Ab wann gilt eine Molkerei als NIS2-pflichtig?

Eine Molkerei fällt unter NIS2 Anhang II Nr. 5 (Lebensmittelproduktion), sobald sie industrielle Verarbeitungsstruktur und mittlere Unternehmensgröße nach KMU-Empfehlung 2003/361/EG Art. 2 erfüllt. Industrielle Struktur umfasst automatisierte Pasteurisierungs- oder UHT-Anlagen, zentrale Kühlkettensysteme und B2B-Lieferungen an Lebensmitteleinzelhandel oder Großküchen. Die Größenschwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.

Was ist der Unterschied zwischen NIS2 und KRITIS für Molkereien?

NIS2 Anhang II Nr. 5 gilt für mittlere und große Molkereien mit industrieller Struktur. KRITIS nach BSI-KritisV § 4 Anhang 3 greift im Ernährungssektor erst ab 434.500 Tonnen Jahresverarbeitungsmenge; diesen Schwellenwert erreichen in Deutschland nur die größten Milchverarbeiter wie Arla, DMK oder Müller. Molkereien unterhalb dieser Schwelle unterliegen allein NIS2.

Welche Bußgelder drohen Molkereien bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Molkereien) Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Molkereien, Konzerne) können mit bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes belegt werden. Persönliche Haftung der Geschäftsleitung folgt aus § 38 BSIG-neu.

Wie sind Prozessleitsysteme in Molkereien unter NIS2 zu schützen?

Pasteurisierungs- und CIP-Steuerungsanlagen (Cleaning-in-Place) gelten als kritische OT-Infrastruktur nach § 30 BSIG-neu. Pflichten umfassen: Netzwerksegmentierung OT/IT, Zugangskontrolle zu Steuerungscomputern, Patch-Management für SPS-Firmware und Backup-/Wiederherstellungskonzepte für Produktionsdaten. Bei Sicherheitsvorfällen gilt die 24-Stunden-Erstmeldepflicht nach § 32 BSIG-neu.

Was bedeuten NIS2-Lieferkettenpflichten für Molkereien?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet Molkereien, Cybersicherheitsanforderungen an wesentliche Zulieferer zu stellen. Betroffen sind insbesondere Anbieter von Molkerei-MES (Manufacturing Execution Systems), Kühlkettenmonitoring und Laborsoftware. Lieferverträge sollten Sicherheitsklauseln und Audit-Rechte enthalten.

Wann müssen sich Molkereien beim BSI registrieren?

Nach § 33 BSIG-neu ist die Registrierung innerhalb von drei Monaten nach Feststellung der Betroffenheit verpflichtend. Für Betriebe, die bereits bei Inkrafttreten des BSIG-neu die Kriterien erfüllen, gilt eine dreimonatige Übergangsfrist ab dem Geltungsdatum. Die Registrierung erfolgt über das BSI-Meldeportal mit Angaben zu Sektor, Einrichtungskategorie und Kontaktstelle.

Haften Geschäftsführer einer Molkerei persönlich für NIS2-Pflichten?

Ja. § 38 BSIG-neu verpflichtet die Geschäftsleitung, Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und an Schulungen teilzunehmen. Kommt die Geschäftsleitung diesen Pflichten schuldhaft nicht nach, kann sie persönlich haftbar gemacht werden, auch wenn eine D&O-Versicherung besteht. Molkereien sollten Beschlüsse und Schulungsnachweise revisionssicher dokumentieren.

Branchengenauer Self-Check

Ist meine Molkerei von NIS2 betroffen?

Hofmolkerei, Regional-Molkerei, Konzerntochter: Standard-Checker scheitern an der Abgrenzung. Dieser Rechner liefert Klarheit.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Molkerei beliefert mehrere AbnehmerEine Verarbeitungsstätte produziert für Handel, Gastronomie, andere MolkereienAutomatisierte Pasteurisierung / Separation / AbfüllungPlattenpasteure, Zentrifugen, Abfüllstraßen, CIP-ReinigungsanlagenB2B-Belieferung externer AbnehmerLebensmitteleinzelhandel, Gastronomie, Gemeinschaftsverpflegung, WeiterverarbeiterJahresproduktion über 1.000 t MilchprodukteIndikator für industrielle Milchverarbeitung

Schritt 2 / 2

Unternehmensgröße

Molkerei: Der vollständige NIS2-Leitfaden

Molkereien über 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz sind nach NIS2-Anhang II Nr. 5 (Ernährung) als Wichtige Einrichtung einzustufen. Die besondere Herausforderung für Molkereien liegt in der Abhängigkeit von Kühlkette und Rohmilch-Logistik: ein IT-Ausfall in diesen Prozessen kann innerhalb von Stunden zu Produktionsausfall und verderblicher Ware führen. Dieser Leitfaden richtet sich an Betriebsleiter und Geschäftsführer in der Milchwirtschaft.

Wer ist betroffen?

Molkereien und Milchverarbeiter fallen unter NIS2-Anhang II Nr. 5 (NACE C.10.5 Milchverarbeitung) bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Großmolkereien mit nationaler Versorgungsfunktion - z.B. Betriebe, die mehr als 434.500 t/a Milchprodukte in Getreide-Äquivalenten verarbeiten - sind Wesentliche Einrichtung nach NIS2-Anhang I (KRITIS-Schwelle BSI-KritisV Anlage 6).

