AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

Cybersicherheit in Seehäfen: NIS2 und der Cyber Resilience Act

Verabschiedet 2026-06-16 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Seehäfen fallen unter NIS2 (Richtlinie (EU) 2022/2555): Risikomanagementmaßnahmen, Verantwortung der Leitungsorgane und Meldepflicht. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) stellt Sicherheitsanforderungen an digitale Produkte in Hafenketten.

Kurze Antwort: Seehäfen und Hafenbetreiber fallen unter NIS2 (Richtlinie (EU) 2022/2555), die den Verkehrssektor erfasst und Risikomanagementmaßnahmen, eine Verantwortung der Leitungsorgane und eine Meldepflicht für Vorfälle auferlegt. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) richtet sich auf die Produkte: Er stellt Cybersicherheitsanforderungen an Hardware und Software mit digitalen Elementen, darunter viele Systeme, die in Hafenketten eingesetzt werden.

NIS2: der Hafen als Einrichtung

NIS2 (Richtlinie (EU) 2022/2555) ersetzte die alte NIS-Richtlinie und erweiterte den Anwendungsbereich auf eine Vielzahl von Sektoren, darunter Verkehr. Darunter fällt der Verkehr auf dem Wasserweg und die zugehörige Infrastruktur, wie Seehäfen und Hafenanlagen. Einrichtungen werden als wesentlich oder wichtig eingestuft, mit unterschiedlichen Aufsichts- und Durchsetzungsregimen.

Für einen Hafen, der unter NIS2 fällt, gelten unter anderem Risikomanagementmaßnahmen (Art. 21) — etwa Risikoanalyse, Vorfallbewältigung, Sicherheit der Lieferkette und Kontinuitätsmanagement — und eine ausdrückliche Verantwortung der Leitungsorgane (Art. 20): Die Leitung muss die Maßnahmen billigen und überwacht ihre Umsetzung. Daneben gilt eine gestufte Meldepflicht für erhebliche Vorfälle. Die Mitgliedstaaten mussten NIS2 bis spätestens 17. Oktober 2024 in nationales Recht umsetzen; die genaue Ausgestaltung und die Benennung der zuständigen Aufsichtsbehörde unterscheiden sich je Mitgliedstaat.

Der Cyber Resilience Act: die Produkte in der Kette

Wo sich NIS2 auf Organisationen richtet, richtet sich der Cyber Resilience Act (Verordnung (EU) 2024/2847) auf Produkte mit digitalen Elementen — Hardware und Software, die mit einem Netzwerk oder einem anderen Gerät verbunden werden können. Die Verordnung legt Herstellern, Importeuren und Händlern Sicherheitsanforderungen über den Lebenszyklus auf, einschließlich des Schwachstellenmanagements.

In einer Hafenumgebung sind das etwa Sensoren, Kaimess- und Schleusensysteme, Terminal-Operating-Software und industrielle Steuerungssysteme, die in der Betriebstechnik eingesetzt werden. Der CRA gilt gestuft; die vollständige Geltung ist für den 11. Dezember 2027 vorgesehen, mit früheren Daten für bestimmte Pflichten. Für Häfen bedeutet dies, dass die Wahl und der Beschaffungsprozess digitaler Geräte mittelfristig mit von der CRA-Konformität der Lieferanten bestimmt werden.

Wie NIS2 und der CRA zusammenkommen

NIS2 und der CRA ergänzen einander: NIS2 verpflichtet den Hafen als Organisation zur Sicherheit — einschließlich der Sicherheit der Lieferkette —, während der CRA die Sicherheit der beschafften Produkte an der Quelle regelt. Ein Hafen, der unter NIS2 fällt, kann die CRA-Konformität der Lieferanten als Baustein für die eigenen Risikomanagementmaßnahmen nutzen. Beide Rahmen sind nun festgelegt; die genauen Pflichten hängen von der Einstufung der Einrichtung, der nationalen Umsetzung von NIS2 und dem gestuften Zeitplan des CRA ab.

Lesen Sie auch: Transport & Logistik. Machen Sie den Scan.

Quellen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlinie (EU) 2022/2555 (NIS2): Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen; Umsetzung bis spätestens 17. Oktober 2024.
  2. https://eur-lex.europa.eu/eli/reg/2024/2847/oj
    Verordnung (EU) 2024/2847 (Cyber Resilience Act): Sicherheitsanforderungen für Produkte mit digitalen Elementen; vollständige Geltung ab 11. Dezember 2027.

Share on LinkedIn

Lesen Sie auch

U

KI in der Telekommunikation: Netzwerkmanagement, Betrugserkennung und NIS2

Telekommunikationsunternehmen setzen KI für Netzoptimierung und Betrugserkennung ein. Die KI-Verordnung betrifft vor allem die Betrugserkennung, die Kunden bewertet, während NIS2 strenge Anforderungen an Cybersicherheit und Meldung dieser wesentlichen Infrastruktur stellt.

U

KI im Energiesektor: kritische Infrastruktur und NIS2

KI, die die Verwaltung oder den Betrieb der Energieversorgung steuert, kann nach der KI-Verordnung Hochrisiko sein (Anhang III, kritische Infrastruktur). Zugleich fällt der Energiesektor unter NIS2 für Cybersicherheit. Zwei Regime mit teils überlappenden Anforderungen an Robustheit und Aufsicht.

W

NIS2: der Wegweiser für Cybersicherheit und Unternehmensführung

NIS2 macht Cybersicherheit zur Führungsverantwortung für wesentliche und wichtige Einrichtungen — auch Verkehr und Logistik. Dieser Wegweiser bündelt, wer darunterfällt, welche Maßnahmen und Meldepflichten gelten, die Leitungshaftung und die Lieferkettenpflichten.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Monthly Transport & Logistics alerts

Once a month: the EU developments that affect transport and logistics, briefly interpreted — with sources. No spam, unsubscribe anytime.

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.