Stand 20. Februar 2025

Seit dem 1. Januar 2025 gelten für Unternehmen der sicheren Lieferkette neue gesetzliche Anforderungen im Bereich der Cybersicherheit. Bekannte Versender, reglementierte Beauftragte und reglementierte Lieferanten müssen erstmals Cybersicherheitsmaßnahmen implementieren und dokumentieren.

Die konkreten Anforderungen an die Unternehmen wurden vom Luftfahrt-Bundesamt erst kurz vor Weihnachten 2024 bekannt gegeben. Uns und allen beteiligten Stellen blieb denkbar wenig Zeit, die Anforderungen bis zum 1. Januar 2025 umzusetzen.

Der extrem knappe Zeitrahmen verunsichert die Unternehmen im ersten Halbjahr 2025 stark:

• Erwartet das Luftfahrt-Bundesamt schon jetzt eine vollständige Umsetzung?
• Was wird bei Besuchen von den Mitarbeitern des LBA konkret geprüft?
• Wie reagieren die Prüfer, wenn noch nicht alle Anforderungen erfüllt sind?

In den ersten Wochen des Jahres waren die Prüfer selbst noch nicht im Thema, aber mittlerweile zeichnet sich eine durchgängige Vorgehensweise ab:

Was wird aktuell durch das LBA geprüft?

Das Luftfahrt-Bundesamt (LBA) überprüft zurzeit (Stand Februar 2025) bei seinen regulären Inspektionen und Überwachungsmaßnahmen, ob Unternehmen der sicheren Lieferkette die erforderlichen Schritte zur Umsetzung der Cybersicherheitsmaßnahmen eingeleitet haben.

Unternehmen, bei denen „im Bereich Cybersicherheit noch nichts passiert ist“ werden zu konkreten Schritten verpflichtet.

Das LBA erfragt bei der Überprüfung im laufenden Jahr, ob in Ihrem Unternehmen

• kritische informations- und kommunikationstechnische Systeme (KIKS) identifiziert wurden.
• ein Risikomanagement gemäß der Grundsätze durchgeführt wurde.
• Cybersicherheitsmaßnahmen im Cybersicherheitsprogramm dokumentiert sind.
• der Schulungsbedarf der Mitarbeiter bewertet wurde.
• die erforderlichen Cybersicherheitsschulungen für das Personal durchgeführt und dokumentiert wurden.

Was passiert bei fehlender Umsetzung?

Falls das LBA bei der Kontrolle feststellt, dass ein Unternehmen die erforderlichen Maßnahmen noch nicht oder nicht vollständig umgesetzt hat, vergibt das LBA einen Mangel.

Die betroffenen Unternehmen werden dann verpflichtet, die Cybersicherheitsmaßnahmen bis spätestens 30. Juni 2025 umzusetzen.

Bereits vorher müssen die Unternehmen:

1. Einen Maßnahmenplan zur Umsetzung der Cybersicherheitsanforderungen erstellen.
2. Diesen Plan innerhalb von vier Wochen beim LBA einreichen.

Wir halten das für eine pragmatische Vorgehensweise. Der Aufschub bis zur Jahresmitte gibt tatsächlich ausreichend Zeit, die Vorgaben zu erfüllen. Dass zum jetzigen Zeitpunkt noch keine drakonischen Maßnahmen erfolgen, ist erfreulich und bei deutscher Bürokratie nicht selbstverständlich.

Hinweis für unsere Betreuungskunden

Für unsere Betreuungskunden haben wir bereits alle notwendigen Unterlagen zur Cybersicherheit vorbereitet und an die jeweiligen Luftsicherheitsbeauftragten übermittelt. Diese Dokumente umfassen:

• Ein Cybersicherheitsprogramm
• Vorlagen zur Identifikation und Bewertung von KIKS
• Materialien für das Risikomanagement
• Dokumentationsvorlagen für Schulungsmaßnahmen

Bei LBA-Kontrollen können Sie auf diese vorhandenen Unterlagen verweisen!

Knackpunkt Schulung des Personals: Bitte überprüfen Sie, ob alle relevanten Mitarbeiter die erforderlichen Cybersicherheitsschulungen absolviert haben.

Falls bei den Schulungen noch Lücken bestehen, kontaktieren Sie uns bitte zeitnah.

Mit unserer vorbereiteten Dokumentation und bereits durchgeführten Schulungen sollten Sie alle aktuellen Anforderungen erfüllen und keinen separaten Maßnahmenplan beim LBA einreichen müssen.

Falls Sie dennoch von einer LBA Kontrolle „kalt erwischt“ wurden, sind wir auch mit tatkräftiger Hilfe zur Stelle: wir haben bereits eine Vorlage für einen Maßnahmenplan vorbereitet, den Sie dann mit minimalen Anpassungen ans LBA übermitteln können.

Sie wissen ja: Wer in der Luftsicherheit von der First Class Management GmbH betreut wird, hat’s leichter!

Für Rückfragen oder weitere Unterstützung bei der Umsetzung Ihrer Cybersicherheitsmaßnahmen stehen wir Ihnen jederzeit zur Verfügung.