Ein Logistikunternehmen mit 80 Mitarbeitern, 45 eigenen LKW und einem Umsatz von 22 Millionen Euro. Kunden aus der Automobilindustrie, der Lebensmittelbranche, dem Maschinenbau. Das Geschäft läuft. Die IT? Macht der eine Admin, der auch die Telefonanlage betreut.
Dann kommt der Brief vom BSI.
Das ist kein hypothetisches Szenario. Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz — und der Sektor Transport und Logistik steht in Anlage 1 des Gesetzes. Das bedeutet: hohe Kritikalität. Wer die Schwellenwerte erreicht, ist nicht nur betroffen, sondern wird als besonders wichtige oder wichtige Einrichtung eingestuft. Mit allem was dazugehört.
Warum ausgerechnet Logistik?
Viele Spediteure denken: Cybersicherheitsgesetze betreffen Banken, Energieversorger, IT-Unternehmen. Nicht uns. Wir fahren LKW.
Aber die Realität sieht anders aus. Moderne Logistik ist digital. Telematik-Systeme in jedem Fahrzeug. Tourenplanung per Software. Lagerverwaltung über WMS. Schnittstellen zu Kunden-ERP-Systemen. Echtzeit-Tracking für Auftraggeber. Digitale Frachtbriefe. Zollabwicklung.
Wenn ein Ransomware-Angriff die Disposition lahmlegt, steht nicht ein Büro still — es stehen 45 LKW still. Und mit ihnen die Lieferketten der Kunden.
Die EU hat das erkannt. Transport und Logistik gehören zu den elf Sektoren mit hoher Kritikalität in der NIS2-Richtlinie. Deutschland hat das im NIS2-Umsetzungsgesetz übernommen. Der Sektor umfasst Straßenverkehr, Schienenverkehr, Schifffahrt, Luftverkehr und die gesamte Logistik-Infrastruktur.
Bin ich betroffen? Die Schwellenwerte
Die Frage lässt sich in 30 Sekunden beantworten:
Ihr Unternehmen ist im Sektor Transport oder Logistik tätig UND hat mindestens 50 Mitarbeiter ODER mindestens 10 Millionen Euro Jahresumsatz? Dann sind Sie betroffen.
Die Einstufung richtet sich nach der Größe: Ab 250 Mitarbeitern oder über 50 Millionen Euro Umsatz gelten Sie als besonders wichtige Einrichtung. Das BSI prüft proaktiv und regelmäßig. Alle drei Jahre müssen Sie Ihre Compliance durch Audits nachweisen. Bußgelder gehen bis 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes.
Ab 50 Mitarbeitern oder über 10 Millionen Euro Umsatz gelten Sie als wichtige Einrichtung. Das BSI prüft anlassbezogen, also bei Vorfällen oder konkretem Verdacht. Bußgelder gehen bis 7 Millionen Euro oder 1,4 Prozent des Umsatzes.
Und Vorsicht bei Konzernstrukturen: Wenn Ihre Spedition Teil einer Unternehmensgruppe ist, werden die Mitarbeiter und Umsätze der gesamten Gruppe zusammengerechnet. Das kleine Tochterunternehmen mit 30 Mitarbeitern kann durch den Mutterkonzern plötzlich in den Anwendungsbereich fallen.
Was die meisten Spediteure nicht auf dem Schirm haben
Es gibt vier Punkte, die in der Logistikbranche besonders oft unterschätzt werden:
1. Die Geschäftsführung haftet persönlich.
§38 BSIG ist unmissverständlich: Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und sich persönlich in Cybersicherheit schulen lassen. Ein Haftungsverzicht — zum Beispiel durch Gesellschafterbeschluss — ist gesetzlich ausgeschlossen.
Für inhabergeführte Speditionen bedeutet das: Der Unternehmer haftet mit seinem Privatvermögen. Und viele Mittelständler in der Logistik haben keine D&O-Versicherung.
