Unsere Zahl des Monats Ausgabe 44
Wissens-Werte aus der Bäckerbranche.
Bäckereien und die NIS2 EU-Richtlinie für Netzwerk- und Internet-Sicherheit
Überblick zur NIS2:
Wir werden zurzeit vermehrt von Bäckereiunternehmen auf die neue EU-Richtlinie für Netzwerk- und Internet-Sicherheit 2 (NIS2) angesprochen. Es steht die Frage im Raum, ob Bäckereien von der NIS2 betroffen sind.
Aus diesem Anlass möchten wir Ihnen als Ihr Partner in diesem Newsletter unsere Sicht zum aktuellen Status mitteilen.
Bei der NIS2 handelt es sich um eine unternehmensbezogene Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten europäischen Union“, welche am 16. Januar 2023 in Kraft getreten ist.
Betroffene Unternehmen sollen durch die NIS2 unter anderem verpflichtet werden, die in der Richtlinie geforderten Sicherheitsmaßnahmen zur Erhöhung ihrer Cybersicherheit umzusetzen sowie auftretende Cybersicherheitsvorfälle bei der Cyber-Sicherheitsbehörde des Bundes, dem Bundesamt für Sicherheit in der Informationstechnik (BSI), zu melden.
Die EU-Mitgliedstaaten sind bis zum 17. Oktober 2024 zur Umsetzung der NIS2-Richtlinie in nationales Recht verpflichtet.
In Deutschland erfolgt diese Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Betroffene Unternehmen hätten dann drei Monate Zeit, sich bis zum 17. Januar 2025 beim BSI zu registrieren.
Für die Umsetzung wurde am 07. Mai 2024 der erste offizielle Referentenentwurf des Bundesministeriums des Innern und für Heimat „Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) veröffentlicht.
Ein verbindliches deutsches Gesetz ist zum heutigen Zeitpunkt noch nicht verkündet.
Aktuell werden die Stellungnahmen der Bundesländer, Verbände, Organisationen und Institutionen zum Referentenentwurf vom Ministerium geprüft. Zu Stellungnahmen zählen Anmerkungen, Kritikpunkte oder Verbesserungsvorschläge zum Gesetzesvorhaben. Diese werden ggf. in den Referentenentwurf eingearbeitet und die finale Fassung des Gesetzentwurfs erstellt. Dann muss der Bundestag das Gesetz beschließen, bevor es voraussichtlich im Oktober 2024 in Kraft tritt und verkündet wird.
Sind Bäckereien von der NIS2 betroffen?
Gemäß der Interpretation uns aktuell vorliegender Informationen können Handwerksbäckereien nicht von der NIS2-Richtlinie betroffen sein. Die in den Paragrafen des Referentenentwurfs vom 7. Mai 2024 (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) formulierten Voraussetzungen für betroffene Unternehmen, würden nach unserer Ansicht nicht für Bäckereien zutreffen.
Im Sinne von § 2 Abs. 1 Nr. 21 und § 28 Abs. 1, Abs. 6, Abs. 7, Abs. 8 des Referentenentwurfs wäre eine Handwerksbäckerei kein „Betreiber einer kritischen Anlage“ bzw. nicht erheblich, wenn sie u. a. § 2 Abs. 8 folgend die Schwellenwerte in Höhe von 434.500 Tonnen hergestellte Lebensmittel unterschreitet. Die Schwellenwerte werden im Teil 3 der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz definiert.
Bäckereien würden im Sinne von § 28 Abs. 1 des Referentenentwurfs keine „besonders wichtige Einrichtung“ sein. Zu besonders wichtigen Einrichtungen können u. a. nur die Unternehmen aus Anlage 1 des Referentenentwurfs zählen. Dort wird der Sektor der Lebensmittelwirtschaft allerdings nicht genannt.
Im Sinne des § 28 Abs. 2 des Referentenentwurfs würden Handwerksbäckereien auch keine „wichtige Einrichtung“ sein, da hierzu aus dem Bereich der Lebensmittelwirtschaft nach Anlage 2 Nr. 4.1.1 u. a. nur Unternehmen zählen welche im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind. Gemäß der Wissenschaftlichen Dienste des Bundestages erfolgt die Zuordnung eines Handelsunternehmens zum Großhandel oder zum Einzelhandel in der amtlichen Statistik Deutschlands auf der Grundlage der statistischen Systematik der Wirtschaftszweige in der Europäischen Union (NACE Revision 2). Großhandel erstreckt sich demnach auf Handelsbetriebe, die ihre Waren vor allem an andere Gewerbebetriebe, z. B. Einzelhandelsbetriebe, verkaufen.
Fazit
Aktuell besteht nach unserer Auffassung kein Handlungsbedarf für Handwerksbäckereien in Sinne der NIS2-Richtlinie.
Wir empfehlen für eine abschließende verbindliche Aussage über die NIS2-Betroffenheit der Bäckereien grundsätzlich die finale Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abzuwarten.
Falls Bäckereien entgegen unseren Erwartungen dennoch von der NIS2 betroffen sein werden, können sich Registrierungs-, Melde- und Berichtspflichten ergeben, sowie die Verpflichtung zur Umsetzung und Nachweis der durch die Richtlinie geforderter Cyber-Sicherheitsmaßnahmen.
Grundsätzlich empfehlen wir jedem Unternehmer, jeder Unternehmerin sich aus eigenem Interesse die Frage zu stellen, ob das eigene Unternehmen angemessen und wirksam gegen Cyber-Risiken geschützt ist. Schwachstellen in der Cybersicherheit können zum Verlust der Verfügbarkeit und Integrität der IT-Systeme und Firmendaten führen. Störungen der Wertschöpfungsprozesse bis zur Handlungsfähigkeit, Bußgelder auf Grund von Datenschutzverletzungen, ein Reputationsverlust bei Shareholdern sowie die Wiederherstellung der IT-Systeme sind weitere mögliche ungewünschte Folgen. Es entstehen unnötige Kosten, welche erfahrungsgemäß bis in die Insolvenz führen können.
Wir weisen daraufhin, dass dieser Newsletter lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im Sinne des Rechtsberatungsgesetzes (RBerG) darstellt.
Falls Sie sich unsicher sind, kommen Sie gerne auf uns zu. Wir unterstützen Sie bei der Beantwortung dieser kritischen Frage.
Weitere spannende Zahlen finden Sie hier.