Branchen-Whitepaper
NIS2 im Automotive Ecosystem
Cybersecurity, Lieferketten und Connected-Vehicle-Betrieb
Zusammenfassung
Die NIS2-Richtlinie erweitert den europäischen Cybersecurity-Rahmen erheblich. Sie verpflichtet betroffene Einrichtungen, Maßnahmen für das Cyber-Risikomanagement, Prozesse zur Meldung von Sicherheitsvorfällen, Fähigkeiten zur Geschäftskontinuität, Kontrollen zur Lieferkettensicherheit sowie eine Verantwortlichkeit der Leitungsebene zu etablieren.
Für das Automotive-Ökosystem ist NIS2 besonders relevant, weil vernetzte Fahrzeuge keine isolierten Produkte mehr sind. Sie funktionieren als verteilte digitale Systeme über Fahrzeugelektronik, Backend-Plattformen, Cloud-Infrastruktur, Mobilfunknetze, OTA-Systeme, Datenplattformen und Managed Services hinweg.
Dieses Whitepaper trennt regulatorische Fakten, technische Interpretation und Umsetzungsempfehlungen. Es stellt keine Rechtsberatung dar. Die konkrete Anwendbarkeit von NIS2 auf ein bestimmtes Unternehmen muss immer im Einzelfall geprüft werden.
1. Regulatorischer Kontext
1.1 Zweck und Geltungsbereich von NIS2
Die Richtlinie (EU) 2022/2555, bekannt als NIS2-Richtlinie, etabliert ein gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union. Sie erweitert den Kreis der regulierten Sektoren und führt strengere Anforderungen an Cyber-Risikomanagement, Meldewesen, Aufsicht und Durchsetzung ein.
- Cyber-Risikomanagement — angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen.
- Meldung von Sicherheitsvorfällen — Prozesse zur Meldung erheblicher Cybersicherheitsvorfälle an die zuständigen Behörden.
- Geschäftskontinuität — Krisenmanagement, Backup-Management, Disaster Recovery und operative Resilienz.
- Lieferkettensicherheit — Bewertung und Steuerung von Risiken, die von Lieferanten und Dienstleistern ausgehen.
1.2 Nationale Umsetzung
Deutschland: Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde das deutsche NIS-2-Umsetzungsgesetz am 5. Dezember 2025 verkündet und trat am Folgetag in Kraft.
Wichtige Einschränkung: Dieses Whitepaper stellt nicht fest, ob ein bestimmtes Unternehmen rechtlich in den Geltungsbereich fällt. Eine solche Bewertung erfordert eine Einzelfallprüfung anhand von Sektor, Größe, Diensten, nationalem Umsetzungsrecht und operativer Rolle.
2. Auswirkungen auf das Automotive-Ökosystem
NIS2 betrifft das Automotive-Ökosystem nicht nur über die Fahrzeughersteller, sondern über die gesamte digitale Wertschöpfungskette des Connected-Vehicle-Betriebs.
- OEMs: Connected-Vehicle-Plattformen, OTA-Betrieb, Fahrzeugdatenplattformen, Cybersecurity-Governance.
- Tier-1- und Tier-2-Lieferanten: Steuergeräte (ECUs), Connectivity-Einheiten, Firmware, Softwarekomponenten und Nachweis-Artefakte.
- Mobilfunknetzbetreiber: SIM/eSIM, Roaming, IoT-Konnektivität, SLA-Schnittstellen und Netzsicherheit.
- Cloud- und Managed-Service-Provider: Hosting, Monitoring, Incident Response, Plattform-Resilienz und operative Sicherheit.
