Cybersicherheit auf dem Hof: Was die NIS-2-Richtlinie für Agrarbetriebe bedeutet EU-Richtlinie NIS-2

Ob Melkroboter, Klimacomputer oder Warenwirtschaftssystem: Landwirtschaftliche Betriebe arbeiten heute hoch digitalisiert. Gleichzeitig steigt die Gefahr von Cyberangriffen. Mit der Umsetzung der EU-Richtlinie NIS-2 in deutsches Recht Ende 2025 (NIS2UmsuCG) rückt das Thema IT-Sicherheit auch für die grüne Branche stärker in den Fokus. Selbst wenn nur wenige Betriebe direkt betroffen sind, wächst der Druck entlang der gesamten Lieferkette. Die zentrale Frage lautet daher nicht mehr, ob ein Angriff erfolgt, sondern wann und wie gut ein Betrieb darauf vorbereitet ist.

Agrarjournalistin Christine Schonschek erklärt verständlich Hintergründe und Bedeutung der EU-Richtlinie NIS-2 für die Grüne Branche. Zudem begründet sie, warum IT-Sicherheit so wichtig ist und gibt Hinweise dazu, welche Tools und Beratungsangebote es in diesem Zusammenhang gibt. 

Landwirtschaftliche Betriebe zählen zum Sektor „Ernährung“ und können grundsätzlich unter die NIS-2-Richtlinie fallen. Direkt betroffen sind jedoch nur größere Unternehmen. Betriebe mit mindestens 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme gelten als „wichtige Einrichtungen“. Sie müssen umfangreiche IT-Sicherheitsmaßnahmen nachweisen und unterliegen Meldepflichten. Für die große Mehrheit der Höfe gilt dies nicht direkt, aber sie können indirekt in den Geltungsbereich fallen.

Viele landwirtschaftliche Betriebe geraten indirekt in den Geltungsbereich von NIS-2 durch ihre Rolle als Zulieferer von Großunternehmen, Handelsketten oder Gemeinschaftsverpflegungseinrichtungen. Konkret heißt das: Wer Kantinen von Kliniken, Großküchen oder zusätzlich zur Direktvermarktung auch Handelsketten beliefert, ist indirekt betroffen. Denn diese Abnehmer können und müssen als „wichtige Einrichtungen“ hohe Sicherheitsanforderungen einhalten und genau diese an ihre Lieferanten weitergeben. 

In der Praxis bedeutet das: Sicherheitsfragebögen, Nachweise oder Zertifikate werden zur Voraussetzung für Geschäftsbeziehungen. Wer hier nicht liefern kann, riskiert Auftragsverluste oder sogar die Auslistung. Für viele Betriebe ist das eine neue Herausforderung, denn IT-Sicherheit gehört bislang selten zur Kernkompetenz.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet den NIS-2-Betroffenheits-Check. Mit der Beantwortung weniger Fragen ist eine erste Einschätzung unkompliziert, frei zugänglich und anonym möglich.

Die Schwachstellen sind vielfältig und oft hausgemacht. Neben technischen Lücken spielt menschliches Fehlverhalten eine zentrale Rolle. Ein falscher Klick auf eine Phishing-Mail kann bereits ausreichen. Diese und weitere Vorfälle können nicht nur den laufenden Betrieb lahmlegen, sondern auch wirtschaftliche Schäden und Reputationsverluste verursachen:

• Manipulation von Klimasteuerung oder Düngetechnik 
• Störungen bei Melkrobotern oder Fütterungsanlagen 
• Ausfälle in Warenwirtschaft und Abrechnung 
• Unterbrechung der Kühlkette 
• Verlust vom Zugriff auf Social-Media-Kanäle 

Zudem gilt es auch betriebsübergreifende, digitale Schnittstellen in den Blick zu nehmen. Sehr oft werden Warenwirtschaftssysteme, Handels- oder Logistikplattformen gemeinsam mit Partnern genutzt. Hier lauert das Risiko, dass diese nicht genügend abgesichert sind. 

