Pflichten für EVU/EIU

Hier erfahren Sie, welche gesetzlichen Bestimmungen gelten, ob und in welchem Umfang Sie betroffen sind und erhalten weitere Informationen.

NIS-2 in der Bahn: Handlungsbedarf, Pflichten, Nachweise

Warum jetzt handeln?
NIS-2 verpflichtet EVU/EIU zu einem risikobasierten Sicherheitsniveau, einem definierten Meldeprozess (24/72/30) und nachweisbarer Verantwortung der Geschäftsleitung. Aufsicht kann Prüfungen/Audits anordnen; bei Verstößen drohen Bußgelder und aufsichtsrechtliche Maßnahmen (z. B. Audits, Vor-Ort-Inspektionen, Anordnungen). Für „essential entities“ sind Geldbußen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich, für „important entities“ bis 7 Mio. € oder 1,4 % (je nachdem, was höher ist).
 

EU-Richtlinie → nationales Recht (so wirkt es bei Ihnen)
NIS-2 ist eine EU-Richtlinie. Verbindlich wird sie erst durch das Umsetzungsgesetz im Mitgliedstaat (z. B. in Deutschland das NIS-2-Umsetzungsgesetz/BSIG-E). Dieses legt zuständige Behörden, Verfahren, Meldewege und Bußgeldtatbestände fest.

Selbstregistrierung: Betroffene Unternehmen müssen sich bei der zuständigen Behörde registrieren und eine 24/7-Kontaktstelle benennen; Details und Fristen ergeben sich aus dem nationalen Umsetzungsgesetz.(Österreich setzt die Richtlinie ebenfalls national um; maßgeblich sind dort die jeweiligen Detailvorgaben.) 

Meldepflicht 24/72/30 (Art. 23 NIS-2)

  • ≤ 24 h: Frühwarnung an CSIRT/Behörde

  • ≤ 72 h: Incident-Report (erste Erkenntnisse, Auswirkungen)

  • ≤ 30 Tage: Abschlussbericht (Ursachen, Lessons Learned)
    Praxis-kritisch sind Entscheidungskriterien „melden ja/nein“ und wer binnen 2 Stunden entscheidet (Rolle, Vertretung, Kontakte).

Was NIS-2 fordert (risikobasiert) — mit typischen Evidenzen

  • Governance & Verantwortung: Leitung genehmigt/überwacht Risiken; regelmäßige Berichte. Evidenz: Verantwortungsmatrix, Protokolle.

  • Risikomanagement (IT/OT): kritische Leistungen/Assets; Bewertung Impact×Eintritt; priorisierte Maßnahmen. Evidenz: Asset-/Service-Register, Risk-Log.

  • Incident-Handling & BC/DR: Erkennung/Reaktion; Wiederanlauf/Notbetrieb. Evidenz: Runbooks, Tests/Restore-Protokolle.

  • Änderungs-/Patch-Management (inkl. OT): Freigaben, Rückfallplan, Wartungsfenster. Evidenz: Change/Patch-Freigaben.

  • Zugriff/Netzwerk: MFA, Segmentierung/Protokollierung. Evidenz: IAM-Policy, Netzpläne, Log-Retention.

  • Supply-Chain-Security: Anforderungen an Hersteller/Dienstleister (SBOM, Update-/Vuln-Prozess, CVD-Kontakt), Abnahme-Check. Evidenz: Anforderungskatalog, Lieferantenbewertungen.

Leitungs-/Managerhaftung (Hinweis)
NIS-2 betont persönliche Verantwortlichkeit der Leitungsorgane; möglich sind u. a. aufsichtsrechtliche Maßnahmen bis hin zu temporären Tätigkeitsverboten bei groben Pflichtverstößen (national unterschiedlich geregelt).

Bahn-Spezifika, die Prüfer häufig adressieren
Stellwerke/Leit- & Sicherungstechnik, Leitstellen-IT, Depot-/Werkstatt-IT, Rollmaterial-Netze; Fernwartung nur kontrolliert (Freigabe/Protokollierung); Safety-Schnittstelle (RAMS) bei Änderungen dokumentiert. (Rail ist explizit im NIS-2-Anhang genannt.)

30-Tage-Startfahrplan (pragmatisch)

  1. Betroffenheit & Verantwortungen schriftlich fixieren (Rollen, Eskalation).

  2. Meldeprozess 24/72/30 entwerfen und proben (Tabletop, 60–90 Min).

  3. Top-Risiken priorisieren (Impact×Eintritt) → 90-Tage-Roadmap.

  4. Lieferanten-Anforderungen & Abnahme-Check definieren (SBOM, Updates, CVD-Kontakt).

  5. Evidence-Ablage aufsetzen und erste Nachweise einpflegen.

Benötigen Sie Hilfe bei der Umsetzung? Ich berate Sie gerne telefonisch. 

