Ab wann gilt ein Tiefkühlkost-Hersteller als NIS2-pflichtig?

Tiefkühlkost-Hersteller fallen unter NIS2 Anhang II Nr. 5, sobald industrielle Produktionsstruktur und mittlere Unternehmensgröße nach KMU-Empfehlung 2003/361/EG Art. 2 vorliegen. Industriell ist ein Betrieb, der automatisierte Gefrierlinien, HACCP-gestützte IT-Systeme und regelmäßige B2B-Belieferung von Lebensmittelhandel oder Großküchen betreibt. Die Größenschwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.

Welche Rolle spielt die Kühlkette für NIS2-Pflichten in der Tiefkühlkost?

Kühlkettensteuerungssysteme gelten als kritische OT-Infrastruktur nach § 30 BSIG-neu. Der Ausfall von Gefriersteuerungen oder Temperaturüberwachungssystemen kann zur unmittelbaren Lebensmittelsicherheitsgefahr führen und ist damit ein meldepflichtiger erheblicher Vorfall nach § 32 BSIG-neu. Betreiber müssen Backup-Systeme, Redundanzen und Incident-Response-Pläne für Kühlausfälle vorhalten.

Was ist der Unterschied zwischen NIS2 und KRITIS für Tiefkühlkost-Produzenten?

NIS2 Anhang II Nr. 5 erfasst mittlere und große Tiefkühlkost-Hersteller. KRITIS nach BSI-KritisV § 4 Anhang 3 greift erst ab einer Jahresproduktion von 434.500 Tonnen im Ernährungssektor, was faktisch nur wenige Konzerne betrifft. Unterhalb dieser Schwelle unterliegen Tiefkühlkost-Produzenten ausschließlich NIS2.

Welche Bußgelder drohen Tiefkühlkost-Herstellern bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Betriebe) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Betriebe) werden mit denselben Obergrenzen gemessen. Zusätzlich besteht persönliche Geschäftsführerhaftung nach § 38 BSIG-neu.

Wann müssen sich Tiefkühlkost-Hersteller beim BSI registrieren?

Nach § 33 BSIG-neu muss die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit erfolgen. Die Registrierung umfasst Angaben zu Sektorklassifikation (Lebensmittelproduktion), Einrichtungskategorie (Wichtige oder Wesentliche Einrichtung) und einer 24/7-erreichbaren Kontaktstelle.

Was bedeuten NIS2-Lieferkettenpflichten für die Tiefkühlkost-Industrie?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet Tiefkühlkost-Hersteller, Cybersicherheitsanforderungen an Zulieferer zu stellen. Kritisch sind insbesondere Anbieter von Gefrieranlagensteuerungen, ERP-Systemen, Logistikplattformen und Verpackungsautomaten. Lieferverträge sollten Sicherheitsanforderungen und Auditrechte enthalten; kritische Zulieferer sind jährlich zu bewerten.

Haften Geschäftsführer eines Tiefkühlkost-Betriebs persönlich für NIS2?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen zu billigen, zu überwachen und an Schulungen teilzunehmen. Bei schuldhafter Verletzung droht persönliche Haftung. Empfehlenswert ist eine jährliche Beschlussfassung der Geschäftsleitung zu NIS2-Maßnahmen mit revisionssicherer Dokumentation.

Branchengenauer Self-Check

Ist mein TK-Betrieb von NIS2 betroffen?

TK-Pizzeria, TK-Fleisch, TK-Gemüse, TK-Feinkost: Klarer Sektor, klare Schwellen. Dieser Rechner prüft beides.

Schritt 1 / 2

Produktions- und Vertriebsstruktur

NIS2 zielt auf 'industrielle Produktion' — EU-Begriff, nicht Handwerksrolle. Kreuze an, was auf deinen Betrieb zutrifft.

