01
OT-Cybersicherheit über Teilsektoren
Jeder Modus hat seinen OT-Stack: Signaltechnik, ATC, Port Community Systems, Flotten-Telematik. NIS-2 + Sektorregeln überlagern.
IMPACTInkonsistente ISMS-Umsetzungen im Betreiber.
BRANCHENPRAXIS · TRANSPORT & LOGISTIK
EU-Compliance für Transport & Logistik
NIS2 (Anlage 1, wesentliche Einrichtung), LkSG für Logistiker, Cyber Security im vernetzten Flotten-Management und DSGVO für Kunden- und Mitarbeiterdaten.
REGULIERUNG.STACK · TRANSPORT● 09
NIS-2Transport als wesentliche Einrichtung
CERResilienz kritischer Einrichtungen
AI ACTAutonome und ADAS-Systeme
DSGVOPassagier- und Fahrerdaten
ITSIntelligente Verkehrssysteme
EASA-CYLuftfahrt-Cybersicherheit (Part-IS)
IMO/MARENVMaritime Cyber- und Umweltregeln
EFTIElektronische Frachtdaten
TEN-TTranseuropäisches Verkehrsnetz
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / WEN WIR BETREUEN
Sechs Transport-Profile, eine Compliance-Karte.
Von globalen Airlines bis zur Last-Mile-Logistik. NIS-2 erfasst jeden Teilsektor, aber die Betriebsregeln divergieren stark je nach Modus.
LUFTFAHRT
Airlines und Flughafenbetreiber
EASA Part-IS Cybersicherheit, Passagierdaten, ADS-B, Slot-Vergabe.
NIS-2EASA-CYDSGVO
MARITIM
Schifffahrt und Häfen
IMO 2021 Cyber, Port Community Systems, SafeSeaNet, MARPOL-Meldungen.
NIS-2IMODSGVO
SCHIENE
Bahnbetreiber und Infrastruktur
ERA TSI, Signaltechnik, Reisendensysteme, NIS-2 wesentliche Einrichtung.
NIS-2CERITS
STRASSE
Straßenfracht und Logistik
eFTI-Compliance, Lenkzeiten, Entsendung, Lieferketten-Due-Diligence.
EFTIDSGVOCSDDD
URBANE MOBILITÄT
ÖPNV und Ride-Hailing
Passagierdaten, kontaktloses Bezahlen, KI-Disposition, Barrierefreiheit.
DSGVOPSD2AI ACT
AUTONOM
Autonome und vernetzte Fahrzeuge
AI Act Hochrisiko, Typgenehmigung, UNECE R155 Cyber-Typgenehmigung.
AI ACTR155DSGVO
02 / LAGE
Die Regulatorik-Uhr im Transportsektor.
Mehrere Regime greifen ineinander. Wir takten sie an Ihrer Betriebsfrequenz.
IN KRAFTNIS-2
IN KRAFT
Transport als wesentliche Einrichtung
Luftfahrt, Schiene, Wasser und Straße als wesentlich klassifiziert nach NIS-2 Anhang I.
IN KRAFTEASA-CY
IN KRAFT
Luftfahrt-Cybersicherheit Part-IS
Informationssicherheits-Management für Luftfahrtorganisationen. Risikobewertung, Meldung an EASA und LBA.
IN KRAFTCER
IN KRAFT
Resilienz kritischer Einrichtungen
Identifizierung kritischer Transport-Einrichtungen, Risikobewertungen, Vorfallmeldung, Überprüfungen.
IN KRAFTIMO 2021
IN KRAFT
Maritime Cyber-Risiko-Management
IMO MSC.428(98) verlangt Cyber-Risiko im Safety Management System. Hafenstaatkontrolle prüft.
FOLGTEFTI
AUG 2025
Elektronische Frachttransport-Daten
Behörden müssen elektronische Frachtdaten akzeptieren. Betreiber erhalten standardisierten Datenaustausch.
KRITISCHAI ACT
AUG 2026
KI im kritischen Transport
KI für Verkehrsmanagement, autonomes Fahren, ATC und Bahnsignalisierung als Hochrisiko nach Annex III.
IN KRAFTR155
JUL 2024
UNECE Cyber-Typgenehmigung
Alle neuen Fahrzeugtypen brauchen zertifiziertes CSMS und SUMS für Software-Updates.
FOLGTCSDDD
2027
Lieferketten-Sorgfaltspflichten
Große Transportunternehmen müssen Due-Diligence in der Lieferkette durchführen. Gestaffelte Anwendung ab 2027.
