NIS2 in Logistik & Transport
Lieferkettenpflicht, TMS-Schutz, Frachtführerhaftung und Cyberversicherung
Transport und Logistik bilden Sektor 2 der NIS2-Anlage I (hohe Kritikalität) - Luft, Schiene, Schifffahrt, Straße.
Spediteure, KEP-Dienstleister, Hafenbetreiber, Frachtflughäfen, Logistik-Dienstleister ab 50 Mitarbeitern oder 10 Mio EUR Umsatz sind direkt erfasst.
Die Lieferketten-Verantwortung trifft die Branche besonders hart - parallel zu NIS2 greift das Lieferkettensorgfaltspflichtengesetz (LkSG), für Reeder die ENISA Maritime Cybersecurity Baseline, für Luftfracht die EU AFR / EASA-Vorgaben.
Hinzu kommt ein juristisches Risiko, das viele Logistiker noch nicht auf dem Radar haben: § 380 ff.
HGB - die Frachtführerhaftung greift auch bei Cyber-bedingter Lieferunfähigkeit.
Diese Seite zeigt, wer betroffen ist, wie sich NIS2 mit LkSG, § 380 HGB und sektoralen Vorgaben überlagert und welche Cyberversicherungs-Bausteine ein KMU-Spediteur 2026 braucht.
Inhaltsverzeichnis
Wer in Logistik und Transport ist von NIS2 betroffen?
Sektor 2 Transport umfasst vier Verkehrsträger: Luft, Schiene, Schifffahrt, Straße. Pflichtig sind ab 50 MA oder 10 Mio EUR Umsatz: Speditionen aller Größenklassen, Kurier-Express-Paket-Dienstleister (KEP), Hafenbetreiber und Hafenagenturen, Frachtflughäfen und Bodenabfertigungs-Dienstleister, Schiffsmakler und Reeder im Frachtbereich, Eisenbahn-Verkehrsunternehmen (EVU), Logistik-Dienstleister mit eigenen Warehouses und Distribution. Besonders wichtig (besonders strenge Pflichten) sind klassische KRITIS-Betreiber: große Häfen, große Flughäfen, große EVU. Lieferketten-Effekt: Auch wer selbst unter der Schwelle liegt, wird vom Auftraggeber zur NIS2-äquivalenten Nachweis-Erbringung gezwungen - das ist gelebte Praxis bei Lufthansa Cargo, DB Cargo, Maersk, Kühne+Nagel, DHL, Hellmann.
Die drei größten Cyber-Risiken in Logistik 2026
Erstens Ransomware auf TMS, WMS und Disposition. Maersk wurde 2017 durch NotPetya für zehn Tage lahmgelegt - Schaden 300 Mio USD. 2026 sind die Tools komplexer (TMS, WMS, ERP, Telematik integriert), die Angriffsfläche entsprechend größer. Folge eines erfolgreichen Angriffs: Disposition steht still, keine Frachtbriefe, keine Lade-/Lieferplanung, oft tagelang. Zweitens Phishing und Business Email Compromise (BEC) im Spediteur-Mailverkehr. Der typische Pattern: Angreifer übernimmt das Mail-Postfach eines Spediteurs oder Empfängers, leitet Frachtanmeldungen oder Zahlungsanweisungen um, erlangt Container oder Geld. Spedition-BEC-Schäden im sechsstelligen Bereich sind 2025/2026 wöchentlich dokumentiert. Drittens GPS- und Telematik-Manipulation. Vorbereitung von Fracht-Diebstahl: Angreifer manipulieren Tour-Daten, GPS-Tracking, schalten Diebstahl-Sicherungen aus. Pharmacy- und High-Value-Goods-Spediteure besonders im Visier.
NIS2 und LkSG: die Doppel-Compliance-Pflicht in der Lieferkette
Logistiker stehen 2026 zwischen zwei Compliance-Sphären, die sich überlagern. NIS2 (seit 6. Dezember 2025) verlangt von Logistikern selbst die Umsetzung der § 30 BSIG-Mindestmaßnahmen plus Lieferketten-Sicherheit gegenüber den eigenen IT- und TMS-Dienstleistern. Das Lieferkettensorgfaltspflichtengesetz (LkSG, ab 1.000 MA seit 2024) verlangt eine breitere Sorgfaltspflicht in der gesamten Lieferkette - inkl. Datenschutz, Integrität und Cybersicherheit der Sub-Auftragnehmer. Auch wer selbst unter 1.000 MA liegt, wird vom Auftraggeber (BMW, BASF, Siemens) zur LkSG-äquivalenten Nachweis-Erbringung gezwungen. Praktisches Vorgehen: NIS2-Risikoanalyse als Single Source of Truth aufsetzen, LkSG-Lieferketten-Audit darauf aufbauen, Sub-Auftragnehmer-Verträge (TMS-Anbieter, Telematik-Provider, IT-Dienstleister) mit kombinierten NIS2/LkSG-Klauseln nachverhandeln. Dokumentation in einem Compliance-Tool ist 2026 quasi Pflicht - manuelle Excel-Pflege skaliert nicht.
