NIS2 in der Lebensmittelindustrie: Sind Sie betroffen?

In Kürze: Lebensmittel ist ein Anlage-2-Sektor des NISG 2026 — erfasst sind Produktion, Verarbeitung und Vertrieb (Großhandel) ab mittlerer Größe (ab 50 Mitarbeitern — oder, unabhängig davon, ab über 10 Mio. € Jahresumsatz und über 10 Mio. € Bilanzsumme), in der Regel als wichtige Einrichtung. Frist zur Registrierung: 31.12.2026.

Die Lebensmittelbranche zählt im Bewusstsein vieler Betriebe nicht zu den „klassischen" kritischen Infrastrukturen — ist im NISG 2026 aber ausdrücklich erfasst. Versorgungssicherheit und stark vernetzte Produktion machen den Sektor relevant. Dieser Beitrag erklärt, wer betroffen ist und welche Pflichten voraussichtlich gelten.

Wer in der Lebensmittelbranche ist betroffen?

Das NISG 2026 listet Lebensmittel als Sektor 4 der Anlage 2 („Sonstige kritische Sektoren"). Erfasst sind laut Gesetzeswortlaut Lebensmittelunternehmen im Sinne des Art. 3 Z 2 der EU-Verordnung (EG) Nr. 178/2002 (Lebensmittel-Basisverordnung), die im Großhandel und in der industriellen Produktion und Verarbeitung tätig sind.

Maßgeblich sind also zwei Fragen:

1. Tätigkeit: Produktion, Verarbeitung oder Vertrieb (Großhandel) von Lebensmitteln im Sinne der genannten Verordnung.
2. Größe: Erreicht der Betrieb die Schwellen des § 25 NISG (siehe Tabelle)?

Betroffen sind Betriebe ab mittlerer Größe; kleine Manufakturen und reine Kleinst­betriebe unter den Schwellen in der Regel nicht — sofern keine Konzern-/Verbundzurechnung greift.

Größenschwellen und Einstufung (§ 24/§ 25)

Wichtig zur Größe: Das finanzielle Kriterium ist kumulativ — es zählt nur, wenn Umsatz und Bilanzsumme zugleich über der jeweiligen Schwelle liegen. Die verkürzte Formel „ab 50 Mitarbeitern oder über 10 Mio. € Umsatz" ist ungenau. Details und Sonderfälle: Schwellenwerte.

In den Sektoren der Anlage 2 sind sowohl mittlere als auch große Unternehmen in der Regel wichtige (nicht wesentliche) Einrichtungen. Die Cybersicherheitsbehörde kann einzelne Einrichtungen nach § 26 zudem größenunabhängig als wesentlich oder wichtig einstufen — solche Einzelfälle bleiben einer behördlichen Anordnung vorbehalten. Eine genaue Einstufung nehmen Sie im Scope-Wizard vor.

Besonderheiten für den Sektor

• Produktions- und Steuerungstechnik (OT): Abfüll-, Verpackungs- und Kühlanlagen sind zunehmend vernetzt und damit angreifbar. Siehe auch NIS2 in Produktion & Industrie.
• Kühlkette & Betriebskontinuität: Ein IT-/OT-Ausfall kann Warenverluste und Versorgungsengpässe verursachen — die Aufrechterhaltung des Betriebs (§ 32 Abs. 4 lit. c) ist hier besonders relevant.
• Lieferkette: Komplexe Liefernetze mit vielen Zulieferern erhöhen das Risiko → NIS2 & Lieferkette.

Welche Pflichten gelten?

Für alle betroffenen Einrichtungen gelten dieselben fünf Pflichtblöcke:

1. Registrierung (§ 29) — bei der Cybersicherheitsbehörde, elektronisch über einen sicheren Kanal; 7 Pflichtangaben.
2. Risikomanagement (§ 32) — geeignete und verhältnismäßige Maßnahmen, mindestens die Inhalte a–j.
3. Wirksamkeitsnachweis (§ 33) — Selbstdeklaration, später ggf. Prüfung durch eine unabhängige Stelle.
4. Meldung von Vorfällen (§ 34/§ 35) — erhebliche Vorfälle an das zuständige CSIRT (24-h-Frühwarnung, 72-h-Meldung, Abschlussbericht).
5. Governance & Schulung (§ 31) — das Leitungsorgan stellt das Risikomanagement sicher und nimmt an Schulungen teil.

Ausführlicher Überblick: NIS2-Pflichten.

Erste Schritte

1. Betroffenheit prüfen (Sektor + Größe + Konzern) → kostenloser Check
2. IT/OT-Inventar erstellen (Produktionslinien und Kühltechnik einbeziehen)
3. Registrierung vorbereiten → Frist 31.12.2026
4. Risikomanagement mit Schwerpunkt Betriebskontinuität und Lieferkette aufsetzen

Der Scope-Wizard unterstützt Sie bei der Einstufung; Nachweise und Eingaben werden als unveränderliche Snapshots in einem manipulationssicheren Audit-Ledger festgehalten — eine prüffeste Grundlage für Ihre Registrierungs-Vorbereitung.

Ist Ihr Lebensmittelbetrieb betroffen?

Wählen Sie „Lebensmittel" und Ihre Größe und sehen Sie sofort Ihre voraussichtliche Einstufung. → Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Ist die Lebensmittelindustrie von NIS2 betroffen? Ja. Lebensmittel ist Sektor 4 der Anlage 2 zum NISG 2026. Erfasst sind Lebensmittelunternehmen, die im Großhandel und in der industriellen Produktion und Verarbeitung tätig sind — ab mittlerer Größe in der Regel als wichtige Einrichtung.

Ist mein kleiner Lebensmittelbetrieb betroffen? Unter den Größenschwellen (unter 50 Mitarbeitern und höchstens 10 Mio. € bei Umsatz und Bilanzsumme) in der Regel nicht direkt. Beachten Sie aber eine mögliche Konzern-/Verbundzurechnung sowie die Möglichkeit einer behördlichen Einzelfall-Einstufung nach § 26.

Zählt auch der Lebensmittelgroßhandel? Ja. Der Gesetzeswortlaut nennt ausdrücklich Unternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind. Maßgeblich bleiben Tätigkeit und Größe.

Sind Lebensmittelbetriebe wesentliche oder wichtige Einrichtungen? In der Regel wichtige Einrichtungen — das gilt in Anlage-2-Sektoren sowohl für mittlere als auch für große Unternehmen. Eine Einstufung als wesentlich ist nur in Sonderfällen (z. B. § 26) möglich.

Welche Strafen drohen? Das NISG 2026 kennt zwei Stufen: Für inhaltliche Pflichtverstöße (z. B. § 31, § 32, § 34) drohen wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes (der höhere Betrag). Eine verspätete oder unterlassene Registrierung fällt dagegen unter die zweite Stufe: bis zu 50 000 €, im Wiederholungsfall bis zu 100 000 €. Details: NIS2-Strafen.

Bis wann müssen wir uns registrieren? Die Erstregistrierung ist innerhalb von drei Monaten ab Inkrafttreten (01.10.2026) vorgesehen, also bis 31.12.2026 — elektronisch bei der Cybersicherheitsbehörde.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.