CloudSoul
Ressourcen · Blog · NIS2

NIS2 für den Verkehr: Luftfahrt, Schiene, Schifffahrt und Straße

NIS2 für den Verkehrssektor: Verstehen Sie die Pflichten von Betreibern in Luftfahrt, Schiene, Schifffahrt und Straße gemäß Anhang I, Sektor 2.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 6 May 2026 · 7 Min. Lesezeit
NIS2
NIS2 für den Verkehr: Luftfahrt, Schiene, Schifffahrt und Straße

Wer sollte das lesen: Verkehrsbetreiber, Flugsicherheitsbeauftragte, Schienennetzmanager, Seeschifffahrtsbetreiber.

Die Verkehrsinfrastruktur ist das Kreislaufsystem der europäischen Wirtschaft. Luft-, Schienen-, See- und Straßennetze bewegen Güter, Passagiere und Daten über Grenzen hinweg und ermöglichen Handel, Konnektivität und persönliche Mobilität. Störungen dieser Netze wirken sich auf Volkswirtschaften und das tägliche Leben aus.

Die NIS2-Richtlinie erkennt diese Kritikalität an, indem sie den Verkehr als kritischen Sektor in Anhang I, Sektor 2 ausweist. Der Geltungsbereich ist umfassend: Er umfasst Anbieter von Luftverkehrsdiensten (Flughäfen, Fluggesellschaften, Flugverkehrsmanagement), Schieneninfrastrukturmanager und -betreiber, Seeverkehrsbetreiber und Straßenverkehrsbetreiber, die kritische Infrastrukturen verwalten. Für all diese Einrichtungen erlegt NIS2 verhältnismäßige Cybersicherheitspflichten auf, die der lebens- und wirtschaftskritischen Natur von Verkehrssystemen Rechnung tragen.

Verkehrsbetreiber stehen vor einzigartigen Cybersicherheitsherausforderungen: Ihre Systeme sind oft langlebig (das Flugverkehrskontrollsystem eines Flughafens kann mehr als 20 Jahre in Betrieb sein), sie hängen von veralteter Hard- und Software ab, sie integrieren Operational Technology (OT) mit Information Technology (IT) und sie hängen von komplexen Lieferketten von Geräteherstellern, Softwareanbietern und Dienstleistern ab. NIS2 verlangt, dass diese Herausforderungen verhältnismäßig bewältigt werden, während gleichzeitig sichergestellt wird, dass das Cybersicherheitsrisiko die operative Kontinuität oder die öffentliche Sicherheit nicht gefährdet.

Dieser Beitrag entpackt die NIS2-Anforderungen für Verkehrsbetreiber, klärt den Geltungsbereich von Anhang I, Sektor 2, und gibt praktische Hinweise für eine verhältnismäßige Compliance in diesem vielfältigen und komplexen Sektor.

Definition des Verkehrssektors gemäß NIS2

Anhang I, Sektor 2 weist den Verkehrssektor wie folgt aus:

  • Flughäfen, die kommerziellen Luftverkehr abwickeln.
  • Fluggesellschaften und Flugnavigationsdienstleister.
  • Schieneninfrastrukturmanager und -betreiber (Verwaltung von Schienennetzen, Signalsystemen und betrieblichen Leitstellen).
  • Seehafenbetreiber und Schifffahrtsbetreiber, die Seeverkehrsdienste anbieten.
  • Straßenbetreiber, die kritische Straßeninfrastruktur verwalten (insbesondere Betreiber großer Autobahnen).

Der gemeinsame Nenner ist die öffentliche Funktionalität: Diese Einrichtungen erbringen Verkehrsdienste, die für Wirtschaft und öffentliches Leben unerlässlich sind. Das Betriebssystem eines Flughafens, die Flugmanagementsysteme einer Fluggesellschaft, die Schienensignalisierung und Verkehrssteuerung, die maritime Navigation und der Hafenbetrieb sowie die Straßenverkehrsmanagementsysteme sind alle ausgewiesen.

Wichtig ist, dass sich die Ausweisung auf die Rolle der Einrichtung im Verkehrsbetrieb konzentriert, nicht allein auf den Besitz sensibler Daten. Eine Cybersicherheitsfirma kann Daten über Verkehrsbetreiber verarbeiten, doch die Firma ist selbst kein wesentlicher Dienstleister, sofern sie nicht kritische Verkehrsinfrastruktur verwaltet. Umgekehrt ist ein Flughafenbetreiber unabhängig davon ausgewiesen, ob er Passagierdaten verarbeitet; seine Ausweisung ergibt sich aus seiner Rolle im Luftverkehrsbetrieb.