KRITIS / RCE (CER): Resilienz-Pflichten und Nachweise für Bahnunternehmen

Warum jetzt handeln?
Das KRITIS-Dachgesetz setzt die EU-CER/RCE-Richtlinie (Resilience of critical entities) um und verpflichtet Betreiber kritischer Einrichtungen – dazu zählen Eisenbahnverkehr (EVU) und Eisenbahninfrastruktur (EIU) – zu physischen und organisatorischen Resilienzmaßnahmen. Im Fokus stehen Kontinuität des Betriebs, Krisen-/Notfallmanagement und Behördenzusammenarbeit. Prüfungen sind möglich; relevant sind rollenklare Prozesse, Übungen und belastbare Nachweise.

EU-Richtlinie → nationales Recht (kurz erklärt)
Die CER-Richtlinie definiert Ziele/Mindeststandards. Verbindlich wird Sie (ähnlich, wie bei NIS-2) durch das nationale Umsetzungsgesetzesetz des Mitgliedstaats. Daraus folgen Einstufung als kritische Einrichtung, Melde- und Mitwirkungspflichten, anforderbare Nachweise sowie Sanktionsrahmen.

Was gefordert wird – mit typischen Evidenzen

  • Kritikalitäts- & Abhängigkeitsanalyse: Bestimmung wesentlicher Dienste, Standorte, Abhängigkeiten (IT/OT, Energie, Lieferanten, Personal).
    Evidenzen: Service-/Standortregister, Abhängigkeits-/Single-Point-of-Failure-Analyse.

  • Risiko- & Resilienzmanagement (All-Hazards): Bewertung von physischen und hybriden Bedrohungen (z. B. Ausfall Energie, Sabotage, Cyber-Auswirkungen auf Betrieb).
    Evidenzen: Risikoregister, Prioritäten, Maßnahmenkatalog.

  • Business Continuity & Krisenorganisation: Krisenstab, Alarmierungs-/Lageprozesse, Notbetrieb, Wiederanlauf; regelmäßige Übungen.
    Evidenzen: KRITIS-/BC-Konzept, Alarmierungsplan, Übungs-/Lessons-Learned-Protokolle.

  • Schutzmaßnahmen an Standorten/Assets: Zutritt, physische Härtung, Redundanzen, Notstrom/USV, Lager-/Ersatzteilkonzepte.
    Evidenzen: Standortschutz-konzepte, Prüf-/Wartungsnachweise, Redundanz-Nachweise.

  • Kooperation & Meldewege: Behördenkontakte (Ansprechstellen), Melde-/Informationspflichten bei Störungen, Lageberichte.
    Evidenzen: Kontaktliste 24/7, Meldeformulare, Protokolle der Zusammenarbeit.

  • Lieferketten-Resilienz: Mindestanforderungen an kritische Dienstleister (Ausfallsicherheit, Notfall-/Wiederanlauf, Personalverfügbarkeit).
    Evidenzen: Anforderungskataloge, Anbieter-Bewertungen, Abnahme-/Wirksamkeitsnachweise.

  • Schulung & Awareness: Rollenbezogene Trainings für Betrieb, Leitstelle, Werkstatt, Führungskräfte.
    Evidenzen: Schulungsplan, Teilnahmelisten.

Bahn-spezifische Prüffelder

  • Leit- & Sicherungstechnik / Stellwerke (Betriebsfortführung bei Teilausfall, Redundanzen, Bereitschaften).

  • Leitstellen-/Betriebssteuerung (Lageführung, Eskalationen, Kommunikationsreserven).

  • Werkstatt/Depot (Notbetrieb, Ersatzteile, Personal-/Schichtkonzepte bei Störung).

  • Schnittstelle zu NIS-2: Technische Cyber-Maßnahmen (NIS-2) und physisch-organisatorische Resilienz (KRITIS/RCE) müssen aufeinander abgestimmt sein – ein gemeinsamer Übungs-/Lageprozess vermeidet Doppelarbeit.

30-Tage-Startfahrplan (pragmatisch)

  1. Einstufung & Ansprechstellen klären: kritische Einrichtungen, 24/7-Kontakt zur Behörde, Meldekanäle.

  2. Kritikalitäts-/Abhängigkeitsanalyse erstellen: wesentliche Dienste, Standorte, Single Points of Failure.

  3. Krisen- & Notbetriebsorganisation definieren: Rollen (Krisenstab), Alarmierung, Kommunikationsreserven.

  4. Übungsplan aufsetzen: 1 Tabletop (Lage „Ausfall Leitstelle/IT-Störung“), Maßnahmen ableiten und dokumentieren.

  5. Schnittstellen NIS-2 ↔ KRITIS harmonisieren: gemeinsamer Lage-/Meldeprozess, einheitliche Evidence-Ablage.

 

Benötigen Sie Hilfe bei der Umsetzung? Ich berate Sie gerne telefonisch. 