2. Die 24-Stunden-Meldepflicht.
Wenn ein erheblicher Sicherheitsvorfall passiert — und ein Ransomware-Angriff auf das Dispositionssystem zählt definitiv dazu — müssen Sie innerhalb von 24 Stunden eine Frühwarnung ans BSI senden. Innerhalb von 72 Stunden einen Zwischenbericht. Innerhalb eines Monats einen Abschlussbericht.
Die entscheidende Frage: Wer in Ihrem Unternehmen ist dafür zuständig? Ist diese Person am Samstagmorgen um 4 Uhr erreichbar wenn der Nachtadmin die Ransomware entdeckt? Gibt es eine vorbereitete Melde-Vorlage? Wenn nicht, haben Sie bereits jetzt ein Compliance-Problem.
3. Ihre Kunden werden Sie prüfen.
NIS2 verpflichtet jedes betroffene Unternehmen, die Cybersicherheit seiner unmittelbaren Lieferanten zu bewerten. Für Speditionen heißt das: Ihre Kunden aus der Automobilindustrie, aus der Lebensmittelbranche, aus dem Maschinenbau — die sind selbst NIS2-pflichtig. Und sie werden anfangen, Ihnen Fragebögen zu schicken.
Können Sie einen NIS2-Compliance-Nachweis vorlegen? Haben Sie eine dokumentierte Risikoanalyse? Einen Incident-Response-Plan? Schulungsnachweise Ihrer Mitarbeiter?
Wer das nicht liefern kann, wird als Lieferant aussortiert. Das ist kein theoretisches Szenario — der Kaskadeneffekt hat bereits begonnen. Große Verlader und Industrieunternehmen überarbeiten gerade ihre Lieferantenbewertungen. NIS2-Readiness wird zum Auswahlkriterium.
4. Die Registrierungsfrist ist abgelaufen.
Die Frist zur BSI-Registrierung endete am 6. März 2026. Nur 38,5 Prozent der pflichtigen Unternehmen haben sich fristgerecht registriert. Das BSI geht seit Mai 2026 in die aktive Prüfphase. Allein die fehlende Registrierung kann bis zu 500.000 Euro Bußgeld kosten.
Was Logistikunternehmen konkret tun müssen
NIS2 definiert zehn Maßnahmenbereiche, die jedes betroffene Unternehmen umsetzen muss. Für die Logistikbranche sind fünf davon besonders relevant:
Risikoanalyse. Welche IT-Systeme sind geschäftskritisch? Was passiert wenn das TMS, das WMS oder die Telematik ausfällt? Wie lange kann Ihr Betrieb ohne IT arbeiten? Diese Fragen müssen dokumentiert beantwortet werden — nicht im Kopf des Geschäftsführers, sondern schriftlich in einem Risikoregister.
Incident Response und Meldepflicht. Ein schriftlicher Notfallplan: Wer macht was wenn ein Cyberangriff passiert? Wer informiert das BSI? Wer kommuniziert mit Kunden? Wer koordiniert die Wiederherstellung? Plus vorgefertigte Melde-Vorlagen für die drei BSI-Meldestufen.
Business Continuity und Backup. Wie schnell können Sie Ihre Systeme wiederherstellen? Wann wurde das letzte Mal getestet ob ein Backup-Restore funktioniert? Die meisten Speditionen haben Backups — aber nur wenige haben jemals getestet ob die Wiederherstellung tatsächlich klappt.
Schulungen. Alle Mitarbeiter müssen in Cybersicherheit geschult werden. Fahrer die ihre Bordcomputer nutzen, Disponenten die E-Mails öffnen, die Verwaltung die mit Kundendaten arbeitet. Die Geschäftsführung muss sich persönlich schulen lassen — mit Nachweis.
Lieferkettensicherheit. Wer sind Ihre IT-Dienstleister? Wer wartet Ihre Telematik? Wer hostet Ihr TMS? Diese Dienstleister müssen auf Cybersicherheit bewertet werden. Verträge müssen Sicherheitsklauseln enthalten.
