Gilles Verbauwhede
24. September 2025
Cyber- und physische Resilienz: Warum Eisenbahnen NIS2 und CER ernst nehmen müssen
In einer Zeit, in der die europäischen Eisenbahnen als Lebensadern der wirtschaftlichen und sozialen Entwicklung gelten und für die europäische Sicherheit von zentraler Bedeutung sind, ist Widerstandsfähigkeit unverzichtbar. Als Reaktion darauf hat die EU mit NIS2 und CER zwei leistungsstarke Rechtsrahmen eingeführt, die von allen Betreibern kritischer Infrastrukturen eingehalten werden müssen.
Die Bedrohungslage für die Eisenbahnnetze entwickelt sich rasch weiter. Von Cyberangriffen bis hin zu physischer Sabotage - die Risiken sind nicht hypothetisch. Eine einzige Störung kann Lieferketten lahmlegen, die Mobilität der Fahrgäste unterbrechen und das Vertrauen der Öffentlichkeit erschüttern.
Neue EU-Rechtsvorschriften sollen diese Bedrohungen direkt angehen:
- NIS2 (Richtlinie (EU) 2022/2555) - Konzentriert sich auf die Verbesserung der Cyber-Resilienz bei wesentlichen und wichtigen Einrichtungen.
- CER (Richtlinie (EU) 2022/2557) - zielt auf die Stärkung der physischen und operativen Widerstandsfähigkeit kritischer Einrichtungen ab.
Resilienz verankern ist ein strategisches Gebot
Für Bahnbetreiber sind diese Initiativen eher ein strategisches Gebot als ein Kontrollkästchen für die Einhaltung von Vorschriften.
Wenn Ihr Eisenbahnunternehmen gemäß CER als "kritisch" eingestuft ist, sind Sie automatisch auch unter NIS2 als "wesentlich" eingestuft. Das bedeutet, dass Sie beide Anforderungen erfüllen müssen, die vom Cyber-Risikomanagement und der Meldung von Zwischenfällen bis hin zur physischen Widerstandsfähigkeit und der Sicherheit der Lieferkette reichen.
Bei Nichteinhaltung drohen Geldstrafen von bis zu 10 Millionen Euro, die Haftung der Unternehmensleitung und im schlimmsten Fall die Schließung des Betriebs.
Doch es gibt eine gute Nachricht: Der Weg zur Einhaltung der Vorschriften kann auch ein Weg zur Widerstandsfähigkeit sein.
Von der Einhaltung der Vorschriften zum Wettbewerbsvorteil
Bei Ramboll sehen wir NIS2 und CER als Werkzeuge, die Unternehmen dabei unterstützen, ihren Betrieb zukunftssicher zu gestalten. Unser Vier-Phasen-Plan macht komplexe Anforderungen handhabbar und stellt sicher, dass das Ergebnis sowohl eine verbesserte Systembereitschaft als auch die Einhaltung der Vorschriften gewährleistet.
1. Verpflichtungen klären und die Richtung vorgeben: Zunächst ermitteln wir, wie Ihre Organisation unter den beiden Richtlinien einzuordnen ist, und klären Ihre rechtlichen Verpflichtungen. Gemeinsam prüfen wir die branchenspezifischen Anforderungen und ermitteln bestehende Maßnahmen, auf denen Sie aufbauen können. Wir helfen Ihnen auch dabei, die Führungsebene einzubinden, die Rollen zu definieren und die richtige Governance-Struktur zu schaffen, um sicherzustellen, dass die Verantwortlichkeiten von Anfang an klar sind.
2. Risiken bewerten und Widerstandsfähigkeit aufbauen: Als Nächstes führen wir integrierte Risikobewertungen durch, die sich auf Ihre bereits durchgeführten Maßnahmen zur Ermittlung von Schwachstellen in physischen und Cyber-Systemen stützen. Wir helfen Ihnen bei der Entwicklung praktischer Resilienzpläne, einschließlich Geschäftskontinuität, physischer Sicherheit und Cybersicherheitsmaßnahmen, wie z. B. Behandlung von Zwischenfällen, Sicherheit der Lieferkette und Mitarbeiterschulung.
