Der Transportsektor zählt in der NIS2-Richtlinie zu den elf Sektoren hoher Kritikalität – klassifiziert in Anhang I der Richtlinie (EU) 2022/2555. Das bedeutet: Unternehmen aus der Luftfahrt, dem Schienenverkehr, dem Hafen- und Schifffahrtsbereich sowie dem Straßenverkehr unterliegen direkt den europäischen Cybersicherheitspflichten, die Deutschland mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt hat.
Dieser Leitfaden erklärt, welche Unternehmen im Transportsektor konkret betroffen sind, wie die Einstufung in wesentliche und wichtige Einrichtungen je Teilsektor funktioniert und welche Anforderungen jetzt umzusetzen sind – inklusive Spedition und Logistik als ergänzende Teilbranchen aus Anhang II.
Welche Unternehmen betrifft NIS2 im Transportsektor?
Der Sektor Verkehr in Anhang I des BSIG gliedert sich in fünf Teilbereiche: Luftfahrt, Schienenverkehr, Schifffahrt (Seehäfen und Binnenwasserstraßen), Straßenverkehr sowie Post- und Kurierdienste (letztere in Anhang II). Reguliert werden nicht automatisch alle Transportunternehmen, sondern vorrangig Betreiber kritischer Infrastruktur und digitaler Steuerungssysteme.
Grundvoraussetzung bleibt die Größenschwelle des EU-KMU-Modells: Wichtige Einrichtungen (wE) sind Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro. Besonders wichtige Einrichtungen (bwE) überschreiten mindestens 250 Mitarbeitende oder 50 Millionen Euro Jahresumsatz. Für bestimmte Infrastrukturbetreiber – insbesondere in der Luftfahrt und bei KRITIS-qualifizierten Hafenbetreibern – gelten diese Schwellen unabhängig von der tatsächlichen Unternehmensgröße.
Zur vollständigen Prüfung des Anwendungsbereichs der NIS2-Richtlinie und der geltenden Größenschwellen finden Sie detaillierte Informationen in unserem einführenden Leitfaden.
| Teilsektor | Regulierte Einrichtungstypen | Typische NIS2-Kategorie |
|---|---|---|
| Luftfahrt | Flughafenbetreiber, Airlines (≥50 MA), Flugsicherungsorganisationen | Besonders wichtig (bwE) |
| Schienenverkehr | Eisenbahninfrastrukturbetreiber (DB InfraGO), große EVUs | Besonders wichtig / Wichtig |
| Seehäfen | Hafenbetreiber (Hamburg, Bremerhaven, Rostock) | Besonders wichtig (bwE) |
| Binnenschifffahrt | Schiffsverkehrsmanagement, Binnenhäfen, RIS-Betreiber | Wichtig (wE) |
| Straßenverkehr | Straßenbehörden, ITS-Betreiber, Mautoperatoren | Wichtig (wE) |
| Post und Kurier (Anhang II) | Große KEP-Dienstleister (DHL, UPS, DPD) | Wichtig (wE) |
Luftfahrt: Flughäfen, Airlines und Flugsicherung als besonders wichtige Einrichtungen
Die Luftfahrt ist der am strengsten regulierte Teilsektor innerhalb des NIS2-Verkehrsbereichs. Drei Einrichtungstypen stehen dabei im Mittelpunkt der Regulierung.
Flughafenbetreiber fallen als Betreiber kritischer Transport-Infrastruktur unabhängig von ihrer Größe unter NIS2, sofern sie im Sinne des Luftverkehrsgesetzes (LuftVG) als regulierte Flughäfen eingestuft sind. Für Großflughäfen wie Frankfurt, München, Düsseldorf oder Hamburg ist die Einstufung als besonders wichtige Einrichtung gesetzt. Die operative IT dieser Flughäfen umfasst Airport Operations Centers (AOC), Passagier-Abfertigungssysteme (DCS/DPS), Gepäcksortieranlagen, Fluggastbrückensteuerung und Sicherheitssysteme – allesamt regulierte Systeme im Sinne des §30 BSIG.
Luftfahrtunternehmen (Airlines) mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Jahresumsatz gelten als besonders wichtige Einrichtungen. Regionalfluggesellschaften ab 50 Mitarbeitenden fallen als wichtige Einrichtungen in den Geltungsbereich. Kritische digitale Systeme umfassen Reservierungs- und Global Distribution Systems (GDS wie Amadeus oder Sabre), Crew-Management-Systeme, Cargo-Tracking-Plattformen und die Schnittstellen zur Flugsicherung.
