Ab wann gilt eine Brauerei als NIS2-pflichtig?

Eine Brauerei fällt unter NIS2 Anhang II Nr. 5 (Lebensmittelproduktion), wenn sie industrielle Produktionsstruktur und mittlere Unternehmensgröße nach KMU-Empfehlung 2003/361/EG Art. 2 erfüllt. Die Mindestgröße liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Craft-Brauereien mit Jahresausstoß unter 5.000 Hektolitern und ausschließlich direktem Endkundenverkauf sind regelmäßig nicht erfasst.

Was ist der Unterschied zwischen NIS2 und KRITIS für Brauereien?

NIS2 Anhang II Nr. 5 greift für mittlere und große Brauereien mit industrieller Struktur. KRITIS nach BSI-KritisV § 4 Anhang 3 verlangt im Ernährungssektor eine Jahresproduktion von über 434.500 Tonnen; dieser Schwellenwert ist für alle deutschen Brauereien faktisch unerreichbar. Brauereien fallen daher, wenn überhaupt, nur unter NIS2, nicht unter KRITIS.

Welche Größenschwellen gelten für NIS2 im Brauereibereich?

Wichtige Einrichtungen sind mittlere Unternehmen: 50 bis 249 Mitarbeitende oder Jahresumsatz von 10 bis 50 Millionen Euro (KMU-Empfehlung 2003/361/EG Art. 2). Wesentliche Einrichtungen sind Großunternehmen: 250 oder mehr Mitarbeitende oder Umsatz über 50 Millionen Euro. Beide Schwellen müssen zwei aufeinanderfolgende Geschäftsjahre überschritten werden, um Betroffenheit auszulösen.

Welche Bußgelder drohen Brauereien bei NIS2-Verstößen?

Für Wichtige Einrichtungen (mittlere Brauereien) sieht § 65 BSIG-neu Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Brauereien) können mit bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes belegt werden. Geschäftsleitungen haften nach § 38 BSIG-neu persönlich, wenn Organisationspflichten nachweislich verletzt wurden.

Was bedeuten Lieferketten-Pflichten nach NIS2 für Brauereien?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet Brauereien, Cybersicherheitsanforderungen an wesentliche Lieferanten zu stellen. Im Brauereibereich betrifft das vor allem Zulieferer von Brautechnik-Software, ERP-Systemen, Abfüll- und Etikettierautomaten sowie Kühllogistik. Verträge mit diesen Partnern sollten eine Sicherheitsklausel und ein Recht auf Audit enthalten.

Wann muss sich eine Brauerei beim BSI registrieren?

Die Registrierungspflicht entsteht nach § 33 BSIG-neu innerhalb von drei Monaten, nachdem der Betrieb festgestellt hat, dass er als Wichtige oder Wesentliche Einrichtung gilt. Die Registrierung erfolgt elektronisch über das BSI-Meldeportal mit Angaben zu Sektorenklassifikation, Kontaktstelle und Einrichtungskategorie.

Haften Geschäftsführer einer Brauerei persönlich für NIS2-Compliance?

Ja. § 38 BSIG-neu verlangt, dass die Geschäftsleitung Risikomanagementmaßnahmen billigt, überwacht und an Schulungen teilnimmt. Bei schuldhafter Vernachlässigung dieser Pflichten kann eine persönliche Haftung entstehen, die nicht vollständig durch D&O-Versicherungen gedeckt sein muss. Brauereien sollten Beschlüsse, Schulungsnachweise und Umsetzungsdokumentation revisionssicher archivieren.

Gilt NIS2 auch für Lizenzbrauereien oder Lohnbrauer?

Entscheidend ist die wirtschaftliche und operative Kontrolle über die Produktion. Ein Lohnbrauer, der im Auftrag Dritter produziert und dabei eigene IT-Systeme (Brauereisteuerung, ERP) betreibt, kann als eigenständige Einrichtung unter NIS2 fallen, sofern die Größenschwellen erreicht sind. Lizenzbrauereien, die fremde Marken produzieren, sind nach denselben Kriterien zu beurteilen wie klassische Industriebrauereien.

Branchengenauer Self-Check

Ist meine Brauerei von NIS2 betroffen?

