Das Thema Cybersicherheit ist in der Wirtschaft und öffentlichen Wahrnehmung längst angekommen. Die Politik zieht nun nach, indem sie mit verschiedenen Gesetzen insbesondere die Unternehmen der kritischen Infrastruktur verpflichtet, höhere Sicherheitsanforderungen als bisher zu erfüllen.

In Kürze: EU Richtlinien weiten Pflichten aus, konkrete Betroffenheit des Agrarhandels noch nicht ganz klar, Abfrage nach Interesse an Seminar mit externem Know-How

Am 16.01.2023 sind dazu zwei EU-Richtlinien in Kraft getreten:

• EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience/ CER-Richtlinie)
  Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.
• EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)
• Beide Richtlinien sollen in einem sog. KRITIS Dachgesetz umgesetzt werden, dessen Entwurf im Juli 2023 vorgelegt wurde. Die Regelungen zum Themenkreis „KRITIS“ sind aktuell im deutschen Recht eher fragmentarischer Art. Bundesrechtlich gibt es Regelungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und in der dazugehörigen Verordnung (BSI-KritisV). Danach fallen auch bislang schon Unternehmen der Agrarhandelsbranche unter die kritische Infrastruktur, wenn sie jährlich mind. 434.500 Tonnen Lebensmittel produzieren, umschlagen oder handeln. Die NIS-2 Richtlinie legt die Betroffenheit zukünftig nach festen Unternehmensgrößen fest:
  Die NIS-2-Richtlinie weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus.
• Mittlere Unternehmen mit 50 – 250 Beschäftigten mit einem Umsatz zwischen 10 und 50 Millionen Euro oder einer Jahresbilanzsumme von höchstens 43 Millionen Euro
• Große Unternehmen mit mehr als 250 Beschäftigten und mehr als 50 Millionen Euro Umsatz oder einer Jahresbilanz von mehr als 43 Millionen Euro

 

Es bleibt einer Überarbeitung der KritisV vorbehalten, ob diese Kriterien 1:1 ins deutsche Recht übernommen werden. Ein Entwurf dazu liegt noch nicht vor. Die Schätzung ist, dass bundesweit 30.000 mehr Unternehmen als jetzt den neuen Pflichten unterfallen werden. Vor allem wird der Pflichtenkatalog mit neuen Risikomanagementvorgaben, Nachweis- und Zertifizierungspflichten sowie Meldepflichten deutlich vergrößert.

Es ist davon auszugehen, dass das Thema für viele unserer Mitglieder dazu führen wird, sich intensiver mit ihrer Cybersicherheit zu beschäftigen. Es sind schon einige Anbieter auf dem Markt, die Fortbildungen oder andere Dienstleistungen dazu anbieten. Als Verband verfügen wir nicht über das notwendige Wissen, Ihnen die technischen Anforderungen und Risikomanagementpflichten darzulegen, die zukünftig erfüllt werden müssen. Wenn Ihrerseits Interesse daran besteht, würden wir uns aber um einen externen Referenten bemühen, um zu diesem Thema in einem (vermutlich kostenpflichtigen) Seminar zu informieren.

Bitte melden Sie uns (unter garbe@der-agrarhandel.de) bis zum 17.10.2023 zurück, wenn Sie Interesse an einem solchen Seminar hätten und ggf. auf welche Fragen/ Themen besonders eingegangen werden sollte.