Mitgliedstaaten können bei der Umsetzung von NIS2 Größenschwellen oder sektorspezifische Kriterien festlegen. Beispielsweise können einige Mitgliedstaaten nur große Flughäfen (mit einem Passagieraufkommen über einem bestimmten Wert) oder große Autobahnen ausweisen. Compliance-Beauftragte sollten die Umsetzung in ihrem Mitgliedstaat prüfen, um zu bestätigen, ob ihre Einrichtung in den Geltungsbereich fällt.

Operational Technology, Altsysteme und Security by Design

Verkehrssysteme stellen eine besondere Cybersicherheitsherausforderung dar: Sie operieren an der Grenze zwischen Information Technology (IT) und Operational Technology (OT). Ein Schienensignalsystem ist ein OT-System: Es erhält Eingaben von Sensoren, verarbeitet diese Eingaben und sendet Steuersignale an Weichen und Zugbremsen. Anders als ein Büro-IT-System könnte ein Ausfall der Signalisierung zu Zugkollisionen, Verletzungen oder Todesfällen führen. Cybersicherheit ist nicht nur eine Geschäftsangelegenheit; sie ist sicherheitskritisch.

Viele Verkehrsbetreiber erben Altsysteme: Flugverkehrskontrollsysteme aus den 1980er Jahren, vor mehr als 20 Jahren eingeführte Signalsysteme und maritime Navigationssysteme, die der modernen Cybersicherheitspraxis vorausgehen. Diese Systeme können nicht einfach gepatcht werden; sie können nicht für Updates offline genommen werden; und sie unterstützen möglicherweise keine moderne Authentifizierung oder Verschlüsselung.

NIS2 verlangt, dass Einrichtungen „verhältnismäßige” technische und organisatorische Maßnahmen umsetzen (Artikel 21). Für Altsysteme erkennt die Verhältnismäßigkeit die technischen Beschränkungen an. Ein Betreiber kann ein sicherheitskritisches System nicht über Nacht ersetzen. Stattdessen können verhältnismäßige Kontrollen umfassen:

  • Netzwerksegmentierung und Air-Gapping: Isolierung kritischer OT-Systeme von allgemeinen IT-Netzwerken und vom Internet, um die Exposition gegenüber internetbasierten Bedrohungen zu reduzieren.
  • Überwachung und Intrusion Detection: Auch wenn moderne kryptografische Kontrollen nicht praktikabel sind, kann die Überwachung von Systemen auf anomales Verhalten und ungewöhnliche Befehle Angriffe erkennen.
  • Physische Sicherheit: Kontrolle des physischen Zugangs zu kritischen Systemen, Verhinderung von Manipulationen.
  • Lieferantenmanagement: Sicherstellen, dass Drittparteien, die Wartung, Updates oder Fernzugriff auf Systeme bereitstellen, unter strengen Sicherheitsprotokollen arbeiten.
  • Vorfallsreaktion: Festlegung von Verfahren zur schnellen Erkennung und Eindämmung von Vorfällen, die operative Systeme betreffen.

Für neue Systeme und Modernisierungsprojekte ist Security-by-Design die Erwartung. Wenn Verkehrsbetreiber neue Systeme einsetzen, sollten sie Sicherheit von Anfang an einbauen: sichere Authentifizierung, verschlüsselte Kommunikation, validierter Code und Ausfallresilienz.

Lieferkettenabhängigkeiten und Drittanbieterrisiko

Verkehrsbetreiber hängen von komplexen Lieferketten ab. Fluggesellschaften verlassen sich auf Hersteller wie Boeing und Airbus; Schienenbetreiber hängen von Signalisierungsausrüstungsherstellern wie Siemens und Alstom ab; Seeverkehrsbetreiber nutzen Navigations- und Steuerungssysteme von Anbietern wie Kongsberg Maritime; Straßenbetreiber sind von Verkehrsmanagementsoftware verschiedener Anbieter abhängig.

Diese Anbieter sind selbst keine wesentlichen Dienstleister (es sei denn, sie verwalten zufällig kritische Infrastruktur). Ihre Produkte und Dienstleistungen sind jedoch entscheidend für den Verkehrsbetrieb. Ein kompromittiertes Firmware-Update eines Geräteherstellers kann auf alle Kundensysteme kaskadieren. Eine Schwachstelle in einer Flugverkehrsmanagementsoftware betrifft jeden Flughafen, der diese Software nutzt.