Flugsicherungsorganisationen – in Deutschland die DFS Deutsche Flugsicherung GmbH – sind aufgrund ihrer systemkritischen Funktion besonders wichtige Einrichtungen. Ihre Kernsysteme, die Radarverarbeitung, Voice Communication Systems (VCS), Flight Data Processing (FDP) und Surface Movement Guidance (SMG), unterliegen den höchsten Anforderungen. Ein Cyberangriff auf Flugsicherungssysteme hätte unmittelbare Konsequenzen für die öffentliche Sicherheit.
Praxishinweis: Die NIS2-Pflichten nach §30 BSIG ergänzen bestehende EASA-Cybersicherheitsanforderungen (AMC/GM zu Part IS). Beide Regelwerke müssen inhaltlich aufeinander abgestimmt werden – eine separate Gap-Analyse für NIS2 gegenüber Part IS reduziert den Gesamtaufwand erheblich.
Schienenverkehr: Infrastrukturbetreiber und Eisenbahnverkehrsunternehmen
Im Schienenverkehr unterscheidet NIS2 zwischen zwei Einrichtungstypen: Infrastrukturbetreibern und Eisenbahnverkehrsunternehmen (EVUs).
Eisenbahninfrastrukturbetreiber – allen voran die DB InfraGO AG, die seit der Bahnreform 2024 das deutsche Schienennetz verwaltet – sind besonders wichtige Einrichtungen. Strecken des Transeuropäischen Verkehrsnetzes (TEN-T) unterliegen besonderer Aufmerksamkeit als regulierungspolitisch sensible Infrastruktur. Der moderne Infrastrukturbetrieb umfasst hochvernetzte Leit- und Sicherungstechnik: Elektronische Stellwerke (ESTW/DSTW), das europäische Zugkontrollsystem ETCS (European Train Control System), Kommunikationssysteme (GSM-R, ab 2030 FRMCS) und digitale Betriebszentralen.
Eisenbahnverkehrsunternehmen (EVUs) unterliegen NIS2, sobald sie die Größenschwellen überschreiten. Große EVUs wie DB Fernverkehr AG, DB Cargo AG oder TX Logistik gelten als besonders wichtige Einrichtungen. Regionale Güterbahnen und Regionalbahnen ab 50 Mitarbeitenden fallen als wichtige Einrichtungen in den Geltungsbereich.
Die OT/IT-Konvergenz ist im Schienenverkehr besonders kritisch: Stellwerke, Weichen, Bahnübergangssicherungen und Fahrzeugleitsysteme wurden historisch als isolierte Systeme konzipiert. Wachsende IP-Vernetzung – insbesondere durch den Übergang zu ETCS Level 2 ohne Streckensignalisierung – schafft Angriffsflächen, die von klassisch auf physische Sicherheit fokussierten Bahnunternehmen noch nicht vollständig adressiert werden. §30 BSIG verlangt explizit eine Risikoanalyse, die Operational-Technology-Systeme einschließt.
Häfen und Binnenschifffahrt: Seehäfen unter besonderer Aufsicht
Der maritime Transportsektor teilt sich regulatorisch in zwei Kategorien: Seehäfen – als besonders wichtige Einrichtungen – und Binnenwasserstraßen mit ihren Binnenhäfen als wichtige Einrichtungen.
Seehafenbetreiber wie Hamburg Hafen und Logistik AG (HHLA), bremenports und Eurogate unterliegen als besonders wichtige Einrichtungen den höchsten NIS2-Anforderungen. Ihre digitale Infrastruktur ist komplex: Hafenmanagementsysteme (HMS), Terminal Operating Systems (TOS), Port Community Systems (PCS), automatisierte Containerbrücken-Steuerung (AGVs) und Sicherheitssysteme bilden ein hochvernetztes Geflecht. Automatisierte Terminals wie das CTA in Hamburg laufen vollständig auf vernetzter Steuerungstechnik – ein Ausfall hätte unmittelbare Konsequenzen für die gesamte Supply Chain.
Für Seehäfen besonders relevant: Supply-Chain-Angriffe über IT-Dienstleister. Der Maersk-NotPetya-Vorfall von 2017 – der den Terminal-Betrieb in 76 Häfen weltweit lahmlegte – zeigte eindrucksvoll, wie ein einziger Einfallspunkt globale Lieferketten unterbrechen kann. Art. 21 Abs. 2 Buchst. d NIS2 verpflichtet Hafenbetreiber explizit zur Absicherung ihrer Lieferkette. Detaillierte Anforderungen beschreibt unser Leitfaden zur Lieferkettensicherheit nach NIS2.
