NIS2 und Fuhrparksoftware: Was Unternehmen jetzt wissen müssen

  • Written by

    Cloudkasten GmbH

  • Published on

    Apr 01, 2026

Share On

Die NIS2-Richtlinie ist seit dem 5. Dezember 2025 in Deutschland in Kraft. Damit sind nicht mehr nur ~4.500 Unternehmen verpflichtet, NIS2-Anforderungen zu erfüllen — nun sind es ~29.500 Entitäten. Und wer nicht auf der Registrierungsliste des BSI steht, sollte schnell prüfen, ob die eigene Organisation betroffen ist.

Für Fuhrparkunternehmen und Flottenbetreiber ist NIS2 nicht einfach eine Zusatzanforderung neben DSGVO. Sie ist eine grundlegende Cybersicherheits-Compliance-Pflicht — und wer diese Anforderungen nicht erfüllt, riskiert Bußgelder bis zu 10 Millionen Euro und persönliche Haftung der Geschäftsführung.

Was ist NIS2?

NIS2 ist die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union. Sie ersetzt die alte NIS-Richtlinie von 2016. In Deutschland wurde NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt.

Das Wichtigste zusammengefasst:

  • Geltung seit: 5. Dezember 2025
  • BSI-Registrierung: Portal öffnete am 6. Januar 2026
  • Registrierungsfrist: 6. März 2026 (bereits abgelaufen)
  • Umfang: Von ~4.500 auf ~29.500 betroffene Entitäten erweitert

Im Gegensatz zu DSGVO, die sich auf Datenschutz konzentriert, dreht sich NIS2 um Cybersicherheit und Betriebsschutz. Die Richtlinie schützt vor Cyberangriffen auf kritische Infrastrukturen und wichtige Entitäten.

Wen betrifft NIS2?

NIS2 unterscheidet zwischen wesentlichen Entitäten und wichtigen Entitäten:

Wesentliche Entitäten (essential entities):

  • 250 oder mehr Mitarbeiter UND/ODER
  • Jahresumsatz oder Bilanzsumme von mindestens 50 Millionen Euro
  • Tätig in kritischen Sektoren wie Energie, Transport, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung

Wichtige Entitäten (important entities):

  • 50 bis 249 Mitarbeiter UND/ODER
  • Jahresumsatz oder Bilanzsumme von 10 bis 50 Millionen Euro
  • Tätig in Sektoren wie Informations- und Kommunikationstechnologien, Post- und Paketdienste, Raumfahrt

Kritisch für Fuhrparkbetreiber: Transport und Logistik sind als wesentliche Sektoren klassifiziert. Das bedeutet: Größere Flottenbetreiber, Busunternehmen, Logistik-Dienstleister und sogar kommunale Verkehrsbetriebe fallen fast sicher unter NIS2.

Dies umfasst auch Unternehmen, die Fuhrpark-Software als kritischen Dienst betreiben. Wenn Ihre Fuhrparksoftware die Disposition von Fahrzeugen, Fahrern oder Diensten verwaltet, ist sie oft ein kritisches System im Sinne von NIS2.

Was hat NIS2 mit Fuhrparksoftware zu tun?

Fuhrparksoftware verarbeitet Daten, die unter NIS2 fallen:

  • Fahrerprofile: Name, Führerscheinnummer, Gültigkeitsdaten, Kontrollprotokolle
  • Buchungsdaten: Wer fährt wann welches Fahrzeug, für wie lange?
  • Standort- und GPS-Daten: Echtzeit-Fahrzeugverfolgung, Bewegungsprofile
  • Buchungshistorie: Regelmäßige Nutzungsmuster, Ausfallzeiten, Fahrtverhalten
  • Fahrzeug-Telemetrie: Wartungsdaten, Fehlercodes, Tankzustände, technische Anomalien

Unter NIS2 müssen die Systeme, die diese Daten verarbeiten, strenge Cybersicherheitsanforderungen erfüllen. Das sind nicht nur die Applikationen selbst, sondern auch die Infrastruktur dahinter.

Hinzu kommt die Supply-Chain-Sicherheit: NIS2 schaut sich auch die Sicherheit von Software-Herstellern an. Wenn Sie eine Cloud-basierte Fuhrparksoftware nutzen, haften Sie nicht nur für die Sicherheit der Lösung selbst, sondern auch für potenzielle Schwachstellen bei Ihrem Anbieter — und Sie müssen diese überwachen und dokumentieren.

Die 10 Kernanforderungen der NIS2

Die NIS2-Richtlinie schreibt folgende Sicherheitsmaßnahmen vor:

  1. Multi-Faktor-Authentifizierung (MFA): Jeder Zugriff auf Fuhrparksoftware muss durch mindestens zwei Faktoren gesichert sein.

