Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Logistik-Branche?

Speditionen, Lager, Express-Dienste und KEP-Anbieter sind über den NIS2-Sektor „Verkehr“ (Anhang I, Teilbereich Straßenverkehr/Schienen/Luft/See) reguliert. Die Branche ist hoch IT-abhängig — von Telematik bis EDI — und steht im Fokus von Ransomware-Angriffen.

NIS2-Check für Logistik startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Logistik-Unternehmen sind NIS2-pflichtig?

Verkehr und Logistik sind in Anhang I der NIS2-Richtlinie gelistet (Sektoren mit hoher Kritikalität, Bereich Verkehr). Wichtige Einrichtungen ab 50 MA oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Wesentliche Einrichtungen ab 250 MA bzw. 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme.

Typische Adressaten

  • Speditionen und Frachtführer (Straße, Schiene, Luft, See)
  • Express- und Kurierdienste (KEP)
  • Logistik-Dienstleister mit Lager- und Umschlagsfunktion
  • Kontraktlogistik (Lagerhaltung für Hersteller- und Handelskunden)
  • Hafen- und Flughafen-Logistik (parallel KRITIS-Berührung)

Top-Mindestmaßnahmen für Logistik

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Logistik-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

EDI- und Schnittstellen-Sicherheit

Warum

Logistik lebt von EDI: Auftrag, Statusmeldungen, Abrechnung. EDI-Schnittstellen zu Kunden und Frachtführern sind oft historisch gewachsen und schwach abgesichert.

In der Praxis

Inventar aller EDI-Verbindungen mit Risiko-Bewertung. Migration von FTP/E-Mail auf TLS-gesicherte Protokolle (AS2, SFTP). Authentifizierung der Gegenseiten via Zertifikate.

Maßnahme 2 von 3

TMS- und WMS-Resilienz

Warum

Transport-Management-Systeme (TMS) und Warehouse-Management-Systeme (WMS) sind das operative Rückgrat. Ein Ausfall stoppt sofort das Tagesgeschäft.

In der Praxis

Hochverfügbarkeit und getestete Wiederanlauf-Verfahren. Offline-Notbetriebs-Konzepte (Papier-Listen, manuelle Disposition). Regelmäßige Restore-Tests mit dokumentiertem Ergebnis.

Maßnahme 3 von 3

Telematik- und Fahrzeug-IT

Warum

Telematik-Geräte in Lkw, Kühltrailern und Wechselbrücken sind IoT-Geräte mit Online-Anbindung. Sie gelten als Asset im Sinne von NIS2 und müssen inventarisiert und gepatcht werden.

In der Praxis

Telematik-Inventar mit Hersteller, Firmware-Stand und Update-Status. Patch-Strategie über Provider definieren. Netz-Segmentierung der Fahrzeug-Backend-Systeme.

Lieferketten-Pflicht in der Logistik

Logistik ist die Lieferkette anderer Branchen. Cyber-Vorfälle propagieren in alle Kunden — der Ausfall eines großen Logistikers stoppt Just-in-Time-Produktion in der Industrie. NIS2 verlangt Risiko­bewertung der eigenen Sub-Dienstleister und Frachtführer-Netze.

Typische Lieferanten- und Dienstleister-Beziehungen

  • TMS/WMS-Anbieter: Sicherheitsanhang und Patch-SLAs
  • Frachtführer und Subunternehmer: Mindeststandards via Vertrag
  • EDI-Service-Provider: SLA für Verfügbarkeit und Sicherheits-Incident-Reporting
  • Zoll- und Außenhandels-Software: Update-Verfahren und Schwachstellen-Meldung

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Logistik

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Logistik-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Logistik starten

Häufige Fragen zu NIS2 in der Logistik

Sind nur Großspeditionen betroffen oder auch Mittelständler?

Mittelständler sind ab 50 Mitarbeitenden oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme als wichtige Einrichtungen erfasst. Ein typischer 80-MA-Spediteur mit 15 Mio. € Umsatz fällt darunter.

Was ist mit reinen Frachtführern ohne eigene Lager?

Frachtführer fallen unter den Verkehrs-Sektor. Schwellen entscheiden über Pflicht-Status. Auch ohne Lager: TMS, Telematik und EDI-Anbindungen begründen IT-Risiken.

Welche Vorfälle sind in der Branche bekannt?

Maersk 2017 (NotPetya, 300 Mio. USD Schaden), DHL-Töchter (mehrfach Ransomware), Hellmann Worldwide Logistics 2021 (Phishing-Eskalation, mehrtägiger Ausfall). Logistik ist eines der angreifer-attraktivsten Ziele.

Wie unterscheiden sich die Pflichten je nach Verkehrsträger?

NIS2 unterscheidet Sub-Sektoren: Straßenverkehr, Schiene, Luft, See. Die generellen Mindestmaßnahmen gelten überall, aber zusätzlich greifen verkehrsträger-spezifische Regelwerke (z. B. Hafenanlagen-Sicherheit, EASA-Luftfahrt-Cyber).

Müssen Frachtführer NIS2-konform sein, wenn der Auftraggeber pflichtig ist?

Lieferketten-Pflicht: Pflichtige Auftraggeber müssen ihre Sub-Dienstleister auf Cyber-Risiken bewerten. Praktisch heißt das, dass Frachtführer mit großen Industrie-Kunden zunehmend NIS2-Nachweise erbringen müssen — auch wenn sie selbst formal nicht pflichtig sind.

Hilft ISO 27001 für die Compliance?

Ja, ISO 27001 deckt einen Großteil der NIS2-Mindestmaßnahmen ab. Wer zertifiziert ist, hat eine starke Basis. Logistik-spezifische Themen (EDI, Telematik) sollten als Ergänzung in den ISMS-Scope aufgenommen werden.