Ab wann gilt ein Fleischverarbeitungsbetrieb als NIS2-pflichtig?

Fleischverarbeitungsbetriebe fallen unter NIS2 Anhang II Nr. 5, sobald sie industrielle Verarbeitungsstruktur und die Größenschwelle von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz (KMU-Empfehlung 2003/361/EG Art. 2) erfüllen. Industrielle Verarbeitung liegt vor bei Einsatz automatisierter Zerlegebänder, zentralen Kühlhaussystemen oder HACCP-gestützten IT-Systemen im Betrieb. Traditionelle Metzgereien ohne überregionale Produktion sind in der Regel nicht erfasst.

Wann wird ein Fleischbetrieb zum KRITIS-Betreiber?

KRITIS nach BSI-KritisV § 4 Anhang 3 greift im Ernährungssektor ab einer Jahresverarbeitungsmenge von 434.500 Tonnen. Dieser Schwellenwert ist in Deutschland nur von wenigen Großbetrieben (z. B. Tönnies, Westfleisch) erreichbar. Unterhalb dieser Schwelle gelten ausschließlich die NIS2-Pflichten, nicht die zusätzlichen KRITIS-Anforderungen wie 24/7-Kontaktstelle und verpflichtende Zertifizierungen.

Welche Bußgelder drohen bei NIS2-Verstößen in der Fleischverarbeitung?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Betriebe) Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (Großbetriebe) können mit bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes belegt werden. Zusätzlich kann die persönliche Haftung der Geschäftsleitung nach § 38 BSIG-neu greifen.

Wie wirken sich NIS2-Lieferkettenpflichten auf Fleischproduzenten aus?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Sicherheit in der gesamten Lieferkette. Für Fleischbetriebe bedeutet das: Sicherheitsanforderungen an Schlachthof-Management-Software, Kühlkettensysteme, ERP-Anbieter und Logistikpartner. Verträge mit diesen Partnern müssen Cybersicherheitsklauseln enthalten, und kritische Zulieferer sind regelmäßig zu auditieren.

Müssen fleischverarbeitende Betriebe HACCP-Systeme NIS2-konform schützen?

Ja. HACCP-gestützte Produktionskontrollsysteme gelten als kritische OT/IT-Infrastruktur im Sinne von § 30 BSIG-neu. Die Schutzpflichten umfassen Netzwerksegmentierung zwischen OT und IT, Patch-Management für SPS und Steuerungsrechner sowie Backup-Konzepte für HACCP-Protokolldaten. Bei Cyberangriffen auf diese Systeme besteht eine 24-Stunden-Erstmeldepflicht nach § 32 BSIG-neu.

Wann muss sich ein Fleischverarbeitungsbetrieb beim BSI registrieren?

Die Registrierungspflicht nach § 33 BSIG-neu entsteht innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Maßgeblich ist der Zeitpunkt, zu dem alle Kriterien (Sektor, Größe, Produktionsstruktur) erfüllt sind. Die Registrierung erfolgt über das elektronische BSI-Meldeportal mit Angaben zu Einrichtungskategorie, Sektor und benannter Kontaktstelle.

Haften Geschäftsführer in der Fleischverarbeitung persönlich für NIS2?

§ 38 BSIG-neu verpflichtet die Geschäftsleitung explizit zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Verstöße gegen diese Organisationspflichten können zu persönlicher Haftung führen. Empfohlen wird: jährlicher Beschluss der Geschäftsleitung zu Risikomanagementmaßnahmen, dokumentierte Schulungsteilnahme und ein internes Compliance-Audit.

Branchengenauer Self-Check

Ist mein Fleischbetrieb von NIS2 betroffen?

