Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    NIS2 & Compliance12 Min. Lesezeit21. Mai 2026

    NIS2 in Logistik & Transport

    Lieferkettenpflicht, TMS-Schutz, Frachtführerhaftung und Cyberversicherung

    Das Wichtigste in Kürze

    Transport und Logistik bilden Sektor 2 der NIS2-Anlage I (hohe Kritikalität) - Luft, Schiene, Schifffahrt, Straße.

    Spediteure, KEP-Dienstleister, Hafenbetreiber, Frachtflughäfen, Logistik-Dienstleister ab 50 Mitarbeitern oder 10 Mio EUR Umsatz sind direkt erfasst.

    Die Lieferketten-Verantwortung trifft die Branche besonders hart - parallel zu NIS2 greift das Lieferkettensorgfaltspflichtengesetz (LkSG), für Reeder die ENISA Maritime Cybersecurity Baseline, für Luftfracht die EU AFR / EASA-Vorgaben.

    Hinzu kommt ein juristisches Risiko, das viele Logistiker noch nicht auf dem Radar haben: § 380 ff.

    HGB - die Frachtführerhaftung greift auch bei Cyber-bedingter Lieferunfähigkeit.

    Diese Seite zeigt, wer betroffen ist, wie sich NIS2 mit LkSG, § 380 HGB und sektoralen Vorgaben überlagert und welche Cyberversicherungs-Bausteine ein KMU-Spediteur 2026 braucht.

    1

    Wer in Logistik und Transport ist von NIS2 betroffen?

    Sektor 2 Transport umfasst vier Verkehrsträger: Luft, Schiene, Schifffahrt, Straße. Pflichtig sind ab 50 MA oder 10 Mio EUR Umsatz: Speditionen aller Größenklassen, Kurier-Express-Paket-Dienstleister (KEP), Hafenbetreiber und Hafenagenturen, Frachtflughäfen und Bodenabfertigungs-Dienstleister, Schiffsmakler und Reeder im Frachtbereich, Eisenbahn-Verkehrsunternehmen (EVU), Logistik-Dienstleister mit eigenen Warehouses und Distribution. Besonders wichtig (besonders strenge Pflichten) sind klassische KRITIS-Betreiber: große Häfen, große Flughäfen, große EVU. Lieferketten-Effekt: Auch wer selbst unter der Schwelle liegt, wird vom Auftraggeber zur NIS2-äquivalenten Nachweis-Erbringung gezwungen - das ist gelebte Praxis bei Lufthansa Cargo, DB Cargo, Maersk, Kühne+Nagel, DHL, Hellmann.

    Die drei größten Cyber-Risiken in Logistik 2026

    Erstens Ransomware auf TMS, WMS und Disposition. Maersk wurde 2017 durch NotPetya für zehn Tage lahmgelegt - Schaden 300 Mio USD. 2026 sind die Tools komplexer (TMS, WMS, ERP, Telematik integriert), die Angriffsfläche entsprechend größer. Folge eines erfolgreichen Angriffs: Disposition steht still, keine Frachtbriefe, keine Lade-/Lieferplanung, oft tagelang. Zweitens Phishing und Business Email Compromise (BEC) im Spediteur-Mailverkehr. Der typische Pattern: Angreifer übernimmt das Mail-Postfach eines Spediteurs oder Empfängers, leitet Frachtanmeldungen oder Zahlungsanweisungen um, erlangt Container oder Geld. Spedition-BEC-Schäden im sechsstelligen Bereich sind 2025/2026 wöchentlich dokumentiert. Drittens GPS- und Telematik-Manipulation. Vorbereitung von Fracht-Diebstahl: Angreifer manipulieren Tour-Daten, GPS-Tracking, schalten Diebstahl-Sicherungen aus. Pharmacy- und High-Value-Goods-Spediteure besonders im Visier.

    3

    NIS2 und LkSG: die Doppel-Compliance-Pflicht in der Lieferkette

    Logistiker stehen 2026 zwischen zwei Compliance-Sphären, die sich überlagern. NIS2 (seit 6. Dezember 2025) verlangt von Logistikern selbst die Umsetzung der § 30 BSIG-Mindestmaßnahmen plus Lieferketten-Sicherheit gegenüber den eigenen IT- und TMS-Dienstleistern. Das Lieferkettensorgfaltspflichtengesetz (LkSG, ab 1.000 MA seit 2024) verlangt eine breitere Sorgfaltspflicht in der gesamten Lieferkette - inkl. Datenschutz, Integrität und Cybersicherheit der Sub-Auftragnehmer. Auch wer selbst unter 1.000 MA liegt, wird vom Auftraggeber (BMW, BASF, Siemens) zur LkSG-äquivalenten Nachweis-Erbringung gezwungen. Praktisches Vorgehen: NIS2-Risikoanalyse als Single Source of Truth aufsetzen, LkSG-Lieferketten-Audit darauf aufbauen, Sub-Auftragnehmer-Verträge (TMS-Anbieter, Telematik-Provider, IT-Dienstleister) mit kombinierten NIS2/LkSG-Klauseln nachverhandeln. Dokumentation in einem Compliance-Tool ist 2026 quasi Pflicht - manuelle Excel-Pflege skaliert nicht.

