SecureStay

Regulatorik

KRITIS-Sektor Transport und Logistik 2026

Was Logistikbetriebe ab Juli 2026 unter dem KRITIS-Dachgesetz erwartet. Schwellenwerte, betroffene Anlagen, Registrierungsfrist und die häufigsten Schwachstellen.

Patrick Devosse
Co-CEO, SecureStay Solutions UG
3 Min. Lesezeit

Der Sektor Transport und Verkehr ist einer der größten Sektoren unter dem KRITIS-Dachgesetz, das am 17. Juli 2026 in Kraft tritt. Für viele Logistikbetriebe ist das die erste Berührung mit KRITIS-Regulierung. Wer betroffen ist, was zu tun ist, und welche Schwachstellen in der Praxis dominieren, beschreibt dieser Artikel.

Wer ist betroffen

Der Sektor Transport und Verkehr umfasst nach KRITIS-Verordnung mehrere Teilbereiche:

Schienenverkehr

  • Eisenbahninfrastrukturunternehmen ab definierten Streckenlängen
  • Eisenbahnverkehrsunternehmen ab definierter Verkehrsleistung
  • Bahnhöfe ab bestimmten Fahrgastzahlen

Straßenverkehr

  • Intelligente Verkehrssysteme bestimmter Größe
  • Hochbedeutsame Tunnel und Brücken
  • Verkehrsmanagement-Zentralen

Luftverkehr

  • Flughäfen ab bestimmten Passagierzahlen
  • Luftfahrtgesellschaften ab definierten Schwellenwerten
  • Flugsicherungseinrichtungen

Schifffahrt

  • See- und Binnenhäfen ab definierter Umschlagsmenge in Tonnen
  • Reedereien und Schifffahrtsmanagement
  • Verkehrslenkung Seeschifffahrt

Logistik im engeren Sinne

  • Logistikzentren ab definierter Lagerfläche und Umschlagsmenge
  • Multimodal-Knoten an Schienen-Straße-, Schiene-Schiff-, Straße-Schiff-Schnittstellen
  • Kombinierter Verkehr ab Tonnage

Die exakten Schwellen stehen in der KRITIS-Verordnung (BSI-KritisV). Sie werden für das KRITIS-Dachgesetz fortgeschrieben.

Was Sie nach Inkrafttreten tun müssen

1. Registrierung beim BBK

Bestehende Betreiber haben bis 17. Juli 2026 Zeit. Neue Betreiber, die die Schwelle nach diesem Datum erreichen, müssen sich innerhalb der gesetzlichen Frist registrieren. Die Registrierung umfasst die Benennung einer 24/7-Kontaktstelle.

2. Resilienz-Konzept (auf Anforderung)

Die zuständige Behörde kann ein Resilienz-Konzept anfordern. Inhalt: Bedrohungs- und Risikoanalyse, technische und organisatorische Vorkehrungen, Notfallplanung, Schnittstellen zu anderen Akteuren.

3. Meldepflicht bei Störungen

Vorfälle mit erheblichen Auswirkungen sind zu melden:

  • Frühwarnung innerhalb von 24 Stunden
  • Vorfallsmeldung innerhalb von 72 Stunden
  • Abschlussbericht innerhalb von 30 Tagen

4. Nachweispflicht

Alle drei Jahre ist ein Nachweis über umgesetzte Maßnahmen zu erbringen, durch Audit, branchenspezifischen Sicherheitsstandard (B3S) oder anerkannte Norm-Zertifizierung.

Vier Schwachstellen, die in fast jeder Begehung auftauchen

Aus Audit-Beobachtungen 2024 bis 2026, anonymisiert:

1. Zutrittskontrolle endet an der Werkstor-Schranke

Die Toranlage prüft Ausweise. Innen läuft jeder weiter, der einmal drin ist. Lagerflächen, Frachtumschlag, IT-Räume oft ohne zweite Stufe. Wer einmal das Tor passiert hat, ist faktisch unkontrolliert auf dem Gelände.

2. Fahrer-Identifikation gegen Lieferschein nicht durchgesetzt

Lieferschein wird unterschrieben, Fahrer nie verifiziert. In drei von vier Begehungen reicht ein Warnwesten-Outfit für freien Hof-Zugang. Das ist nicht nur ein Sicherheitsrisiko gegenüber Bedrohung, sondern auch gegenüber Frachtdiebstahl, der nach BKA-Daten weiter zunimmt.

3. Notfallpläne dokumentiert, nie geübt

Brandfall, Stromausfall, IT-Ausfall stehen im Ordner. Wer macht was? Antwort meist: “Müsste man mal durchgehen.” Wirkung im Ernstfall: nahe null. Der KRITIS-Dachgesetz-Nachweis verlangt mehr als die bloße Existenz eines Plans.

4. Kamerasysteme aufgenommen, nie ausgewertet

Datenträger laufen voll, werden überschrieben. Bei Diebstahl-Vorfall vor sechs Wochen kein Material mehr. Hardware da, Prozess fehlt. Eine Kamera ohne Auswertung ist ein Datenschutz-Risiko ohne Schutzwirkung.