Artikel 22 verlangt, dass Einrichtungen sicherstellen, dass ihre Drittanbieter verhältnismäßige Cybersicherheitsmaßnahmen umsetzen. Für Verkehrsbetreiber bedeutet das:

Lieferanten-Due-Diligence: Bewerten Sie die Cybersicherheitspraktiken der Anbieter vor Vertragsabschluss. Führt der Anbieter Sicherheitstests durch? Hat er ein Programm zur Offenlegung von Schwachstellen? Hat er Verfahren zur Vorfallsreaktion?

Vertragliche Anforderungen: Legen Sie klare Cybersicherheitserwartungen in Verträgen fest. Verlangen Sie von Anbietern, sichere Softwareentwicklungspraktiken umzusetzen, Sicherheitstests durchzuführen und zeitnahe Sicherheitsupdates bereitzustellen.

Vorfallsmeldung: Verlangen Sie von Anbietern, den Betreiber sofort zu benachrichtigen, sobald Schwachstellen oder Vorfälle entdeckt werden, die die Systeme des Betreibers betreffen.

Update- und Patch-Management: Legen Sie Verfahren für das zeitnahe Ausrollen von Anbieter-Updates fest, mit Tests zur Sicherstellung der Kompatibilität. Für sicherheitskritische Systeme müssen Verfahren sicherstellen, dass Patches keine neuen Risiken einführen.

Lieferkettentransparenz: Verstehen Sie die Lieferkettenabhängigkeiten. Vergibt der Anbieter Entwicklung an Subunternehmer? Verwendet er Drittanbieterkomponenten? Gibt es Single Points of Failure?

Für Verkehrsbetreiber ist die Lieferkettensicherheit nicht nur eine Compliance-Übung; sie ist wesentlich für operative Sicherheit und Kontinuität.

Governance auf Vorstandsebene und sicherheitskritische Cybersicherheit

Verkehrsbetreiber sind oft zusätzlich zu Cybersicherheitsrahmen unter Sicherheitsrahmen reguliert (Zivilluftfahrtbehörden, Schienensicherheitsregulatoren, Seebehörden). Diese Sicherheitsregulatoren betrachten Cybersicherheit als Sicherheitsfrage: Ein Cybersicherheitsvorfall, der ein kritisches System betrifft, ist ein potenzieller Sicherheitsvorfall.

Die Governance auf Vorstandsebene gemäß NIS2 (Artikel 21) muss diese duale regulatorische Realität berücksichtigen. Direktoren und leitende Angestellte müssen verstehen:

  • Cybersicherheitsrisiko für die operative Kontinuität: Welche Systeme sind am kritischsten? Wie wirken sich Ausfälle oder Kompromittierungen aus?
  • Sicherheitsauswirkungen: Wie könnte ein Cybersicherheitsvorfall die öffentliche Sicherheit beeinträchtigen?
  • Investitionsbedarf: Welche Cybersicherheitsinvestitionen sind erforderlich, um Risiken verhältnismäßig zu steuern?
  • Vorfallsreaktion und Eskalation: Wie wird die Organisation Vorfälle erkennen und auf sie reagieren? Wie erfolgt die Eskalation an Sicherheitsregulatoren, wenn Vorfälle die Sicherheit bedrohen?

Für Verkehrsbetreiber sollte sich der Cybersicherheitsfokus des Vorstands auf operative Resilienz und Sicherheit konzentrieren. Ausfallzeiten bedeuten Umsatzverlust, aber wichtiger noch, sie können die öffentliche Sicherheit, gestrandete Passagiere und kritischen Gütertransport beeinträchtigen.

Vorfallsreaktion und Geschäftskontinuität

Artikel 23 verlangt, dass wesentliche Dienstleister (einschließlich Verkehrsbetreiber) Pläne zur Vorfallsreaktion vorhalten und erhebliche Vorfälle den zuständigen Behörden innerhalb von 24 Stunden melden.

Für Verkehrsbetreiber muss die Vorfallsreaktion die operative Dringlichkeit berücksichtigen. Ein Flughafen, der eine Störung der Flugverkehrskontrollsysteme erfährt, muss den Betrieb rasch wiederherstellen; eine Verzögerung zur Untersuchung kann sich in Form von gestrichenen Flügen, umgeleiteten Flugzeugen und wirtschaftlichen Störungen kaskadieren. Gleichzeitig muss die Wiederherstellung sicher erfolgen: Systeme online zu nehmen, ohne zu bestätigen, dass der Angriff eingedämmt ist, könnte das Netzwerk erneut infizieren.

