Cyberschulung 2026 in der Luftsicherheit
Die Anforderungen an Cybersicherheits-Schulungen in der Luftsicherheit ändern sich zum 1. Januar 2026 grundlegend. Das komplexe System mit drei Personengruppen entfällt – stattdessen gilt eine einheitliche, deutlich vereinfachte Regelung.
Kaum eingeführt, schon wieder geändert
Erinnern Sie sich noch? Erst seit dem 1. Januar 2025 müssen reglementierte Beauftragte, bekannte Versender und zugelassene Transporteure ihr Personal zur Cybersicherheit schulen. Die Anforderungen waren komplex: Drei verschiedene Personengruppen, zwölf mögliche Schulungsthemen, eine aufwändige Zuordnung je nach Tätigkeit.
Das alles ändert sich jetzt wieder.
Mit der Version 3 der „Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen“ hat das Bundesministerium für Verkehr (BMV) im November 2025 eine komplett überarbeitete Fassung veröffentlicht.
Diese tritt am 1. Januar 2026 in Kraft – und vereinfacht die Schulungsanforderungen drastisch.
Was sich konkret ändert
Die Personengruppen entfallen komplett
Vorher (2025): Sie mussten Ihre Mitarbeiter in drei Gruppen einteilen.
- Gruppe a: Mitarbeiter ohne direkten IT-Zugriff
- Gruppe b: Mitarbeiter, die kritische Systeme nutzen
- Gruppe c: IT-Administratoren und Cyber-Experten
Nachher (2026): Es gibt keine Gruppen mehr. Stattdessen gilt eine einheitliche Regelung für alle Mitarbeiter, die potenziell Cyberangriffe beobachten oder deren Auswirkungen feststellen könnten.
Nur noch eine Pflichtschulung
Vorher (2025): Je nach Personengruppe waren verschiedene Schulungsthemen verpflichtend oder „nach Erfordernis“ zu belegen – von Cyber Security Awareness über Netzwerksicherheit bis hin zu Penetration Testing.
Nachher (2026): Nur noch eine Schulung ist Pflicht: die Cyber Security Awareness Schulung.
Inhalte einer solchen Schulung können sein:
- Internetsicherheit
- Social Engineering
- Clean Desk
- Passwörter
- Verhalten bei einem Sicherheitsvorfall
Abweichungen von den oben genannten Beispielinhalten sind möglich.
Alle anderen Themen sind ab 2026 optional. Sie können diese Schulungen Ihren Mitarbeitern anbieten, müssen es aber nicht. Das ist eine große Vereinfachung! Zu den fortgeschrittenen, optionalen Themen zählen:
- Datensicherheit
- Vorfallsbehandlung
- Netzwerksicherheit
- Malware
- Sicherheitskonfiguration
- Hacking
- Digitale Forensik
- Einhaltung von Vorschriften und Standards
- Penetration Testing
- Anwendungsentwicklung
Neue Mindestdauer: 90 Minuten
Erstmals gibt es eine klar definierte Mindestdauer: Die Cyber Security Awareness Schulung muss mindestens 2 Unterrichtseinheiten zu je 45 Minuten umfassen – also insgesamt 90 Minuten.
Unternehmensinterne Richtlinien werden Pflicht
Neu ist auch: Sie müssen Ihren Mitarbeitern zusätzlich zur Schulung die unternehmensinternen Richtlinien zum Schutz vor und zum Verhalten bei Cyberangriffen vermitteln. Das umfasst zum Beispiel:
- Erkennen und Melden von verdächtigen Situationen
- Meldewege und Notfallkontakte
- Verhalten bei einem Sicherheitsvorfall
Diese Inhalte können Sie entweder in die Schulung integrieren oder separat vermitteln – wichtig ist nur, dass Sie dies dokumentieren.
Vergleich: 2025 vs. 2026
| Aspekt | 2025 | 2026 |
|---|---|---|
| Personengruppen | 3 verschiedene Gruppen | Keine – einheitliche Regelung |
| Pflichtschulungen | 3 verschiedene Pflichtschulungen | Nur Cyber Security Awareness |
| Mindestdauer | Nicht definiert | 90 Minuten |
| Unternehmensrichtlinien | Nicht gefordert | Pflicht |
| Online-Schulung (WBT) | Erlaubt | Erlaubt |
| LBA-Freigabe nötig | Nein | Nein |
Was das für Sie bedeutet
Die gute Nachricht: Der Schulungsaufwand sinkt deutlich. Statt Ihre Mitarbeiter verschiedenen Gruppen zuzuordnen und unterschiedliche Schulungen zu organisieren, benötigen alle Mitarbeiter dieselbe Grundschulung.
Die praktische Umsetzung: Wir passen unser Schulungsangebot entsprechend an. Der bisherige Kurs „Cyber Security Standard“ wird nun tatsächlich der „Standard“, der für alle Mitarbeiter gilt. Er enthält die o.g. Themen und bietet Ihren Mitarbeitenden ein grundsätzliches Verständnis des Themas.
Fortgeschrittene Themen werden zu einem einheitlichen Kurs zusammengeführt, der bei Bedarf auf freiwilliger Basis für die Mitarbeiter gebucht werden kann.
Was mit bestehenden Schulungsnachweisen passiert: Wenn Ihre Mitarbeiter bereits 2025 eine Cyberschulung absolviert haben, bleibt diese grundsätzlich gültig. Die 5-Jahres-Frist für die Auffrischung läuft weiter.
Unsere Empfehlung
- Für Neuschulungen ab 2026: Nutzen Sie unseren aktualisierten Kurs, der alle neuen Anforderungen erfüllt.
- Für bereits geschulte Mitarbeiter: Die bestehenden Nachweise bleiben gültig. Eine Auffrischung ist erst nach 5 Jahren oder bei relevanten Änderungen der Bedrohungslage nötig.
- Dokumentation prüfen: Stellen Sie sicher, dass Ihre Teilnahmebestätigungen die neuen Pflichtangaben enthalten (Name des Teilnehmers, Name des Schulenden, Datum, Thema/Inhalte, Zeitumfang).
- Unternehmensrichtlinien ergänzen: Bereiten Sie die Vermittlung Ihrer internen Cybersicherheits-Richtlinien vor – entweder als Teil der Schulung oder als separates Dokument.
Fragen?
Sie sind unsicher, wie Sie die neuen Anforderungen umsetzen sollen? Wir helfen Ihnen gerne weiter.
Tel 0421 69 000 800 | E-Mail schreiben
Dieser Artikel wurde am 31.12.2025 veröffentlicht und basiert auf Version 3 der „Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen der VO (EU) 2015/1998“ des Bundesministeriums für Verkehr.