NIS2-Konformität für den Verkehrssektor

Der Verkehrssektor bildet das Rückgrat des EU-Binnenmarkts und ermöglicht die grenzüberschreitende Beförderung von Personen und den Transport von Gütern. Da moderne Verkehrssysteme in hohem Maße auf digitale Infrastrukturen, Automatisierung und vernetzte Betriebstechnologien angewiesen sind, sind sie zunehmend Cyberbedrohungen ausgesetzt.

Die NIS2-Richtlinie legt EU-weite Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance im Verkehrssektor spiegelt die strategische Bedeutung der Luftfahrt-, Schienen-, See- und Straßeninfrastruktur für wirtschaftliche Stabilität und öffentliche Sicherheit wider.

Die Richtlinie gilt für mittelgroße und große Organisationen, die in festgelegten Sektoren tätig sind, darunter der Verkehrssektor. Viele KMU können ebenfalls in den Anwendungsbereich fallen, wenn sie Größenkriterien erfüllen oder kritische Dienste innerhalb nationaler Infrastruktursysteme erbringen.

Wenn Ihr Unternehmen im Verkehrssektor tätig ist, können Sie unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft werden.

Der Verkehrssektor ist eingestuft als:

Relevanter Anhang: Anhang I (Wesentliche Einrichtungen)

Einrichtungen, die in diesen Untersektoren tätig sind und die Größenschwellen erfüllen, gelten nach NIS2 als wesentliche Einrichtungen.

• Wesentliche Einrichtung nach Anhang I

• Luftverkehr:
  • Luftfahrtunternehmen
• Flughafenbetreiber
• Flughäfen
• Anbieter von Flugsicherungsdiensten

• Infrastrukturbetreiber
• Eisenbahnverkehrsunternehmen

• Unternehmen des Binnen-, See- und Küstenschiffsverkehrs für Personen und Güter
• Hafenbetreiber
• Hafenanlagen
• Anbieter von Schiffsverkehrsdiensten

• Straßenverkehrsbehörden, die für das Verkehrsmanagement zuständig sind
• Betreiber intelligenter Verkehrssysteme (ITS)

Abdeckung der Untersektoren (Anhang I – Verkehr):

Die NIS2-Compliance für den Verkehrssektor gilt für:

Flughäfen, Fluggesellschaften, Eisenbahnverkehrsunternehmen, Hafenbehörden, Betreiber von Verkehrsmanagementsystemen und Anbieter intelligenter Verkehrssysteme (ITS), die die Schwellenwerte erfüllen, fallen automatisch in den Anwendungsbereich.

Auch KMU können in den Anwendungsbereich fallen, wenn sie die NIS2-Größenschwellen erfüllen oder formell als kritische Diensteanbieter benannt werden. Die Anwendbarkeit von NIS2 auf KMU ist daher ein zentrales Thema für regionale Verkehrsunternehmen, Infrastrukturbetreiber und digitale Verkehrsanbieter.

• Mittelgroße Unternehmen der EU (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Jahresbilanzsumme)
• Großunternehmen, die diese Schwellen überschreiten
• Nach nationalem Recht als kritische Verkehrsbetriebe bezeichnete Einrichtungen, unabhängig von ihrer Größe (sofern zutreffend)

Nach Artikel 21 der NIS2-Richtlinie müssen Einrichtungen des Verkehrssektors angemessene und verhältnismäßige technische und organisatorische Maßnahmen umsetzen, um Cybersicherheitsrisiken zu steuern.

Obligatorische Maßnahmen umfassen:

Für den Verkehrssektor müssen diese NIS2-Sicherheitsmaßnahmen sowohl IT-Systeme als auch Betriebstechnologie (OT) abdecken, einschließlich Signalsystemen, Flugverkehrskontrollsystemen, Hafenlogistikplattformen und intelligenten Verkehrssystemen.

Angesichts des sicherheitskritischen Charakters von Verkehrsabläufen muss das Risikomanagement Systemredundanzen, Failover-Fähigkeiten und sichere Kommunikation zwischen Infrastrukturbetreibern und öffentlichen Behörden einbeziehen. Die Einhaltung der NIS2 im Verkehrssektor erfordert daher eine integrierte Cybersicherheits-Governance über die digitale und physische Infrastruktur hinweg.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität & Notfallwiederherstellung
• Lieferkettensicherheit
• Sichere Entwicklung & Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugangskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Schwachstellenmanagement & Patch-Management
• Schulungen zur Cyberhygiene
• Einsatz sicherer Kommunikationsmittel

Einrichtungen im Verkehrssektor müssen bei erheblichen Sicherheitsvorfällen die Meldefristen der NIS2-Richtlinie einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Da Verkehrssysteme die öffentliche Sicherheit und die grenzüberschreitende Mobilität unmittelbar betreffen, gelten Störungen von Signaltechnik, Verkehrssteuerung, Flugsicherung oder Hafenlogistik häufig als erheblich. Die 24-Stunden-Meldepflicht der NIS2-Richtlinie erfordert robuste interne Prozesse zur Erkennung und Eskalation.