3. Vorbereitung auf Vorfälle und Berichterstattung: Wir helfen Ihnen bei der Erstellung intelligenter, reaktionsfähiger Aktionspläne, die auf die verschiedenen Arten von Vorfällen zugeschnitten sind. Dazu gehören die Anpassung an die EU-Meldevorschriften, die Verbesserung der funktionsübergreifenden Koordination und die Integration in nationale und europäische Plattformen für den Informationsaustausch.
4. Bleiben Sie konform und verbessern Sie sich kontinuierlich: Schließlich unterstützen wir Sie beim Aufbau von Systemen, die nicht nur den Vorschriften entsprechen, sondern kontinuierlich optimiert werden. Dazu gehören Schulungen, Prüfungsvorbereitungen und Leistungsüberwachung, um sicherzustellen, dass Ihre Organisation mit den sich wandelnden Bedrohungen Schritt hält. Darüber hinaus bieten wir fortlaufende Trainings an, um eine Kultur der Sicherheit und Widerstandsfähigkeit in Ihrem Unternehmen zu verankern.
Das Ergebnis ist ein strukturierter, überschaubarer Ansatz, der nicht nur die Einhaltung von Vorschriften gewährleistet, sondern auch Ihre Fähigkeit stärkt, Störungen zu widerstehen und sich von ihnen zu erholen, um Ihren Betrieb, Ihren Ruf und das Vertrauen Ihrer Kunden zu schützen.
Was den Schienenverkehr von anderen unterscheidet
CER und die NIS2-Implementierung sind nicht allgemeingültig. Bei Eisenbahnen müssen sicherheitskritische Systeme, komplexe Abhängigkeiten und veraltete Infrastrukturen berücksichtigt werden.
"Der Eisenbahnsektor ist besonders komplex: Er vereint hohe Sicherheitsanforderungen, eine alternde Infrastruktur und einen Betrieb, der nicht einfach für Modernisierungen stillgelegt werden kann. In diesem Umfeld macht Erfahrung den entscheidenden Unterschied. Wir unterstützen unsere Kunden dabei, gesetzliche Vorgaben einzuhalten, ohne die funktionsübergreifende Zusammenarbeit in einem stark regulierten Umfeld zu beeinträchtigen, in dem viel auf dem Spiel steht."
Wenn wir es richtig anpacken, sind die von CER und NIS2 geforderten Änderungen nicht nur eine Frage der Einhaltung von Vorschriften, sondern auch eine Frage der Realität des Eisenbahnbetriebs, da sie zu nachhaltigen, effizienten und auf den Eisenbahnbetrieb zugeschnittenen Lösungen führen.
Lehren für andere kritische Sektoren
NIS2 und CER bedeuten eine Verlagerung von der reaktiven Einhaltung von Vorschriften hin zur proaktiven Widerstandsfähigkeit. Für den Bahnsektor und alle anderen Sektoren bieten sie einen klaren Auftrag zur Verbesserung der Vorbereitung auf und des Umgangs mit Störungen in einer von Komplexität geprägten Welt.
Auch wenn diese Arbeit im Eisenbahnsektor verwurzelt ist, lassen sich die gewonnenen Erkenntnisse weit darüber hinaus anwenden. Die Instrumente, Governance-Modelle und betrieblichen Sicherheitsvorkehrungen, die im Eisenbahnsektor eingesetzt werden, sind ebenso relevant für den Energie-, Verkehrs- und Gesundheitssektor wie für alle Bereiche, in denen die Kontinuität des Geschäftsbetriebs und das Vertrauen der Öffentlichkeit von zentraler Bedeutung sind.
Möchten Sie mehr erfahren?
Gilles Verbauwhede
Engineer
+45 60 36 13 59
Elvar Asmundsson
Senior Consultant
+45 60 36 19 09