In einer zunehmend vernetzten Welt ist die Logistik das Nervensystem der globalen Wirtschaft. Doch mit der fortschreitenden Automatisierung – von KI-gesteuerten Hochregallagern bis hin zu vernetzten Schienengütersystemen – wächst die Angriffsfläche für Cyber-Attacken dramatisch.
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555)1 markiert einen Wendepunkt in der europäischen Cybersicherheitspolitik. Sie transformiert IT-Sicherheit von einer nachgelagerten Supportfunktion zu einer zentralen Compliance-Pflicht mit schweren Sanktionen und persönlicher Haftung der Geschäftsführung. Besonders für Unternehmen im Bereich Logistik, Transport und Logistikanlagenbau entstehen hier völlig neue Anforderungen.
Der Anwendungsbereich: Wer steht im Fokus?
NIS2 zielt auf ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen ab. Für die Einordnung sind die NIS2 Kategorien maßgeblich: Die Richtlinie unterscheidet „wichtige“ und „besonders wichtige“ Einrichtungen. Die Einstufung knüpft grundsätzlich an die Tätigkeiten nach Anhang I/II NIS2 und an EU Größenkriterien (mittel/groß nach RL 2013/34/EU) an; die nationale Umsetzung konkretisiert dies.
Logistik als strategischer Sektor
Der Sektor Transport/Verkehr wird in der NIS2 Systematik grundsätzlich den kritischen Sektoren zugeordnet. Ob ein Unternehmen als besonders wichtige oder wichtige Einrichtung gilt, hängt von den konkreten Tätigkeitstatbeständen (Anhang I/II NIS2) und den Größenkriterien sowie deren nationaler Umsetzung ab und ist im Einzelfall zu prüfen.2
Der „Sog-Effekt“ auf den Anlagenbau
Auch wenn Anlagenbauer die Schwellenwerte nicht direkt erreichen, können sie – vertraglich – über die Sorgfaltspflichten in der Lieferkette (Supply Chain Security) erfasst werden. Spätestens ab 2026 dürfte damit Cyber‑Resilienz entlang der Lieferketten zu einem zentralen Wettbewerbsfaktor werden, da Auftraggeber NIS2‑konforme Sicherheits‑, Melde‑ und Auditpflichten verstärkt vertraglich in die Lieferkette weiterreichen und entsprechende Nachweise verlangen.
Die persönliche Haftung der Geschäftsführung: Ein Novum
Ein Kernaspekt der NIS2-Richtlinie ist die direkte Einbindung der Führungsebene (Organhaftung).
- Billigungs- und Überwachungspflicht: Die Geschäftsführung muss die Cybersicherheitsmaßnahmen des Unternehmens nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen.
- Schulungspflicht: Mitglieder der Geschäftsleitung sind gesetzlich verpflichtet, regelmäßig an spezifischen Schulungen teilzunehmen, um Cyber-Risiken und deren Auswirkungen auf den Geschäftsbetrieb bewerten zu können.
- Persönliche Haftung: Bei schuldhafter Pflichtverletzung gegen die Risikomanagementmaßnahmen (Billigung / Überwachung, Schulung) haften Leitungsorgane gegenüber der eigenen Gesellschaft nach den einschlägigen gesellschaftsrechtlichen Maßstäben.
Kernpflichten: Risikomanagement und Meldewesen
NIS2 verlangt einen „gefahrenübergreifenden Ansatz“ zur Sicherung der Resilienz des gesamten Geschäftsmodells.
Ganzheitliches Risikomanagement
Das Risikomanagement umfasst klare Verantwortlichkeiten bis zur Geschäftsleitung, wiederkehrende Risikoanalysen mit zentralem Risikoregister (inkl. Maßnahmen, Fristen, Verantwortlichen) sowie definierte Risikoakzeptanzkriterien und Eskalationswege. Die betroffenen Unternehmen müssen ein Set an Mindestmaßnahmen implementieren, die den gesamten Lebenszyklus einer Anlage abdecken, z.B.
