Transport und Verkehr
Im Sektor Transport und Verkehr versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienstleistung – dem Personen- und Güterverkehr auf verschiedenen Verkehrsträgern. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.
KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2025 um viele neue Einrichtungen, die als Unternehmen reguliert werden, wenn sie Umsatz und Mitarbeiterzahlen überschreiten.
Nr. | Unternehmen | Scope |
---|---|---|
Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Definition Transport und Verkehr:
|
||
Besonders wichtige Einrichtung | Unternehmen (NIS2)
|
|
Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Definition Transport und Verkehr:
|
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Die Gesetze werden wohl etwas verspätet 2025 in Kraft treten. Für Betreiber kritischer Anlagen, ehemals KRITIS, und die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
Thema | Betreiber kritischer Anlagen (KRITIS) | Einrichtungen | |
---|---|---|---|
Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
Fristen | ab 2025 | ab 2026 | ab 2025 |
Scope | Kritische Anlage | Kritische Anlage | Unternehmen |
Pflichten | Registrierung Vorfallsmeldungen Sanktionen Prüfungen |
Registrierung Vorfallsmeldungen Sanktionen |
Registrierung Vorfallsmeldungen Sanktionen |
Maßnahmen | Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal |
Resilienz Risikomanagement Physische Sicherheit Personal |
Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal |
Nachweise | Prüfungen | Teil von Audits | Stichproben |
Regulator | BSI | BBK | BSI |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Transport und Verkehr in der KRITIS-Verordnung definiert. Betreiben Unternehmen diese kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie zu KRITIS-Betreibern mit vielen regulierten Pflichten.
Nr. | Anlage | Beschreibung | Schwellenwert (pro Jahr) | |
---|---|---|---|---|
1. | Luftverkehr | |||
1.1.1 | Passagierabfertigung an Flugplätzen | im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 2/3 | 20 Mio | Passagiere |
1.1.2 | Frachtabfertigung an Flugplätzen | im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 4 | 750 Tsd t | Güter |
1.1.3 | Infrastrukturbetrieb eines Flugplatzes | Gesamtheit sonstiger Bodenabfertigung nach §2 Nr. 4 BADV mit Anlage 1, Nr. 5/7/9/10 | 20 Mio 750 Tsd t | Passagiere Güter |
1.1.4 | Flugsicherungsdienste | Flugsicherungsdienste nach (EU) 2017/373 | 17,5 Tsd | Flugbewegungen |
1.1.5 | Verkehrszentrale Fluggesellschaft | Planung, Steuerung, Überwachung, Flugbetrieb; Disposition von Personal und Wartung | 20 Mio 750 Tsd t | Passagiere Güter |
1.1.6 | Flughafenleitungsorgan | Verwaltung und Betrieb Flughafen/-netz; Koordinierung und Überwachung | 20 Mio 750 Tsd t | Passagiere Güter |
1.2 | Schienenverkehr der Eisenbahn | |||
1.2.1 | Personenbahnhof | Bahnhof des Reiseverkehrs gemäß §4 Abs. 1 und 2 EBO | höchste | Bahnhofskategorie |
1.2.2 | Güterbahnhof | Bahnhof des Güterverkehrs gemäß §4 Abs. 1 und 2 EBO | 23 Tsd | ausgehende Züge |
1.2.3 | Zugbildungsbahnhof | Bahnhof zur Bildung von Zügen | 23 Tsd | gebildete Züge |
1.2.4 | Schienennetz und Stellwerke | Schienennetz gemäß §4 Abs. 3-7 und 10-11 EBO samt Stellwerke | Kernnetz (EU) 1315/2013 |
Deutscher Teil |
1.2.5 | Verkehrssteuerungs- und Leitsystem | Zentrale Disposition Zugbetrieb EIU | Kernnetz (EU) 1315/2013 |
Deutscher Teil |
1.2.6 | Leitzentrale | Zentrale Überwachung EVU zur Überwachung, Maßnahmen, Disposition von Zügen, Personal, Wartung | 8,2 Mio Zugkilometer 730 Mio Tonnenkilometer | disponierter Personenverkehr disponierter Güterverkehr |
1.3 | See- und Binnenschifffahrt | |||
1.3.1 | Betrieb von Bundeswasserstraßen | sicherer Betrieb von Wasserstraßen nach §1 Abs. 4 Nr. 1 WaStrG | 17 Mio t | Güterverkehrsdichte |
1.3.2 | Verkehrssteuerungs- und Leitsystem | Revier- und Verkehrszentralen der Wasserstraßen- und Schifffahrts-Verwaltung des Bundes | 17 Mio t | Güterverkehrsdichte |
1.3.3 | Hafenleitungsorgan | Koordinierung und Verwaltung Hafenverkehr, Koordinierung und Überwachung | 50 Mio t | Güter |
