Ab wann gilt eine Mühle als NIS2-pflichtig?

Mühlen fallen unter NIS2 Anhang II Nr. 5 (Lebensmittelproduktion), sofern sie industrielle Mahlstruktur und die Größenschwelle von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2 erfüllen. Industriell bedeutet in diesem Kontext: automatisierte Vermahlung, Silosysteme mit IT-Anbindung oder B2B-Lieferung an Bäckereien und Lebensmittelindustrie. Kleinmühlen mit rein regionalem Direktverkauf bleiben in der Regel außerhalb des Geltungsbereichs.

Was ist der Unterschied zwischen NIS2 und KRITIS für Mühlen?

NIS2 Anhang II Nr. 5 erfasst mittlere und große Mühlen mit industrieller Verarbeitungsstruktur. KRITIS nach BSI-KritisV § 4 Anhang 3 setzt im Ernährungssektor eine Jahresverarbeitungsmenge von über 434.500 Tonnen voraus; dieser Wert wird in Deutschland von keiner einzelnen Mühle erreicht. Mühlen unterliegen daher ausschließlich NIS2, falls die Größenschwellen erfüllt sind.

Welche Bußgelder drohen Mühlen bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Mühlen) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Bei Wesentlichen Einrichtungen (große Mühlen, Konzerne) gelten dieselben Obergrenzen. Zusätzlich droht persönliche Geschäftsführerhaftung nach § 38 BSIG-neu bei nachgewiesenem Organisationsverschulden.

Wie sind Mühlleitsysteme und Silosteuerungen unter NIS2 zu schützen?

Automatisierte Mahl- und Silosysteme sind OT-Infrastruktur im Sinne von § 30 BSIG-neu. Pflichtmaßnahmen umfassen Netzwerksegmentierung zwischen OT-Steuerungsebene und Büro-IT, Zugangskontrolle für Prozessrechner, Patch-Management für SPS und regelmäßige Sicherheitsbewertungen. Bei Sicherheitsvorfällen gilt die 24-Stunden-Erstmeldepflicht nach § 32 BSIG-neu.

Was bedeuten NIS2-Lieferkettenpflichten für Mühlen?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Sicherheit in der Lieferkette. Für Mühlen betrifft das insbesondere Anbieter von Prozessleitsystemen (z. B. Bühler, ABB), ERP-Systemen und Logistiksoftware für Schüttguttransporte. Lieferverträge müssen Sicherheitsanforderungen und Audit-Rechte enthalten.

Wann müssen sich Mühlen beim BSI registrieren?

Die Registrierungspflicht nach § 33 BSIG-neu entsteht innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die ab Inkrafttreten des BSIG-neu direkt unter die Regelung fallen, gilt eine dreimonatige Übergangsfrist. Die Registrierung erfolgt über das BSI-Meldeportal mit Sektor, Einrichtungskategorie und benannter Kontaktstelle.

Haften Geschäftsführer einer Mühle persönlich für NIS2?

§ 38 BSIG-neu verpflichtet die Geschäftsleitung zur Billigung und Überwachung von Risikomanagementmaßnahmen sowie zur aktiven Schulungsteilnahme. Bei schuldhafter Verletzung dieser Pflichten droht persönliche Haftung. Mühlen sollten Beschlüsse und Schulungsnachweise revisionssicher archivieren und jährlich aktualisieren.

Branchengenauer Self-Check

Ist meine Mühle von NIS2 betroffen?

Handwerksmühle, Getreidemühle, Futtermittelmühle: Die Einordnung entscheidet über KRITIS-Pflicht, nicht die Tradition.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Mühle beliefert mehrere AbnehmerEine Mühle versorgt Bäckereien, Lebensmittelindustrie, FuttermittelmischerAutomatisierte Vermahlung und LagertechnikWalzenstühle, Plansichter, Siloanlagen, automatisierte Absackung und VerladungB2B-Belieferung externer AbnehmerGroßbäckereien, Lebensmittelhersteller, Nudel-/Müslifabriken, FuttermittelindustrieJahresvermahlung über 1.000 t GetreideIndikator für industrielle Mahldimension

Schritt 2 / 2

Unternehmensgröße

Mühle: Der vollständige NIS2-Leitfaden

Mühlen sind als Lebensmittelhersteller nach NIS2-Anhang II Nr. 5 betroffen, sobald sie 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz überschreiten. Als Teil der Getreideversorgungskette sind industrielle Mühlen eine der am stärksten vernetzten Lebensmittelsparten, mit automatisierten Mahlsystemen und Just-in-time-Logistik, die vollständig auf IT-Systemen basiert. Dieser Leitfaden richtet sich an Mühlenbesitzer, Betriebsleiter und IT-Verantwortliche.

Wer ist betroffen?

Getreidemühlen (NACE C.10.6 Mahl- und Schälmühlen) fallen unter NIS2-Anhang II Nr. 5 (Ernährung) bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Großmühlen, die in der nationalen Getreideversorgung eine kritische Rolle spielen und die KRITIS-Schwelle der BSI-KritisV für Lebensmittelversorgung (434.500 t/a Getreide-Äquivalent) überschreiten, sind Wesentliche Einrichtung nach NIS2-Anhang I.

