerei persönlich bei NIS2-Verstößen?

Ja. § 38 BSIG-neu verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und sich aktiv schulen zu lassen. Bei nachgewiesenem Organisationsverschulden kann die persönliche Haftung greifen; eine Enthaftung durch D&O-Versicherung ist nicht automatisch gegeben. Geschäftsführer sollten einen Nachweis über Beschlussfassung und Schulungsteilnahme dokumentieren.

Gilt NIS2 auch für Bäckerei-Franchisesysteme?

Für Franchisesysteme ist die wirtschaftliche Einheit entscheidend: Wenn der Franchisegeber zentrale IT-Systeme (Kassensoftware, ERP, Bestellplattform) betreibt, die alle Filialen einschließen, ist die Gesamtgröße des Systems für die Schwellenberechnung relevant. Rechtlich maßgeblich ist die KMU-Verbunddefinition in 2003/361/EG Art. 3: verbundene Unternehmen addieren ihre Mitarbeiterzahlen und Umsätze. Bei unklarer Einordnung empfiehlt sich eine anwaltliche Prüfung der Konzernstruktur.

Branchengenauer Self-Check

Ist meine Bäckerei von NIS2 betroffen?

Standard-Checker sagen 'Handwerk = raus'. Für Filialbetriebe mit zentraler Produktion stimmt das nicht.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Backstube beliefert mehrere VerkaufsstellenEine Produktionsstätte produziert für 2+ Filialen, Verkaufswagen, Standkonzepte o. Ä.Mechanisierte / automatisierte ProduktionIndustrieöfen, automatische Teigteiler/Knetanlagen, Gärroboter, Tunnelöfen, LinienproduktionBelieferung externer Abnehmer (B2B)Großhandel, Supermärkte, Gastronomie, Kantinen, Schulen, Krankenhäuser, andere BäckereienJahresproduktion über 1.000 Tonnen BackwarenIndikator für Produktionsdimension oberhalb einer klassischen Handbackstube

Schritt 2 / 2

Unternehmensgröße

Bäckerei: Der vollständige NIS2-Leitfaden

NIS2 betrifft nicht jede Bäckerei, aber viele Filialbetriebe mit zentraler Produktion sind betroffen - und wissen es nicht. Dieser Leitfaden erklärt, wer unter NIS2 fällt, welche Pflichten gelten und was du konkret tun musst. Er richtet sich an Inhaber, Geschäftsführer und IT-Verantwortliche in Backwarenbetrieben mit mehr als einem Produktionsstandort oder nennenswertem B2B-Geschäft.

Wer ist betroffen?

Bäckereien fallen unter NIS2-Anhang II Nr. 5 (Ernährung), wenn sie die KMU-Schwellen aus der EU-Empfehlung 2003/361/EG Art. 2 überschreiten: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz. Das Handwerk schützt nicht pauschal. Wer als "Hersteller von Backwaren" im Sinne der NACE-Klassifikation (C.10.7) tätig ist und die Schwelle erreicht, ist Wichtige Einrichtung nach § 28 Abs. 1 BSIG-neu.

Besonderheit: Wer in der Lebensmittelversorgung als Zulieferer für öffentliche Einrichtungen (Schulen, Krankenhäuser, Kantinen) tätig ist und dabei die KRITIS-Schwelle von 434.500 t/a Getreide-Äquivalent in der Lebensmittelproduktion erreicht, fällt in den KRITIS-Bereich und ist damit Wesentliche Einrichtung.

Ein Filialbetrieb mit 80 Mitarbeitenden und 15 Mio. EUR Umsatz, der zentral produziert und B2B an Kantinen liefert, ist mit hoher Wahrscheinlichkeit Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu listet sieben technisch-organisatorische Maßnahmen, die du umsetzen musst:

Risikoanalyse und -management: Du musst die IT-Risiken deiner zentralen Produktion und Filialvernetzung systematisch erfassen. Das umfasst ERP, Kassensysteme, Bestellplattformen und Backofensteuerung.
Incident Handling: Sicherheitsvorfälle müssen erkannt, dokumentiert und nach einem festen Prozess behandelt werden. Ein Ausfall des Zentralsystems muss als Incident klassifizierbar sein.
Business Continuity: Ein Notfallplan muss definieren, wie die Produktion bei IT-Ausfall weiterläuft. Manuelle Rückfallprozesse für Bestellwesen und Lieferplanung sind dokumentiert zu beschreiben.
Supply-Chain-Sicherheit: Deine Lieferanten (Mehl, Verpackung, Logistik-Software) müssen hinsichtlich ihrer Sicherheitsstandards bewertet werden. Vertragsklauseln zu Mindestanforderungen sind nach § 30 Abs. 2 Nr. 4 BSIG-neu erforderlich.
Zugangskontrolle und MFA: Der Zugang zu Unternehmensanwendungen und -netzwerken muss durch starke Authentifizierung gesichert sein. Filialzugänge per Passwort allein genügen nicht mehr.
Verschlüsselung: Kundendaten, Bestelldaten und Lieferantenkommunikation müssen in der Übertragung und im Ruhezustand verschlüsselt sein.
Schulung und Awareness: Mitarbeitende, die IT-Systeme bedienen, müssen regelmäßig zu Cybersicherheit geschult werden. Das gilt auch für Filialleiter.

Fristen und Meldepflichten

Die Registrierung beim BSI muss binnen drei Monaten nach Bekanntwerden der eigenen Betroffenheit erfolgen (§ 33 BSIG-neu). Das BSI hat eine Online-Plattform angekündigt; bis zum Start gilt die manuelle Meldung.