1.3.4 | Hafeninformationssystem | IT-Platform wie PCS, CCS, SSP, oder nach 2010/65/EU | 50 Mio t | Güter |
1.3.5 | Umschlaganlage | Ladung, Umschlag, Sortierung, Abstellen zwischen Verkehrsträgern | 3,27 Mio t | Fracht |
1.3.6 | Leitzentrale Seeschifffahrt | zur operativen Steuerung von Seeschiffen nach Fahrplan | 1,875 Mio t | Disponierte Frachtmenge |
1.3.7 | Leitzentrale Binnenschifffahrt | IT-System zur Disposition des Schiff-Raums der Binnenschifffahrts-Flotte | 345,5 Mio Tonnenkilomenter | Transportleistung |
1.4 | Straßenverkehr | |||
1.4.1 | Verkehrssteuerungs- und Leitsystem | Verkehrsbeeinflussung im Straßenverkehr inkl. Betriebstechnik, TK-Netzen und Einrichtungen nach §1 Abs. 4 Nr. 1/3/4 FStrG | Verkehrssteuerungs- und Leitsystem | für das Netz der Bundesautobahnen |
1.4.2 | Verkehrssteuerungs- und Leitsystem im kommunalen Straßenverkehr | Steuerung und Überwachung von Lichtsignalanlagen, Verkehrs-beeinflussungsanlagen, Verkehrswarn- und Informationssystemen | 500 Tsd | Einwohner der versorgten Stadt |
1.4.3 | Intelligentes Verkehrssystem | im Sinne §2 Nr. 1 ISVG | 500 Tsd | Nutzer |
1.5 | ÖPNV | |||
1.5.1 | Schienennetz und Stellwerke öffentlicher Straßenpersonenverkehrs (ÖSPV) | Schienennetz des ÖSPV im Sinn §4 Abs. 1-3 PBefG samt Stellwerke, Beeinflussungsanlagen, Fahrstromversorgung, Haltestellen | 125 Mio | unternehmensbezogene Fahrgastfahrten |
1.5.2 | Leitzentrale ÖSPV | Betreiberseitige Überwachung und Steuerung des Verkehrs, Fahrgastsicherheit, Fahrgastinformation, Disposition Personal/Fahrzeuge, sowie Flottentelematik | 125 Mio | unternehmensbezogene Fahrgastfahrten |
1.6 | Logistik | |||
1.6.1 | Betrieb Logistikzentrum | Bereitstellung, Verteilung, Lagerung, Bearbeitung oder Umschlag von Gütern | 17,55 Mio t 53,2 Mio | Gütermenge Sendungen |
1.6.2 | Logistiksteuerung- oder Verwaltung | Betreiberseitiges, zentrales IT-System zur Gesamtkoordinierung und -steuerung von Logistikdienstleistungen | 17,55 Mio t 53,2 Mio | Gütermenge Sendungen |
1.7 | Verkehrsträgerübergreifend | |||
1.7.1 | Wettervorhersage, Gezeitenvorhersage, Wasserstandsmeldung | Messung meteorologischer Größen, zur Beobachtung von Wetter und Klima sowie zur Messung von Gezeiten- und Wasserstand | Gesetzliche Verpflichtung im Sinne | §4 Abs. 1 DWDG §1 Abs. 9 SeeAufgG |
1.7.2 | Bodenstation Satellitennavigationssystem | Bodeninfrastruktur (zum Beispiel Bodenstationen, Kontrollzentren) | im Sinne | Artikel 28 EU 1285/2013 |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Luftverkehr
Für die Anlagen auf Flugplätzen (1.1.1 bis 1.1.3), Flughäfen (1.1.6) und Fluggesellschaften (1.1.5) sind die Schwellenwerte ohne Herleitung:
- 20 Mio Passagiere pro Jahr (1.1.1, 1.1.3, 1.1.5, 1.1.6)
- 750 Tsd Tonnen Güter pro Jahr (1.1.2, 1.1.3, 1.1.5, 1.1.6)
Für die Flugsicherung (1.1.4) berechnet sich der Schwellenwert aus 0,035 Flugbewegungen zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:
- 17,5 Tsd Flugbewegungen pro Jahr
Schienenverkehr
Für Personenbahnhöfe (1.2.1) und das Netz (1.2.4 und 1.2.5) ohne Herleitung:
- Höchste Bahnhofskategorie (1.2.1)
- Deutscher Teil vom Kernnetz nach TEN-V und dessen Leitsystem (1.2.4 und 1.2.5)
Für Bahnhöfe im Güterverkehr (1.2.2 und 1.2.3) berechnet sich der Schwellenwert sich aus 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen, mit 32 Tsd Tonnenkilometern pro Güterzug:
- ≈ 23. Tsd Güterzüge pro Jahr
Für Leitzentralen von EVU (1.2.6) beim Personenverkehr ohne Herleitung, beim Güterverkehr mit 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:
- 8,2 Mio disponierte Zugkilometer Personenverkehr pro Jahr
- 730 Mio disponierte Tonnenkilometer Güter pro Jahr
See- und Binnenschifffahrt
Für Wasserstrassen, Leitsysteme, Hafenleitung und Hafeninformation (1.3.1 bis 1.3.4) ohne Herleitung:
- 17 Mio Tonnen Güterverkehrsdichte (1.3.1 und 1.3.2)
- 50 Mio Tonnen Güter (1.3.3 und 1.3.4)
Für Umschlaganlagen (1.3.5) berechnet sich der Schwellenwert aus durchschnittlich 223 Mio Tonnen Gesamttransport der Binnenschifffahrt und 300 Mio Tonnen Güterumschlag in deutschen Seehäfen bei 500.000 (von 80 Mio) versorgten Personen.