03 / WAS ZU LÖSEN IST
Wo Transport-Betreiber feststecken.
02
Passagierdaten im Maßstab
Buchung, Biometrie beim Boarding, Vielfliegerprogramme, kontaktlos. Hochvolumige DSGVO plus PNR-Regeln für Luft.
IMPACTSechsstellige Bußgelder plus operativer Ruf.
03
EASA Part-IS Umsetzung
Luftfahrt-Cyber von freiwillig zu verpflichtend. Behörden bewerten Umsetzungen jetzt aktiv.
IMPACTReview der Betriebsgenehmigung ohne Part-IS.
04
UNECE R155 Cyber-Typgenehmigung
Fahrzeug-OEMs brauchen zertifiziertes CSMS und SUMS. Tier-1- und Tier-2-Zulieferer in Lieferketten-Audits.
IMPACTKeine Typgenehmigung bedeutet keinen EU-Verkauf seit Juli 2024.
05
KI für autonomes Fahren und ATC
Autonome-Fahrzeug-Systeme und ATC-KI als Hochrisiko nach AI Act. Konformität, Human Oversight, PMM gelten.
IMPACTPilotprogramme bis zur Annex-IV-Dokumentation pausiert.
06
Grenzüberschreitende Vorfallkoordination
Cyber-Vorfälle im Transport sind per Definition grenzüberschreitend. Mehrere CSIRTs und Sektorbehörden parallel zu informieren.
IMPACTVerzögerte Meldungen und inkonsistente Berichte.
04 / ANGEBOT
Unsere Leistungen für Transport & Logistik
TR-01
NIS-2-Readiness Transport
Klassifizierung, ISMS nach ISO 27001 und IEC 62443, Lieferketten-Due-Diligence, Meldepfade.
DKlassifizierungDISMSDIncident-SOP
TR-02
EASA Part-IS Implementierung
Informationssicherheits-Managementsystem für Luftfahrt, Risikobewertung, Meldung an EASA und LBA.
DISMSDRisikoregisterDEASA-Meldungen
TR-03
Maritime Cyber-Risikomanagement
Umsetzung von IMO MSC.428(98), Integration ins Safety Management System, Hafenstaatkontroll-Readiness.
DSMS-CyberDPSCDDokumentation
TR-04
UNECE R155 / R156 CSMS und SUMS
Cyber-Management-System und Software-Update-Management-System für Fahrzeug-OEMs und Zulieferer.
DCSMSDSUMSDVorbereitung
TR-05
AI Act für autonom und ATC
Annex-III-Klassifizierung für KI in Fahrzeugen, Verkehrsmanagement und Signaltechnik. Technische Akte, Human Oversight, PMM.
DKlassifizierungDAnnex IVDPMM
TR-06
DSGVO für Passagier- und Fahrerdaten
Rechtsgrundlage für Buchung, biometrisches Boarding, Vielfliegerprogramme, PNR-Regeln für Luftfahrt.
DRG-MappingDPNRDRechte
TR-07
eFTI und digitale Fracht
Adoption von eFTI, Datenaustauschstandards, Behörden-Interface-Design.
DeFTI-GapDStandardsDInterface
TR-08
Modus-übergreifende Vorfallreaktion
Multi-CSIRT-Koordination, Sektorbehörden-Kontakt, Post-Incident-Hygiene über alle Modi.
DRunbookDCSIRTsDBehörden
TR-09
Externer Transport-Compliance-Officer
Senior-Berater mit Transport-Erfahrung, Behördenkontakt, Vorstandsreporting, Programm-Stewardship.
DRetainerDVorstandsmemoDBehörde
05 / AUSGEWÄHLTE ARBEIT
Alle Fallstudien →Mandate im Transport.
CASE 01Regionale Airline
EASA-Part-IS-Umsetzung über 3 Operating Bases. LBA-Audit beim ersten Anlauf bestanden.
3
BASES
Bestanden
AUDIT
0
BEFUNDE
UMFANGPart-IS · NIS-2 · ISO 27001 · LBA-Kontakt
CASE 02Tier-1 Automotive
CSMS und SUMS vor R155-Deadline zertifiziert. Typgenehmigungen für 4 Plattformen erteilt.
4
PLATTFORMEN
Erteilt
ZERT.
Null
RÜCKSTAND
UMFANGR155 · R156 · CSMS · Typgenehmigung
CASE 03Port Community System
NIS-2-Readiness und maritimes Cyber-Programm über 4 Häfen ausgerollt.
