NIS2 im Automotive Ecosystem

1. Executive Summary

Die NIS2-Richtlinie erweitert den europäischen Cybersicherheitsrahmen deutlich: Sie verpflichtet betroffene wesentliche und wichtige Einrichtungen zu Cyber-Risk-Management, Incident Reporting, Business Continuity, Supply-Chain-Security, Governance und Aufsicht.

Für das Automotive-Ökosystem ist NIS2 besonders relevant, weil moderne Fahrzeuge, Backend-Plattformen, OTA-Systeme, Telematikdienste, Mobilfunkintegration, Cloud-Dienste, Managed Services und Datenplattformen zunehmend als vernetzte, softwarebasierte Betriebsumgebungen funktionieren.

NIS2 ersetzt keine Automotive-spezifischen Regeln wie UNECE R155/R156 oder Standards wie ISO/SAE 21434 und ISO 24089. Sie ergänzt diese um organisatorische, betriebliche und lieferkettenbezogene Anforderungen.

2. Regulatorischer Kontext

Die NIS2-Richtlinie ist die Richtlinie (EU) 2022/2555. Zentrale Pflichtbereiche:

• Cybersecurity Risk Management — Maßnahmen zur Beherrschung von Risiken für Netz- und Informationssysteme
• Incident Reporting — Meldung erheblicher Sicherheitsvorfälle
• Business Continuity — Krisenmanagement, Backup, Wiederherstellung, Notfallbetrieb
• Supply-Chain-Security — Berücksichtigung von Risiken aus Lieferketten und Dienstleistern
• Governance — Verantwortung der Leitungsorgane, Aufsicht und Durchsetzung

Die EU-Kommission hat zusätzlich die Durchführungsverordnung (EU) 2024/2690 erlassen. ENISA stellt technische Implementierungsleitlinien bereit.

Nationale Umsetzung

Deutschland: Das NIS2-Umsetzungsgesetz wurde am 05.12.2025 verkündet und trat am Folgetag in Kraft (BSI). Für andere Länder ist eine länderspezifische Prüfung erforderlich.

3. Automotive Ecosystem Impact

NIS2 betrifft das Automotive-Ökosystem nicht nur über Fahrzeughersteller, sondern über die gesamte digitale Wertschöpfungskette:

4. NIS2-Anforderungsmatrix

• Cybersecurity-Risikomanagement — Risikoanalyse für Backend, APIs, OTA, Telematik, IAM, Netzwerksegmente → Risk Register, Threat Model, Control Mapping
• Incident Reporting — Incident-Klassifizierung, Meldeprozesse, Eskalationsmatrix, Forensikfähigkeit → Incident Response Plan, Meldelog, Runbooks
• Business Continuity — Backup, Disaster Recovery, Failover, Notfallbetrieb → BCP, DR-Testberichte, RTO/RPO-Dokumentation
• Supply-Chain-Security — Lieferantenbewertung, Security Requirements, Auditfähigkeit → Supplier Security Assessment, Cybersecurity Interface Agreement
• Governance — Rollenmodell, Management Review, Risk Acceptance, Security KPIs → Governance Charter, Verantwortlichkeitsmatrix
• Secure Operations — SOC/SIEM, Logging, Vulnerability Management, Patch Management → Log-Konzept, Detection Use Cases
• OTA Security — Signierte Updates, Release-Gates, Rollback, Update-Monitoring → SUMS-Nachweis, Release Records
• Vehicle Cybersecurity — TARA, Security Concept, Cybersecurity Case → CSMS, TARA, Cybersecurity Case (UNECE R155, ISO/SAE 21434)
• Data Security & Privacy — Verschlüsselung, Zugriffskontrolle, Privacy by Design, DPIA → TOMs, Datenschutzkonzept (DSGVO)
• Product Cyber Resilience — Secure-by-Design, Vulnerability Handling, SBOM → CRA Technical Documentation

5. Schnittstellen zu Automotive-Cybersecurity-Standards

UNECE R155

UNECE R155 verlangt für die Typgenehmigung den Nachweis eines Cyber Security Management Systems. NIS2 adressiert den Betrieb und die Organisation; R155 adressiert produkt- und typgenehmigungsbezogene Cybersecurity. Zusammen entsteht ein End-to-End-Modell.

UNECE R156 und ISO 24089

UNECE R156 definiert Anforderungen an Software Update Management Systems. Für OTA-Betrieb bedeutet das: Release Management, Update-Sicherheit, Dokumentation, Rückverfolgbarkeit, Rollback-Fähigkeit und Betriebsüberwachung müssen auditierbar sein.