- 3,27 Mio Tonnen umgeschlagene Fracht pro Jahr (1.3.5)
Für Seeschifffahrt (1.3.6) und Binnenschifffahrt (1.3.7) berechnet sich der Schwellenwert aus 3,75 Tonnen Frachtmenge in der Seeschifffahrt und 691 Tonnenkilometern Transportleistung zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:
- 1,875 Mio Tonnen disponierte Frachtmenge in der Seeschifffahrt pro Jahr (1.3.6)
- 345,5 Mio Tonnenkilometer disponierte Transportleistung Binnenschifffahrt pro Jahr (1.3.7)
Straßenverkehr
Für die Verkehrssteuerung und Leitzentralen von Bundesautobahnen (1.4.1), kommunalem Straßenverkehr (1.4.2) und Intelligentes Verkehrssystem (1.4.3) ohne Herleitung:
- Verkehrssteuerungs- und Leitsystem für das Netz der Bundesautobahnen
- 500 Tsd Einwohner der versorgten Stadt
- 500 Tsd Nutzer
ÖPNV
Für Schienennetze und Leitzentralen im ÖSPV (1.5.1 bis 1.5.2) ohne Herleitung.
- 125 Mio unternehmensbezogene Fahrgäste pro Jahr
Logistik
Für Logistikzentren und -steuerung (1.6.1 und 1.6.2) berechnet sich der Schwellenwert aus 35,1 Tonnen Gütern im Straßenverkehr zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen. Für Stückgut (Sendungen) wird ein Durchschnittsgewicht von 330kg angenommen.
- 17,55 Mio Tonnen Güter pro Jahr
- 53,2 Mio Sendungen pro Jahr
Verkehrsträgerübergreifende Anlagen
Für die Wettervorhersage und Satellitennavigation (1.7.1 und 1.7.2) aus gesetzlichen Verpflichtungen:
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtungen, mittlere Unternehmen und Post und Kurierdienste als wichtige Einrichtungen.
Nr. | Teilsektor | Einrichtungsart^ | Besonderheit |
---|---|---|---|
Transport und Verkehr (Sektor, Anlage 1 und 2) | |||
1.1 | Post und Kurierdienste (Branche) | ||
1.1.1 | Postdienstleistungen §4 Nr. PostG |
einschließlich Kurierdienste | |
2.1 | Luftverkehr (Teilsektor) | ||
2.1.1 | Luftfahrtunternehmen Art. 3 Nr. 4 (EG) 300/2008 | ||
2.1.2 | Flughafenleitungsorgane Art. 2 Nr. 2 RL 2009/12/EG Flughäfen Art. 2 Nr. 1 RL 2009/12/EG inkl. Kernnetz-Flughäfen |
inkl. Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben | |
2.1.3 | Flugsicherungsdienste §27c (2) Nr. 1 lit. a) und Nr. 2-6 LuftVG | ||
2.2 | Schienenverkehr (Teilsektor) | ||
2.2.1 | Eisenbahninfrastrukturbetreiber §2 Nr. 6, 6a AEG inkl. zentraler Einrichtungen, die den Zugbetrieb disponieren | ||
2.2.2 | Eisenbahnverkehrsunternehmen §2 Nr. 3 AEG Serviceeinrichtungen § 2 Nr. 9 AEG |
||
2.3 | Schifffahrt (Teilsektor) | ||
2.3.1 | Passagier- und Frachbeförderungsunternehmen in Binnen-, See- und Küstenschifffahrt nach Anhang I (EG) 725/2004 | ausschließlich der einzelnen betriebenen Schiffe | |
2.3.2 | Leitungsorgane von Häfen Art. 3 Nr. 1 2006/65/EG Hafenanlagen Art. 2 Nr. 11 (EG) 725/2004 |
inkl. Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben | |
2.3.3 | Anlage oder System zum sicheren Betrieb einer Wasserstraße §1 (6) Nr. 1 WaStrG | ||
2.4 | Straßenverkehr (Teilsektor) | ||
2.4.1 | Anlage oder System zur Verkehrsbeeinflussung | inkl. der Einrichtungen nach §1 (4) Nr. 1, 3, 4 FStrG – z. B. Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, TK-Netze der Bundesautobahnen | |
2.4.2 | Intelligente Verkehrssysteme §2 Nr. 1 IVSG |
Regulierung und Standards
