Transport und Verkehr

Im Sektor Transport und Verkehr versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit einer kritischen Dienstleistung – dem Personen- und Güterverkehr auf verschiedenen Verkehrsträgern. Diese Dienstleistung muss mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.

Pflichten
KRITIS-Anlagen
NIS2-Einrichtungen

KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.

Nr.	Unternehmen	Scope
	Betreiber kritischer Anlagen	Anlage über Schwellenwert (KRITIS)
	KRITIS-Definition Transport und Verkehr: Luftverkehr: Passagier- und Frachtabfertigung, Infrastruktur, Flugsicherung Schienenverkehr: Bahnhöfe, Netze, Verkehrssteuerung und Leitzentralen Binnen/Seeschifffahrt: Bundeswasserstraßen, Verkehrssteuerung, Leitzentralen Straßenverkehr: Verkehrssteuerung und Leitzentralen Öffentlicher Personennahverkehr (ÖPNV): Netze, Verkehrssteuerung und Leitzentralen Logistik: Logistikzentren und Logistiksteuerung Übergreifend: Wetter und Satellitennavigation
	Besonders wichtige Einrichtung	Unternehmen (NIS2) Branche Luft, Schiene, Schifffahrt, Straße ≥250 Mitarbeiter oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanz
	Wichtige Einrichtung	Unternehmen (NIS2) Branche Luft, Schiene, Schifffahrt, Straße, Post/Kurier ≥50 Mitarbeiter oder >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanz
	NIS2-Definition Transport und Verkehr: Post und Kurierdienste: Postdienstleistungen und Kurierdienste Luftverkehr: Luftfahrt, Flughafenleitungsorgane, Flughäfen, Flugverkehrskontrolldienste Schienenverkehr: Eisenbahninfrastrukturbetreiber, Eisenbahnverkehrsunternehmen Schifffahrt: Beförderungsunternehmen Passagiere und Fracht, Leitungsorgane Häfen, Wasserstraßen Straßenverkehr: Verkehrsbeeinflussung, intelligente Verkehrssysteme

Regulierte Pflichten

NIS2 und KRITIS

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.

eigene Zusammenstellung aus NIS2-Regierungsentwurf Oktober 2024
Thema	Betreiber kritischer Anlagen		Einrichtungen
Gesetz	NIS2-Umsetzung	KRITIS-Dachgesetz	NIS2-Umsetzung
Fristen	ab 2025	ab 2026	ab 2025
Scope	Kritische Anlage	Kritische Anlage	Unternehmen
Pflichten	Registrierung Vorfallsmeldungen Sanktionen Prüfungen	Registrierung Vorfallsmeldungen Sanktionen	Registrierung Vorfallsmeldungen Sanktionen
Maßnahmen	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Angriffserkennung SzA Personal	Resilienz Risikomanagement Physische Sicherheit Personal	Informationssicherheit BCM und Krisen Supply Chain Risikomanagement IT-Sicherheit Personal
Nachweise	Prüfungen	Teil von Audits	Stichproben
Regulator	BSI	BBK	BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

KRITIS

Kritische Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Transport und Verkehr in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.