Craft-Brauerei, Regional-Brauerei, Gasthausbrauerei, Konzernbrauerei: Die NIS2-Einordnung hängt an Produktionsstruktur und Größe, nicht am Handwerksbegriff.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Brauerei / Abfüllung beliefert mehrere AbnehmerEine Produktionsstätte versorgt Handel, Gastronomie, andere AbnehmerAutomatisierte Sudhäuser und AbfüllanlagenLäuterbottiche, Gärtanks, Abfüllstraßen, Reinigungsautomatisierung (CIP)B2B-Belieferung externer AbnehmerGetränkefachgroßhandel, Lebensmitteleinzelhandel, Gastronomie, ExportJahresproduktion über 1.000 t bzw. 10.000 hl GetränkeIndikator für industrielle Brauproduktion (hl = Hektoliter)

Schritt 2 / 2

Unternehmensgröße

Brauerei: Der vollständige NIS2-Leitfaden

Brauereien mit mehr als 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz sind als Lebensmittelhersteller nach NIS2-Anhang II Nr. 5 potenziell betroffen. Besonders relevant ist NIS2 für Brauereien mit stark automatisierten Sudhäusern und vernetzten Abfüllanlagen, weil IT-Ausfälle dort direkt die Produktion stoppen. Dieser Leitfaden richtet sich an Braumeister, Geschäftsführer und IT-Verantwortliche, die Klarheit über ihre NIS2-Pflichten brauchen.

Wer ist betroffen?

Brauereien fallen unter NIS2-Anhang II Nr. 5 (Ernährung, NACE C.11 Getränkeherstellung), wenn sie die KMU-Schwellen der EU-Empfehlung 2003/361/EG Art. 2 überschreiten: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz. Craft-Brauereien unter diesen Schwellen sind ausgenommen.

Wer die KRITIS-Schwelle nach BSI-KritisV für Lebensmittelversorgung erreicht (434.500 t/a Getränke-Äquivalent), ist Wesentliche Einrichtung nach NIS2-Anhang I. Das betrifft in der Praxis Großbrauereien mit nationalem Vertrieb.

Eine mittelgroße Brauerei mit 120 Mitarbeitenden, vollautomatisiertem Sudhaus und eigenem Logistik-ERP liegt klar über den Schwellen und ist Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu definiert sieben Pflichtbereiche, die du für deine Brauerei umsetzen musst:

Risikoanalyse und -management: Brauereisteuerungen (Sudhaus-Automatisierung, Gärkeller-Klimatisierung, Abfülllinien) und deren Vernetzung mit dem IT-Netzwerk müssen in die Risikoanalyse einbezogen werden.
Incident Handling: Vorfälle im OT-Bereich (Produktionsausfall durch Steuerungsausfall) und im IT-Bereich (ERP-Ausfall, E-Mail-Kompromittierung) müssen gleichermaßen behandelt werden.
Business Continuity: Was passiert, wenn das Sudhaus-Leitsystem ausfällt? Ein dokumentierter Notfallplan mit manuellen Rückfallprozessen ist Pflicht.
Supply-Chain-Sicherheit: Zutatenlieferanten (Malz, Hopfen), Verpackungslieferanten und Software-Dienstleister (ERP, MES) müssen auf Sicherheitsstandards bewertet werden. Verträge müssen § 30 Abs. 2 Nr. 4 BSIG-neu berücksichtigen.
Zugangskontrolle und MFA: Zugang zu Produktions-IT, ERP und externen Diensten muss durch MFA gesichert sein. Remote-Zugriffe von Servicetechnikern auf Produktionsanlagen sind besonders zu sichern.
Verschlüsselung: Geschäftsdaten, Rezepturen und Kundendaten müssen verschlüsselt gespeichert und übertragen werden.
Schulung und Awareness: Brauereitechniker und Verwaltungsmitarbeitende müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

Die BSI-Registrierung muss nach § 33 BSIG-neu binnen drei Monaten nach Betroffenheit erfolgen. Für Sicherheitsvorfälle gilt nach § 32 BSIG-neu: Erstmeldung innerhalb 24 Stunden, vollständige Meldung innerhalb 72 Stunden, Abschlussbericht innerhalb 30 Tage.

Ein Cyberangriff, der die Abfüllanlage stilllegt und die Lieferfähigkeit für mehr als 24 Stunden beeinträchtigt, ist meldepflichtig. Der Ausfall muss in der Erstmeldung auch dann angezeigt werden, wenn der Angriff noch läuft.

Bußgelder und persönliche Haftung

Für Wichtige Einrichtungen (Anhang II): bis 7 Mio. EUR oder 1,4 % des Jahresumsatzes. Für Wesentliche Einrichtungen (Anhang I): bis 10 Mio. EUR oder 2 % des Umsatzes.