Zentrale Tiefkühlproduktion beliefert mehrere AbnehmerEine Produktionsstätte beliefert Handel, Gastronomie, andere AbnehmerAutomatisierte Schockfroster und VerpackungKontinuierliche Gefriertunnel, Verpackungsstraßen, vollautomatische KühlkettenB2B-Belieferung externer AbnehmerLEH (Lebensmitteleinzelhandel), Gastronomie, Gemeinschaftsverpflegung, ExportJahresproduktion über 1.000 t TiefkühlprodukteIndikator für industrielle TK-Produktion

Schritt 2 / 2

Unternehmensgröße

Tiefkühlkost: Der vollständige NIS2-Leitfaden

Hersteller und Distributoren von Tiefkühlkost sind nach NIS2-Anhang II Nr. 5 (Ernährung) betroffen, wenn sie 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz überschreiten. Die gesamte Wertschöpfungskette in der Tiefkühlbranche hängt an IT: von der Produktionssteuerung bis zum Kühlketten-Monitoring. Ein IT-Ausfall kann innerhalb von Stunden zu Millionenschäden durch verderbliche Ware führen. Dieser Leitfaden richtet sich an Betriebsleiter und IT-Verantwortliche in der Tiefkühlbranche.

Wer ist betroffen?

Tiefkühlkost-Hersteller (NACE C.10.8 Sonstige Nahrungsmittel) und Tiefkühl-Logistiker fallen unter NIS2-Anhang II Nr. 5 bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Wer als nationaler oder europäischer Tiefkühlkost-Anbieter die KRITIS-Schwelle der BSI-KritisV für Lebensmittelversorgung überschreitet, ist Wesentliche Einrichtung nach Anhang I.

Ein Tiefkühlkost-Hersteller mit 100 Mitarbeitenden, vollautomatischer Schockfrostanlage und eigenem Tiefkühllogistik-Fuhrpark überschreitet die NIS2-Schwellen und ist Wichtige Einrichtung.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu listet sieben Pflichtbereiche, die für Tiefkühlkost-Betriebe besonders durch die Abhängigkeit vom Kühlketten-Monitoring geprägt sind:

Risikoanalyse und -management: Produktionssteuerung, Schockfrostanlagen, Tiefkühllagerverwaltung und Kühlfahrzeug-Telematik müssen in die Risikoanalyse einbezogen werden.
Incident Handling: Ein Temperaturabweichungs-Event durch IT-Ausfall ist ein potenziell meldepflichtiger Vorfall, der sofortige Reaktion erfordert.
Business Continuity: Ein BCP muss den "Worst Case Kühlkettenausfall" abdecken: Was passiert, wenn das Kühlmonitoring um 2 Uhr nachts ausfällt?
Supply-Chain-Sicherheit: Rohstofflieferanten, Verpackungslieferanten und Telematik-Anbieter für Kühlfahrzeuge müssen auf Sicherheitsstandards geprüft werden.
Zugangskontrolle und MFA: Zugang zu Monitoring-Plattformen und Produktionssystemen muss durch MFA geschützt sein. Remote-Alarme und Management-Dashboards sind besonders zu sichern.
Verschlüsselung: Kühlkettenprotokolle (gesetzlich vorgeschrieben nach EU-Lebensmittelhygiene-VO), Kundendaten und Produktionsdaten müssen verschlüsselt sein.
Schulung und Awareness: Schichtführer, Logistikdisponenten und IT-Mitarbeitende müssen regelmäßig geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Cyberangriff, der das zentrale Kühlketten-Monitoring für mehrere Stunden außer Betrieb setzt und dadurch erhebliche Lagermengen gefährdet, ist ein meldepflichtiger erheblicher Vorfall. Auch der reine IT-Vorfall ohne nachgewiesenen Produktschaden ist zu melden, wenn Versorgungssicherheit beeinträchtigt ist.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % Umsatz.

§ 38 BSIG-neu: Persönliche Haftung der Geschäftsleitung. In der Tiefkühlbranche ist das besonders ernst zu nehmen, weil ein IT-bedingter Kühlkettenausfall nicht nur NIS2-Bußgelder, sondern auch lebensmittelrechtliche Sanktionen und erhebliche Versicherungsschäden nach sich zieht.