Binnenwasserstraßen und Binnenhäfen fallen als wichtige Einrichtungen in den NIS2-Geltungsbereich. Betreiber von River Information Services (RIS) – elektronische Wasserstraßeninformationsdienste für Binnenwasserstraßen – sind explizit reguliert. In Deutschland sind dies vor allem die Wasserstraßen- und Schifffahrtsämter (WSA) sowie Systeme für Navigation, Schleusensteuerung und Brückenbetrieb. RIS-Systeme kommunizieren in Echtzeit mit Binnenschiffen und steuern Schleusenöffnungen – ein Ausfall hätte direkte operative und Sicherheitsfolgen.
Straßenverkehr: Verkehrsbehörden und Intelligente Transportsysteme
Im Straßenverkehr konzentriert sich NIS2 nicht auf klassische Spediteure oder Lkw-Unternehmen, sondern auf Betreiber von Verkehrsinfrastruktur und digitalen Verkehrsmanagement-Systemen.
Straßenbehörden – in Deutschland das Bundesministerium für Digitales und Verkehr (BMDV), die Autobahn GmbH des Bundes sowie die zuständigen Landesbehörden – sind als wichtige Einrichtungen reguliert. Sie betreiben Verkehrsmanagementzentralen (VMZ), Streckenbeeinflussungsanlagen (SBA), Tunnelleittechnik und Brückenüberwachungssysteme. Ein Cyberangriff auf Tunnelmanagementsysteme kann unmittelbar zur Streckensperrung und damit zur Gefährdung der öffentlichen Sicherheit führen.
Betreiber Intelligenter Verkehrssysteme (ITS) – beispielsweise Toll Collect für die LKW-Maut auf deutschen Bundesautobahnen – fallen als wichtige Einrichtungen in den NIS2-Geltungsbereich. Moderne ITS-Systeme verknüpfen Fahrzeugsensoren, Mikrowellenerfassungsgeräte, GPS-Tracking und Cloud-Backends zu einem integrierten System, das bei einem Cyberangriff nicht nur den Mautbetrieb, sondern potenziell die Verkehrsflusssteuerung beeinträchtigen kann.
Für Straßenverkehrsbetreiber ist das Business Continuity Management (BCM) nach §30 BSIG besonders relevant: Kritische Verkehrsinfrastruktur muss auch im Angriffsfall betriebsfähig bleiben, Ausweichverfahren müssen vorab definiert und regelmäßig getestet werden.
Spedition und Logistik: Welche Logistikdienstleister unter NIS2 fallen
Spedition und Logistik im engeren Sinne fallen entweder unter den Verkehrssektor (Anhang I) oder – für Post-, Kurier- und Expressdienste (KEP) – unter Anhang II des BSIG. Die Einstufung hängt vom konkreten Tätigkeitsbereich und der Größe des Unternehmens ab.
Post- und Kurierdienste sind in Anhang II explizit als wichtige Einrichtungen reguliert. Dazu zählen große KEP-Dienstleister wie DHL, UPS, FedEx, DPD und Hermes, sofern sie die Größenschwellen überschreiten. Ihre Sortierzentren, Paket-Tracking-Systeme, Last-Mile-Optimierungssysteme und Kundenportale bilden ein hochverfügbares digitales Netz, das als Angriffsziel attraktiv ist.
Großspediteure – wie Kühne+Nagel, DB Schenker, Rhenus oder Raben – werden als wichtige oder besonders wichtige Einrichtungen eingestuft, sobald sie sektorübergreifende Logistiknetzwerke betreiben und die Größenschwellen überschreiten. Für besonders wichtige Einrichtungen (≥250 MA oder >50 Mio. € Umsatz) gelten die strengsten Auflagen inklusive proaktiver BSI-Aufsicht. Besonders exponiert sind Transport-Management-Systeme (TMS), Lagerverwaltungssysteme (WMS) und Zollabwicklungsplattformen.
Die Lieferkettensicherheit nach NIS2 ist für Logistikdienstleister kein abstraktes Compliance-Thema: Wer als IT-Dienstleister, Frachtführer oder Zollagent in der Supply Chain von wesentlichen Einrichtungen tätig ist, erhält heute direkte Sicherheitsanforderungen aus NIS2-regulierten Auftraggebern – in Form von Vertragsklauseln, Sicherheitsfragebögen und Auditrechten.