§ 38 BSIG-neu begründet die persönliche Haftung der Geschäftsleitung. Geschäftsführer können mit ihrem Privatvermögen haften, wenn sie NIS2-Pflichten schuldhaft vernachlässigen. In Familienbrauereien, wo Eigentümer gleichzeitig Geschäftsführer sind, ist das besonders relevant.

Automatisierte Sudhaus- und Abfüllanlagen: IT/OT-Sicherheit in Brauereien

Moderne Brauereien verbinden OT und IT eng. Die Sudhaus-Automatisierung (SPS/SCADA-Systeme, Prozessleitsysteme) ist über Netzwerke mit dem ERP verbunden. Diese Verbindung ist ein Angriffsvektor, der in vielen NIS2-Analysen unterschätzt wird.

Konkrete Risiken: Ein Angreifer, der ins Büronetzwerk einbricht (z.B. per Phishing), kann über schlecht segmentierte Netzwerke in die Produktionssteuerung gelangen. Ein Stopp der Abfüllanlage durch Ransomware bedeutet in einer Brauerei: kein Ausstoß, verderbliche Halbfertigprodukte, Lieferausfälle.

Was § 30 BSIG-neu dazu verlangt: Netzwerksegmentierung zwischen OT und IT, dokumentierte Zugriffskonzepte für Fernwartung, regelmäßige Sicherheitsüberprüfungen der Steuerungssoftware. Die Fernwartungszugänge von Anlagenherstellern (z.B. Krones, GEA) müssen explizit im Sicherheitskonzept adressiert sein und durch VPN mit MFA abgesichert werden.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR bedeutet: wahrscheinlich Wichtige Einrichtung.
Erstelle ein vollständiges Inventar aller vernetzten Systeme: Sudhaus-Steuerung, Gärkeller, Abfülllinie, Kühlsysteme, ERP, WMS.
Prüfe alle Fernwartungszugänge. Welche Lieferanten greifen remote auf deine Anlagen zu? Sind diese Zugänge mit VPN und MFA gesichert?
Führe eine Netzwerksegmentierungsanalyse durch: Sind OT-Netzwerke vom Office-Netzwerk getrennt?
Erstelle einen Notfallplan für Produktionsausfall durch IT-Störung. Wer entscheidet? Was sind die manuellen Rückfallprozesse?
Bewerte deine kritischsten IT-Lieferanten nach Sicherheitsstandards.
Registriere dich beim BSI.

Typische Fehler vermeiden

OT-Systeme aus dem Scope ausklammern: Sudhaus-Steuerungen und Abfüllanlagen-Software sind NIS2-relevant, wenn sie mit dem Unternehmensnetzwerk verbunden sind. Sie gehören in die Risikoanalyse.

Fernwartungszugänge vergessen: Servicetechniker von Anlagenherstellern greifen oft über schlecht dokumentierte Zugänge auf Produktionsanlagen zu. Diese Zugänge sind häufig nicht MFA-gesichert.

Rezepturdaten als nicht-schützenswert eingestuft: Braurezepturen sind Geschäftsgeheimnisse. Ihr Diebstahl ist ein Sicherheitsvorfall, der unter NIS2 meldepflichtig sein kann.

Mittelgroße Brauereien nehmen sich selbst nicht ernst: "Wir sind zu klein für Cyberangriffe" ist ein verbreiteter Irrtum. Brauereien werden gezielt angegriffen, weil zeitkritische Produktionsprozesse Lösegeld-Zahlungen wahrscheinlicher machen.

Nutze den branchengenauen NIS2-Rechner für Brauereien, um deine Betroffenheit schnell zu prüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist meine Brauerei von NIS2 betroffen?

Brauerei: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Automatisierte Sudhaus- und Abfüllanlagen: IT/OT-Sicherheit in Brauereien

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt eine Brauerei als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Brauereien?

03Welche Größenschwellen gelten für NIS2 im Brauereibereich?

04Welche Bußgelder drohen Brauereien bei NIS2-Verstößen?

05Was bedeuten Lieferketten-Pflichten nach NIS2 für Brauereien?

06Wann muss sich eine Brauerei beim BSI registrieren?

07Haften Geschäftsführer einer Brauerei persönlich für NIS2-Compliance?

08Gilt NIS2 auch für Lizenzbrauereien oder Lohnbrauer?