Resiliente Prozesse brauchen mehr als Cybersicherheit
Die europäische Richtlinie zur Netzwerk- und Informationssicherheit legt fest, wie Unternehmen ihre zentralen Geschäftsprozesse, Systeme und Einrichtungen gegen digitale und physische Bedrohungen absichern müssen. Ab 2026 gelten dafür unter anderem Registrierungs- und Meldepflichten sowie Vorgaben für ein strukturiertes Risikomanagement, von denen auch Einrichtungen aus den Bereichen Transport und Logistik betroffen sind.
Dabei geht NIS2 bewusst über die klassische Cybersicherheit hinaus. In die Gefährdungsanalyse werden neben IT-Systemen auch physische Betriebsabläufe, standortspezifische Risiken sowie das Zutrittsmanagement einbezogen. Unternehmen sind somit aufgefordert, digitale und bauliche Schutzmaßnahmen ganzheitlich zu betrachten und auf ein einheitliches Niveau zu bringen.
Die NIS2-Richtlinie betrifft Betreiber wichtiger Einrichtungen entlang der gesamten Wertschöpfungs- und Lieferkette in den KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Gesundheitswesen, Wasser und Ernährung sowie Transport und Verkehr. Dazu zählen auch Güterverkehrszentren, große Speditionsunternehmen und Distributionszentren sowie Lagerstandorte und Industriebetriebe mit kritischen Produktions- und Lieferkettenfunktionen.
Betroffen sind insbesondere Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von mindestens 10 Millionen Euro. Unterschieden wird zwischen „wesentlichen Einrichtungen“ mit besonders relevanten Dienstleistungen, beispielsweise größeren Verkehrs- und Logistikunternehmen, und entsprechend strengeren Vorgaben sowie „wichtigen Einrichtungen“ mit abgestuften Anforderungen, wie mittelgroßen Speditionen oder Industrieunternehmen.
Das Sicherheitsmanagement wird zur strategischen Kernaufgabe für die Betriebskontinuität. Dabei müssen digitale und physische Schutzmaßnahmen künftig integriert betrachtet, dokumentiert und regelmäßig überprüft werden. Zu den verpflichtenden Maßnahmen zählen Zutritts- und Zugriffskontrollen, die Absicherung von Schlüssel-, Alarm- und Kommunikationssystemen, belastbare Notfall- und Wiederanlaufpläne sowie klare Sicherheitsanforderungen an Lieferanten und externe Dienstleister.
Besondere Bedeutung kommt der Schulung der Mitarbeitenden zu. Die NIS2-Richtlinie verankert die Verantwortung dafür auf Ebene der Unternehmensleitung und verpflichtet das Management zu entsprechenden Qualifizierungen. Betreiber kritischer Infrastrukturen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Zwischenfälle fristgerecht erfassen sowie systematisch auswerten. Es sind feste Meldefristen vorgesehen: 24 Stunden für eine Frühwarnmeldung, 72 Stunden für eine Detailmeldung und ein Abschlussbericht innerhalb eines Monats.
Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Hinzu kommen behördliche Prüfungen und Anordnungen sowie mögliche persönliche Haftungsrisiken für Leitungsorgane. Logistik-, Transport- und Industrieunternehmen wird somit deutlich, dass resiliente Standorte, geschützte Lieferketten und strukturierte Prozesse künftig regulatorische Pflicht sind.
Physische und digitale Risiken gemeinsam managen
Die Sicherheitskonzepte für Logistik- und Industriestandorte, die für die Versorgung der Bevölkerung oder die Lieferketten anderer KRITIS-Branchen unerlässlich sind, müssen konsequent risikobasiert ausgerichtet werden. Für Distributionszentren, Umschlagterminals, Produktions- und Lagerstandorte bedeutet dies konkret: Eine Zutrittssteuerung für Personal und Fahrer, Videoüberwachung, geschützte Leitstände sowie klar definierte Sicherheitszonen gehören ebenso zum Standard wie dokumentierte und regelmäßig getestete Krisenprozesse.
In KRITIS-relevanten Branchen wie dem Transport- und Verkehrsbereich gewinnt vor allem die Verzahnung von physischer und digitaler Risikovorsorge an Bedeutung. Schwachstellen im Objektschutz können Angriffsflächen für Cyberattacken auf Betriebs- und Logistiksysteme schaffen. Umgekehrt wirken sich IT-Sicherheitslücken unmittelbar auf Arbeitsabläufe wie die Lagersteuerung, die Transportdisposition oder das Flottenmanagement aus. Deshalb sind integrierte Risikoanalysen und abgestimmte Richtlinien entlang der gesamten Lieferkette gefragt.
In enger Zusammenarbeit mit Sicherheitsdienstleistern, IT-Partnern und weiteren externen Spezialisten lassen sich Schwachstellen frühzeitig identifizieren und geeignete technische sowie organisatorische Maßnahmen umsetzen. Das Sicherheitsmanagement entwickelt sich damit zu einem zentralen Baustein für stabile Transport- und Logistikprozesse und für die Resilienz von Lieferketten.
Handlungsfähigkeit sichern
Die Krisenfestigkeit von Transport- und Logistikunternehmen zeigt sich, wenn präventive Maßnahmen versagen. Genau hier setzt die NIS2-Richtlinie an. Sie fordert klar definierte Abläufe, damit die Einrichtungen auch im Ernstfall handlungsfähig bleiben und Betriebsunterbrechungen möglichst kurz sind. Erforderlich ist ein strukturiertes Notfall- und Krisenmanagement mit eindeutig geregelten Zuständigkeiten, Entscheidungswegen und Kommunikationsprozessen. Dieses muss regelmäßig überprüft und trainiert werden.
Ein belastbares Konzept umfasst Evakuierungs- und Sicherheitsmaßnahmen, die Priorisierung kritischer Infrastrukturen sowie analoge Backup-Strukturen für zentrale Abläufe in der Lager- und Transportsteuerung. Grundlage dafür ist eine umfassende Risikoanalyse, die physische Bedrohungen wie technische Störungen, Naturereignisse oder Sabotage ebenso berücksichtigt wie Cyberangriffe, die sich direkt auf operative Logistikprozesse auswirken.
Die Aufrechterhaltung der Handlungsfähigkeit ist besonders wichtig. Analoge Notfallpläne, manuelle Steuerungsmöglichkeiten und redundante Kommunikationswege gewährleisten, dass Transport- und Lieferketten auch im Falle von Ausfällen der IT- oder Kommunikationssysteme aufrechterhalten werden können. Das Ziel besteht darin, den Regelbetrieb schnell wiederherzustellen und die Resilienz von Transport-, Logistik- und Lieferkettenprozessen zu stärken. (rok)
Gandhi Gabriel ist gelernter Wirtschaftswissenschaftler und seit 10 Jahren in der Sicherheitsbranche tätig. Im Februar 2018 hat er das Unternehmen SSB – Sicherheit, Service, Beratung GmbH gegründet.