3. NIS2-Anforderungsmatrix
| NIS2-Anforderung | Betroffene Automotive-Akteure | Technische Umsetzung | Nachweis-Artefakt | Quelle |
|---|---|---|---|---|
| Cyber-Risikomanagement | OEMs, Tier-1s, Cloud-Provider, MSPs, Connectivity-Plattformen | Risikoregister, Threat Modelling, Control-Mapping, Schwachstellenmanagement | Risikobewertung, Kontrollkatalog, Maßnahmenplan | NIS2, ENISA-Leitlinien |
| Meldung von Sicherheitsvorfällen | OEMs, MNOs, MSPs, Plattformbetreiber | Vorfallklassifizierung, Eskalationsmatrix, Forensik-Bereitschaft, Melde-Workflow an Behörden | Incident-Response-Plan, Vorfallprotokoll, Meldenachweise | NIS2 |
| Geschäftskontinuität | Connected-Vehicle-Plattformen, Cloud-Provider, OTA-Betreiber | Backup, Disaster Recovery, Failover, Krisenkommunikation, RTO/RPO-Definition | BCP, DR-Testbericht, Continuity-Playbook | NIS2, ENISA |
| Lieferkettensicherheit | OEMs, Tier-1s, Tier-2s, Softwarelieferanten | Lieferanten-Risikobewertung, vertragliche Sicherheitsanforderungen, Auditrechte, SBOM-Handhabung | Lieferantenbewertung, Auditbericht, Sicherheitsanforderungs-Spezifikation | NIS2, UNECE R155 |
| Governance und Verantwortlichkeit der Leitungsebene | Geschäftsführung, CISO, Product Owner, Plattform-Verantwortliche | Rollen und Verantwortlichkeiten, Management-Reviews, Risikoakzeptanz-Prozess | Governance-Charter, RACI-Matrix, Review-Protokolle | NIS2 |
| Sicherer Betrieb | OEMs, MSPs, SOC-Teams, Backend-Betreiber | SIEM, SOC-Use-Cases, Logging, Monitoring, Schwachstellenbehebung | Detektionskatalog, Logging-Konzept, SOC-Betriebsmodell | ENISA |
| OTA-Sicherheit | OEMs, Tier-1s, OTA-Plattformanbieter | Signierte Updates, sichere Release-Pipeline, Rollback-Fähigkeit, Update-Nachverfolgbarkeit | SUMS-Nachweise, Release-Protokoll, Testbericht | UNECE R156, ISO 24089 |
| Fahrzeug-Cybersecurity-Engineering | OEMs, Tier-1s, Tier-2s | TARA, Cybersecurity-Konzept, Cybersecurity-Case, Schwachstellenbehandlung | CSMS-Nachweise, TARA, Cybersecurity-Case | UNECE R155, ISO/SAE 21434 |
| Datenschutz | OEMs, Plattformbetreiber, Datenplattformen | Zugriffskontrolle, Verschlüsselung, Privacy by Design, Datenminimierung | DSFA, TOMs, Verarbeitungsverzeichnis | DSGVO, EU Data Act |
| Produkt-Cyberresilienz | OEMs, Lieferanten, Software- und Hardwareanbieter | Secure-by-Design, Schwachstellenbehandlung, Update-Support, technische Dokumentation | SBOM, Schwachstellen-Richtlinie, CRA-Dokumentation | Cyber Resilience Act |
4. Schnittstellen zu Automotive-Cybersecurity-Standards
- UNECE R155 — adressiert Fahrzeug-Cybersecurity und Cyber Security Management Systeme. Produkt- und typgenehmigungsorientiert.
- UNECE R156 — adressiert Software Update Management Systeme und den sicheren Umgang mit Fahrzeug-Software-Updates.
- ISO/SAE 21434 — liefert einen Engineering-Rahmen für das Cybersecurity-Risikomanagement von Straßenfahrzeugen.
- ISO 24089 — definiert Anforderungen und Empfehlungen für das Software-Update-Engineering.
- Cyber Resilience Act — führt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen ein.
- DSGVO & EU Data Act — verlangen einen sicheren, rechtmäßigen und transparenten Umgang mit fahrzeugbezogenen und personenbezogenen Daten.
Technische Interpretation: NIS2 ersetzt nicht UNECE R155/R156, ISO/SAE 21434 oder ISO 24089. Es ergänzt diese um organisatorische, operative und lieferkettenbezogene Anforderungen.
5. Auswirkungen auf den Connected-Vehicle-Betrieb
- Connected-Car-Backends: API-Härtung, IAM, Mandantentrennung, Monitoring und Auditierbarkeit.
- OTA-Betrieb: Release-Governance, signierte Updates, Rollback-Fähigkeit und nachvollziehbare Deployment-Protokolle.
- Telematik: Schutz von SIM/eSIM-Profilen, Backend-Schnittstellen, Datenkanälen und Lifecycle-Prozessen.
- Remote-Betrieb: sicherer Fernzugriff, privilegierte Betreiberrollen, Session-Logging und Notfallprozeduren.
- 5G- und MNO-Integration: Sicherheitskontrollen, operative SLAs, Schnittstellen für Vorfälle, Roaming und Segmentierung.
6. Typische Umsetzungslücken
- Fragmentierte Verantwortung: unklare Zuständigkeiten zwischen IT-Sicherheit, Produkt-Cybersecurity, Plattformbetrieb und Datenschutz.