§ 30 BSIG für Logistiker: 24/7-NOC, Backups, MFA in TMS
Die zehn Mindestmaßnahmen nach § 30 BSIG bedeuten für Logistiker konkret: 1. Risiko-Inventar mit TMS, WMS, ERP, Telematik-Provider, EDI-Schnittstellen. 2. Incident-Response-Prozess mit 24/7-Erreichbarkeit - Spediteure sind oft 24/7-Operationen, das NOC muss mithalten. 3. Backup-Strategie nach 3-2-1 für TMS-Daten, Frachtbriefe, Zollpapiere - inkl. dokumentierter Wiederherstellungs-Tests. 4. Lieferanten-Sicherheit für alle IT-Dienstleister, TMS-Anbieter, Telematik-Provider. 5. Patch-Management für TMS, WMS, Telematik-Hardware. 6. Wirksamkeitsmessung durch interne Audits und Pentests. 7. Awareness gegen BEC und Phishing - besonders für Disposition und Buchhaltung. 8. Verschlüsselung von Frachtbriefen, Zollpapieren und Telematik-Daten in Übertragung und Speicherung. 9. Privileged Access Management für TMS-Admin, Telematik-Server, Zoll-Schnittstellen. 10. MFA für TMS, Telematik-Frontend, Zoll-Portale, E-Mail - BEC-Schutz beginnt bei MFA.
§ 380 HGB: wenn der Cyber-Ausfall zum Frachtschaden wird
Ein wenig beachtetes, aber existenzkritisches Risiko für Logistiker: Die Frachtführerhaftung nach § 380 ff. HGB greift auch bei Cyber-bedingter Lieferunfähigkeit. Wird die Spedition durch einen Ransomware-Befall handlungsunfähig, kommt es zu Verzug, Frachtschäden oder Vertragsstrafen - der Versicherungsnehmer haftet gegenüber Auftraggeber, Empfänger und ggf. Endkunde nach den Regeln des Frachtrechts. Klassische Spediteur-Haftpflicht-Versicherungen decken solche cyberbedingten Frachtschäden oft nicht ausdrücklich - hier braucht es eine kombinierte Lösung aus Cyberpolice (BU, Wiederherstellung) und Spediteur-Haftpflicht mit ausdrücklicher Cyber-Klausel. Wer hier nicht aufpasst, hat im Schadenfall eine Deckungslücke: Die Cyber-Police zahlt die BU, die Verkehrshaftpflicht zahlt nicht (weil Cyber-Ausschluss) - der Spediteur bleibt auf der Frachtführerhaftung sitzen. Pflicht-Prüfung mit dem eigenen Versicherungsmakler.
Cyberversicherung Logistik: BU, Frachtverlust-Haftung, Cyber-Diebstahl
Eine NIS2- und LkSG-konforme Cyberversicherung für Spediteure und KEP-Dienstleister muss vier Bausteine abdecken. Erstens Betriebsunterbrechung mit Branchen-Klausel: Maersk-Style Stillstand erzeugt schnell Wochen-BU-Schäden im sechs- bis siebenstelligen Bereich. Versicherungssumme unter 1 Mio EUR ist für jeden mittelständischen Spediteur zu niedrig. Zweitens Frachtführer-Haftpflicht mit ausdrücklicher Cyber-Klausel: Wer haftet, wenn Ihre Spedition wegen Cyber-Ausfall in Verzug gerät? Klassische Verkehrshaftpflicht schließt Cyber-Ursachen oft aus - hier braucht es eine ausdrückliche Klausel oder eine Cyber-Police, die Frachtführerhaftung in der Drittschaden-Klausel mitversichert. Drittens Cyber-Diebstahl und BEC-Schaden: Wenn Angreifer per BEC Frachten umleiten oder Geld unterschlagen, ist das oft als Vermögensschaden gestaltet - nicht jeder Cyber-Tarif zahlt. Vorab-Prüfung der Sub-Limits ist Pflicht. Viertens Krisenkommunikation und 24/7-IR mit Logistik-Erfahrung: TMS, WMS, EDI-Schnittstellen sind nicht jedermanns Spezialgebiet - klassische Office-Forensiker können hier nichts. Anbieter mit Logistik-Erfahrung: Allianz, Hiscox und HDI sind typischerweise gut aufgestellt - unser Anbieter-Vergleich zeigt die Unterschiede.
Roadmap KMU-Spedition Q3/Q4 2026
Phase 1 (Tag 1-30): NIS2-Betroffenheitsprüfung dokumentieren, BSI-Registrierung falls noch nicht erfolgt, NIS2-Kontaktstelle 24/7 benennen, TMS- und WMS-Inventar erstellen. Phase 2 (Tag 31-60): § 30 BSIG-Gap-Analyse mit Disposition und Buchhaltung als Schwerpunkt (BEC-Risiko), Incident-Response-Prozess mit 24h-Meldekette ans BSI, Sub-Auftragnehmer-Vertrags-Review (TMS-Anbieter, Telematik, IT-Dienstleister) mit kombinierten NIS2/LkSG-Klauseln. Phase 3 (Tag 61-90): MFA für TMS, Telematik-Frontend, E-Mail und Zoll-Portale ausrollen, BEC-Awareness-Schulungen für Disposition und Buchhaltung, Backup-Strategie für TMS-Daten testen, Verkehrshaftpflicht-Police mit Versicherungsmakler auf Cyber-Klausel prüfen. Phase 4 (Tag 91-120): Geschäftsführer-Schulung nach § 38 BSIG durchführen und dokumentieren, Cyberpolice-Vergleich mit Logistik-Spezialisten abschließen, jährlichen Audit-Zyklus aufsetzen. Danach: halbjährliche Tabletop-Exercises mit Disposition-Ausfall-Szenario, Quartals-Updates des Sub-Auftragnehmer-Audits.
Häufige Fragen
Mein Speditionsbetrieb hat 60 MA und 11 Mio EUR Umsatz - bin ich NIS2-pflichtig?
Wir sind nur Sub-Spediteur und unter 50 MA - müssen wir NIS2 trotzdem nachweisen?
Haftet meine Spedition für einen Cyber-Vorfall beim TMS-Anbieter?
Versichert eine Cyberpolice auch BEC-Schäden in der Disposition?
Welche Versicherungssumme braucht eine 100-MA-Spedition?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte