Kritis-Dachgesetz : Warum die Agrar- und Foodindustrie die Zeit nutzen und ihre Strukturen anpassen sollte

Deutschland will die kritischen Infrastrukturen besser vor physischen Gefahren schützen – von der Produktion über die Logistik bis hin zum Handel im Ernährungssektor. Dafür schafft das neue Kritis-Dachgesetz erstmals einen bundesweit einheitlichen Rahmen für den physischen Schutz. Der Gesetzgeber schließt damit eine bislang bestehende Lücke neben den Cybersicherheitsvorgaben der NIS2-Richtlinie und setzt zugleich die EU-CER-Richtlinie um.

Ziel ist ein belastbares und praxistaugliches Schutzniveau entlang der gesamten Versorgungskette – nicht zuletzt, weil Störungen in der Lebensmittelversorgung rasch gesamtgesellschaftliche Auswirkungen haben können.

All-Gefahren-Ansatz und Schwellenwerte

Kern des Gesetzes ist ein All-Gefahren-Ansatz: Betreiber sollen systematisch analysieren, gegenüber welchen Ereignissen sie verwundbar sind – von Extremwetterlagen über Sabotage bis hin zu Lieferkettenunterbrechungen – und darauf aufbauend Resilienzpläne erstellen. In vielen Fällen kann dabei auf bestehende Strukturen des Business-Continuity-Managements (BCM) zurückgegriffen werden.

Als politisches Leitdokument soll zudem eine von der Bundesregierung noch zu verabschiedende nationale Kritis-Resilienzstrategie dienen, an der sich die Umsetzung und Weiterentwicklung des Gesetzes orientiert. Dabei soll ein klarer Vorrang der Sicherheit gelten: Wenn Transparenz- oder Veröffentlichungspflichten sensible Infrastrukturdaten gefährden könnten, hat der Schutz dieser Informationen Vorrang, um Sabotage oder Ausspähung zu verhindern.

Maßgeblich für die Einordnung als kritische Infrastruktur ist, ob eine Anlage Leistungen für mehr als 500.000 Menschen erbringt; die genaue Methodik und konkrete Schwellenwerte wird die Bundesregierung noch per Rechtsverordnung festlegen.

Einheitliche Mindeststandards und Meldepflichten

Das Gesetz sieht sektorübergreifende Mindeststandards vor: Zunächst müssen sich Betreiber kritischer Anlagen registrieren – spätestens drei Monate, nachdem ihre Anlage offiziell als kritisch gilt. Dabei ist eine jederzeit erreichbare Kontaktstelle anzugeben. Operativ müssen Betreiber Risiken bewerten, Resilienzmaßnahmen umsetzen und Störungen verbindlich melden.

Die Maßnahmen sollen verhältnismäßig sein, nachvollziehbar zur Zweckerreichung beitragen und in einem Resilienzplan dokumentiert werden, der den zuständigen Behörden auf Verlangen vorzulegen ist. Zur Konkretisierung kann das Bundesinnenministerium (BMI) die Anforderungen per Rechtsverordnung ausdifferenzieren und vereinheitlichen.

Betreiber müssen mindestens alle vier Jahre, auf Basis nationaler Risikoanalysen, eigene Risikobewertungen durchführen. Diese müssen naturbedingte, technische und menschlich verursachte Risiken ebenso umfassen wie grenzüberschreitende Lagen und Extremereignisse. Störungen sind dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe unverzüglich, spätestens jedoch binnen 24 Stunden über ein zentrales Portal zu melden; spätestens nach einem Monat ist ein ausführlicher Bericht einzureichen.

Praktische Konsequenzen und Haftungsrahmen

Praktisch geht es um Notstromversorgung, Notfallkommunikation, verbesserten Objektschutz, geschulte Krisenteams sowie standardisierte Wiederanlaufpläne, damit Produktion, Logistik und Handel nach Störungen zügig wieder hochfahren können.

Die Bußgelder liegen mit bis zu einer Million zwar unterhalb der NIS2-Umsetzung, zugleich steigt jedoch der Haftungsdruck auf Leitungsorgane, wenn Organisations- oder Überwachungspflichten verletzt werden und der Einrichtung hierdurch ein Schaden entsteht.

Gefordert ist damit eine angemessene Organisation sowie die dokumentierte Umsetzung der Resilienzpflichten. Resilienz ist für die Unternehmen also nicht länger ein „Nice to have“, sondern ein verbindlicher Teil ordnungsgemäßer Unternehmensorganisation.

Offene Punkte – und worauf es in der Praxis ankommt

Viele Unternehmen der Lebensmittelbranche werden künftig zwei Regime adressieren müssen: NIS2 für IT und Cybersicherheit sowie das Kritis-Dachgesetz für den physischen Schutz. Doppelarbeit soll durch eine gemeinsame Identifizierung betroffener Unternehmen, eine einheitliche Meldeplattform sowie die Anrechnung vorhandener IT Nachweise begrenzt werden. Gleichwohl bleiben Unterschiede in Begrifflichkeiten und Detailanforderungen bestehen.

Bis nachgeordnete Rechtsverordnungen und Branchenstandards vorliegen, bestehen weiterhin Unsicherheiten. Dazu zählen unpräzise Maßstäbe der Verhältnismäßigkeit, Fragen zur Praxistauglichkeit der Schwellenwerte sowie das Zusammenspiel mit dem neuen NIS2-Umsetzungsgesetz.

In der Kritik stehen knappe Fristen, potenziell hohe Umsetzungslasten und die Möglichkeit einer Einzelfalleinstufung als kritisch durch das BMI, die die Planbarkeit erschwert. Zugleich eröffnet der untergesetzliche Normenrahmen Flexibilität und Gestaltungsspielräume, um praxistaugliche Lösungen zu entwickeln.

Konsequente Mindeststandards, regelmäßige Risikoanalysen und ein systematisches Störungsmonitoring können die Ernährungswirtschaft spürbar widerstandsfähiger machen.

Handlungsempfehlungen für Unternehmen

Sinnvoll ist ein integriertes System, das Informationssicherheit, Vorfallmeldungen, Risikoanalysen und physische Schutzmaßnahmen zusammenführt. So entstehen Synergien, und Nachweise lassen sich effizient bündeln.

Unternehmen sollten frühzeitig eine Betroffenheitsanalyse entlang der 500.000 Schwelle und der systemischen Relevanz durchführen, Interdependenzen in Kühl-, Transport- und Energieversorgung kartieren und ein integriertes Risiko- und Resilienzmanagement aufsetzen. Vorhandene BCM Pläne bieten hierfür einen geeigneten Ausgangspunkt.

Wesentlich sind zudem die regelmäßige Aktualisierung der Risikoanalysen nach dem All Gefahren Ansatz, belastbare Resilienzpläne inklusive Notstrom , Kommunikations- und Objektschutzkonzepten, klare Melde- und Eskalationswege sowie die Verankerung des Themas in der Corporate Governance.

Ausblick: vom Zweck zum Nutzen?

Das Kritis-Dachgesetz schließt eine offenkundige Schutzlücke und wird die Ernährungswirtschaft in erheblichem Umfang betreffen. Ob es seinen Zweck erfüllt, entscheidet sich an praxistauglichen Rechtsverordnungen, einem nahtlosen Ineinandergreifen mit der NIS2-Regulierung und verlässlichen staatlichen Risikoanalysen als Grundlage betrieblicher Bewertungen.

Für Unternehmen der Lebensmittelwirtschaft gilt daher jetzt: die Zeit nutzen, Strukturen anpassen und Resilienz als festen Bestandteil guter Unternehmensführung etablieren.