- Unvollständige End-to-End-Risikosicht: Fahrzeug, Backend, Cloud, Mobilfunknetz und Lieferanten werden getrennt bewertet.
- Schwache Lieferantennachweise: Verträge definieren generische Sicherheitspflichten, es fehlen aber überprüfbare Artefakte.
- Lücken im Vorfallprozess: unklare Eskalationswege zwischen OEMs, Tier-1s, MNOs, Cloud-Providern und MSPs.
- OTA-Nachweislücken: Release-Prozesse existieren, sind aber nicht ausreichend nachvollziehbar oder audit-bereit.
- Lücken im Control-Mapping: NIS2, UNECE R155/R156, ISO/SAE 21434, ISO 24089, CRA, DSGVO und der EU Data Act sind nicht in einem kohärenten Kontrollrahmen zusammengeführt.
7. Umsetzungsempfehlungen
- NIS2-Geltungsbereichsprüfung durchführen. Sektor, Unternehmensgröße, Dienstleistungsrolle, nationales Umsetzungsrecht und Position in der Lieferkette bewerten.
- Einen integrierten Automotive-Cybersecurity-Kontrollrahmen aufbauen. NIS2, UNECE R155/R156, ISO/SAE 21434, ISO 24089, CRA, DSGVO und den EU Data Act zusammenführen.
- Ein Connected-Vehicle-Risikoregister etablieren. Backend, OTA, Telematik, APIs, Cloud, SIM/eSIM, MNO-Integration und Remote-Betrieb einbeziehen.
- Lieferanten-Governance operationalisieren. Anforderungen in Verträge, Spezifikationen, Audits, SLAs und Nachweis-Artefakte übersetzen.
- Vorfall- und Geschäftskontinuitätsprozesse testen. Schnittstellen von OEM, Tier-1, MNO, Cloud-Provider und MSP einbeziehen.
- Von Anfang an auf Auditierbarkeit auslegen. Risikoentscheidungen, Architektur-Aufzeichnungen, Release-Freigaben, Lieferantennachweise und Testberichte versionieren.
8. Kompetenzbeitrag von IoT42
IoT42 unterstützt Automotive-Organisationen an der Schnittstelle von Connectivity-Architektur, Mobilfunkintegration, Datenschutz, Cybersecurity-Anforderungen und operativer Umsetzung.
Requirements Engineering — Übersetzung regulatorischer, technischer und operativer Anforderungen in umsetzbare Spezifikationen.
Gap-Analyse — strukturierte Bewertung bestehender Kontrollen gegen die Anforderungen von NIS2, UNECE, ISO/SAE, CRA, DSGVO und Data Act.
Connectivity-Architektur — Bewertung von MNO-, 5G-, SIM/eSIM-, Telematik-, Backend- und Fahrzeugdatenplattform-Schnittstellen.
Compliance-by-Design — Integration von Cybersecurity, Datenschutz, Nachweismanagement und Lieferantenkontrollen in Architektur und Betrieb.
IoT42 hilft, Cybersecurity-Regulierung in praxistaugliche Architektur, Lieferanten-Governance und operative Umsetzung zu übersetzen.
Quellenverzeichnis
- Richtlinie (EU) 2022/2555 — NIS2-Richtlinie, EUR-Lex.
- Europäische Kommission — Policy-Überblick zur NIS2-Richtlinie.
- ENISA — NIS2 Technical Implementation Guidance.
- Durchführungsverordnung (EU) 2024/2690 der Kommission.
- BSI — Deutsches NIS-2-Umsetzungsgesetz, 5. Dezember 2025.
- UNECE-Regelung Nr. 155 — Cyber Security und Cyber Security Management System.
- UNECE-Regelung Nr. 156 — Software Update und Software Update Management System.
- ISO/SAE 21434:2021 — Straßenfahrzeuge — Cybersecurity Engineering.
- ISO 24089:2023 — Straßenfahrzeuge — Software-Update-Engineering.
- Verordnung (EU) 2024/2847 — Cyber Resilience Act.
- Verordnung (EU) 2023/2854 — EU Data Act.
- Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung.
© 2026 IoT42 GmbH. Alle Rechte vorbehalten. Dieses Whitepaper dient ausschließlich Informationszwecken und stellt keine Rechts-, Regulierungs- oder Anlageberatung dar. Die konkrete Anwendbarkeit von NIS2 ist stets im Einzelfall zu prüfen.