NIS-2 in der Logistik: Was Speditionen und Transportunternehmen wissen müssen

Wenn etwas von A nach B muss, kommt die Logistik ins Spiel. Und wenn Logistikunternehmen ausfallen, merkt das ziemlich schnell ziemlich jeder. Deshalb hat NIS-2 den gesamten Verkehrssektor zu den “Sektoren mit hoher Kritikalität” gepackt – die strengste Kategorie.

Wer ist betroffen?

Der Verkehrssektor unter NIS-2 umfasst vier Bereiche.

Luftverkehr: Fluggesellschaften und Frachtflugbetreiber, Flughafenbetreiber, Bodenabfertigung, Flugsicherung. Alles, was Flugzeuge in die Luft bringt und sicher wieder runter.

Schienenverkehr: Infrastrukturbetreiber wie DB Netz, Eisenbahnunternehmen im Personen- und Güterverkehr. Von der Schiene bis zum Zug.

Schifffahrt: Reedereien für Passagiere und Fracht, Hafenbetreiber und Hafenbehörden, Hafendienste wie Lotsen und Festmacher, Schiffsverkehrsdienste.

Straßenverkehr: Hier wird es interessant. Nicht jede Spedition ist erfasst. Der Fokus liegt auf Straßenverkehrsbehörden für Verkehrsmanagement und Betreibern intelligenter Verkehrssysteme – Verkehrsleitsysteme, Mauterheber und ähnliches.

Dazu kommen Post- und Kurierdienste als eigener Sektor, aber dazu gibt es einen separaten Artikel.

Die Gretchenfrage: Bin ich betroffen?

Das hängt davon ab. Logistikunternehmen fallen direkt unter NIS-2, wenn sie in einem der vier Verkehrs-Teilsektoren tätig sind UND die Größenschwellen erreichen. Die liegen bei 50 Mitarbeitenden oder 10 Millionen Euro Umsatz für “wichtige Einrichtungen” und 250 Mitarbeitenden oder 50 Millionen Euro Umsatz für “besonders wichtige Einrichtungen”.

Aber nicht jede Spedition ist automatisch betroffen. Reine Vermittler ohne eigene Transport-Assets fallen möglicherweise nicht unter “Verkehr”. Lagerlogistik ohne Transportdienstleistungen ist nicht erfasst. Kleinere regionale Spediteure unter den Schwellenwerten sind nicht direkt betroffen.

Im Zweifelsfall sollten Sie das juristisch prüfen lassen. Die Abgrenzung ist nicht immer trivial.

Warum gerade die Logistik?

Die Antwort ist simpel: Ohne Logistik steht alles still.

Just-in-Time-Lieferketten haben keinen Puffer. Wenn der Transport ausfällt, steht die Produktion. Keine Teile, keine Produkte, keine Lieferung an Kunden. Die Corona-Pandemie hat gezeigt, wie fragil globale Lieferketten sein können. Ein Cyberangriff kann denselben Effekt haben – nur schneller und gezielter.

Logistikunternehmen verarbeiten außerdem wertvolle Daten. Kundendaten und Lieferadressen natürlich, aber auch Geschäftsgeheimnisse: Wer liefert was an wen? Die Warenströme eines Unternehmens sagen viel über dessen Geschäft aus.

Und moderne Logistik ist komplett digitalisiert. Transport Management Systeme steuern die Disposition. Warehouse Management Systeme organisieren die Lager. Telematik verfolgt jeden LKW. EDI-Verbindungen verbinden mit Kunden und Partnern. Das ist effizient – und angreifbar.

Die besonderen Herausforderungen

Logistik ist keine Büroarbeit. LKW, Schiffe und Flugzeuge sind mobile, vernetzte Einheiten. Bordcomputer übertragen Daten über Mobilfunk und Satellit. Remote-Updates halten die Systeme aktuell. Das bedeutet: Viele Geräte, viele Verbindungen, viele potenzielle Angriffspunkte.

Dann die Schnittstellen. Eine Logistikkette verbindet Auftraggeber, Subunternehmer, Zollbehörden, Häfen, Terminals – jeder mit eigenen Systemen, eigenen Sicherheitsniveaus, eigenen Schwachstellen.

Der Betrieb läuft rund um die Uhr. Wartungsfenster sind Luxus. Ein Ausfall um 3 Uhr nachts hat dieselben Konsequenzen wie einer um 15 Uhr. Notfallprozesse müssen sofort greifen.

Und bei grenzüberschreitendem Verkehr kommt die internationale Komplexität dazu. Unterschiedliche Regularien, internationale Partner, diverse IT-Landschaften, die irgendwie zusammenarbeiten müssen.