Cyber Resilience Act (CRA) - Was Betreiber und Hersteller jetzt regeln müssen

Warum jetzt handeln?
Der CRA ist eine EU-Verordnung für „Produkte mit digitalen Elementen“ (Hardware und Software). Als EU-Verordnung gilt der CRA direkt in allen Mitgliedstaaten und bedarf keiner nationalen Umsetzung (wie NIS-2 oder RCE). Er bringt Security-by-Design, Update-/Vulnerability-Pflichten und eine CE-Konformität mit Cyber-Anforderungen.

  • Betreiber: nur noch Produkte beschaffen/abnehmen, die CRA-tauglich sind – inkl. SBOM, Update-Prozess und Infofluss in euren NIS-2-Meldeweg.

  • Hersteller (z. B. Lok-, Signal-, Fahrzeug-/Subsystem-Hersteller): müssen die Konformität ihrer Produkte über den Lebenszyklus gewährleisten – inkl. Meldungen zu aktiv ausgenutzten Schwachstellen/Vorfällen innerhalb enger Fristen.
    (Übergangsfristen: Melde-/Vuln-Pflichten greifen früher, volle CE-Pflicht später.)

Für Betreiber (EVU/EIU) – Beschaffung & Abnahme

  • Nur CRA-konforme Produkte beschaffen (CE inkl. Cyber-Konformitätserklärung).

  • Hersteller-Infos (Vulnerabilities/Updates) empfangen, bewerten, handeln – Ankopplung an NIS-2 24/72/30.

  • Lebenszyklus-Support prüfen (Update-Dauer vs. Einsatzzeit).

  • Evidenzen ablegen: DoC/CE, SBOM, Patch-Policy, CVD-Kontakt, Härtungsleitfaden.

Anforderungspaket in Ausschreibung/Vertrag (Kurzliste):
SBOM (CycloneDX/SPDX) • VEX/Advisories • Security-Update-Policy (Fristen, Signaturen, Verteilweg) • CVD-Kontakt & Reaktionszeiten • Verweis auf einschlägige Normen/Tests • Härtungs-/Betriebshandbuch (Logging, Rollen, Backup/Restore).

Für Hersteller – Pflichtprogramm kompakt

  • Risk Assessment & Security-by-Design im Entwicklungsprozess (Bedrohungen, Misuse/Abuse-Cases, Secure Defaults; keine Default-Passwörter).

  • Vulnerability-Handling (Koordinierte Meldestelle/CVD, Intake-Prozess, Fristenmanagement) und Meldepflichten an EU/CSIRT bei aktiv ausgenutzten Schwachstellen/Vorfällen.

  • Security-Updates über den Lebenszyklus (Policy, Verteilung, Signaturen; Kompatibilität/Rollback).

  • Technische Dokumentation & CE-Konformität (Konformitätsbewertungspfad, Test-/Prüfnachweise, EU-Konformitätserklärung), Aufbewahrung über Jahre.

  • SBOM/VEX bereitstellen und pflegen; Lieferkette (Third-Party-Components) managen.

  • Wesentliche Änderungen am Produkt → erneute Bewertung/Doku, ggf. neue Konformität.

Hersteller-Evidenzen (typisch geprüft):
Risikobewertung • Secure-Development-Nachweise • SBOM/VEX • Update-/Patch-Policy • CVD-Prozessbeschreibung • Testberichte/Prüfprotokolle • EU-DoC/CE • Lifecycle-Plan.

Gemeinsame Schnittstelle CRA ↔ NIS-2/KRITIS

  • Infofluss: Hersteller-Advisories → Betreiber-Vulnerability-Intake → NIS-2 24/72/30 & Patch-Fenster (mit Rückfallplan).

  • Verträge/Abnahme: Anforderungen klar, Abnahme-Checkliste verbindlich; Evidenzen in die Evidence-Ablage.

  • Übungen: Tabletop „kritische Schwachstelle im Produkt“ → Rollen/Entscheidungen testen (Betrieb, Einkauf, Hersteller).

30-Tage-Startfahrplan

Betreiber

  1. Top-10 digitale Produkte inventarisieren (Support-Ende/Herstellerkontakte).

  2. CRA-Anforderungskatalog & Abnahme-Checkliste erstellen.

  3. Vulnerability-Intake an NIS-2-Meldeweg koppeln; Patch-Fenster/Rollback definieren.

  4. Pilot mit 1–2 Lieferanten (SBOM/VEX, Updates) → Lessons Learned.

  5. Evidence-Ablage befüllen.

Hersteller

  1. Gap-Review gegen CRA-Pflichten (Risk-Assessment, CVD, Updates, Doku).

  2. SBOM-Fähigkeit & CVD-Prozess aufsetzen; Melde-Kanal klären.

  3. Update-Policy & Delivery-Pipeline definieren (Signaturen, Backwards-Kompatibilität).

  4. Konformitätsstrategie/CE-Pfad festlegen; DoC/Doku-Struktur anlegen.

  5. Kunden-Kommunikation standardisieren (Advisories, Reaktionsfristen, Kontakt).

 

Benötigen Sie Hilfe bei der Umsetzung? Ich berate Sie gerne telefonisch. 

Jetzt Rückruf anfordern
Zurück zur Startseite