Eine Mühle mit 70 Mitarbeitenden, eigenem Weizensilo und Tageslieferungen an Bäckereiketten und Lebensmitteleinzelhandel überschreitet die NIS2-Schwelle und ist Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu definiert sieben Pflichtkategorien, die für Mühlen mit ihren automatisierten Mahlanlagen besondere Relevanz haben:

Risikoanalyse und -management: Mahlsystem-Steuerung, Siebanlagen-Automatisierung, Silo-Management-IT und Logistik-ERP müssen bewertet werden.
Incident Handling: Ein Ausfall der Mahlsteuerung durch Cyberangriff ist ein erheblicher Vorfall. Eskalationswege und Meldeprozesse müssen definiert sein.
Business Continuity: Mühlen beliefern oft täglich nach festen Plänen. Ein BCP muss Alternativlieferkonzepte und manuelle Notfallprozesse beinhalten.
Supply-Chain-Sicherheit: Getreidelieferanten, Logistikanbieter und Softwarelieferanten für Mahl-Management-Systeme müssen auf Sicherheitsstandards geprüft werden.
Zugangskontrolle und MFA: Zugang zu Produktionssystemen und Unternehmensnetzwerken muss durch MFA gesichert sein. Fernwartungszugänge von Anlagenherstellern sind abzusichern.
Verschlüsselung: Kundendaten, Lieferantenverträge und Qualitätsdaten (Analysezertifikate) müssen verschlüsselt gespeichert sein.
Schulung und Awareness: Müller, Disponenten und Verwaltung müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten nach Feststellung der Betroffenheit. Für Sicherheitsvorfälle gilt § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Ransomware-Angriff auf das Mahl-Leitsystem, der die Produktion für mehr als einen Arbeitstag stoppt und laufende Lieferverpflichtungen verletzt, ist meldepflichtig. Die Erstmeldung muss erfolgen, auch wenn noch keine vollständige Ursachenanalyse vorliegt.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu begründet persönliche Haftung der Geschäftsleitung für schuldhaft versäumte NIS2-Pflichten. In Familienmühlen, wo Eigentümer und Geschäftsführer identisch sind, ist das persönliche Risiko erheblich.

Just-in-time-Getreidelogistik und Mühlensteuerung als NIS2-Risikofaktor

Moderne Mühlen operieren mit enger Zeitplanung: Getreide wird per Just-in-time aus Silos oder direkt vom Landwirt angeliefert, verarbeitet und noch am selben Tag ausgeliefert. Diese Prozesse stützen sich auf ERP, Dispositionssoftware, automatische Waagesysteme und digitale Lieferscheine.

Das Risikoszenario: Ein Angreifer infiltriert das ERP über einen kompromittierten Lieferantenaccount. Er manipuliert Lieferplanungsdaten, sodass Rohmaterial-Abrufe falsch geplant werden und die Produktion ins Leere läuft. Gleichzeitig verschlüsselt Ransomware die Dispositionssoftware. Ergebnis: Lieferstopps gegenüber Großabnehmerern, Vertragsstrafen und Produktionsverlust.

Was § 30 BSIG-neu dazu verlangt: Datensicherung der Dispositionssoftware mit kurzen Recovery-Zeiten (RTO/RPO-Ziele definieren), Zugriffskontrollen für Lieferantenportale und Netzwerksegmentierung zwischen Verwaltungs-IT und Produktions-IT.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz gegen die KMU-Schwellen.
Inventarisiere alle vernetzten Produktionssysteme: Mahlsteuerung, Siloverwaltung, Waagen-IT, Laborsoftware.
Überprüfe alle Fernwartungszugänge von Anlagenherstellern.
Führe eine Risikoanalyse für den Ausfall der Dispositionssoftware durch.
Erstelle einen Notfallplan: Was passiert, wenn das ERP ausfällt und Liefertermine nahen?
Prüfe Lieferantenverträge auf Sicherheitsanforderungen nach § 30 Abs. 2 Nr. 4 BSIG-neu.
Stelle sicher, dass Backups der Produktions-Konfigurationsdaten regelmäßig erstellt und getestet werden.

Typische Fehler vermeiden

Mahlsystem-Software nicht als IT-Sicherheitsthema erkannt: Die Steuerungssoftware der Mahlanlage ist IT. Ihr Ausfall bedeutet Produktionsstillstand und damit unmittelbaren wirtschaftlichen Schaden.

Lieferantenportale ohne Zugangskontrolle: Viele Mühlen betreiben Web-Portale für Lieferanten und Kunden. Diese sind potenzielle Angriffsvektoren, die in die Risikoanalyse einbezogen werden müssen.

Qualitätszertifikate und Analysedaten nicht gesichert: Mehlqualitäts-Analysen und Zertifikate sind für Kunden rechtlich relevant. Ihr Verlust oder ihre Manipulation ist ein Sicherheitsvorfall.

Notfallplan kennt keine Lieferfristen: Ein BCP der keine Eskalation zu Kunden und Alternativlieferungen vorsieht, ist für Mühlen unvollständig.

Nutze den branchengenauen NIS2-Rechner für Mühlen, um deine Betroffenheit zu ermitteln.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist meine Mühle von NIS2 betroffen?

Mühle: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Just-in-time-Getreidelogistik und Mühlensteuerung als NIS2-Risikofaktor

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt eine Mühle als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Mühlen?

03Welche Bußgelder drohen Mühlen bei NIS2-Verstößen?

04Wie sind Mühlleitsysteme und Silosteuerungen unter NIS2 zu schützen?

05Was bedeuten NIS2-Lieferkettenpflichten für Mühlen?

06Wann müssen sich Mühlen beim BSI registrieren?

07Haften Geschäftsführer einer Mühle persönlich für NIS2?