  2. Verschlüsselung: Daten in Transit (HTTPS/TLS) und at Rest (Dateiensystem-Verschlüsselung, Datenbank-Verschlüsselung).

  3. Rollenbasierte Zugriffskontrolle (RBAC): Benutzer erhalten nur die Zugriffsrechte, die sie für ihre Aufgabe brauchen.

  4. Supply-Chain-Sicherheit: Überprüfung von Zulieferern und Herstellern, Verträge mit Sicherheitsklauseln, kontinuierliche Überwachung.

  5. Incident Management mit Meldepflichten:

    • Frühe Warnung (24 Stunden)
    • Formale Meldung an BSI (72 Stunden)
    • Abschlussmeldung (30 Tage)

  6. Risikomanagement: Regelmäßige Risikoanalysen, Schwachstellenscans, Penetrationstests.

  7. Backup und Disaster Recovery: Regelmäßige, getestete Backups mit definierten RPO/RTO-Zielen.

  8. Netzwerksicherheit: Firewalls, Intrusion Detection/Prevention, Netzwerksegmentierung.

  9. Mitarbeiterschulung: Regelmäßige Cybersecurity-Awareness-Trainings für alle Mitarbeiter.

  10. Asset Management: Dokumentation aller Hardware, Software und Daten-Assets.

Bußgelder und persönliche Haftung

NIS2-Verstöße sind teuer — und die Sanktionen treffen nicht nur die Organisation, sondern auch Geschäftsführer persönlich:

Für wesentliche Entitäten:

  • Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Zusätzliche Geschäftsführerhaftung für grobe Fahrlässigkeit

Für wichtige Entitäten:

  • Bußgelder bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes

Das BSI kann zudem Betriebs- und Beteiligungsverbote verhängen und kann auf Antrag der Kartellbehörden tätig werden.

Die persönliche Haftung (“Geschäftsführerhaftung”) ist die größte Änderung gegenüber früheren Regelungen. Geschäftsführer, die grobe Fahrlässigkeit begangen haben — etwa durch völliges Ignorieren von Cybersicherheit — können strafrechtlich verfolgt werden.

Warum On-Premise-Fuhrparksoftware NIS2-Compliance vereinfacht

Während Cloud-basierte Lösungen viele Vorteile bieten, komplizieren sie die NIS2-Compliance in mehreren Punkten:

Supply-Chain-Risiko: Mit Cloud-Software sind Sie abhängig von der Sicherheit des Cloud-Anbieters. Sie müssen kontinuierlich überwachen, ob Ihr Anbieter NIS2-Anforderungen erfüllt.

Datensouveränität: Cloud-Daten unterliegen potenziell fremdem Recht — etwa dem US Cloud Act. Selbst mit EU-Datenspeicherung können Daten aus den USA abgerufen werden.

Audit-Kontrolle: Mit On-Premise-Software haben Sie volle Kontrolle über Audit-Logs. Sie können zeigen, dass jede Änderung protokolliert ist, wer Zugriff hatte, wann. Mit Cloud-Software müssen Sie dem Anbieter vertrauen, dass dieser Audit-Trail korrekt implementiert ist.

Unabhängigkeit: On-Premise bedeutet, dass Sie nicht auf die Compliance-Roadmap eines Vendors warten müssen. Sie kontrollieren selbst, welche Sicherheitsmaßnahmen wann implementiert werden.

On-Premise-Lösungen wie MobilityManager vereinfachen NIS2-Compliance, weil:

  • Datensouveränität: Ihre Daten bleiben auf Ihrer Infrastruktur — keine Cloud-Provider-Abhängigkeit.
  • Audit-Kontrolle: Sie haben direkten Zugriff auf Audit-Logs und können diese ohne externe Abhängigkeiten überprüfen.
  • Supply-Chain-Reduktion: Weniger externe Abhängigkeiten = weniger Schwachstellen in der Supply Chain.
  • DSGVO + NIS2 Alignment: Wer DSGVO ernst nimmt, sollte sowieso On-Premise bevorzugen — NIS2 verstärkt diesen Trend.