aus BSI-KritisV August 2021, Anhang 7
Nr.	Anlage	Beschreibung	Schwellenwert (pro Jahr)
1.	Luftverkehr
1.1.1	Passagierabfertigung an Flugplätzen	im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 2/3	20 Mio	Passagiere
1.1.2	Frachtabfertigung an Flugplätzen	im Sinne §2 Nr. 4 BADV mit Anlage 1, Nr. 4	750 Tsd t	Güter
1.1.3	Infrastrukturbetrieb eines Flugplatzes	Gesamtheit sonstiger Bodenabfertigung nach §2 Nr. 4 BADV mit Anlage 1, Nr. 5/7/9/10	20 Mio 750 Tsd t	Passagiere Güter
1.1.4	Flugsicherungsdienste	Flugsicherungsdienste nach (EU) 2017/373	17,5 Tsd	Flugbewegungen
1.1.5	Verkehrszentrale Fluggesellschaft	Planung, Steuerung, Überwachung, Flugbetrieb; Disposition von Personal und Wartung	20 Mio 750 Tsd t	Passagiere Güter
1.1.6	Flughafenleitungsorgan	Verwaltung und Betrieb Flughafen/-netz; Koordinierung und Überwachung	20 Mio 750 Tsd t	Passagiere Güter
1.2	Schienenverkehr der Eisenbahn
1.2.1	Personenbahnhof	Bahnhof des Reiseverkehrs gemäß §4 Abs. 1 und 2 EBO	höchste	Bahnhofskategorie
1.2.2	Güterbahnhof	Bahnhof des Güterverkehrs gemäß §4 Abs. 1 und 2 EBO	23 Tsd	ausgehende Züge
1.2.3	Zugbildungsbahnhof	Bahnhof zur Bildung von Zügen	23 Tsd	gebildete Züge
1.2.4	Schienennetz und Stellwerke	Schienennetz gemäß §4 Abs. 3-7 und 10-11 EBO samt Stellwerke	Kernnetz (EU) 1315/2013	Deutscher Teil
1.2.5	Verkehrssteuerungs- und Leitsystem	Zentrale Disposition Zugbetrieb EIU	Kernnetz (EU) 1315/2013	Deutscher Teil
1.2.6	Leitzentrale	Zentrale Überwachung EVU zur Überwachung, Maßnahmen, Disposition von Zügen, Personal, Wartung	8,2 Mio Zugkilometer 730 Mio Tonnenkilometer	disponierter Personenverkehr disponierter Güterverkehr
1.3	See- und Binnenschifffahrt
1.3.1	Betrieb von Bundeswasserstraßen	sicherer Betrieb von Wasserstraßen nach §1 Abs. 4 Nr. 1 WaStrG	17 Mio t	Güterverkehrsdichte
1.3.2	Verkehrssteuerungs- und Leitsystem	Revier- und Verkehrszentralen der Wasserstraßen- und Schifffahrts-Verwaltung des Bundes	17 Mio t	Güterverkehrsdichte
1.3.3	Hafenleitungsorgan	Koordinierung und Verwaltung Hafenverkehr, Koordinierung und Überwachung	50 Mio t	Güter
1.3.4	Hafeninformationssystem	IT-Platform wie PCS, CCS, SSP, oder nach 2010/65/EU	50 Mio t	Güter
1.3.5	Umschlaganlage	Ladung, Umschlag, Sortierung, Abstellen zwischen Verkehrsträgern	3,27 Mio t	Fracht
1.3.6	Leitzentrale Seeschifffahrt	zur operativen Steuerung von Seeschiffen nach Fahrplan	1,875 Mio t	Disponierte Frachtmenge
1.3.7	Leitzentrale Binnenschifffahrt	IT-System zur Disposition des Schiff-Raums der Binnenschifffahrts-Flotte	345,5 Mio Tonnenkilomenter	Transportleistung
1.4	Straßenverkehr
1.4.1	Verkehrssteuerungs- und Leitsystem	Verkehrsbeeinflussung im Straßenverkehr inkl. Betriebstechnik, TK-Netzen und Einrichtungen nach §1 Abs. 4 Nr. 1/3/4 FStrG	Verkehrssteuerungs- und Leitsystem	für das Netz der Bundesautobahnen
1.4.2	Verkehrssteuerungs- und Leitsystem im kommunalen Straßenverkehr	Steuerung und Überwachung von Lichtsignalanlagen, Verkehrs-beeinflussungsanlagen, Verkehrswarn- und Informationssystemen	500 Tsd	Einwohner der versorgten Stadt
1.4.3	Intelligentes Verkehrssystem	im Sinne §2 Nr. 1 ISVG	500 Tsd	Nutzer
1.5	ÖPNV
1.5.1	Schienennetz und Stellwerke öffentlicher Straßenpersonenverkehrs (ÖSPV)	Schienennetz des ÖSPV im Sinn §4 Abs. 1-3 PBefG samt Stellwerke, Beeinflussungsanlagen, Fahrstromversorgung, Haltestellen	125 Mio	unternehmensbezogene Fahrgastfahrten
1.5.2	Leitzentrale ÖSPV	Betreiberseitige Überwachung und Steuerung des Verkehrs, Fahrgastsicherheit, Fahrgastinformation, Disposition Personal/Fahrzeuge, sowie Flottentelematik	125 Mio	unternehmensbezogene Fahrgastfahrten
1.6	Logistik
1.6.1	Betrieb Logistikzentrum	Bereitstellung, Verteilung, Lagerung, Bearbeitung oder Umschlag von Gütern	17,55 Mio t 53,2 Mio	Gütermenge Sendungen
1.6.2	Logistiksteuerung- oder Verwaltung	Betreiberseitiges, zentrales IT-System zur Gesamtkoordinierung und -steuerung von Logistikdienstleistungen	17,55 Mio t 53,2 Mio	Gütermenge Sendungen
1.7	Verkehrsträgerübergreifend
1.7.1	Wettervorhersage, Gezeitenvorhersage, Wasserstandsmeldung	Messung meteorologischer Größen, zur Beobachtung von Wetter und Klima sowie zur Messung von Gezeiten- und Wasserstand	Gesetzliche Verpflichtung im Sinne	§4 Abs. 1 DWDG §1 Abs. 9 SeeAufgG
1.7.2	Bodenstation Satellitennavigationssystem	Bodeninfrastruktur (zum Beispiel Bodenstationen, Kontrollzentren)	im Sinne	Artikel 28 EU 1285/2013

