Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für Logistik und Speditionen

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu Logistik und Speditionen.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Ihre größte Schwachstelle ist nicht der Serverraum. Es ist die Laderampe. Das Fahrer-WLAN. Der Scanner des Subunternehmers. Die API zum Tracking-Portal. Der kleine Frachtführer mit fünf Lkw und null Security-Prozess.

Wenn Ihr Logistiknetzwerk aus hunderten Partnern, Fahrern, Depots, Telematik-Systemen und Third-Party-Logistikern besteht, reicht klassische IT-Sicherheit nicht mehr. NIS2 trifft genau diese vernetzten Betriebsmodelle.

Die Frage ist nicht, ob Ihre Firewall aktuell ist. Die Frage ist: Können Sie wichtige Lieferungen noch steuern, wenn ein Dienstleister, ein Warehouse-System oder Ihr Tracking ausfällt?

Anforderungen an Logistik und Speditionen unter NIS2

Speditionen, Logistikdienstleister und Betreiber kritischer Transport- und Versorgungsketten müssen prüfen, ob sie unter NIS2 als wichtige oder besonders wichtige Einrichtung fallen. Entscheidend sind insbesondere Branche, Unternehmensgröße, Rolle in der Lieferkette und Systemrelevanz.

Der regulatorische Fokus liegt nicht nur auf Datenschutz. Es geht um Betriebsfähigkeit. Um Lieferkettenstabilität. Um Ausfallsicherheit.

Das BSI adressiert genau diesen Punkt mit der Anforderung: „Sicherheit der Versorgung (Verfügbarkeit des Gesamtsystems)... Umsetzung eines Konzepts für die Sicherstellung von wichtigen Lieferungen zur Gewährleistung der Versorgungssicherheit.“

Juristisch übersetzt heißt das:

  • Sie müssen nicht nur Ihre eigene IT absichern.
  • Sie müssen nachweisen können, dass Ihre Lieferprozesse auch bei Cybervorfällen weiterlaufen.
  • Sie müssen Risiken aus Subunternehmern, IT-Dienstleistern, Tracking-Plattformen, Lagerstandorten und Schnittstellen beherrschbar machen.
  • Sie brauchen belastbare Prozesse. Nicht nur Policies im Ordner.

Für Geschäftsführer und IT-Leitung bedeutet das: Ein Cyber-Stillstand in der Disposition ist kein reines Technikproblem mehr. Es wird ein Governance- und Haftungsthema.

Wenn Touren nicht mehr geplant werden können, Ladelisten nicht abrufbar sind, Scanner ausfallen oder Zeitfensterbuchungen blockiert werden, steht nicht „die IT“. Dann steht Ihr Geschäft.

Warum klassische IT-Sicherheit in vernetzten Logistiknetzwerken zu kurz greift

Der Markt verkauft Ihnen gerne ISO-Templates, Security-Awareness-Schulungen und eine neue Firewall. Das sieht sauber aus. Es beruhigt den Einkauf. Es löst Ihr Problem nicht.

Denn Ihre Realität ist ein Flickenteppich:

  • Subunternehmer mit eigener IT, eigenen Geräten und eigenen Schwachstellen.
  • Fahrer mit privaten Smartphones, Apps, Telematik und Messenger-Kommunikation.
  • Laderampen-WLANs, die faktisch Produktionsschnittstellen sind.
  • Scanner, MDE-Geräte, Gate-Systeme, Zeitfensterportale und Lagerverwaltungssysteme.
  • Tracking-Schnittstellen zu Kunden, 3PLs, Plattformen und Frachtbörsen.
  • Legacy-Altlasten in Niederlassungen, die seit Jahren „irgendwie laufen“.

Genau hier verschweigen Standardanbieter das operative Risiko.

Eine Firewall schützt nicht Ihre Laderampe, wenn der Dienstleister per unsicherem WLAN in Ihr Netz kommt. Ein ISO-Handbuch steuert keine Ersatzprozesse, wenn Ihr TMS ausfällt. Eine Schulung verhindert nicht, dass ein kompromittierter Third-Party-Logistiker Schadcode über eine angebundene Schnittstelle einschleppt.

NIS2 verlangt belastbare Risikosteuerung. Nicht Symbolpolitik.

Das betrifft besonders physisch-digitale Schnittstellen:

  • Anmeldung von Fahrern am Yard-Management-System.
  • WLAN-Zugänge für externe Frachtführer.
  • QR-Codes, Scanner und mobile Endgeräte.
  • EDI/API-Anbindungen zu Kunden und Subunternehmern.
  • Digitale Frachtpapiere und Liefernachweise.
  • Zugriff externer Dienstleister auf Disposition, Telematik oder Lagerdaten.

Hier entstehen keine theoretischen Risiken. Hier entstehen Betriebsunterbrechungen.

Prüfpunkte für ein belastbares NIS2-Programm in der Logistik

  1. Lieferketten-Risikolandkarte in 10 Arbeitstagen erstellen: Listen Sie alle kritischen Systeme und externen Abhängigkeiten auf: TMS, WMS, Telematik, Zeitfensterbuchung, EDI/API, Scanner, Fahrer-Apps, Laderampen-WLANs, Cloud-Dienste, 3PLs und Subunternehmer. Bewerten Sie jedes Element nach einer harten Frage: Was passiert mit wichtigen Lieferungen, wenn dieses System 48 Stunden ausfällt?

  2. Third-Party-Logistiker vertraglich und technisch einfangen: Ergänzen Sie Ihre Dienstleister- und Subunternehmerverträge um Mindestanforderungen zu MFA, Patch-Management, Meldepflichten, Backup-Fähigkeit, Incident-Kommunikation und Zugriffsbeschränkung. Keine pauschalen „IT-Sicherheit ist einzuhalten“-Klauseln. Das ist ein Papier-Tiger. Sie brauchen prüfbare Anforderungen und Eskalationswege.

  3. Notbetrieb für Disposition und Laderampe definieren: Legen Sie schriftlich fest, wie Touren, Ladelisten, Fahrerkommunikation und Lieferpriorisierung ohne TMS, ohne Tracking und ohne Scanner funktionieren. Benennen Sie Verantwortliche pro Standort. Drucken Sie keine 80-seitigen Krisenhandbücher. Erstellen Sie kurze Runbooks: Wer entscheidet? Welche Lieferungen haben Vorrang? Welche Kunden werden informiert? Welche manuellen Prozesse greifen sofort?

Checkliste: NIS2 für Logistik und Speditionen

Die Checkliste gibt einen strukturierten Überblick, welche Prüfpunkte für Speditionen und Logistikdienstleister im NIS2-Kontext relevant sind – von der Lieferketten-Risikolandkarte über Subunternehmeranforderungen bis zur Notbetriebsplanung. Sie dient der internen Orientierung und ersetzt keine rechtliche oder regulatorische Fachberatung.

Verwandte Seiten

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

NIS2 für E-Commerce und Handel

Orientierung für Online-Händler und E-Commerce-Betreiber zu NIS2-Anforderungen, Kundendatenschutz und sicherer Zahlungsabwicklung.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.