Die unbequeme Wahrheit über Excel
Viele Spediteure denken: Das machen wir mit einer Excel-Tabelle. Risikoregister in Sheet 1, Maßnahmenplan in Sheet 2, Schulungsliste in Sheet 3.
Das funktioniert nicht. Nicht weil Excel ein schlechtes Tool ist — sondern weil Excel keinen Audit-Trail hat. Kein Auditor und kein BSI-Prüfer akzeptiert eine Excel-Tabelle als Nachweis. Wer hat wann was geändert? Wann wurde die Risikoanalyse zuletzt aktualisiert? Wann hat der Geschäftsführer die Maßnahmen genehmigt? Wann wurde der Disponent geschult?
NIS2-Compliance erfordert Nachweisbarkeit. Zeitstempel, Benutzer-IDs, Versionshistorien, Freigabe-Workflows. Das leistet eine Excel-Tabelle nicht.
Wie der NIS2-Autopilot Logistikunternehmen unterstützt
Wir haben den NIS2-Autopilot genau für diese Situation gebaut: Mittelständische Unternehmen — wie Speditionen — die NIS2 umsetzen müssen, aber weder das Budget für eine Unternehmensberatung noch die Kapazität für ein mehrmonatiges Projekt haben.
Die Plattform führt Sie Schritt für Schritt durch den gesamten Prozess:
Ein Betroffenheitscheck der in 5 Minuten zeigt ob und wie Ihr Unternehmen betroffen ist. Kostenlos, ohne Registrierung.
Eine Gap-Analyse die alle zehn Maßnahmenbereiche abfragt und Ihnen einen Compliance-Score berechnet. Sie sehen auf einen Blick wo Sie stehen und wo die Lücken sind.
Ein automatisch generierter Maßnahmenplan mit priorisierten Aufgaben. Nicht abstrakte Empfehlungen, sondern konkrete Schritte: Was ist zu tun, wer ist verantwortlich, bis wann.
Ein Risikoregister mit visueller Risikomatrix. Risiken erfassen, bewerten, mit Maßnahmen verknüpfen — nachweisbar und auditfähig.
Ein Incident-Management-Modul mit BSI-konformem Melde-Workflow. 24-Stunden-Countdown, vorgefertigte Vorlagen für alle drei Meldestufen, automatische Eskalation.
Fertige Dokumentenvorlagen für Sicherheitsleitlinie, Incident-Response-Plan, BCM-Plan und mehr — anpassbar an Ihr Unternehmen.
Ein Schulungsbereich mit E-Learning-Modulen und Zertifikaten. Für Mitarbeiter und speziell für die Geschäftsführung mit §38-Nachweis.
Eine Lieferantenbewertung mit Selbstauskunft-Funktion. Per Link können Ihre IT-Dienstleister die Selbstauskunft online ausfüllen — ohne eigenen Account.
Und einen Compliance-Report auf Knopfdruck — das vollständige Nachweisdokument für das BSI oder Ihre Kunden.
Ab 249 Euro im Monat. Das ist weniger als ein halber Tag mit einem Berater.
Die Zeit drängt
Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025. Ohne Übergangsfrist. Die BSI-Registrierungsfrist ist seit März 2026 abgelaufen. Das BSI geht in die aktive Prüfphase. Und Ihre Kunden werden bald anfragen ob Sie NIS2-compliant sind.
Die Unternehmen die jetzt handeln, sichern nicht nur ihre Compliance — sie sichern ihre Kundenbeziehungen. NIS2-Readiness wird in der Logistik zum Wettbewerbsvorteil. Wer nachweisen kann dass Daten sicher sind, Meldeprozesse stehen und Risiken gemanagt werden, gewinnt Ausschreibungen. Wer es nicht kann, verliert sie.
Die Frage ist nicht ob NIS2 Sie betrifft. Die Frage ist ob Sie bereit sind.
Prüfen Sie jetzt kostenlos ob Ihr Logistikunternehmen von NIS2 betroffen ist — in 5 Minuten, ohne Registrierung, ohne Kosten.