Schwellenwerte

Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.

Luftverkehr

Für die Anlagen auf Flugplätzen (1.1.1 bis 1.1.3), Flughäfen (1.1.6) und Fluggesellschaften (1.1.5) sind die Schwellenwerte ohne Herleitung:

20 Mio Passagiere pro Jahr (1.1.1, 1.1.3, 1.1.5, 1.1.6)
750 Tsd Tonnen Güter pro Jahr (1.1.2, 1.1.3, 1.1.5, 1.1.6)

Für die Flugsicherung (1.1.4) berechnet sich der Schwellenwert aus 0,035 Flugbewegungen zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

17,5 Tsd Flugbewegungen pro Jahr

Schienenverkehr

Für Personenbahnhöfe (1.2.1) und das Netz (1.2.4 und 1.2.5) ohne Herleitung:

Höchste Bahnhofskategorie (1.2.1)
Deutscher Teil vom Kernnetz nach TEN-V und dessen Leitsystem (1.2.4 und 1.2.5)

Für Bahnhöfe im Güterverkehr (1.2.2 und 1.2.3) berechnet sich der Schwellenwert sich aus 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen, mit 32 Tsd Tonnenkilometern pro Güterzug:

≈ 23. Tsd Güterzüge pro Jahr

Für Leitzentralen von EVU (1.2.6) beim Personenverkehr ohne Herleitung, beim Güterverkehr mit 1460 disponierten Tonnenkilometern zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

8,2 Mio disponierte Zugkilometer Personenverkehr pro Jahr
730 Mio disponierte Tonnenkilometer Güter pro Jahr

See- und Binnenschifffahrt

Für Wasserstrassen, Leitsysteme, Hafenleitung und Hafeninformation (1.3.1 bis 1.3.4) ohne Herleitung:

17 Mio Tonnen Güterverkehrsdichte (1.3.1 und 1.3.2)
50 Mio Tonnen Güter (1.3.3 und 1.3.4)

Für Umschlaganlagen (1.3.5) berechnet sich der Schwellenwert aus durchschnittlich 223 Mio Tonnen Gesamttransport der Binnenschifffahrt und 300 Mio Tonnen Güterumschlag in deutschen Seehäfen bei 500.000 (von 80 Mio) versorgten Personen.