Handwerksfleischer, Filialbetriebe, Zerlegebetriebe: Standard-Checker treffen die Grauzone nicht. Dieser Rechner schon.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Fleischverarbeitung beliefert mehrere VerkaufsstellenEine Produktionsstätte produziert für 2+ Filialen, Lieferservices, MärkteAutomatisierte Schlacht-, Zerlege- oder VerarbeitungslinienZerlegeanlagen, Wurstlinien, automatisierte Verpackung, KühlkammernB2B-Belieferung externer AbnehmerSupermärkte, Gastronomie, Kantinen, andere Fleischereien, Großhandel, KlinikenJahresproduktion über 1.000 t Fleisch-/WurstwarenIndikator für Produktionsdimension oberhalb eines Handwerksbetriebs

Schritt 2 / 2

Unternehmensgröße

Fleischverarbeitung: Der vollständige NIS2-Leitfaden

Fleischverarbeitende Betriebe sind als Lebensmittelhersteller nach NIS2-Anhang II Nr. 5 betroffen, sobald sie 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz überschreiten. Wegen der engen IT-Abhängigkeit von Schlachtlinien, Zerlegebetrieben und Kühllogistik ist NIS2-Compliance hier keine bürokratische Übung, sondern kritische Betriebssicherheit. Dieser Leitfaden richtet sich an Betriebsleiter, Geschäftsführer und IT-Verantwortliche in der Fleischwirtschaft.

Wer ist betroffen?

Schlachtbetriebe und Fleischverarbeiter fallen unter NIS2-Anhang II Nr. 5 (Ernährung, NACE C.10.1) wenn sie die KMU-Schwellen aus EU-Empfehlung 2003/361/EG Art. 2 überschreiten. Die Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz.

Großschlachtbetriebe mit mehr als 250 Mitarbeitenden und über 50 Mio. EUR Umsatz sind Wesentliche Einrichtung nach Anhang I, wenn sie die KRITIS-Schwelle nach BSI-KritisV erreichen. Diese liegt im Bereich Schlachttiere bei ca. 1,5 Mio. Rinder-Äquivalenten pro Jahr; die genauen Werte sind in der BSI-KritisV Anlage 6 festgelegt.

Ein Betrieb mit 150 Mitarbeitenden, einer Zerlegelinie und eigenem Versand an Lebensmitteleinzelhandel überschreitet die NIS2-Schwelle und ist Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu nennt sieben Pflichtkategorien, die in der Fleischverarbeitung besonders stark durch OT/IT-Überschneidungen geprägt sind:

Risikoanalyse und -management: Schlachtlinien-Steuerung, Kühlhaus-Monitoring, Zerlegeband-Automatisierung und Logistik-IT müssen in die Risikobewertung einbezogen werden.
Incident Handling: Ein Ausfall der Betäubungsanlagen-Steuerung oder des Kühlhaus-Alarms ist ein Vorfall im NIS2-Sinne. Melde- und Eskalationswege müssen klar sein.
Business Continuity: Fleischverarbeitung ist zeitkritisch - ein Produktionsstillstand von mehr als wenigen Stunden bedeutet Verderb. Ein detaillierter BCP mit alternativen Prozessen und Kommunikationsplänen ist Pflicht.
Supply-Chain-Sicherheit: Lieferanten von Tiertransport-IT, Schlachttechnik, MES und ERP müssen Sicherheitsnachweise vorlegen. § 30 Abs. 2 Nr. 4 BSIG-neu verlangt Vertragsklauseln.
Zugangskontrolle und MFA: Zugang zu Produktionssystemen und Unternehmens-IT muss durch MFA gesichert sein. Insbesondere Fernwartung von Anlagenherstellern ist abzusichern.
Verschlüsselung: Lieferanten- und Kundendaten, Schlachtnachweise und Rückverfolgungsdaten müssen verschlüsselt gespeichert sein.
Schulung und Awareness: Schichtführer, IT-Mitarbeitende und Verwaltung müssen regelmäßig zum Thema Cybersicherheit sensibilisiert werden.

Fristen und Meldepflichten

Registrierung beim BSI nach § 33 BSIG-neu: binnen drei Monaten. Für Sicherheitsvorfälle gilt § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Ransomware-Angriff auf die Schlachtlinien-Steuerung, der die Produktion für mehr als 12 Stunden unterbricht, ist meldepflichtiger erheblicher Vorfall. Auch ein Kühlhaus-Ausfall durch Cyberangriff fällt darunter, wenn er die Lebensmittelsicherheit beeinträchtigt.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Geschäftsführer haften persönlich für das schuldhaft verursachte Ausbleiben von NIS2-Maßnahmen. In Kombination mit potentiellen Produkthaftungsansprüchen bei verdorbenen Lebensmitteln (z.B. durch ausgefallene Kühlkette) kann das existenzielle Folgen haben.