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs-und Leitsysteme im kommunalen Straßenverkehr, Hamburg Verkehrsanlagen GmbH, Version 2023, Website des BSI (gültig bis April 2025)
- Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs- und Leitsysteme der BundesautobahnDie Autobahn GmbH des Bundes, Version 1.0 (gültig bis Oktober 2024)
Industrienormen
- CLC/TS 50701 Railway applications - Cybersecurity, CLC/TC 9X Electrical and electronic applications for railways, July 2021
BSI IT-Grundschutz-Profile
- IT-Grundschutz-Profil für die Verkehrssteuerungs- und Leitsysteme der Bundesautobahn, Die Autobahn GmbH des Bundes, Webseite des BSI, 29.06.2022
- IT-Grundschutz-Profil für Reedereien - Schiffsbetrieb, VHT e.V., Webseite des BSI, 31.01.2020
- IT-Grundschutz-Profil für Weltrauminfrastrukturen, BSI, OHB, Airbus, DLR, 30.06.2022
Weitere Informationen
Literatur
- Prognose Securitybedarf und Bewertung möglicher Sicherheitskonzepte: Technologieprognose, Forschungsbericht 20, Deutsches Zentrum für Schienenverkehrsforschung, Januar 2022
- Zoning and Conduits for Railways, European Union Agency for Cybersecurity, Februar 2022
- Railway Cybersecurity - Good Practices in Cyber Risk Management, European Union Agency for Cybersecurity, November 2021
- ENISA-Studie Railway Cybersecurity, European Union Agency for Cybersecurity, November 2020
- ENISA-Guidelines - Cyber Risk Management for Ports, European Union Agency for Cybersecurity, Dezember 2020
- ENISA-Studie Cyber Security and Resilience of Intelligent Public Transport, European Union Agency for Cybersecurity, Januar 2016
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Verordnung über Bodenabfertigungsdienste auf Flugplätzen (Bodenabfertigungsdienst-Verordnung - BADV) vom 10. Dezember 1997 (BGBl. I S. 2885), die zuletzt durch Artikel 1 der Verordnung vom 6. Dezember 2018 (BGBl. I S. 2442) geändert worden ist
- Eisenbahn-Bau- und Betriebsordnung (EBO) vom 8. Mai 1967 (BGBl. 1967 II S. 1563), die zuletzt durch Artikel 2 der Verordnung vom 5. April 2019 (BGBl. I S. 479) geändert worden ist"
- Bundeswasserstraßengesetz (WaStrG) in der Fassung der Bekanntmachung vom 23. Mai 2007 (BGBl. I S. 962; 2008 I S. 1980), das zuletzt durch Artikel 335 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden
- Bundesfernstraßengesetz (FStrG) in der Fassung der Bekanntmachung vom 28. Juni 2007 (BGBl. I S. 1206), das zuletzt durch Artikel 2 des Gesetzes vom 8. August 2020 (BGBl. I S. 1795) geändert worden ist"
- Personenbeförderungsgesetz (PBefG) in der Fassung der Bekanntmachung vom 8. August 1990 (BGBl. I S. 1690), das zuletzt durch Artikel 329 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Gesetz über die Aufgaben des Bundes auf dem Gebiet der Seeschiffahrt (Seeaufgabengesetz - SeeAufgG) in der Fassung der Bekanntmachung vom 17. Juni 2016 (BGBl. I S. 1489), das zuletzt durch Artikel 337 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Gesetz über den Deutschen Wetterdienst (DWD-Gesetz) vom 10. September 1998 (BGBl. I S. 2871), das zuletzt durch Artikel 341 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Verordnung (EU) Nr. 1285/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 betreffend den Aufbau und den Betrieb der europäischen Satellitennavigationssysteme