NIS2-Anforderungen nach Artikel 21: Gemeinsame Pflichten für alle Verkehrsunternehmen
Unabhängig vom Teilsektor und der Einrichtungskategorie gelten für alle betroffenen Verkehrsunternehmen dieselben inhaltlichen Pflichten nach §30 BSIG (Art. 21 NIS2-Richtlinie). Die zehn Maßnahmenkategorien gelten vollständig – für besonders wichtige und wichtige Einrichtungen gleichermaßen.
| Maßnahmenkategorie (§30 BSIG) | Transportspezifische Relevanz |
|---|---|
| 1. Risikoanalyse und ISMS | OT-Systeme (Stellwerke, ATM, HMS) müssen vollständig erfasst werden |
| 2. Vorfallbewältigung | 24h-Frühwarnung, 72h-Meldung an BSI, 1-Monats-Abschlussbericht |
| 3. Business Continuity | Ausweichbetrieb für Flugsicherung, Stellwerke, Hafenleitsysteme definieren |
| 4. Lieferkettensicherheit | IT-Dienstleister, Systemintegratoren, Softwarelieferanten prüfen |
| 5. Netz- und Systemsicherheit | IT/OT-Segmentierung, Patch-Management für eingebettete Systeme |
| 6. Schwachstellenbehandlung | Koordinierte Offenlegung; Transport-OT häufig proprietäre Systeme mit langen Lebenszyklen |
| 7. Kryptografie | Verschlüsselung für Buchungs-, Logistik- und Kommunikationssysteme |
| 8. Personalsicherheit | Schulung und Zugangskontrolle für kritische OT-Bereiche |
| 9. Multi-Faktor-Authentifizierung | MFA für Fernzugriff auf Leit- und Steuerungstechnik obligatorisch |
| 10. Kommunikationssicherheit | Sichere Protokolle für Bord-Boden-Kommunikation (Luftfahrt) und V2X (Straße) |
Für besonders wichtige Einrichtungen kommt die Pflicht zum proaktiven Nachweis gemäß §39 BSIG hinzu: alle drei Jahre müssen Prüfungsnachweise beim BSI eingereicht werden. Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 – ergänzt um IEC 62443 für OT-Umgebungen – deckt den Großteil dieser Nachweispflichten ab. Alle Anforderungen im Detail beschreibt unser Leitfaden zu den NIS2-Anforderungen nach Artikel 21.
Meldepflichten bei Sicherheitsvorfällen. Alle betroffenen Verkehrsunternehmen müssen erhebliche Sicherheitsvorfälle nach §32 BSIG an das BSI melden: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat. Erheblich ist ein Vorfall, wenn er die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit kritischer Systeme gravierend beeinträchtigt oder beeinträchtigen kann.
OT/IT-Konvergenz: Die besondere Herausforderung für Transport-Infrastruktur
Verkehrsunternehmen stehen vor einer strukturellen Besonderheit: Ihre kritischsten Systeme sind häufig Operational-Technology-Systeme (OT) – also industrielle Steuer- und Leittechnik, die historisch isoliert von IT-Netzwerken betrieben wurde. Stellwerke wurden auf Betriebsdauern von 30 bis 50 Jahren ausgelegt, Flugsicherungssysteme wurden über Jahrzehnte mit proprietären Protokollen entwickelt, Hafenterminal-Steuerungen laufen in Schichtbetrieb rund um die Uhr.
Heute ist die strikte OT/IT-Trennung vielerorts aufgehoben: Stellwerke kommunizieren über IP-Netzwerke, Flughafen-Ground-Handling-Systeme sind cloud-basiert, und Hafenterminal-Systeme laufen auf Windows-Servern mit Internetzugang. Die klassischen IT-Sicherheitsprinzipien greifen im OT-Bereich nicht direkt: Patch-Zyklen sind länger, Wartungsfenster enger, und viele Systeme können weder im laufenden Betrieb aktualisiert noch neu gestartet werden.