Die Nichteinhaltung der vorgeschriebenen Fristen kann aufsichtsrechtliche Maßnahmen und finanzielle Sanktionen nach sich ziehen.

Die Einhaltung der NIS2-Richtlinie im Verkehrssektor hebt die Verantwortung für die Cybersicherheit auf die Ebene des Leitungsorgans.

Wesentliche Governance-Pflichten umfassen:

Cybersicherheit ist nicht mehr auf IT-Abteilungen beschränkt. Artikel 21 der NIS2-Richtlinie schreibt eine Verantwortung auf Ebene des Leitungsorgans für die Gewährleistung angemessener Kontrollen und Maßnahmen zur Risikominderung vor.

Für Verkehrsbetreiber, die sicherheitskritische Infrastruktur betreiben, können Governance-Versäumnisse operative, rechtliche und reputationsbezogene Folgen haben. Die Aufsicht durch das Leitungsorgan muss daher strukturiert, dokumentiert und regelmäßig überprüft werden.

• Billigung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit durch das Leitungsorgan
• Fortlaufende Überwachung der Umsetzung
• Verpflichtende Schulungen zur Cybersicherheit für Mitglieder des Leitungsorgans
• Mögliches persönliches Haftungsrisiko nach nationalem Recht

Als Einrichtungen des Anhangs I unterliegen als wesentliche Einrichtungen eingestufte Verkehrsorganisationen einer proaktiven Aufsicht. Zuständige Behörden können Audits, Inspektionen und Sicherheitsbewertungen durchführen, unabhängig davon, ob ein Vorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung sind:

Nationale Umsetzungsgesetze können Aufsichtsverfahren präzisieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Geldbußen in den Mitgliedstaaten fest.

Angesichts der grenzüberschreitenden Auswirkungen und der Bedeutung für die öffentliche Sicherheit von Störungen im Verkehrsbereich wird eine risikobasierte und aktive Durchsetzung erwartet.

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Betrag höher ist)

KMU im Verkehrssektor sollten einen strukturierten Ansatz für die NIS2-Compliance verfolgen:

Frühzeitige Vorbereitung verringert das Risiko behördlicher Durchsetzungsmaßnahmen und betrieblicher Störungen.

1. Führen Sie eine NIS2-Lückenanalyse durch
2. Erfassen und dokumentieren Sie kritische Transportleistungen und digitale Abhängigkeiten
3. Formalisieren Sie ein dokumentiertes Risikomanagement-Rahmenwerk
4. Aktualisieren und testen Sie Vorfallreaktions- und Betriebskontinuitätspläne
5. Überprüfen Sie Verträge mit Lieferanten und Infrastrukturpartnern
6. Schulen Sie Geschäftsleitung und operative Führungskräfte
7. Richten Sie einen Meldeprozess für 24 h/72 h/1 Monat ein

Unternehmen im Verkehrssektor sind unter NIS2 mit sektorspezifischen Risiken konfrontiert:

Die Einhaltung von NIS2 ist für den Verkehrssektor daher sowohl eine regulatorische Anforderung als auch eine zentrale Verpflichtung zur Stärkung der Resilienz.

• Betriebsunterbrechungen: Cybervorfälle können Flüge, Züge, Hafenbetriebe oder Verkehrssysteme zum Stillstand bringen.
• Sicherheitsrisiken: Beeinträchtigte Signal- oder Steuerungssysteme können unmittelbare Sicherheitsgefährdungen verursachen.
• Kompromittierung der Lieferkette: Technologieanbieter und Dienstleister können Schwachstellen einbringen.
• Regulatorische Bußgelder: Nichteinhaltung kann Betreiber erheblichen finanziellen Sanktionen aussetzen.
• Reputationsschäden: Das öffentliche Vertrauen in die Zuverlässigkeit des Verkehrs ist äußerst empfindlich gegenüber Ausfällen.