ISO/SAE 21434

ISO/SAE 21434 definiert Cybersecurity-Risikomanagement für Straßenfahrzeuge. Sie dient als Engineering-orientierter Nachweisrahmen, während NIS2 zusätzliche Anforderungen an Unternehmenssteuerung, Incident Handling und Lieferketten-Governance stellt.

Cyber Resilience Act

Der CRA setzt horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Für Automotive-Komponenten kann der CRA ergänzend zu NIS2, UNECE und ISO/SAE relevant sein.

EU Data Act und DSGVO

Connected Vehicle Platforms müssen Cybersecurity, Datenschutz, Datenzugang, Zweckbindung, Rollenmodelle und technische Zugriffskontrollen gemeinsam betrachten.

6. Auswirkungen auf Connected Vehicle Operations

NIS2 verschiebt den Fokus von punktueller IT-Security zu nachweisbarer operativer Resilienz:

• Connected-Car-Backend — Härtung von APIs, IAM, Mandantentrennung, Logging, Monitoring
• OTA-Betrieb — Release-Governance, Update-Integrität, Rollback, Nachvollziehbarkeit
• Telematik — Schutz von SIM/eSIM-Profilen, Datenkanälen, Backend-Schnittstellen
• Vehicle Data Platforms — Zugriffskontrolle, Datenklassifikation, DSGVO/Data-Act-Kompatibilität
• Remote Operations — Absicherung von Fernzugriffen, Operator-Rechten, Session Logging
• 5G/MNO-Integration — SLA, Security Controls, Incident-Schnittstellen, Netzwerksegmentierung

7. Supply-Chain- und Governance-Anforderungen

Typische Umsetzungslücken

1. Unklare Zuordnung zwischen Produkt-Cybersecurity, IT-Security, Datenschutz und Betrieb
2. Fehlende End-to-End-Risikoanalyse über Fahrzeug, Backend, Cloud, MNO und Dienstleister
3. Lieferantenverträge ohne prüfbare Security Requirements
4. Unvollständige Incident-Prozesse zwischen OEM, Tier-1, MNO, Cloud und MSP
5. OTA-Prozesse ohne ausreichende Nachweisartefakte
6. Fehlendes Mapping zwischen UNECE R155/R156, ISO/SAE 21434, ISO 24089, NIS2, DSGVO, CRA und Data Act
7. Security Controls ohne Audit Trail
8. Technische Maßnahmen ohne Management-Governance

8. Umsetzungsempfehlungen

• NIS2 Scope Assessment durchführen — Sektor, Unternehmensgröße, Rolle, nationale Umsetzung und konkrete Dienste bewerten
• Automotive Cybersecurity Framework konsolidieren — NIS2, UNECE, ISO/SAE, CRA, Data Act und DSGVO in einem gemeinsamen Kontrollmodell
• Connected Vehicle Risk Register aufbauen — Backend, OTA, Telematik, APIs, Cloud, SIM/eSIM, MNO-Integration
• Lieferantensteuerung operationalisieren — Security Requirements in Verträge, SLAs, Auditprogramme integrieren
• Incident- und Business-Continuity-Prozesse testen — Meldewege, Eskalation, Wiederherstellung regelmäßig üben
• Nachweisfähigkeit früh designen — Risk Register, Testnachweise, Release-Freigaben systematisch versionieren

9. IoT42-Kompetenzbezug

IoT42 kann im NIS2-Automotive-Kontext eine praxisnahe Schnittstellenrolle übernehmen:

Der Nutzen liegt nicht in isolierter Compliance-Dokumentation, sondern in belastbarer Übersetzung zwischen Regulierung, Architektur, Lieferantensteuerung und operativem Betrieb.

10. Quellenverzeichnis

1. Directive (EU) 2022/2555, NIS2 Directive, EUR-Lex.
2. European Commission, NIS2 Directive policy overview.
3. ENISA, NIS2 Technical Implementation Guidance, 26 June 2025.
4. Commission Implementing Regulation (EU) 2024/2690.
5. BSI, NIS2-Umsetzungsgesetz in Deutschland, 05.12.2025.
6. UNECE Regulation No. 155, Cyber Security and CSMS.
7. UNECE Regulation No. 156, Software Update and SUMS.
8. ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering.
9. ISO 24089:2023, Road vehicles — Software update engineering.
10. Regulation (EU) 2024/2847, Cyber Resilience Act.
11. Regulation (EU) 2023/2854, EU Data Act.
12. Regulation (EU) 2016/679, GDPR.

© 2026 IoT42 GmbH. Alle Rechte vorbehalten.