Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG1) ist am 6. Dezember 2025 ein neuer, verbindlicher Rechtsrahmen zur Stärkung der Cybersicherheit in Kraft getreten. Das NIS2UmsuCG novelliert insbesondere das BSI-Gesetz (BSIG) grundlegend. Kernziel ist die Stärkung der digitalen Resilienz von Einrichtungen, die für das Funktionieren von Wirtschaft und Gesellschaft bedeutsam sind. Die Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit diesem Gesetz wird die europäische Richtlinie (EU) 2022/25553 vollständig in deutsches Recht übertragen.
NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.
Wesentliche inhaltliche Regelungen des NIS-2-Umsetzungsgesetzes sind:
Kern des Gesetzes ist die Einführung zweier Betreiberkategorien, die die bisherigen Regelungen des IT-Sicherheitsgesetzes ablösen und den Anwendungsbereich deutlich erweitern (§ 28 BSIG).
Künftig unterliegen zwei Arten von Einrichtungen der Regulierung:
Betreiber besonders wichtiger Einrichtungen (§ 28 Abs. 1 Nr. 4 BSIG) sind
- juristische Personen mit mehr als 250 Mitarbeitenden, oder
- Unternehmen mit einem Umsatz von mehr als 50 Mio. Euro und einer Bilanzsumme größer als 43 Mio. Euro,
- einschließlich der bisherigen KRITIS-Betreiber nach BSI-KritisV,
- zusätzlich müssen die Unternehmen einem der in Anlage 1 genannten Sektoren bzw. Einrichtungsarten angehören.
Betreiber wichtiger Einrichtungen (§ 28 Abs. 2 Nr. 3 BSIG) sind
- juristische Personen mit mindestens 50 Mitarbeitenden, oder
- Unternehmen mit Umsatz und Bilanzsumme jeweils mehr als 10 Mio. Euro und
- das Unternehmen muss den in den Anlagen 1 und 2 genannten Sektoren angehören.
Relevanz für die Transport- und Logistikbranche:
Für die Transport- und Logistikbranche ist entscheidend, dass Logistik – anders als in der bisherigen Kritis-Systematik – nicht als eigener Sektor oder Subsektor im Bereich „Transport und Verkehr“ erscheint. Die Anlagen 1 und 2 adressieren primär Verkehrsträger und Verkehrsinfrastrukturen.
Klassische Speditions-, Umschlags- oder Logistikdienstleistungen gelten daher nicht als eigenständig betroffene Dienste.
Das KRITIS-Dachgesetz:
Mit dem am 16. März 2026 im Bundesgesetzblatt veröffentlichten KRITIS-Dachgesetz (KRITISDachG) setzt Deutschland die europäische Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um. Ziel der Richtlinie ist es, die Widerstandsfähigkeit zentraler Versorgungsstrukturen gegenüber Naturkatastrophen, technischen Störungen, Sabotage, Terrorismus oder anderen Gefährdungen zu erhöhen.
Das Gesetz etabliert hierfür erstmals einen sektorübergreifenden Rahmen für den Schutz kritischer Anlagen vor physischen und organisatorischen Risiken.
Betreiber kritischer Anlagen werden künftig insbesondere verpflichtet,
- Risiken für ihre Anlagen systematisch zu analysieren,
- geeignete Resilienzmaßnahmen zu ergreifen,
- erhebliche Störungen oder Gefährdungen zu melden sowie
- mit den zuständigen Behörden beim Schutz kritischer Infrastruktur zusammen.
Der konkrete Kreis der betroffenen Unternehmen des KRITIS-Dachgesetz steht derzeit noch nicht fest. Der gesetzliche Regelschwellenwert orientiert sich dabei grundsätzlich an einer Versorgungsrelevanz von 500.000 Personen (§ 5 Abs. 2 KRITISDachG).
Für Unternehmen der Speditions- und Logistikbranche lässt sich derzeit noch nicht abschließend beurteilen, ob einzelne Anlagen künftig unter den Anwendungsbereich des Gesetzes fallen werden, da zahlreiche zentrale Aspekte des künftigen Regulierungsrahmens noch nicht abschließend feststehen. Gerade aufgrund der internationalen Vernetzung logistischer Lieferketten sowie der Vielzahl möglicher infrastruktureller Schnittstellen könnten einzelne logistische Knotenpunkte – etwa größere Umschlagterminals oder zentrale Steuerungsinfrastrukturen – künftig unter die Regulierung fallen.
Verhältnis des KRITISDachG zu BSI-Gesetz und NIS-2-Umsetzung:
Das KRITISDachG ist Teil eines mehrstufigen regulatorischen Rahmens. Während das KRITISDachG vor allem den Schutz kritischer Anlagen vor physischen Gefährdungen und sonstigen Störungen regelt, betreffen die Vorschriften des vor kurzem durch das NIS2UmsuCG abgeänderten BSI-Gesetzes (BSIG) in erster Linie die Cyber- und Informationssicherheit.
Die NAVIS AG befürwortet grundsätzlich schon aus eigenem Interesse die Ziele des NIS-2-Umsetzungsgesetzes und KRITIS-Dachgesetzes, die Cybersicherheit und Resilienz kritischer Infrastrukturen zu stärken. NAVIS wird die Umsetzung beider Gesetze entsprechend vornehmen, sofern die Tätigkeiten der NAVIS davon betroffen sind. Unabhängig von einer unmittelbaren gesetzlichen Betroffenheit legen wir bei der NAVIS grundsätzlich großen Wert auf Cybersicherheit und Robustheit der IT-Systeme.
Seehäfen und Flughäfen gehören zur kritischen Infrastruktur:
Die deutschen Seehäfen und Flughäfen gehören zur kritischen Infrastruktur und erfordern daher ein besonders verlässliches und abgesichertes Vorgehen bei der Einführung neuer Prozesse.
Zur Verbesserung der Sicherheit in der Transportkette von Importcontainern haben die deutschen Containerhäfen dazu eine einheitliche digitale Plattform namens „German Ports“ gegründet. Damit wird sichergestellt, dass vom seeseitigen Eintreffen des Containers im Hafen bis zu dessen Abholung durch das Transportunternehmen jederzeit transparent nachvollziehbar ist, welche Partei über den Container verfügen darf.
Um diesem Anspruch gerecht zu werden, wurde die Secure Release Order (SRO) am 1. Oktober 2025 in einem stabilen und schrittweisen Onboarding-Prozess eingeführt. Ziel ist es, allen Beteiligten eine sichere Umstellung zu ermöglichen und zugleich die Resilienz der Importprozesse nachhaltig zu stärken.
Das neue IT-System soll vor allem den Container-Diebstahl und Drogenschmuggel erschweren. Das bisherige anonyme PIN-Verfahren wurde ab 1. Oktober 2025 sukzessive durch ein personalisiertes, digitales „Recht zur Abholung“ namens „Secure Release Order“ ersetzt.
NAVIS ist auf das neue IT-System vorbereitet und wird von Beginn an Teilnehmer der German Ports-Plattform sein. Weitere Informationen finden Sie auf der Website von German Ports hier.