Kühlketten-Monitoring als NIS2-kritischer Prozess: Sensor-Infrastruktur absichern

Das Kühlketten-Monitoring in Tiefkühlbetrieben ist vollständig IT-abhängig: Temperatursensoren in Lagerzellen, Schockfrosttunneln und Kühlfahrzeugen übertragen Daten in Echtzeit an zentrale Management-Plattformen. Diese Plattformen steuern Alarme, Wartungsaufgaben und Qualitätsnachweise.

Das Risikoszenario: Ein Angreifer kompromittiert die Monitoring-Plattform über einen gestohlenen Anmeldezugang. Er manipuliert Alarmschwellen oder unterdrückt Benachrichtigungen. Kühlzellen steigen auf kritische Temperaturen an - ohne dass Alarm ausgelöst wird. Wenn das nach 6 Stunden bemerkt wird, ist ein ganzes Tiefkühllager vernichtet.

Was § 30 BSIG-neu konkret verlangt: Redundante Alarmpfade (SMS + App + physikalischer Alarm vor Ort), keine alleinige Cloud-Abhängigkeit für kritische Alarme, starke Authentifizierung für Monitoring-Plattformen und regelmäßige Alarm-Tests. Die Sensor-Infrastruktur selbst muss in die Netzwerksicherheitsarchitektur einbezogen sein.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz gegen die KMU-Schwellen.
Inventarisiere alle Systeme, die mit der Kühlkette verbunden sind: Temperatursensoren, Monitoring-Plattform, Kühlfahrzeug-Telematik, Lagerverwaltungssystem.
Prüfe: Gibt es redundante Alarmpfade für Temperaturabweichungen? Wird getestet?
Identifiziere alle externen Zugänge (Monitoring-Plattform-Anbieter, Wartungszugänge).
Erstelle einen Notfallplan für Kühlketten-Monitoring-Ausfall um 3 Uhr nachts.
Prüfe Lieferantenverträge (Sensor-Hersteller, Telematik-Anbieter) auf Sicherheitsklauseln.
Registriere dich beim BSI.

Typische Fehler vermeiden

Monitoring-Plattform ohne MFA: Viele Tiefkühlbetriebe verwenden Cloud-basierte Monitoring-Plattformen mit einfachem Passwort-Login. Das ist unter NIS2 nicht ausreichend.

Kein redundanter Alarmpfad: Wenn Temperaturalarme nur über die Cloud-Plattform ausgegeben werden und diese ausfällt, gibt es keinen Alarm mehr. Das ist ein kritischer Single-Point-of-Failure.

Kühlketten-Dokumentation nicht als IT-Schutzziel erkannt: EU-Lebensmittelhygieneverordnung 852/2004 verlangt Temperaturprotokolle. Deren Verlust durch IT-Angriff ist ein lebensmittelrechtliches Compliance-Problem.

Fahrzeugtelematik nicht in der Risikoanalyse: Kühlfahrzeug-Telematik ist oft über öffentliche Mobilfunknetze verbunden. Angriffe über diese Verbindungen sind realistisch und müssen bewertet werden.

Nutze den branchengenauen NIS2-Rechner für Tiefkühlkost, um deine Betroffenheit zu bestimmen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein TK-Betrieb von NIS2 betroffen?

Tiefkühlkost: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

Kühlketten-Monitoring als NIS2-kritischer Prozess: Sensor-Infrastruktur absichern

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Tiefkühlkost-Hersteller als NIS2-pflichtig?

02Welche Rolle spielt die Kühlkette für NIS2-Pflichten in der Tiefkühlkost?

03Was ist der Unterschied zwischen NIS2 und KRITIS für Tiefkühlkost-Produzenten?

04Welche Bußgelder drohen Tiefkühlkost-Herstellern bei NIS2-Verstößen?

05Wann müssen sich Tiefkühlkost-Hersteller beim BSI registrieren?

06Was bedeuten NIS2-Lieferkettenpflichten für die Tiefkühlkost-Industrie?

07Haften Geschäftsführer eines Tiefkühlkost-Betriebs persönlich für NIS2?