§30 BSIG verlangt eine Risikoanalyse, die OT-Systeme explizit einschließt. Für die praktische Umsetzung haben sich folgende Maßnahmen bewährt:
- Netzwerksegmentierung zwischen IT und OT durch DMZ-Architekturen und unidirektionale Daten-Dioden an kritischen Übergängen
- OT-spezifisches Monitoring mit ICS-SIEM-Lösungen, die industrielle Protokolle (Modbus, Profibus, DNP3, IEC 60870) nativ erkennen
- IEC 62443 als ergänzender Sicherheitsstandard für OT-Umgebungen neben ISO 27001
- Lieferantenverträge mit expliziten OT-Sicherheitsklauseln nach Art. 21 Abs. 2 Buchst. d NIS2
- Getrennte Zugangspfade für IT-Fernwartung und OT-Fernwartung mit MFA an beiden Segmentgrenzen
Häufige Fragen
Gilt NIS2 für jedes Transportunternehmen in Deutschland?
Nein. NIS2 gilt für Verkehrsunternehmen, die erstens in einem der regulierten Teilsektoren tätig sind und zweitens die Größenschwellen überschreiten (≥50 Mitarbeitende oder >10 Millionen Euro Jahresumsatz). Ein Logistikunternehmen mit 30 Mitarbeitenden fällt nicht automatisch unter NIS2 – es sei denn, es handelt sich um einen KRITIS-Betreiber oder das Unternehmen betreibt als Dienstleister für eine NIS2-regulierte Einrichtung kritische Systeme und überschreitet dabei indirekt die Schwellen.
Unterscheiden sich die Pflichten für Luftfahrt und Schienenverkehr?
Die inhaltlichen Pflichten nach §30 BSIG (Art. 21 NIS2) sind für alle regulierten Verkehrsunternehmen identisch – alle zehn Maßnahmenkategorien gelten vollständig. Der Unterschied liegt in der Aufsichtsintensität: Besonders wichtige Einrichtungen werden vom BSI proaktiv und anlassunabhängig kontrolliert, wichtige Einrichtungen nur reaktiv nach gemeldeten Vorfällen oder bei begründetem Verdacht auf Verstöße.
Was ist der Unterschied zwischen wesentlicher und wichtiger Einrichtung im Transportsektor?
Besonders wichtige Einrichtungen (bwE) sind typischerweise Großbetreiber kritischer Infrastruktur: große Flughäfen, Eisenbahninfrastrukturbetreiber (DB InfraGO), Seehafenbetreiber und Flugsicherungsorganisationen. Wichtige Einrichtungen (wE) umfassen mittelgroße Unternehmen im Verkehr und in der Logistik (≥50 MA, >10 Mio. € Umsatz). Beide Kategorien müssen dieselben zehn Sicherheitsmaßnahmen nach Art. 21 NIS2 umsetzen – der Unterschied liegt ausschließlich in der Aufsichtstiefe.
Wie werden OT-Systeme in Transportinfrastrukturen unter NIS2 behandelt?
§30 BSIG verlangt eine vollständige Risikoanalyse, die Operational-Technology-Systeme einschließt – unabhängig davon, ob diese Systeme internetverbunden sind oder nicht. Die Anforderungen gelten explizit für industrielle Steuerungssysteme (ICS), SCADA-Systeme, Leit- und Sicherungstechnik sowie alle Systeme, die Transport-Kernprozesse steuern. Unternehmen, die bisher OT-Systeme aus dem IT-Sicherheitskonzept ausgenommen haben, müssen dies korrigieren.
Was gilt für Spediteure und Logistikdienstleister ohne eigene Infrastruktur?
Reine Spediteure ohne eigene physische Verkehrsinfrastruktur fallen unter NIS2 primär dann, wenn sie Post- oder Kurierdienste anbieten (Anhang II) oder wenn ihre digitalen Systeme (TMS, WMS, Zollplattformen) für den reibungslosen Betrieb regulierter Einrichtungen essenziell sind und sie die Größenschwellen erreichen. Zudem müssen NIS2-regulierte Auftraggeber ihre Lieferkette absichern – was Spediteure indirekt mit vertraglichen Anforderungen konfrontiert, auch wenn sie selbst nicht direkt reguliert sind.
Quellen
- NIS2-Richtlinie (EU) 2022/2555 – EUR-Lex, Anhang I und II, Artikel 3, 21, 23
- BSI: NIS-2-regulierte Unternehmen im Sektor Verkehr – Bundesamt für Sicherheit in der Informationstechnik
- NIS2UmsuCG: Sektoren und Betroffenheitskriterien – OpenKRITIS
- ENISA Transport Threat Landscape 2023 – Europäische Agentur für Cybersicherheit