- Incident-Handling,
- Business-Continuity und Krisenmanagement (inkl. Backup/Restore-Tests),
- Lieferketten- und Drittparteienkontrollen,
- sichere Entwicklung und Patch-/Vulnerability-Management,
- Wirksamkeitsmessungen (KPI/KRI),
- Schulungen und Awareness,
- Kryptografie- und Zugriffsrichtlinien (inkl. MFA) sowie
- Netzwerksegmentierung und Protokollierung.
Die Wirksamkeit wird regelmäßig geprüft (Audits, Tests, Übungen) und fortlaufend verbessert (PDCA-Zyklus)
Die „Goldene Stunde“ der Meldepflichten
Sicherheitsvorfälle mit erheblichen Auswirkungen müssen gegenüber dem BSI (sektorspezifisch können weitere Adressaten hinzutreten) gemeldet werden. Erhebliche Sicherheitsvorfälle sind gestuft zu melden:
- 24 Stunden: Frühwarnung an die zuständige Behörde (z.B. BSI), wenn ein Vorfall erhebliche (bzw. erheblich wirkende) Auswirkungen auf die Dienstleistung hat.
- 72 Stunden: Zwischenmeldung mit vorläufiger Bewertung des Schweregrads und der Auswirkungen sowie ersten Abhilfemaßnahmen.
- 1 Monat: Ein detaillierter Abschlussbericht über die Ursachen und die ergriffenen Abhilfemaßnahmen.
Strategische Vertragsgestaltung: Partnerschaftliche Compliance
Um die NIS2-Anforderungen rechtssicher umzusetzen, müssen Verträge zwischen Betreibern und Anlagenbauern reformiert werden. Hierbei sollte ein kooperativer Ansatz gewählt werden:
Patch-Management und Software-Lebenszyklus
- Sicherheits‑SLA und Audit: Vereinbarung von Mindestmaßnahmen (Verschlüsselung, Patch-Zyklen) sowie Audit- und Testrechten und geeigneten Nachweisen (Berichte, Zertifikate).
- Incident‑Governance: Festlegung eines Incident-Playbooks mit klaren Kommunikationswegen und Meldefristen.
- Lieferkette und Verantwortlichkeiten: Spiegelung von Sicherheitsanforderungen in Subunternehmerverträgen (Back-to-back-Pflichten).
- Daten und Zugriff: Regulierung von Remote-Zugriffen über gehärtete Systeme (Jump-Hosts) mit lückenloser Protokollierung.
Sanktionen: Ein Risiko für die Bilanz
Die EU hat bei NIS2 von der DSGVO gelernt: Die Bußgelder sind nicht mehr symbolisch, sondern schmerzhaft:
- Besonders wichtige Einrichtungen: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
- Wichtige Einrichtungen: Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes.
Fazit: Cyber-Resilienz als Wettbewerbsvorteil
NIS2 ist eine Herausforderung, aber auch eine Chance. In einer Branche, die auf Pünktlichkeit und Zuverlässigkeit basiert, wird Cyber-Resilienz zum Qualitätsmerkmal. Wer diese Bausteine frühzeitig in Planung, Bau und Betrieb verankert, reduziert Ausfallrisiken und schafft eine nachweisbare, skalierbare Compliance-Architektur für Hubs und Transporte. Wer die Anforderungen der NIS2-Richtlinie heute proaktiv umsetzt, baut nicht nur sicherere Lager, sondern eine stabilere Zukunft für die gesamte Lieferkette.
1 Die NIS2-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist am 16. Januar 2023 in Kraft getreten. In Deutschland ist das NIS-2 Umsetzungsgesetz („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung”) am 6. Dezember 2025 in Kraft getreten.
2 Die Größe richtet sich in der EU systematisch nach der Rechnungslegungsrichtlinie (Art. 3 RL 2013/34/EU): Kategorisierung über zwei von drei Merkmalen (Bilanzsumme, Nettoumsatzerlöse, Beschäftigte); in Deutschland spiegelt § 267 HGB diese Systematik wider.