Eine regionale Molkerei mit 80 Mitarbeitenden, eigener Pasteurisierungsanlage und täglicher Auslieferung an Supermärkte und Schulen überschreitet die NIS2-Schwelle und ist Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

Die sieben Pflichtkategorien des § 30 BSIG-neu sind für Molkereien durch die Kühlkette und Lebensmittelsicherheitsanforderungen besonders anspruchsvoll:

Risikoanalyse und -management: Pasteurisierungssteuerung, Kühlhaus-Management, Tanklager-IT und die Logistiksteuerung der Milchtankwagen müssen bewertet werden.
Incident Handling: Ein Temperaturabweichungs-Alarm durch Cyberangriff auf das Kühlüberwachungssystem ist ein meldepflichtiger Vorfall. Der Prozess muss das klar abbilden.
Business Continuity: Molkereiprozesse sind 24/7 und hochzeitkritisch. Ein BCP muss manuelle Monitoring-Fallbacks und Kommunikationspläne für Lieferanten und Kunden enthalten.
Supply-Chain-Sicherheit: Milchlieferanten-IT (Abrufsysteme für Milchtankwagen-Routen), Verpackungslieferanten und Laborsoftware-Anbieter müssen auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Zugang zu Produktions-IT und Unternehmensanwendungen erfordert MFA. Besonders: Fernwartung von Analyselabor-Systemen und Pasteurisierungsanlagen.
Verschlüsselung: Kundendaten, Lieferantendaten und Produktionsprotokolle (Pasteurisierungs-Logs für Lebensmittelbehörden) müssen verschlüsselt gespeichert sein.
Schulung und Awareness: Schichtführer, Qualitätssicherung und IT-Mitarbeitende müssen regelmäßig geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten nach Betroffenheit. Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Cyberangriff, der das Kühlmonitoring außer Gefecht setzt und die Pasteurisierungsanlage stoppt, muss innerhalb von 24 Stunden gemeldet werden. Der wirtschaftliche Schaden durch verderbliche Rohware macht schnelles Handeln und Dokumentation zwingend.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: persönliche Haftung der Geschäftsleitung. In der Molkerei ist diese besonders relevant, weil ein Sicherheitsvorfall mit Kühlkettenunterbrechung sowohl NIS2-Bußgelder als auch lebensmittelrechtliche Sanktionen und zivilrechtliche Ansprüche nach sich ziehen kann.

Kühlkette und Rohmilch-Logistik als IT-abhängige kritische Prozesse

Die Milchversorgung von der Annahme bis zur Auslieferung hängt vollständig an IT: Milchtankwagen-Routen werden per Software disponiert, Rohmilchannahme und -qualitätsprüfung sind EDV-gestützt, Pasteurisierungstemperaturen werden automatisch geloggt, und Kühlhauszellen-Temperaturen werden remote überwacht.

Konkretes Risikoszenario: Ein Phishing-Angriff auf einen Disponenten gelangt ins ERP. Von dort kommt der Angreifer in die Kühlhaus-Management-Software. Er manipuliert Temperaturschwellen so, dass Alarme ausbleiben - und Rohmilch beginnt zu verderben. Der Betrieb bemerkt es erst beim nächsten Qualitätssicherungs-Scan. Schaden: verdorbene Rohware, Produktionsausfall, Rückruf.

§ 30 BSIG-neu verlangt für dieses Szenario: getrennte Netzwerksegmente für Kühlüberwachung und Office-IT, automatische Backup-Alarme über redundante Wege (z.B. SMS-Gateway als Fallback), und regelmäßige Tests der Alarmierungssysteme.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR bedeutet: Wichtige Einrichtung.
Inventarisiere alle IT-Systeme mit Bezug zur Kühlkette: Kühlhaus-Management, Disposition der Tankwagen, Pasteurisierungssteuerung, Laborsoftware.
Identifiziere alle Fernwartungszugänge (Anlagehersteller, Softwareanbieter).
Prüfe Netzwerksegmentierung: Sind Kühlüberwachungssysteme vom Office-IT-Netz getrennt?
Erstelle einen Notfallplan für IT-Ausfall während 24/7-Produktion.
Prüfe Lieferantenverträge auf Sicherheitsanforderungen nach § 30 Abs. 2 Nr. 4 BSIG-neu.
Registriere dich beim BSI sobald das Portal bereit ist.

Typische Fehler vermeiden

Kühlmonitoring wird nicht als IT-System erfasst: Temperatursensoren und deren Management-Software sind IT im NIS2-Sinne und müssen in die Sicherheitsarchitektur einbezogen werden.

Rohmilch-Disponierungssoftware wird unterschätzt: Der Ausfall der Tourenplanung für Milchtankwagen kann innerhalb von Stunden zur Rohmilch-Annahmekrise führen.

Lebensmittelsicherheits-Logs werden nicht als schützenswert erkannt: Pasteurisierungs-Protokolle sind gesetzlich vorgeschrieben. Ihre Manipulation oder ihr Verlust ist ein erheblicher Sicherheitsvorfall.

BCP kennt keine Molkerei-Prozesszeiten: Ein Notfallplan der auf 48-Stunden-Reaktionszeit ausgelegt ist, hilft nicht bei 4-stündigem Kühlkettenproblem mit frischer Vollmilch.

Nutze den branchengenauen NIS2-Rechner für Molkereien, um deine individuelle Betroffenheit zu prüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist meine Molkerei von NIS2 betroffen?

Molkerei: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Kühlkette und Rohmilch-Logistik als IT-abhängige kritische Prozesse

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt eine Molkerei als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Molkereien?

03Welche Bußgelder drohen Molkereien bei NIS2-Verstößen?

04Wie sind Prozessleitsysteme in Molkereien unter NIS2 zu schützen?

05Was bedeuten NIS2-Lieferkettenpflichten für Molkereien?

06Wann müssen sich Molkereien beim BSI registrieren?

07Haften Geschäftsführer einer Molkerei persönlich für NIS2-Pflichten?