3,27 Mio Tonnen umgeschlagene Fracht pro Jahr (1.3.5)

Für Seeschifffahrt (1.3.6) und Binnenschifffahrt (1.3.7) berechnet sich der Schwellenwert aus 3,75 Tonnen Frachtmenge in der Seeschifffahrt und 691 Tonnenkilometern Transportleistung zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen:

1,875 Mio Tonnen disponierte Frachtmenge in der Seeschifffahrt pro Jahr (1.3.6)
345,5 Mio Tonnenkilometer disponierte Transportleistung Binnenschifffahrt pro Jahr (1.3.7)

Straßenverkehr

Für die Verkehrssteuerung und Leitzentralen von Bundesautobahnen (1.4.1), kommunalem Straßenverkehr (1.4.2) und Intelligentes Verkehrssystem (1.4.3) ohne Herleitung:

Verkehrssteuerungs- und Leitsystem für das Netz der Bundesautobahnen
500 Tsd Einwohner der versorgten Stadt
500 Tsd Nutzer

ÖPNV

Für Schienennetze und Leitzentralen im ÖSPV (1.5.1 bis 1.5.2) ohne Herleitung.

125 Mio unternehmensbezogene Fahrgäste pro Jahr

Logistik

Für Logistikzentren und -steuerung (1.6.1 und 1.6.2) berechnet sich der Schwellenwert aus 35,1 Tonnen Gütern im Straßenverkehr zur Versorgung einer Person pro Jahr für 500.000 versorgte Personen. Für Stückgut (Sendungen) wird ein Durchschnittsgewicht von 330kg angenommen.

17,55 Mio Tonnen Güter pro Jahr
53,2 Mio Sendungen pro Jahr

Verkehrsträgerübergreifende Anlagen

Für die Wettervorhersage und Satellitennavigation (1.7.1 und 1.7.2) aus gesetzlichen Verpflichtungen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

NIS2

Einrichtungen

Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtungen, mittlere Unternehmen und Post und Kurierdienste als wichtige Einrichtungen.

aus NIS2-Umsetzungsgesetz, Mai 2024
^ - gemeint sind immer ganze Unternehmen als *Betreiber von ...*
Nr.	Teilsektor	Einrichtungsart^	Besonderheit
Transport und Verkehr (Sektor, Anlage 1 und 2)
1.1	Post und Kurierdienste (Branche)
1.1.1		Postdienstleistungen §4 Nr. PostG	einschließlich Kurierdienste
2.1	Luftverkehr (Teilsektor)
2.1.1		Luftfahrtunternehmen Art. 3 Nr. 4 (EG) 300/2008
2.1.2		Flughafenleitungsorgane Art. 2 Nr. 2 RL 2009/12/EG Flughäfen Art. 2 Nr. 1 RL 2009/12/EG inkl. Kernnetz-Flughäfen	inkl. Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben
2.1.3		Flugsicherungsdienste §27c (2) Nr. 1 lit. a) und Nr. 2-6 LuftVG
2.2	Schienenverkehr (Teilsektor)
2.2.1		Eisenbahninfrastrukturbetreiber §2 Nr. 6, 6a AEG inkl. zentraler Einrichtungen, die den Zugbetrieb disponieren
2.2.2		Eisenbahnverkehrsunternehmen §2 Nr. 3 AEG Serviceeinrichtungen § 2 Nr. 9 AEG
2.3	Schifffahrt (Teilsektor)
2.3.1		Passagier- und Frachbeförderungsunternehmen in Binnen-, See- und Küstenschifffahrt nach Anhang I (EG) 725/2004	ausschließlich der einzelnen betriebenen Schiffe
2.3.2		Leitungsorgane von Häfen Art. 3 Nr. 1 2006/65/EG Hafenanlagen Art. 2 Nr. 11 (EG) 725/2004	inkl. Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben
2.3.3		Anlage oder System zum sicheren Betrieb einer Wasserstraße §1 (6) Nr. 1 WaStrG
2.4	Straßenverkehr (Teilsektor)
2.4.1		Anlage oder System zur Verkehrsbeeinflussung	inkl. der Einrichtungen nach §1 (4) Nr. 1, 3, 4 FStrG – z. B. Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, TK-Netze der Bundesautobahnen
2.4.2		Intelligente Verkehrssysteme §2 Nr. 1 IVSG