Die verhältnismäßige Vorfallsreaktion für den Verkehr sollte umfassen:

Schnelles Reaktionsteam: Dediziertes Personal, das geschult ist, sofort auf Vorfälle zu reagieren, mit der Befugnis, Eindämmungsmaßnahmen zu ergreifen (Trennung von Systemen, Rückgriff auf Handbetrieb).

Koordination mit Sicherheitsbehörden: Klare Verfahren zur Benachrichtigung von Verkehrssicherheitsregulatoren (z. B. Zivilluftfahrtbehörde, Schienenregulator), wenn Vorfälle die Sicherheit bedrohen.

Redundanz und Wiederherstellung: Backup-Systeme, alternative Verfahren und getestete Wiederherstellungsprozesse, damit Dienste schnell wiederhergestellt werden können.

Forensische Untersuchung: Die Fähigkeit, Vorfälle nach ihrer Eindämmung zu untersuchen, um die Ursache zu ermitteln und ein erneutes Auftreten zu verhindern.

Dokumentation und Transparenz: Klare Vorfallsmeldung an zuständige Behörden, nationale CSIRTs und (gegebenenfalls) Sicherheitsregulatoren.

Grenzüberschreitender Verkehr und koordinierte Reaktion

Verkehrsnetze sind ihrer Natur nach grenzüberschreitend. Ein Luftfahrtvorfall betrifft mehrere Länder; ein Schienenangriff, der wichtige Frachtkorridore betrifft, betrifft mehrere Mitgliedstaaten; der Seeverkehr verbindet entfernte Häfen. Erhebliche Vorfälle, die den Verkehr betreffen, erfordern oft eine koordinierte Reaktion über Mitgliedstaaten hinweg und potenziell auf EU-Ebene.

Die Artikel 14 bis 16 von NIS2 etablieren Koordinationsmechanismen (die Kooperationsgruppe und EU-CyCLONe) für die grenzüberschreitende Vorfallsreaktion. Verkehrsbetreiber sollten sich bewusst sein, dass erhebliche Vorfälle Meldungen nicht nur an ihre nationale zuständige Behörde und ihr CSIRT auslösen können, sondern auch an Koordinationsstellen auf EU-Ebene und an andere Verkehrsbetreiber.

Diese grenzüberschreitende Koordination dient mehreren Zwecken: Sie ermöglicht den Austausch von Informationen über Bedrohungsakteure und Angriffsmuster, sie erleichtert eine schnelle Reaktion durch Koordination der Wiederherstellungsbemühungen, und sie stellt sicher, dass die Verkehrskontinuität EU-weit erhalten bleibt.

Wichtige Erkenntnisse

  • Verkehr (Luftfahrt, Schiene, Schifffahrt, Straße) ist als kritische Infrastruktur gemäß NIS2 ausgewiesen. Der Geltungsbereich umfasst kommerzielle Flughäfen, Fluggesellschaften, Flugnavigationsdienste, Schienenbetreiber, Seeverkehrsbetreiber und große Straßenbetreiber.
  • Verhältnismäßigkeit ist für den Verkehr unerlässlich, angesichts der Verbreitung von Altsystemen. Kontrollen sollten sich auf Netzwerksegmentierung, Überwachung, physische Sicherheit und effektives Drittanbietermanagement konzentrieren und dabei die technischen Beschränkungen langlebiger OT-Systeme berücksichtigen.
  • Die Governance auf Vorstandsebene muss Cybersicherheit als Sicherheitsfrage und nicht nur als Geschäftsfrage adressieren. Direktoren müssen kritische Systeme, operative Risiken, Sicherheitsauswirkungen und Investitionsbedarfe verstehen.
  • Lieferkettensicherheit ist entscheidend: Verkehrsbetreiber hängen von Geräteherstellern und Softwareanbietern ab, deren Schwachstellen sich auf mehrere Betreiber auswirken. Lieferanten-Due-Diligence, vertragliche Anforderungen und Vorfallsmeldeprozesse sind unerlässlich.
  • Die Vorfallsreaktion muss schnelle Wiederherstellung mit sicherer Eindämmung in Einklang bringen. Verkehrsbetreiber müssen Redundanz, Koordinationsverfahren mit Sicherheitsregulatoren und schnelle Reaktionsteams aufrechterhalten.
  • Die Koordination grenzüberschreitender Vorfälle über nationale zuständige Behörden und Stellen auf EU-Ebene (CSIRTs, Kooperationsgruppe) stellt sicher, dass erhebliche Vorfälle, die mehrere Mitgliedstaaten betreffen, auf angemessenen Ebenen behandelt werden.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.