NISG
AnmeldenKostenlos prüfen

NIS2 im Verkehr: Luft, Schiene, Schiff und Straße

NISG-Plattform-RedaktionStand Juni 20263 Min Lesezeit

In Kürze: Verkehr ist ein Anlage-1-Sektor (hohe Kritikalität) des NISG 2026 mit vier Teilbereichen: Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr. Betroffen sind die im Gesetz genannten Betreibertypen, die die Größenschwelle erreichen — ab 50 Mitarbeitern oder, davon unabhängig, ab > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme. Mittlere Unternehmen werden voraussichtlich als wichtige, große als wesentliche Einrichtung eingestuft. Erstregistrierung bis 31.12.2026. → Betroffenheit kostenlos prüfen.

Der Verkehrssektor ist hochgradig vernetzt und für die Versorgung systemkritisch — entsprechend zählt er zu den Sektoren mit hoher Kritikalität (Anlage 1). Erfasst ist aber nicht „Transport" pauschal, sondern die im Gesetz aufgezählten Betreibertypen je Verkehrsträger.

Wer im Verkehr ist betroffen?

Das NISG 2026 nennt in Anlage 1 vier Teilbereiche mit den jeweils erfassten Einrichtungstypen:

Teilbereich Erfasste Einrichtungen (Beispiele)
a) Luftverkehr Luftfahrtunternehmen, Flughafenleitungsorgane, Betreiber von Verkehrsmanagement-/-steuerungssystemen (u. a. Flugverkehrskontrolle)
b) Schienenverkehr Infrastrukturbetreiber und Eisenbahnunternehmen
c) Schifffahrt Passagier- und Frachtbeförderung der Binnen-, See- und Küstenschifffahrt, Hafenleitungsorgane, Betreiber von Schiffsverkehrsdiensten (VTS)
d) Straßenverkehr Straßenverkehrsbehörden sowie Betreiber intelligenter Verkehrssysteme (IVS)

Maßgeblich ist der Wortlaut der Anlage 1 mit ihren Verweisen auf das EU-Recht; die obige Tabelle dient der Orientierung. Die genaue Zuordnung Ihrer Tätigkeit nehmen Sie im Geltungsbereichs-Check vor.

Zur Betroffenheit muss zur Tätigkeit die Größe kommen (Schwellenwerte):

  • Großes Unternehmen → voraussichtlich wesentliche Einrichtung (§ 24 Abs. 1): ab 250 Mitarbeitern oder (Umsatz > 50 Mio. € und Bilanz > 43 Mio. €).
  • Mittleres Unternehmen → voraussichtlich wichtige Einrichtung (§ 24 Abs. 2): ab 50 Mitarbeitern oder (Umsatz > 10 Mio. € und Bilanz > 10 Mio. €).
  • Kleinstunternehmen bleiben in der Regel außerhalb — sofern keine größenunabhängige Einstufung durch die Cybersicherheitsbehörde (§ 26) greift.

Das finanzielle Kriterium gilt kumulativ (Umsatz und Bilanzsumme). Den Unterschied zwischen den Kategorien erklärt wesentliche vs. wichtige Einrichtungen.

Besonderheiten im Verkehr

Verkehrsbetriebe verbinden klassische IT mit Betriebs- und Steuerungstechnik (OT): Leit- und Signaltechnik, Flottenmanagement, Buchungs- und Abfertigungssysteme, vernetzte Fahrzeuge und Infrastruktur. Die Risikomanagementpflichten des § 32 verfolgen einen gefahrenübergreifenden Ansatz und erfassen diese Systeme mit. Praktische Schwerpunkte:

  • Segmentierung zwischen IT und betrieblicher Steuerungstechnik.
  • Betriebskontinuität (§ 32 Abs. 4 lit. c): Ein Cybervorfall darf den Verkehrsbetrieb nicht unkontrolliert lahmlegen.
  • Lieferkettensicherheit (lit. d) für Technik- und Software-Zulieferer.

Welche Pflichten gelten?

Für betroffene Verkehrsbetriebe gelten dieselben Pflichtblöcke wie für alle Einrichtungen (NIS2-Pflichten):

  1. Registrierung bei der Cybersicherheitsbehörde, elektronisch und strukturiert — bis 31.12.2026 (§ 29).
  2. Risikomanagement mit den Mindestinhalten a–j (§ 32), mit OT-Schwerpunkt.
  3. Vorfallmeldung an das zuständige CSIRT: 24 h / 72 h / 1 Monat (§ 34/§ 35).
  4. Governance & Schulung des Leitungsorgans (§ 31).
  5. Wirksamkeitsnachweis — Selbstdeklaration bis 30.09.2027 (§ 33).

Erste Schritte

  1. Teilbereich + Größe klärenkostenloser Check.
  2. IT/OT-Inventar erstellen (Leit-, Buchungs-, Steuerungssysteme).
  3. Registrierung vorbereiten → bis 31.12.2026.
  4. Risikomanagement mit Betriebskontinuitäts-Schwerpunkt aufsetzen (§ 32).

Die Plattform unterstützt Sie bei Einstufung, § 29-Paket und prüffesten Nachweisen — die rechtliche Bewertung und die Einreichung verbleiben bei Ihnen.

Ist Ihr Verkehrsbetrieb betroffen?

Wählen Sie „Verkehr" und Ihre Größe und sehen Sie Ihre voraussichtliche Einstufung. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Ist der Verkehrssektor von NIS2 betroffen? Ja. Verkehr ist ein Anlage-1-Sektor mit vier Teilbereichen (Luft, Schiene, Schiff, Straße). Erfasst sind die im Gesetz genannten Betreibertypen, sofern sie die Größenschwelle erreichen — mittlere als wichtige, große als wesentliche Einrichtung.

Sind kleine Transport- oder Logistikunternehmen betroffen? In der Regel nicht: Kleinstunternehmen (< 50 Mitarbeiter und ≤ 10 Mio. €) bleiben meist außerhalb, sofern keine größenunabhängige Einstufung durch die Behörde (§ 26) greift.

Gilt NIS2 auch für Leit- und Steuerungstechnik (OT)? Ja. Die § 32-Maßnahmen verfolgen einen gefahrenübergreifenden Ansatz und erfassen auch betriebliche Steuerungstechnik — Segmentierung und Betriebskontinuität sind zentrale Bausteine.

Welche Frist gilt? Die Erstregistrierung ist bis 31.12.2026 vorzunehmen (§ 29 Abs. 3); die Selbstdeklaration bis 30.09.2027 (§ 33 Abs. 1).

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.