Wie MobilityManager NIS2-Compliance unterstützt

MobilityManager wurde mit Cybersecurity und Compliance als Architekturprinzipien entwickelt:

Rollenbasierte Zugriffskontrolle (RBAC):

  • 5 vordefinierte Rollen mit granularen Berechtigungen
  • Benutzer sehen nur die Daten, für die sie authorisiert sind
  • Admin-Panel für detaillierte Berechtigungsverwaltung

Unveränderliche Audit-Logs:

  • Jede Datenänderung wird mit Timestamp, Benutzer und Aktion protokolliert
  • Audit-Einträge sind unveränderbar (HTTP 403 bei Änderungsversuchen)
  • Vollständige Nachverfolgbarkeit für Compliance-Audits

Verschlüsselung:

  • HTTPS/TLS für alle Datenübertragungen
  • Optionale Datenbank-Verschlüsselung für at-Rest-Daten
  • Sichere Schlüsselverwaltung

DSGVO-Pseudonymisierung:

  • Automatische Pseudonymisierung nach konfigurierbarem Aufbewahrungszeitraum
  • Personenbezug wird entfernt (z.B. “Deleted User #00123”), Audit-Trail bleibt erhalten
  • Beide NIS2- und DSGVO-Anforderungen erfüllt

Multi-Faktor-Authentifizierung:

  • TOTP-basierte MFA (Time-based One-Time Password)
  • Optional LDAP/AD-Integration für Enterprise-SSO
  • Erzwingt MFA für privilegierte Accounts

Health-Endpoints und Monitoring:

  • REST-API mit Health-Checks
  • Integration mit Standard-Monitoring-Tools
  • Dokumentierte API für SIEM-Integration

Incident Response:

  • Integriertes Logging für schnelle Incident-Analyse
  • Export-Funktionen für Incident-Reports
  • Ready for 72-Stunden-BSI-Meldung

Schritt-für-Schritt: Vorbereitung auf NIS2

Wenn Ihre Organisation noch nicht auf der BSI-Liste registriert ist, sollten Sie sofort handeln:

  1. Überprüfen Sie, ob Sie betroffen sind: Sind Sie > 250 Mitarbeiter oder > 50M EUR Umsatz? Arbeiten Sie in Transport/Logistik/kritischer Infrastruktur?

  2. Inventar: Dokumentieren Sie alle Ihre IT-Systeme, einschließlich Fuhrparksoftware.

  3. Risikobewertung: Welche Systeme sind am kritischsten? Welche Anforderungen sind noch nicht erfüllt?

  4. Software-Auswahl: Wählen Sie eine Fuhrparksoftware, die NIS2-konform ist — idealerweise On-Premise, um Supply-Chain-Risiken zu minimieren.

  5. Technische Maßnahmen: Implementieren Sie MFA, Verschlüsselung, RBAC, Logging.

  6. Organisatorische Maßnahmen: Schulungen, Incident-Response-Plan, regelmäßige Risikobewertungen.

  7. Dokumentation: Halten Sie alles fest — für BSI-Audits und persönliche Absicherung der Geschäftsführung.

Fazit

NIS2 ist nicht optional — es ist eine gesetzliche Compliance-Verpflichtung, die Unternehmen in Transport, Logistik und anderen kritischen Sektoren sofort erfüllen müssen. Wer Fuhrparksoftware betreibt oder nutzt, muss sicherstellen, dass diese Software NIS2-Anforderungen erfüllt.

Die Registrierungsfrist beim BSI ist bereits abgelaufen (6. März 2026), aber das heißt nicht, dass Compliance vorbei ist. Laufende Compliance ist eine kontinuierliche Aufgabe.

On-Premise-Lösungen wie MobilityManager vereinfachen diese Aufgabe erheblich, indem sie Supply-Chain-Risiken reduzieren und Ihnen volle Kontrolle über Ihre Daten und Audit-Logs geben.

Sind Sie unsicher, ob Ihre aktuelle Fuhrparksoftware NIS2-konform ist? Oder möchten Sie sehen, wie MobilityManager Ihnen hilft, NIS2 zu erfüllen? Nehmen Sie Kontakt auf für eine persönliche Beratung.

Recent Insights & Blogs

Read similar articles

Compliance , Fleet Management

Mar 24, 2026

Corporate Car Sharing and GDPR: What Your Fleet Software Must Handle

Fuhrparkmanagement , Strategie

Mar 22, 2026

Corporate Carsharing einführen: In 6 Schritten zum funktionierenden Poolfahrzeugsystem

Fuhrparkmanagement , Flottenmanagement

Mar 10, 2026

Multi-Tenant Flottenmanagement: Was es ist und warum Ihr Unternehmen es braucht

Bereit für professionelles Flottenmanagement?

Entdecken Sie MobilityManager in einer persönlichen Demo. On-Premise Installation in Ihrem Rechenzentrum, Self-Service Buchungen für Ihre Mitarbeiter, intelligente Auto-Zuweisung, volle DSGVO-Konformität – Made in Germany.

Jetzt kostenlose Demo vereinbaren