NIS 2 für den Sektor Verkehr
Anhang I Sektor 2 umfasst vier Teilsektoren. Verkehrssicherheit ersetzt NIS 2 nicht.
Warum Verkehr in NIS 2 liegt
Die NIS 2 Richtlinie behandelt Verkehr als Sektor mit hoher Kritikalität. Anhang I Sektor 2 nennt vier Teilsektoren: Luft, Schiene, Schifffahrt und Straße. Jeder Buchstabe nennt eigene Einrichtungskategorien. Eine Regionalfluggesellschaft, ein Bahnhofsbetreiber, eine Hafenbehörde und ein Betreiber des Verkehrsmanagements sitzen alle im selben Sektor unter verschiedenen Punkten.
Die rechtliche Ebene, die entscheidet, wer im Anwendungsbereich liegt, ist die EU Richtlinie plus die nationale Umsetzung. In Deutschland ist das das BSIG. Fachbehörden wie das Luftfahrt-Bundesamt, das Eisenbahn-Bundesamt und das Bundesamt für Seeschifffahrt und Hydrographie behalten ihre bestehenden Sicherheitsaufgaben. Das BSI ist die zuständige Behörde für die Cyberpflichten aus NIS 2 und arbeitet neben diesen Fachbehörden, nicht statt ihnen.
Der Größentest nach Artikel 2 Absatz 1 entscheidet, ob eine Einrichtung überhaupt im Anwendungsbereich liegt. Sobald sie drin ist, gelten die Pflichten aus Artikel 21 (Risikomaßnahmen) und Artikel 23 (Meldepflicht) unabhängig vom Teilsektor. Die Durchführungsverordnung für die digitalen Teilsektoren betrifft Verkehr nicht. Verkehr läuft unter dem allgemeinen Rahmen von Artikel 21 mit Sektorhinweisen der ENISA.
EU Richtlinie
Sektor 2: Verkehr. (a) Luftverkehr, (b) Schienenverkehr, (c) Schifffahrt, (d) Straßenverkehr.
Richtlinie (EU) 2022/2555, Anhang I, Sektor 2. Jeder Buchstabe nennt eigene Einrichtungskategorien (Luftfahrtunternehmen und Flughafenbetreiber; Infrastrukturbetreiber, Eisenbahnverkehrsunternehmen und Bahnhofsbetreiber; Personen- und Güterbeförderer auf Binnen-, See- und Küstengewässern, Hafenbetreiber und Betreiber von Schiffsverkehrsdiensten; Straßenverkehrsbehörden und Betreiber intelligenter Verkehrssysteme).
EU Durchführungsakte
Die Durchführungsverordnung (EU) 2024/2690 gilt für bestimmte digitale Einrichtungen. Verkehr fällt nicht in den Anwendungsbereich dieser Verordnung.
Pflichten im Verkehr ergeben sich direkt aus Artikel 21 der Richtlinie plus nationaler Umsetzung. Die ENISA veröffentlicht Sektorleitfäden. Eine Durchführungsverordnung der Kommission mit detaillierten technischen Anforderungen für Verkehr gibt es heute nicht auf EU Ebene.
Nationale Umsetzung (Deutschland)
Anlage 1 des BSIG spiegelt Anhang I Sektor 2 der Richtlinie. Der Größentest in Paragraf 28 BSIG folgt Artikel 2 Absatz 1.
Deutschland setzt NIS 2 mit dem BSIG um. Das BSI ist die zuständige Behörde. Die fachgesetzliche Sicherheitsaufsicht nach Luftverkehrsgesetz, Allgemeinem Eisenbahngesetz und Seeaufgabengesetz bleibt in Kraft und läuft parallel.
Treffer in einer Kategorie
Luft erfasst Luftfahrtunternehmen mit kommerziellem Betrieb, Flughafenbetreiber und Betreiber von Nebenanlagen an Flughäfen sowie Betreiber der Flugverkehrskontrolle. Schiene erfasst Infrastrukturbetreiber und Eisenbahnverkehrsunternehmen einschließlich Betreiber von Serviceeinrichtungen. Schifffahrt erfasst Personen- und Güterbeförderer auf Binnen-, See- und Küstengewässern, Hafenbetreiber und Betreiber von Schiffsverkehrsdiensten. Straße erfasst Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung zuständig sind, sowie Betreiber intelligenter Verkehrssysteme.
Größentest bestehen
Mittel oder groß zählt: 50 oder mehr Beschäftigte oder Jahresumsatz und Bilanzsumme über 10 Millionen Euro. Kleinere Einrichtungen fallen trotzdem in den Anwendungsbereich, wenn Artikel 2 Absatz 2 greift, zum Beispiel als einziger Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat.
KRITIS ist eine zusätzliche Ebene
Die BSI-KritisV nennt mengenmäßige Schwellen je Teilsektor für KRITIS Anlagen in Deutschland. Wer eine KRITIS Schwelle reißt, hat zusätzliche Pflichten für die KRITIS Anlage. Wer sie nicht reißt, ist deshalb nicht aus NIS 2 raus, wenn die Einrichtung mittel oder groß in einer Kategorie aus Sektor 2 ist.
Safety und Security sind getrennte Spuren
Luft, Schiene, Schifffahrt und Straße sitzen schon unter starken Safety Regimen (EASA, ERA, IMO sowie nationale Regeln für Fahrzeuge und Infrastruktur). NIS 2 fügt Pflichten für Informations- und Kommunikationssysteme hinzu, die den Betrieb tragen. Die Fachaufsicht für Safety bleibt zuständig. Die zuständige Behörde nach NIS 2 schaut auf die Steuerung von Risiken, Lieferanten, Vorfällen und Geschäftskontinuität in IT und OT.