Spezifische Anforderungen für Logistik

Die KRITIS-Anforderungen sind sektor-übergreifend, einige Aspekte sind aber für Logistik besonders relevant:

  • Frachtraum-Sicherheit: Schutz vor Diebstahl, Manipulation, illegaler Beladung
  • Subunternehmer-Management: Sicherheitsbewertung von Transportpartnern und Werkvertragsfirmen
  • IT-Schnittstellen: TMS- und WMS-Systeme, EDI-Schnittstellen zu Kunden, Track-and-Trace
  • Personalsicherheit: Identifikation von Fahrern, Lagerpersonal, Zeitarbeitskräften
  • Versorgungs-Resilienz: Was passiert bei Ausfall einer Schlüssel-Anlage?

Verhältnis zu NIS2

Logistik-Betriebe können gleichzeitig unter NIS2 und unter das KRITIS-Dachgesetz fallen. Wer in einem KRITIS-Bereich tätig ist, fällt typischerweise auch in den Sektor “Verkehr” nach NIS2-Anhang. Damit gelten parallel:

  • § 30 BSIG (NIS2) für IT-Sicherheit
  • KRITIS-Dachgesetz für physische Resilienz

Wer beide Regime integriert behandelt, spart Doppelarbeit. Wer sie unkoordiniert umsetzt, baut Doppelstrukturen auf.

Was Sie diese Woche tun sollten

Drei pragmatische Schritte:

  1. Prüfen, ob Sie über einer Schwelle liegen. Lagerfläche, Umschlagsmenge, Tonnage, je nach Anlagentyp. Die Antwort sollte berechnet sein, nicht geschätzt.
  2. Kontaktstelle identifizieren. Eine Person, die für Behörden 24 Stunden erreichbar ist, mit Stellvertretung. Wenn das heute niemand ist, fangen Sie hier an.
  3. Maßnahmenplan beginnen. Was muss bis Juli 2026 umgesetzt sein? Was kann später folgen?

Unser KRITIS-Quick-Check Transport & Logistik liefert in fünf Werktagen einen Befund mit priorisiertem Maßnahmenplan, Mapping auf KRITIS-DachG und § 30 BSIG, und einer Drei-Sofortmaßnahmen-Empfehlung für die ersten 30 Tage.

Quellen

  • KRITIS-Dachgesetz (in Kraft 17.07.2026)
  • BSI-KritisV (KRITIS-Verordnung mit sektorspezifischen Schwellen)
  • BBK, Sektor-Information Transport und Verkehr
  • UP KRITIS, Branchenarbeitskreise Logistik und Verkehr

Häufige Fragen

Was Sie noch wissen wollen

Welche Logistikbetriebe sind KRITIS-pflichtig?

Es geht um Anlagen, die definierte Schwellenwerte überschreiten. Für Logistikzentren sind Lagerfläche und Umschlagsmenge relevant. Für Häfen die Umschlagsmenge in Tonnen, für Flughäfen die Passagierzahlen, für Schienenverkehrsunternehmen die Verkehrsleistung. Die genauen Schwellenwerte stehen in der KRITIS-Verordnung.

Was gilt für KEP-Dienstleister?

Kurier-, Express- und Paketdienste fallen unter den Sektor Post und Kurierdienste, der von NIS2 abgedeckt ist (nicht primär vom KRITIS-Dachgesetz). Anwendbar sind die § 30 BSIG-Pflichten für IT-Sicherheit. Bei großen Zentrallagern mit hoher Umschlagsmenge kann zusätzlich KRITIS-Pflicht entstehen.

Was passiert nach der Registrierung?

Nach Registrierung haben Sie eine 24/7-Kontaktstelle eingerichtet. Auf Anforderung des BBK müssen Sie ein Resilienz-Konzept vorlegen. Vorfälle mit erheblichen Auswirkungen müssen Sie innerhalb von 24 bzw. 72 Stunden melden. Alle drei Jahre erfolgt ein Nachweis über umgesetzte Maßnahmen.

Was sind die häufigsten Schwachstellen bei Logistik-Audits?

Zutrittskontrolle endet an der Werkstor-Schranke, ohne zweite Stufe innen. Fahrer-Identifikation gegen Lieferschein wird nicht durchgesetzt. Notfallpläne sind dokumentiert, aber nicht geübt. Kamerasysteme zeichnen auf, werden aber nicht ausgewertet. Diese vier Befunde tauchen in fast jeder Begehung auf.

Über den Autor

Patrick Devosse

Co-CEO, SecureStay Solutions UG

Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.

LinkedIn-Profil →

Passender Quick-Check

01 · Transport · Logistik

KRITIS Logistik

Begehung, Schwachstellen-Analyse und priorisierter Maßnahmenplan für KRITIS-pflichtige Logistikbetriebe.

2.900 € Quick-Check ansehen →

Weiterlesen