NIS-2 und deren nationale Umsetzung im BSIG § 30 Absatz 2 verpflichtet „besonders wichtige“ und „wichtige Einrichtungen“ wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken von Sicherheitsvorfällen weitestgehend zu reduzieren. Die Maßnahmen sollten geeignet, verhältnismäßig und wirksam sein und die Schutzziele der IT-Sicherheit – Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität – erfüllen. Dazu zählen mindestens diese zehn Maßnahmen:

1. Konzepte für Risikoanalyse und Cybersicherheit erarbeiten
2. Sicherheitsvorfälle bewältigen - erkennen, analysieren, eindämmen und reagieren
3. Betrieb im Notfall mithilfe von Backup-Management und Wiederherstellung aufrechterhalten
4. Sicherheit in der Lieferkette 
5. Sicherheit beim Einkauf, Entwicklung und Wartung von IT-Systemen
6. Wirksamkeit von Risikomanagementmaßnahmen bewerten
7. Personal durch Schulungen sensibilisieren (Awareness Trainings)
8. Kryptographische Verfahren einsetzen
9. Sicherheitskonzepte für Personal und Zugriffsberechtigungen erstellen
10. Multifaktor Authentifizierung nutzen

Für den Einstieg in die IT-Sicherheit stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Basisempfehlungen bereit. Diese richten sich sowohl an Privatpersonen als auch an kleine und mittlere Unternehmen (KMU) und bieten praxisnahe Orientierung für den sicheren Umgang mit digitalen Systemen.

Auch ohne budgetintensive Schulungen sollten Unternehmen ihre Mitarbeitenden für IT-Sicherheitsrisiken sensibilisieren. Eine einfache Möglichkeit ist der Bezug des BSI-Newsletters „Einfach Cybersicher“, der regelmäßig verständliche Hinweise und aktuelle Warnungen liefert.

Ergänzend dazu bietet die Polizei-Beratung mit dem Informationsblatt „Schutz vor Cyberangriffen – IT-Sicherheit für kleine und mittlere Unternehmen“ eine kompakte Einführung in grundlegende Schutzmaßnahmen. Dieses kann kostenlos heruntergeladen oder per E-Mail bestellt werden.

Einen Überblick über verfügbare Sicherheitslösungen und Dienstleistungen bietet der Marktplatz IT-Sicherheit. Dort finden sich unter anderem kostenfreie Tools sowie Selbstlernangebote. Ein Beispiel ist das Lernprogramm SecAware.nrw, das zwar ursprünglich für Hochschulen in Nordrhein-Westfalen (NRW) entwickelt wurde, jedoch auch für andere Anwendergruppen wertvolle Inhalte bereitstellt.

Das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie des Landes NRW bietet eine neutrale NIS2-Anlaufstelle. Die Anlaufstelle wirbt mit einer unkomplizierten Erstanalyse sowie kostenfreier IT-Sicherheitsberatung.

Branchenspezifische Angebote ergänzen das Portfolio: So bietet die Landwirtschaftskammer Nordrhein-Westfalen ein Online-Seminar mit dem Titel „WiN: Cybersicherheit – So schützen Sie Ihren Betrieb vor digitalen Angriffen“ an, das sich gezielt an landwirtschaftliche Betriebe richtet.

Wenn Unternehmen ihre IT-Sicherheit extern überprüfen lassen möchten, empfiehlt sich ein sogenannter CyberRisikoCheck nach der Norm DIN SPEC 27076. Dieser ermöglicht eine strukturierte Bewertung des aktuellen Sicherheitsniveaus. Eine Übersicht qualifizierter IT-Dienstleister, die solche Prüfungen anbieten, stellt ebenfalls das BSI zur Verfügung.

Um eine nachhaltige Cybersicherheitskultur im Unternehmen zu etablieren, sollten Schulungen nicht als Pflichtübung wahrgenommen werden, sondern praxisnah gestaltet sein und idealerweise auch den Teamzusammenhalt stärken. Unterstützend können Plakate mit kompakten IT-Sicherheitstipps eingesetzt werden.

Die NIS-2-Richtlinie erfordert eine Auseinandersetzung von Betrieben mit dem Thema Cybersicherheit. Auch wenn viele Betriebe nicht direkt betroffen sind, besteht Handlungsbedarf, um den eigenen Betrieb abzusichern. Wer frühzeitig in IT-Sicherheit investiert, schützt nicht nur seine Technik, sondern auch seine Geschäftsbeziehungen und Zukunftsfähigkeit.