    4

    § 30 BSIG für Logistiker: 24/7-NOC, Backups, MFA in TMS

    Die zehn Mindestmaßnahmen nach § 30 BSIG bedeuten für Logistiker konkret: 1. Risiko-Inventar mit TMS, WMS, ERP, Telematik-Provider, EDI-Schnittstellen. 2. Incident-Response-Prozess mit 24/7-Erreichbarkeit - Spediteure sind oft 24/7-Operationen, das NOC muss mithalten. 3. Backup-Strategie nach 3-2-1 für TMS-Daten, Frachtbriefe, Zollpapiere - inkl. dokumentierter Wiederherstellungs-Tests. 4. Lieferanten-Sicherheit für alle IT-Dienstleister, TMS-Anbieter, Telematik-Provider. 5. Patch-Management für TMS, WMS, Telematik-Hardware. 6. Wirksamkeitsmessung durch interne Audits und Pentests. 7. Awareness gegen BEC und Phishing - besonders für Disposition und Buchhaltung. 8. Verschlüsselung von Frachtbriefen, Zollpapieren und Telematik-Daten in Übertragung und Speicherung. 9. Privileged Access Management für TMS-Admin, Telematik-Server, Zoll-Schnittstellen. 10. MFA für TMS, Telematik-Frontend, Zoll-Portale, E-Mail - BEC-Schutz beginnt bei MFA.

    5

    § 380 HGB: wenn der Cyber-Ausfall zum Frachtschaden wird

    Ein wenig beachtetes, aber existenzkritisches Risiko für Logistiker: Die Frachtführerhaftung nach § 380 ff. HGB greift auch bei Cyber-bedingter Lieferunfähigkeit. Wird die Spedition durch einen Ransomware-Befall handlungsunfähig, kommt es zu Verzug, Frachtschäden oder Vertragsstrafen - der Versicherungsnehmer haftet gegenüber Auftraggeber, Empfänger und ggf. Endkunde nach den Regeln des Frachtrechts. Klassische Spediteur-Haftpflicht-Versicherungen decken solche cyberbedingten Frachtschäden oft nicht ausdrücklich - hier braucht es eine kombinierte Lösung aus Cyberpolice (BU, Wiederherstellung) und Spediteur-Haftpflicht mit ausdrücklicher Cyber-Klausel. Wer hier nicht aufpasst, hat im Schadenfall eine Deckungslücke: Die Cyber-Police zahlt die BU, die Verkehrshaftpflicht zahlt nicht (weil Cyber-Ausschluss) - der Spediteur bleibt auf der Frachtführerhaftung sitzen. Pflicht-Prüfung mit dem eigenen Versicherungsmakler.

    6

    Cyberversicherung Logistik: BU, Frachtverlust-Haftung, Cyber-Diebstahl

    Eine NIS2- und LkSG-konforme Cyberversicherung für Spediteure und KEP-Dienstleister muss vier Bausteine abdecken. Erstens Betriebsunterbrechung mit Branchen-Klausel: Maersk-Style Stillstand erzeugt schnell Wochen-BU-Schäden im sechs- bis siebenstelligen Bereich. Versicherungssumme unter 1 Mio EUR ist für jeden mittelständischen Spediteur zu niedrig. Zweitens Frachtführer-Haftpflicht mit ausdrücklicher Cyber-Klausel: Wer haftet, wenn Ihre Spedition wegen Cyber-Ausfall in Verzug gerät? Klassische Verkehrshaftpflicht schließt Cyber-Ursachen oft aus - hier braucht es eine ausdrückliche Klausel oder eine Cyber-Police, die Frachtführerhaftung in der Drittschaden-Klausel mitversichert. Drittens Cyber-Diebstahl und BEC-Schaden: Wenn Angreifer per BEC Frachten umleiten oder Geld unterschlagen, ist das oft als Vermögensschaden gestaltet - nicht jeder Cyber-Tarif zahlt. Vorab-Prüfung der Sub-Limits ist Pflicht. Viertens Krisenkommunikation und 24/7-IR mit Logistik-Erfahrung: TMS, WMS, EDI-Schnittstellen sind nicht jedermanns Spezialgebiet - klassische Office-Forensiker können hier nichts. Anbieter mit Logistik-Erfahrung: Allianz, Hiscox und HDI sind typischerweise gut aufgestellt - unser Anbieter-Vergleich zeigt die Unterschiede.