Regulierung und Standards

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs-und Leitsysteme im kommunalen Straßenverkehr, Hamburg Verkehrsanlagen GmbH, Version 2023, Website des BSI (gültig bis April 2025)
Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs- und Leitsysteme der BundesautobahnDie Autobahn GmbH des Bundes, Version 1.0 (gültig bis Oktober 2024)

Industrienormen

CLC/TS 50701 Railway applications - Cybersecurity, CLC/TC 9X Electrical and electronic applications for railways, July 2021

BSI IT-Grundschutz-Profile

IT-Grundschutz-Profil für die Verkehrssteuerungs- und Leitsysteme der Bundesautobahn, Die Autobahn GmbH des Bundes, Webseite des BSI, 29.06.2022
IT-Grundschutz-Profil für Reedereien - Schiffsbetrieb, VHT e.V., Webseite des BSI, 31.01.2020
IT-Grundschutz-Profil für Weltrauminfrastrukturen, BSI, OHB, Airbus, DLR, 30.06.2022

Weitere Informationen

Literatur

Prognose Securitybedarf und Bewertung möglicher Sicherheitskonzepte: Technologieprognose, Forschungsbericht 20, Deutsches Zentrum für Schienenverkehrsforschung, Januar 2022
Zoning and Conduits for Railways, European Union Agency for Cybersecurity, Februar 2022
Railway Cybersecurity - Good Practices in Cyber Risk Management, European Union Agency for Cybersecurity, November 2021
ENISA-Studie Railway Cybersecurity, European Union Agency for Cybersecurity, November 2020
ENISA-Guidelines - Cyber Risk Management for Ports, European Union Agency for Cybersecurity, Dezember 2020
ENISA-Studie Cyber Security and Resilience of Intelligent Public Transport, European Union Agency for Cybersecurity, Januar 2016

Quellen

BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
Verordnung über Bodenabfertigungsdienste auf Flugplätzen (Bodenabfertigungsdienst-Verordnung - BADV) vom 10. Dezember 1997 (BGBl. I S. 2885), die zuletzt durch Artikel 1 der Verordnung vom 6. Dezember 2018 (BGBl. I S. 2442) geändert worden ist
Eisenbahn-Bau- und Betriebsordnung (EBO) vom 8. Mai 1967 (BGBl. 1967 II S. 1563), die zuletzt durch Artikel 2 der Verordnung vom 5. April 2019 (BGBl. I S. 479) geändert worden ist"
Bundeswasserstraßengesetz (WaStrG) in der Fassung der Bekanntmachung vom 23. Mai 2007 (BGBl. I S. 962; 2008 I S. 1980), das zuletzt durch Artikel 335 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden
Bundesfernstraßengesetz (FStrG) in der Fassung der Bekanntmachung vom 28. Juni 2007 (BGBl. I S. 1206), das zuletzt durch Artikel 2 des Gesetzes vom 8. August 2020 (BGBl. I S. 1795) geändert worden ist"
Personenbeförderungsgesetz (PBefG) in der Fassung der Bekanntmachung vom 8. August 1990 (BGBl. I S. 1690), das zuletzt durch Artikel 329 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Gesetz über die Aufgaben des Bundes auf dem Gebiet der Seeschiffahrt (Seeaufgabengesetz - SeeAufgG) in der Fassung der Bekanntmachung vom 17. Juni 2016 (BGBl. I S. 1489), das zuletzt durch Artikel 337 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Gesetz über den Deutschen Wetterdienst (DWD-Gesetz) vom 10. September 1998 (BGBl. I S. 2871), das zuletzt durch Artikel 341 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung (EU) Nr. 1285/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 betreffend den Aufbau und den Betrieb der europäischen Satellitennavigationssysteme