Bericht: Ausschuss für Nahrungs- und Genussmittel

Der Ausschuss für Nahrungs- und Genussmittel tagte am 6. November 2024 im Haus Schütting. Schwerpunkt der Sitzung war die Umsetzung der NIS2-Richtlinie in Bund und Ländern.

Zu Gast waren Dr. Annika Dreimann und Timo Tasler-Lohroff von der Zentralstelle Cybersicherheit, welche beim Senator für Inneres und Sport angesiedelt ist.

Zunächst erläuterten die beiden Gäste die Bedrohungslage im Cyberraum und gingen dabei auf unterschiedliche Angriffsarten ein. Anschließend skizzierten sie die Entwicklung der Cybersicherheitsgesetzgebung, beginnend mit dem IT-Sicherheitsgesetz von 2015 bis zur NIS-2-Richtlinie, welche in Deutschland noch über ein entsprechendes Umsetzungsgesetz implementiert werden muss.

Die Nahrungs- und Genussmittelwirtschaft ist bereits unter der bisherigen Gesetzgebung als kritische Branche definiert. Durch die neue NIS-2-Verordnung liegen die Schwellenwerte für betroffene Unternehmen jedoch niedriger: Branchenunternehmen mit einer Größe ab 50 Mitarbeitenden oder einer Jahresumsatzsumme und einer Jahresbilanzsumme von jeweils mehr als 10 Mio. € fallen unter die NIS-2-Verordnung. Unternehmen haben die Möglichkeit, ihre NIS-2-Betroffenheit auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu überprüfen.

Für die schätzungsweise (branchenübergreifend) 29.000 Unternehmen, welche gegenüber der bisherigen Gesetzgebung zusätzlich betroffen sein werden, gelten zukünftig in abgestufter Form erweiterte Registrierungs-, Nachweis- und Meldepflichten. Zudem müssen sie geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Abschließend gaben die Referenten einen Überblick über die Cybersicherheitsstruktur im Land Bremen und die unterschiedlichen Ansprechpartner.

In der anschließenden Diskussion wird hinterfragt, ob Mitarbeitenden- oder Umsatzzahlen einen sinnvollen Gradmesser für die Beurteilung darstellen, ob ein Unternehmen unter die neue, strengere Gesetzgebung fallen sollte oder nicht. Gerade in der Nahrungs- und Genussmittelwirtschaft dominieren wenige Großunternehmen ihr jeweiliges Marktsegment - diese sollten im Gegensatz zu den meisten anderen Unternehmen als kritisch angesehen werden. Auch die praktische Umsetzbarkeit der vorgegebenen Maßnahmen zum Risikomanagement wird kritisch gesehen: So erscheint es nicht realistisch, von Geschäftspartnern wie bspw. Zulieferern detaillierte Einblicke in deren Sicherheitsstrategie zu erhalten, um die Sicherheit der eigenen Lieferkette zu gewährleisten.