Für Sicherheitsvorfälle gilt die Meldekette nach § 32 BSIG-neu: innerhalb von 24 Stunden eine Erstmeldung ("Early Warning"), innerhalb von 72 Stunden eine vollständige Meldung, innerhalb von 30 Tagen ein Abschlussbericht. Ein Ausfall des Kassensystems durch einen Ransomware-Angriff muss, wenn er mehr als 10 % der Filialkapazität betrifft, innerhalb von 24 Stunden gemeldet werden.

Die NIS2-Pflichten nach BSIG-neu sind ab Inkrafttreten des deutschen Umsetzungsgesetzes bindend. Das Gesetz befindet sich im Gesetzgebungsverfahren; mit Inkrafttreten ist im Laufe von 2025 zu rechnen.

Bußgelder und persönliche Haftung

Verstöße gegen NIS2 sind empfindlich sanktioniert. Für Wichtige Einrichtungen (Anhang II) gilt: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem was höher ist. Für Wesentliche Einrichtungen (Anhang I) gilt: bis zu 10 Mio. EUR oder 2 % des Umsatzes.

Entscheidend: § 38 BSIG-neu führt die persönliche Haftung der Geschäftsleitung ein. Geschäftsführer haften mit ihrem Privatvermögen, wenn sie die Erfüllung von NIS2-Pflichten schuldhaft versäumen. Eine Enthaftung durch Delegation ist nur möglich, wenn die Delegation dokumentiert und die delegierte Person fachlich geeignet ist.

KRITIS-Schwelle für Bäckereien: wer erreicht 434.500 t/a?

Die KRITIS-Schwelle in der Lebensmittelversorgung liegt bei 434.500 t/a verarbeiteter Lebensmittel in Getreide-Äquivalenten gemäß BSI-KritisV Anlage 6. Diese Schwelle ist für industrielle Backwarenhersteller relevant, nicht für Handwerksbetriebe.

Wer zentral Tiefkühlrohteige, Backwaren für Handelsketten oder B2B-Großmengen produziert, sollte die eigene Produktionsmenge gegen diesen Wert prüfen. Zum Vergleich: Ein mittelgroßer Industriebäcker mit 300 Mitarbeitenden und 2-3 Produktionslinien kann diese Schwelle erreichen.

Auch die B2B-Lieferkette zählt: Wer Schulen, Krankenhäuser oder Betriebskantinen beliefert, ist Teil der kritischen Versorgungskette. Das BSI wertet die Gesamtmenge über alle Abnehmer, nicht pro Kunde.

Erste Schritte

Prüfe Mitarbeiterzahl und Jahresumsatz gegen die KMU-Schwellen. Wenn du über 50 Mitarbeitende oder 10 Mio. EUR Umsatz liegst, bist du wahrscheinlich betroffen.
Kläre deinen NACE-Code: Bist du als Hersteller (C.10.7) oder als Handwerk eingestuft? Handwerksrolle allein schützt bei zentraler Industrieproduktion nicht.
Berechne deine jährliche Produktionsmenge in Tonnen. Liegt sie in der Nähe von 434.500 t/a, hole Rechtsrat ein zur KRITIS-Einordnung.
Erstelle ein Inventar aller IT-Systeme: ERP, Kassensysteme, Backofen-Steuerungen, Bestellportale, Lager-Logistik.
Führe eine erste Risikoanalyse durch. Welche Systeme sind geschäftskritisch? Was passiert bei Ausfall?
Identifiziere deinen wichtigsten IT-Lieferanten und prüfe seine Sicherheitsnachweise.
Registriere dich beim BSI sobald das Online-Portal verfügbar ist.

Typische Fehler vermeiden

"Handwerksrolle schützt vor NIS2": Das stimmt nur für echte Kleinstbetriebe ohne zentrale Industrieproduktion. Wer eine oder mehrere vollautomatisierte Produktionslinien betreibt, ist kein Handwerksbetrieb im NIS2-Sinne.

B2B-Belieferung von Schulen und Krankenhäusern wird übersehen: Diese Abnehmer zählen bei der KRITIS-Schwellenberechnung mit. Wer 30 % seines Umsatzes mit öffentlichen Einrichtungen macht, ist potenziell Teil kritischer Versorgungsinfrastruktur.

IT-Sicherheit wird nur auf Büro-IT reduziert: Backofen-Steuerungen, Kühlhaus-Monitoring und Produktionslinien-Software sind ebenso relevant. Die OT/IT-Grenze muss in der Risikoanalyse berücksichtigt werden.

Fristen werden unterschätzt: Viele Unternehmen beginnen erst mit der Umsetzung, wenn die Fristen bereits laufen. Die 3-Monats-Frist zur BSI-Registrierung beginnt ab Betroffenheit, nicht ab Gesetzesinkrafttreten.

Nutze den branchengenauen NIS2-Rechner für Bäckereien, um deine individuelle Betroffenheit in wenigen Minuten zu ermitteln.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist meine Bäckerei von NIS2 betroffen?

Bäckerei: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

KRITIS-Schwelle für Bäckereien: wer erreicht 434.500 t/a?

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt eine Bäckerei als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Bäckereien?

03Welche Mitarbeiter- und Umsatzschwellen gelten für die NIS2-Pflicht?

04Welche Bußgelder drohen Bäckereien bei NIS2-Verstößen?

05Wann muss sich eine Bäckerei beim BSI registrieren?

06Was bedeuten die Lieferketten-Pflichten für eine Bäckerei konkret?

07Haften Geschäftsführer einer Bäckerei persönlich bei NIS2-Verstößen?

08Gilt NIS2 auch für Bäckerei-Franchisesysteme?