NIS2

Die EU hat mit der NIS2-Richtlinie die Anforderungen an die Cybersicherheit für kritische Sektoren, wie den Eisenbahnverkehr, deutlich verschärft. Obwohl die Frist für die Umsetzung in nationales Recht bereits im Oktober 2024 verstrichen ist, hinken Länder wie Deutschland und Österreich hinterher, was bereits zu EU-Verfahren geführt hat. Es ist jedoch stark davon auszugehen, dass die nationalen Gesetze noch 2025 finalisiert und in Kraft treten werden. Für Eisenbahnverkehrsunternehmen (EVUs) bedeutet das: Keine Zeit verlieren, denn Cybersicherheit ist jetzt gesetzliche Pflicht! Doch was heißt das konkret, besonders für „kleinere“ Betriebe?

1. NIS2 gilt auch für „kleine“ Unternehmen – Kritikalität entscheidet oft mit!

Die Richtlinie zielt nicht nur auf Großkonzerne. Auch Unternehmen mit unter 250 Mitarbeitern können als „wesentliche Einrichtung“ eingestuft werden. Dies ist der Fall, wenn sie als mittlere Unternehmen gelten (i.d.R. 50-249 Mitarbeiter und ein Jahresumsatz oder eine Bilanzsumme von über 10 Mio. Euro). Wichtig: Aber auch kleinere EVUs können unter NIS2 fallen, wenn ihre Dienstleistung als besonders kritisch für die Versorgung, Mobilität oder öffentliche Sicherheit bewertet wird – unabhängig von ihrer Mitarbeiterzahl oder ihrem Umsatz. 

✔️ Unsicher über Ihre Einstufung? Eine fachkundige Ersteinschätzung klärt Ihre Betroffenheit schnell und unkompliziert.

2. Die Anforderungen sind konkret und verbindlich

EVUs, die unter die Richtlinie fallen, müssen geeignete und verhältnismäßige technische, operationelle und organisatorische Maßnahmen ergreifen. Dazu gehört im Kern die Etablierung eines funktionierenden Informationssicherheits-Managementsystems (ISMS). Wesentliche Elemente sind unter anderem:

  • Risikoanalyse & Risikomanagement-Prozesse
  • Implementierung technischer und organisatorischer Schutzmaßnahmen (für IT und OT!)
  • Meldepflichten bei signifikanten Sicherheitsvorfällen (innerhalb kurzer Fristen)
  • Konzepte für Business Continuity und Krisenmanagement
  • Sicherheit in der Lieferkette
  • Regelmäßige Schulung der Mitarbeitenden
  • Klare Verantwortlichkeiten für Informationssicherheit

Diese Anforderungen sind kein „nice-to-have“ mehr – sie sind gesetzlich verpflichtend, und die Geschäftsführung steht in der Verantwortung.

3. Herausforderungen für kleinere EVUs

Gerade kleinere EVUs stehen hier oft vor besonderen Hürden:

  • Begrenzte Ressourcen: Zeit, Personal und Budget für die Umsetzung sind knapp.
  • Spezifisches Know-how fehlt: Insbesondere das Wissen um die Absicherung der speziellen Bahn-Betriebstechnologie (OT) ist oft nicht intern vorhanden.
  • Komplexität der Regulierung: Die Anforderungen sind umfangreich und die genaue Auslegung für das eigene Unternehmen oft unklar.
  • Unsicherheit beim Start: Viele wissen nicht, wo und wie sie mit der Umsetzung beginnen sollen.

4. Was jetzt zu tun ist: Ein pragmatischer Ansatz

Für betroffene EVUs empfiehlt sich ein schrittweises Vorgehen:

  • Gap-Analyse durchführen: Wo stehen wir aktuell in Bezug auf die NIS2-Anforderungen? Wo sind die größten Lücken in unseren IT- und OT-Systemen?
  • Verantwortlichkeiten klären: Wer ist intern für das Thema Cybersicherheit und NIS2 zuständig und hat die notwendigen Befugnisse?
  • Prioritäten setzen: Welche Maßnahmen sind am dringendsten und müssen kurzfristig angegangen werden, um Risiken zu minimieren und erste Schritte zur Compliance zu machen?
  • Strukturiert vorgehen: Die Anforderungen systematisch abarbeiten – mit klaren Konzepten, dokumentierten Maßnahmen und ohne unnötige Komplexität, aber nachvollziehbar und wirksam.

5. Fazit

Die NIS2-Richtlinie ist für alle betroffenen EVUs, auch für kleinere, eine strategische Pflichtaufgabe mit Managementverantwortung. Die aktuelle Verzögerung bei der nationalen Gesetzgebung ist kein Grund zum Abwarten, sondern eine letzte Chance, sich proaktiv vorzubereiten. Wer jetzt handelt, kann nicht nur empfindliche Strafen vermeiden, sondern stärkt nachhaltig seine digitale Widerstandsfähigkeit und sichert so die eigene Wettbewerbsfähigkeit und den zuverlässigen Betrieb.

➡️ Sie möchten wissen, wo Ihr Bahnunternehmen steht oder suchen einen pragmatischen Einstieg ins Thema NIS2? Kontaktieren Sie mich gerne für eine erste, unverbindliche Einschätzung! office@fk-frameworks.com

Weitere Infos