Schlacht- und Zerlegelinien: warum IT-Resilienz so kritisch ist

Die Fleischverarbeitung ist von allen Lebensmittelbranchen am stärksten durch IT-Ausfälle bedroht: Die Prozesse sind zeitgebunden (Hygiene, Kühlkette), hochautomatisiert und schlecht auf manuelle Fallbacks vorbereitet.

Ein Beispiel: JBS, der weltgrößte Fleischverarbeiter, zahlte 2021 11 Mio. USD Lösegeld nach einem Ransomware-Angriff. In Deutschland betreffen solche Angriffe auch mittelgroße Betriebe. Ein Ausfall der Zerlegelinie über 8 Stunden bedeutet: verderbliche Halbfertigware, Lieferpflichtverletzungen gegenüber Handelskunden, und mögliche Rückrufaktionen bei Temperaturdifferenzen.

Was NIS2 konkret verlangt: Netzwerksegmentierung, damit ein Büro-IT-Angriff nicht auf Produktionssysteme durchschlägt; regelmäßige Backups der Produktionskonfigurationen; getestete Wiederherstellungsprozeduren für Schlachtlinien-Software; und ein klares Eskalationsprotokoll bei Vorfällen.

Erste Schritte

Prüfe Mitarbeiterzahl und Umsatz gegen die KMU-Schwellen.
Kartiere alle vernetzten Systeme: Schlachtlinien-Steuerung, Zerlegeband, Kühlhaus-Monitoring, MES, ERP, Rückverfolgungssoftware.
Analysiere die Fernwartungszugänge von Anlagenherstellern (z.B. Henny Penny, Stork).
Stelle sicher, dass OT-Netzwerke vom Office-Netzwerk getrennt sind.
Erstelle einen Notfallplan speziell für den IT-Ausfall während laufender Produktion.
Dokumentiere Lieferantenverträge im Hinblick auf § 30 Abs. 2 Nr. 4 BSIG-neu.
Registriere dich beim BSI.

Typische Fehler vermeiden

IT-Ausfallplanung ignoriert Produktionszeit: Ein Notfallplan der nicht berücksichtigt, was nach 4 Stunden Produktionsstillstand mit hängendem Halbfertigprodukt passiert, ist unvollständig.

Rückverfolgungssysteme nicht als kritisch eingestuft: QS-Systeme und Herkunftsnachweise sind regulatorisch kritisch. Ihr Ausfall ist meldepflichtig.

Schlachtbetrieb und Verarbeitung getrennt bewertet: Wenn Schlachtung und Zerlegung im selben Unternehmen, aber auf verschiedenen IT-Systemen laufen, muss beides in die Gesamtrisikobetrachtung einfließen.

Kühlketten-Monitoring nicht als IT-Sicherheitsthema erkannt: Sensor-Infrastruktur für Temperaturen ist IT. Ihr Ausfall ist ein Sicherheitsvorfall mit lebensmittelrechtlichen Konsequenzen.

Nutze den branchengenauen NIS2-Rechner für Fleischverarbeitung, um deine Betroffenheit zu bestimmen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Fleischbetrieb von NIS2 betroffen?

Fleischverarbeitung: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Schlacht- und Zerlegelinien: warum IT-Resilienz so kritisch ist

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Fleischverarbeitungsbetrieb als NIS2-pflichtig?

02Wann wird ein Fleischbetrieb zum KRITIS-Betreiber?

03Welche Bußgelder drohen bei NIS2-Verstößen in der Fleischverarbeitung?

04Wie wirken sich NIS2-Lieferkettenpflichten auf Fleischproduzenten aus?

05Müssen fleischverarbeitende Betriebe HACCP-Systeme NIS2-konform schützen?

06Wann muss sich ein Fleischverarbeitungsbetrieb beim BSI registrieren?

07Haften Geschäftsführer in der Fleischverarbeitung persönlich für NIS2?