    7

    Roadmap KMU-Spedition Q3/Q4 2026

    Phase 1 (Tag 1-30): NIS2-Betroffenheitsprüfung dokumentieren, BSI-Registrierung falls noch nicht erfolgt, NIS2-Kontaktstelle 24/7 benennen, TMS- und WMS-Inventar erstellen. Phase 2 (Tag 31-60): § 30 BSIG-Gap-Analyse mit Disposition und Buchhaltung als Schwerpunkt (BEC-Risiko), Incident-Response-Prozess mit 24h-Meldekette ans BSI, Sub-Auftragnehmer-Vertrags-Review (TMS-Anbieter, Telematik, IT-Dienstleister) mit kombinierten NIS2/LkSG-Klauseln. Phase 3 (Tag 61-90): MFA für TMS, Telematik-Frontend, E-Mail und Zoll-Portale ausrollen, BEC-Awareness-Schulungen für Disposition und Buchhaltung, Backup-Strategie für TMS-Daten testen, Verkehrshaftpflicht-Police mit Versicherungsmakler auf Cyber-Klausel prüfen. Phase 4 (Tag 91-120): Geschäftsführer-Schulung nach § 38 BSIG durchführen und dokumentieren, Cyberpolice-Vergleich mit Logistik-Spezialisten abschließen, jährlichen Audit-Zyklus aufsetzen. Danach: halbjährliche Tabletop-Exercises mit Disposition-Ausfall-Szenario, Quartals-Updates des Sub-Auftragnehmer-Audits.

    Häufige Fragen

    Mein Speditionsbetrieb hat 60 MA und 11 Mio EUR Umsatz - bin ich NIS2-pflichtig?
    Ja. Transport (Sektor 2, Anlage I, hohe Kritikalität) hat die Schwelle 50 MA oder 10 Mio EUR. Sie sind als wichtige Einrichtung NIS2-pflichtig - mit allen Konsequenzen aus § 30 BSIG, § 32 BSIG und § 38 BSIG. Die BSI-Registrierung war bis 6. März 2026 fällig.
    Wir sind nur Sub-Spediteur und unter 50 MA - müssen wir NIS2 trotzdem nachweisen?
    Direkt nicht, indirekt fast immer ja. Der Lieferketten-Effekt nach § 30 Abs. 2 Nr. 4 BSIG und das LkSG bei Großverladern (BMW, BASF, Siemens) zwingt Sie als Sub-Spediteur zur Nachweis-Erbringung der NIS2-Mindestmaßnahmen. Lufthansa Cargo, DB Cargo, Maersk, Kühne+Nagel, DHL, Hellmann fordern entsprechende Klauseln in den Subunternehmer-Verträgen.
    Haftet meine Spedition für einen Cyber-Vorfall beim TMS-Anbieter?
    Im Außenverhältnis zum Auftraggeber: ja, nach § 380 ff. HGB. Sie sind Frachtführer, der Ausfall Ihres TMS-Anbieters ist ein Erfüllungsverzug, für den Sie gegenüber dem Auftraggeber haften. Im Innenverhältnis können Sie auf den TMS-Anbieter regressieren - das setzt eine vernünftige vertragliche Cybersicherheits-Klausel im TMS-Vertrag voraus, die viele Standardverträge nicht enthalten. Vorab-Prüfung mit einem Wirtschaftsanwalt sinnvoll.
    Versichert eine Cyberpolice auch BEC-Schäden in der Disposition?
    Teilweise. Klassische Cyberpolicen decken BEC-Schäden über die Drittschaden-Klausel oder einen separaten Cyber-Diebstahl-Baustein - aber oft mit niedrigen Sub-Limits (50.000 - 250.000 EUR). Wer BEC-Schäden im sechsstelligen Bereich befürchtet (großer Spediteur, hochwertige Sendungen), muss explizit auf die BEC-Versicherungssumme schauen und ggf. einen Vertrauensschaden-Versicherungs-Baustein zubuchen.
    Welche Versicherungssumme braucht eine 100-MA-Spedition?
    Realistisch mindestens 2 Mio EUR. Eine Woche TMS-Stillstand in einer mittelständischen Spedition kostet schnell 200.000 - 500.000 EUR BU, plus Wiederherstellung (100.000 - 300.000 EUR), Frachtführer-Verzugsschäden (variabel), Forensik und Anwaltskosten. Wer mit 500.000 EUR Versicherungssumme arbeitet, ist im Worst Case unterversichert - besonders wenn die Verkehrshaftpflicht keine Cyber-Klausel hat. Unser Vergleichsrechner bei CyberDirekt bietet Logistik-spezifische Tarifvarianten an.
    Thomas Dewein
    Versicherungsexperte

    Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.

    Fachlich geprüft am 04. Juli 2026
    Mehr über den Autor →
    Jetzt absichern

    Kostenlos beraten lassen – in 60 Sekunden

    Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.

    Unabhängiger Vergleich aus 50+ Tarifen
    Persönliche Beratung durch Experten
    100% kostenlos & unverbindlich
    KontaktanfrageSchritt 1/2
    DSGVO

    DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.