Cybersicherheit ist für Unternehmen längst von der Kür zur Pflicht geworden. Wer seine Daten nicht ausreichend sichert, spielt mit der Zukunft des Unternehmens, riskiert Strafen und Reputationsverlust. Zur Pflicht gehört auch, gesetzliche Regelungen umzusetzen. Eine von ihnen ist die Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2. Ihr Ziel ist es, ein einheitliches Schutzniveau für das Netzwerk und die Informationssysteme kritischer Infrastrukturen zu schaffen. Die Richtlinie muss von verschiedenen Sektoren umgesetzt werden, kürzlich ist der Anwendungsbereich vergrößert worden. Neu dazu gehört auch die Transport- und Logistikbranche. Sie gilt als Sektor mit hoher Kritikalität und ist verpflichtet, Maßnahmen vorzunehmen. Vor allem auch deswegen, weil der Sektor ein wichtiger Bestandteil vieler Lieferketten anderer Branchen und Unternehmen ist. Die Richtlinie ist eine EU-weite Gesetzgebung und bereits vor rund zwei Jahren in Kraft getreten. Sie soll nach der Bundestagswahl in nationales Recht umgesetzt werden. Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen deutlich ansteigen. Darüber hinaus werden an die betroffenen Unternehmen höhere Anforderungen gestellt und auch der Durchsetzungsdruck wird zunehmen − zum Beispiel durch die Androhung höherer Sanktionen und die Haftung der Managementebene.

Erfahren Sie mehr dazu, wie die NIS-2-Richtlinie in der Transport- und Logistikbranche umgesetzt werden kann.

Ist Ihr Unternehmen von der NIS-2-Richtlinie betroffen? Machen Sie jetzt unseren kostenlosen Quick-Check und finden es heraus. 

Warum der Schutz von Cyber-Attacken wichtig ist

In den vergangenen Jahren haben Cyber-Attacken auf kritische Infrastrukturen stark zugenommen. Auch die Logistikbranche bekommt das zu spüren. Die Anzahl der Cyberangriffe auf die Systeme des Hamburger Hafens beispielsweise haben sich seit 2022 verdreifacht. Die Attacken bergen mehrere Risiken. Die Firma riskiert, wichtige Daten zu verlieren, und die Lieferkette wird destabilisiert. Wenn Cyberkriminelle durch ihre Attacken beispielsweise Produktionsstränge oder wichtige Teile der Lieferkette zum Erliegen bringen, werden Prozessabläufe gestört oder unterbrochen. Der Schutz der Lieferketten ist daher für den Transportsektor essenziell und sollte entsprechend behandelt werden.

Besserer Schutz für die Lieferkette – was die Branche tun kann

Um die Lieferkette so gut wie möglich abzusichern, sollten Unternehmen ihren Lieferanten und Partnerunternehmen klar definierte Cyber-Sicherheitsmaßnahmen abfragen und deren Risikoprofil bewerten. Diese Anforderungen sollten klar in Verträgen und SLAs geregelt werden. Zudem müssen die Prozesse zur Meldung von Cyber Sicherheitsvorfällen definiert werden. Trotz ihrer Dringlichkeit ist in vielen Unternehmen die Absicherung der Lieferkette noch immer nicht sehr beliebt. Diese Maßnahmen kosten Geld, ein messbarer Return on Investment lässt sich bei präventiven Maßnahmen aber nicht beziffern.

Als ersten Schritt sollten Logistik Unternehmen verifizieren, ob sie von NIS-2 betroffen sind (z.B. im Rahmen einer NIS-2 Betroffenheitsanalyse). Dafür sollte ausreichend Zeit eingeplant werden. Der Umfang dieser Analyse wird häufig unterschätzt, zudem ist das Einbinden beispielsweise der Rechtsabteilung notwendig, was sich zeitverlängernd auswirken kann. Auch die verschiedenen Arten der Betroffenheit müssen berücksichtigt werden.

Wenn ein Unternehmen von NIS-2 betroffen ist, sollten sie den aktuellen Implementierungsstatus der regulatorisch geforderten Sicherheitsmaßnahmen überprüfen und eine priorisierte Roadmap, um die identifizierten Lücken zu schließen, erstellen.

Basierend auf der Roadmap sollten Unternehmen die nötigen NIS-2 Maßnahmen implementieren zum Beispiel ein Risikomanagement oder klare Prozesse für Sicherheitsvorfälle. Es muss jedem im Unternehmen klar sein, wie beispielsweise mit Phishingmails umgegangen wird und welche Stellen in solch einem verdächtigen Fall informiert werden müssen. Die Prozesse sollten klar dokumentiert und im Unternehmen bekannt sein. Regelmäßige Schulungen sind erforderlich, um die Mitarbeitenden immer wieder zu sensibilisieren und über neue Angriffsmethoden zu informieren.