Kontinuität ist der praktische Maßstab
Für NIS 2 zählt, ob der Betrieb den Dienst aufrechterhalten und die richtige Behörde rechtzeitig informieren kann. Artikel 21 nennt die Maßnahmenfamilien (Governance, Risiko, Lieferkette, Vorfallbehandlung, Geschäftskontinuität, Kryptografie, Zugriffskontrolle, Schulung, Asset Management). Artikel 23 setzt die Meldefristen (24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht).
Bundesamt für Sicherheit in der Informationstechnik
Das BSI ist die zuständige Behörde für NIS 2 nach BSIG. Registrierung, Risikomaßnahmen nach Paragraf 30 und Meldungen nach Paragraf 32 laufen über das BSI. Fachbehörden für Safety (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) arbeiten mit dem BSI zusammen, ersetzen es bei den Cyberpflichten aus NIS 2 aber nicht.
Bundesnetzagentur und Schnittstellen
Die Bundesnetzagentur ist die NIS 2 Behörde für den Telekommunikationssektor. Verkehr berührt Telekommunikation nur, wenn die Einrichtung selbst öffentliche Kommunikationsnetze betreibt. Für reinen Verkehr ist das BSI die einzige NIS 2 Adresse. Für KRITIS Anlagen läuft der bestehende KRITIS Meldekanal parallel weiter.
ENISA
Die ENISA veröffentlicht Sektorleitfäden und die Threat Landscape für Verkehr. Ihre Arbeit informiert nationale Behörden und Normungsgremien, sie erlässt aber keine bindenden Vorschriften. Für sektorale Hinweise sind die ENISA Berichte plus EASA Part-IS für Luftfahrt und IMO Resolution MSC.428(98) für maritime Cybersicherheit angrenzende Regime.
Unsere Safety Zertifizierung deckt Cyber ab.
Safety Regime (EASA, ERA, IMO und nationale Pendants) decken die Sicherheit des Betriebs ab und enthalten zunehmend Security Elemente (zum Beispiel EASA Part-IS). Sie erledigen NIS 2 Artikel 21 und Artikel 23 nicht. Die NIS 2 Behörde ist getrennt, der Anwendungsbereich ist breiter, und die Meldefristen sind andere.
Nur Fluggesellschaften und Flughäfen sind betroffen.
Alle vier Teilsektoren sind erfasst. Eisenbahninfrastrukturbetreiber, Eisenbahnverkehrsunternehmen und Bahnhofsbetreiber sitzen in 2(b). Binnen-, See- und Küstenbeförderer, Hafenbetreiber und Betreiber von Schiffsverkehrsdiensten in 2(c). Straßenverkehrsbehörden für Verkehrssteuerung und Betreiber intelligenter Verkehrssysteme in 2(d). Eine regionale Hafenbehörde liegt genauso in Sektor 2 wie eine Linienfluggesellschaft.
Wir liegen unter der KRITIS Schwelle, also gilt NIS 2 nicht.
Die KRITIS Schwellen aus der BSI-KritisV sind eine eigene nationale Ebene für sehr große Anlagen. Der NIS 2 Größentest steht in Artikel 2 Absatz 1 und liegt in der Regel deutlich darunter. Ein Bahnhofsbetreiber mit 60 Beschäftigten und 12 Millionen Euro Umsatz liegt unter den meisten KRITIS Schwellen und steht trotzdem klar in NIS 2.
Aus den Gesprächen mit Verkehrsbetreibern hören wir am häufigsten, dass NIS 2 auf eine Organisation trifft, die schon stark durch Safety Recht geprägt ist. Die IT und OT Teams sprechen mit einer anderen Behörde als das Safety Team, und beide Stränge müssen ausgerichtet bleiben. Die Maßnahmen aus Artikel 21 (Governance, Risiko, Lieferkette, Vorfallbehandlung, Geschäftskontinuität, Kryptografie, Zugriffskontrolle, Schulung, Asset Management) sind inhaltlich keine Überraschung. Neu sind die Dokumentationstiefe und der Registrierungsschritt.
Artikel 21 Absatz 1 verlangt geeignete und verhältnismäßige Maßnahmen, unter Berücksichtigung von Stand der Technik, Umsetzungskosten und Exposition der Einrichtung. Das ergibt für eine kleine Hafenbehörde einen anderen Mindeststandard als für ein nationales Bahnunternehmen. Die Begründung der Verhältnismäßigkeit gehört dokumentiert, damit ein Prüfer sie nachvollziehen kann.
Die Plattform strukturiert die Maßnahmen aus Artikel 21 als ein Pflichtenregister und lässt Verkehrsbetreiber ihre NIS 2 Akte neben der bestehenden Safety Dokumentation führen. Assetinventar (die Grundlage von RSK), Lieferantenregister, Vorfallworkflow, Governance Freigaben und Schulungsnachweise liegen an einem Ort und erzeugen die Evidenz, die das BSI sehen will.
Die kostenfreie Stufe enthält alles, was ein Betreiber für die Registrierung nach NIS 2 in Deutschland und für die Kernpflichten braucht. Keine Stufe sperrt eine gesetzlich verlangte Funktion.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 2 — Verkehr
- Richtlinie (EU) 2022/2555, Artikel 2 (Anwendungsbereich und Größentest), Artikel 21 (Risikomaßnahmen), Artikel 23 (Meldepflicht)
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), Anlage 1 Sektor 2; Paragrafen 28, 30, 32
- BSI-Kritisverordnung (BSI-KritisV), sektorale Schwellen für Verkehr
- ENISA Threat Landscape Transport (jeweils aktuelle Ausgabe)
- EASA Durchführungsverordnung (EU) 2023/203 (Part-IS) für die Luftfahrt
- IMO Resolution MSC.428(98) zu maritimer Cybersicherheit