4
HÄFEN
Erfüllt
SLA
−63%
INCIDENT-ZEIT
UMFANGNIS-2 · IMO 2021 · OT · Vorfallreaktion
06 / KOSTENLOSES TOOL
Kartieren Sie Ihren Transport- Stack zum EU-Regelwerk.
Acht Fragen zu Modus, Flotte und digitalen Systemen. Indikative Pflichtenkarte über NIS-2, CER, AI Act, EASA Part-IS und R155.
Pflichten-Mapper starten~ 4 MINMAPPER.PREVIEWSCHRITT 4 / 8
Beinhaltet Ihr Betrieb Passagierdaten oder autonome Entscheidungsfindung?
Ja, Passagierbuchung und biometrisches BoardingA
Ja, autonomes Fahrzeug oder ADAS-SystemeB
Hauptsächlich Fracht, keine PassagierdatenC
Mix aus Passagier und FrachtD
INDIKATIV → DSGVO ART. 6 + AI ACT ANHANG III
07 / HÄUFIGE FRAGEN
Häufige Fragen aus Transport & Logistik
01Sind wir NIS-2 wesentlich oder wichtig?+
Die meisten Transport-Betreiber fallen unter wesentliche Einrichtungen in NIS-2 Anhang I (Luftfahrtunternehmen, Flughafenbetreiber, Verkehrsmanagement, Bahninfrastruktur, Hafenbetreiber, ÖPNV-Behörden). Spezifische Schwellen gelten pro Teilsektor.
02Was ist EASA Part-IS?+
Informationssicherheitsverordnung für Luftfahrtorganisationen nach Durchführungsverordnung 2023/203. Risikomanagement, Vorfallmeldung, Schulung und Integration ins Safety Management System.
03Wie wirkt sich R155 auf uns als Tier-1-Zulieferer aus?+
Fahrzeug-OEMs brauchen CSMS-Zertifizierung und reichen Anforderungen an Zulieferer weiter. Ihre Software, Steuergeräte und Komponenten müssen entsprechend R155 und R156 SUMS entwickelt und aktualisiert werden. Wir bauen das Compliance-Pack auf Zulieferer-Seite.
04Was bedeutet der AI Act für autonomes Fahren?+
Annex III listet KI für autonome Fahrzeuge und Verkehrsmanagement als Hochrisiko. Konformitätsbewertung, technische Dokumentation (Annex IV), Human Oversight und PMM zusätzlich zu Typgenehmigung und R155.
05Wie behandeln wir maritime Cyber unter IMO 2021?+
Cyber-Risiko muss im Safety Management System adressiert sein. Hafenstaatkontrollen prüfen Nachweise. Wir integrieren Cyber ins SMS, ohne ein paralleles ISMS aufzubauen.
06Sind wir auch im CER-Anwendungsbereich?+
Transport-Teilsektoren sind in beiden Richtlinien gelistet. CER fokussiert physische Resilienz, NIS-2 die Cybersicherheit. Wir entwerfen eine integrierte Risikobewertung für beide.
07Wie gilt die DSGVO für Passagierdaten?+
Buchungsdaten, PNR, biometrisches Boarding, kontaktlose Zahlungen und Vielfliegerprogramme sind im Geltungsbereich. PNR-Richtlinie gilt separat für die Luftfahrt; das Rahmenwerk ist mehrschichtig.
08Können Sie multimodale Operationen handhaben?+
Ja. Betreiber mit Straßen-, Schienen- und Schifffahrtsbereichen brauchen ein einheitliches Compliance-Programm, das Modus-spezifische Regeln respektiert. Wir entwerfen die Integration über CSIRT-Meldewege, ISMS-Bereiche und Behördenkontakt.
08 / VERWANDT
Verwandte Praxen.
NIS-2-Compliance
Scoping, ISMS, Lieferkette und Vorfallmeldung für wesentliche Einrichtungen.
Praxis öffnen →Cybersecurity
ISMS, ISO 27001, IEC 62443 und OT-Sicherheit für Transport-Infrastruktur.
Praxis öffnen →AI-Compliance
AI Act für autonom, ADAS und KI im Verkehrsmanagement.
Praxis öffnen →09 / GET STARTED
Bereit für Transport-NIS2 und LkSG?
Kostenloses Erstgespräch, 30 Minuten. Wir klären Ihre Einordnung und liefern einen priorisierten Umsetzungsplan.