Was NIS-2 konkret fordert

Beim Risikomanagement liegt der Fokus auf der Verfügbarkeit von Dispositions- und Trackingsystemen, der Integrität von Frachtdaten und dem Schutz von Kundendaten.

Besondere Risiken in der Branche: Ransomware, die zentrale Systeme lahmlegt. Manipulation von Frachtdaten – was wenn ein Container plötzlich “verschwunden” ist? GPS-Spoofing und -Jamming, die Fahrzeuge in die Irre führen. Kompromittierte Telematik, die Angreifern Einblick in Ihre Operationen gibt.

Für Incident Response müssen Sie sich auf konkrete Szenarien vorbereiten. Das Transport Management System fällt aus – was dann? Tracking-Daten werden manipuliert – wie merken Sie das? Angriffe auf Fahrzeuge in der Flotte – was sind die Konsequenzen?

Ihr Kommunikationsplan muss funktionieren: Kunden bei Verzögerungen informieren, sich mit Partnern in der Lieferkette abstimmen, das BSI fristgerecht benachrichtigen.

Business Continuity stellt die unbequemen Fragen: Kann die Disposition bei TMS-Ausfall manuell weiterlaufen? Gibt es alternative Kommunikationswege, wenn das Tracking ausfällt? Sind papierbasierte Prozesse im WMS noch möglich? Haben Sie Backup-Systeme, alternative Kommunikationswege, dokumentierte und geübte Notfallprozesse?

Bei der Lieferkettensicherheit geht es um Subunternehmer und IT-Dienstleister. Subunternehmer brauchen Cybersicherheitsanforderungen in den Verträgen, Sie müssen deren Sicherheitspraktiken überprüfen, Incident-Notification-Klauseln vereinbaren. Bei IT-Dienstleistern – TMS/WMS-Anbieter, Telematik-Provider, Cloud-Dienste – brauchen Sie eine Bewertung deren Sicherheitsniveaus.

Die vernetzten Fahrzeuge verdienen besondere Aufmerksamkeit. Bordcomputer und Telematik brauchen sichere Konfiguration, regelmäßige Updates, verschlüsselte Kommunikation und Authentifizierung bei Zugriffen. Das Flottenmanagement-System selbst muss abgesichert sein, mit beschränkten Zugriffsrechten und Monitoring für Anomalien.

Der praktische Fahrplan

Phase 1 ist Bestandsaufnahme. Erstellen Sie ein IT-Inventar mit allen Systemen, zentral und mobil. Analysieren Sie Datenflüsse – welche Daten fließen wohin? Dokumentieren Sie Schnittstellen: EDI, APIs, Partner-Verbindungen. Bewerten Sie die Kritikalität jedes Systems.

Phase 2 ist die Gap-Analyse. Was ist bereits implementiert? Wo fehlen Kontrollen? Was ist am dringendsten?

Phase 3 ist die Umsetzung. Quick Wins zuerst, dann kritische Systeme wie TMS, Telematik und Kundenschnittstellen. Prozesse für Incident Response und Patch Management etablieren. Schulungen für Disponenten, Fahrer und IT-Personal.

Phase 4 ist laufender Betrieb. Kontinuierliches Monitoring der Sicherheitslage. Regelmäßige Audits. Notfallpläne testen. Lessons Learned umsetzen.

Branchenstandards als Hilfe

TAPA – die Transported Asset Protection Association – hat Standards für Transportsicherheit, die zunehmend auch Cybersicherheit umfassen. TAPA TSR für Trucking, TAPA FSR für Facilities.

Der AEO-Status (Authorized Economic Operator) erfordert Sicherheitsmaßnahmen, die sich mit NIS-2 überlappen: Risikomanagement, Zugriffskontrollen, Partner-Bewertung. Wenn Sie AEO-zertifiziert sind, haben Sie schon eine Grundlage.

Wenn Sie bereits ein Informationssicherheitsmanagementsystem betreiben, haben Sie eine solide Basis für die NIS-2-Compliance.

Der Punkt

Logistik ist kritische Infrastruktur – auch wenn das nicht jedem bewusst ist. Ein erfolgreicher Ransomware-Angriff kann den Betrieb für Tage lahmlegen, mit enormen Folgeschäden für Kunden und das eigene Geschäft.

Die NIS-2-Herausforderung in der Logistik liegt in der Komplexität: verteilte mobile Assets, viele Partner, 24/7-Betrieb, internationale Operationen. Aber sie ist beherrschbar.

Nutzen Sie die NIS-2-Umsetzung als Chance, Ihre Cybersicherheit systematisch zu verbessern. Die Investition zahlt sich aus – nicht nur durch Compliance, sondern durch echten Schutz vor realen Bedrohungen. Wenn der nächste NotPetya oder WannaCry kommt, wollen Sie nicht derjenige sein, dessen Flotte stillsteht.