Stand 31. Dezember 2025. 

Ab dem 01.01.2025 müssen bekannte Versender, reglementierte Beauftragte und reglementierte Lieferanten neue Cybersicherheitsmaßnahmen umsetzen. Grundlage sind die EU-Durchführungsverordnung 2019/1583 sowie die „Grundsätze zur Umsetzung von Maßnahmen zum Schutz von kritischen informations- und kommunikationstechnischen Systemen (KIKS).“

Diese Maßnahmen sind in einem Cybersicherheitsprogramm zu dokumentieren und als Teil des Sicherheitsprogramms dem Luftfahrt-Bundesamt (LBA) vorzulegen. Außerdem muss das Personal zur Cybersicherheit geschult werden.

Um Ihnen die Umsetzung dieser neuen Anforderungen zu erleichtern, haben wir die wichtigsten Fragen zu diesem Thema zusammengestellt. Die FAQ gliedern sich in zwei Hauptbereiche: Allgemeine Fragen zur Umsetzung der Cybersicherheitsmaßnahmen sowie spezifische Fragen zur Schulung des Personals.

Allgemeine Fragen

Welche Unternehmen müssen Cybersicherheitsmaßnahmen umsetzen?

Als reglementierter Beauftragter, reglementierter Lieferant oder bekannter Versender sind Sie verpflichtet, ab 1. Januar 2025 Cybersicherheitsmaßnahmen in Ihrem Unternehmen umzusetzen.

Falls Sie als behördlich zugelassener Transporteur tätig sind, müssen Sie aktuell noch keine speziellen Maßnahmen zur Cybersicherheit implementieren. Wir halten es für wahrscheinlich, dass zu einem späteren Zeitpunkt Transporteure auch entsprechend verpflichtet werden.

Welche Maßnahmen müssen ergriffen werden um die Cyber Security zu gewährleisten?

  1. Sie müssen Ihr Luftsicherheitsprogramm mit einer neuen Anlage – dem „Cybersicherheitsprogramm“ – ergänzen (und natürlich die dort beschriebenen Maßnahmen umsetzen).
  2. Sie müssen Ihr Personal schulen. Die Art der Schulung hängt vom Aufgabenbereich der jeweiligen Person ab.

Wo finde ich die Dokumente und Vorgaben, um ein Cybersicherheitsprogramm zu erstellen?

Das Luftfahrt-Bundesamt hat eine Reihe von Dokumenten zur Verfügung gestellt, in denen die Anforderungen genauer erläutert werden.

Muster Cyber-Luftsicherheitsprogramm für bekannte Versender und reglementierte Beauftragte

https://www.lba.de/SharedDocs/Downloads/DE/S/Reglementierter_Beauftragter/Muster_Cybersicherheitsprogramm.html

Quelle: Luftfahrt-Bundesamt

Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen

https://www.lba.de/DE/Luftsicherheit/Cybersecurity/Umsetzung_DV_EU_2019_1583.html?nn=4398814

Quelle: Bundesministerium für Digitales und Verkehr

Zusatzinformationen zu den Anwendungsgrundsätzen für §§ 9 und 9a Luftsicherheitsgesetz

Diese Informationen können Sie nicht direkt downloaden, sie müssen beim LBA per E-Mail angefordert werden.

https://www.lba.de/DE/Luftsicherheit/Cybersecurity/ZusatzinfosZuAnwendungsgrundsaetzen.html?nn=4398814

Quelle: Luftfahrt-Bundesamt

Grundsätze zur Umsetzung von Maßnahmen zum Schutz von kritischen informations- und kommunikationstechnischen Systemen und Daten in der
Luftsicherheit gemäß dem Anhang der DVO (EU) 2015/1998

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/LuSi/LuftSiG_Hauptdokument.pdf

Quelle:  Bundesministerium des Innern und für Heimat

Muss ich das Muster-Cybersicherheitsprogramm des LBA verwenden?

Nein, die Verwendung des Muster-Cybersicherheitsprogramms ist nicht verpflichtend. Sie können auch ein eigenes Programm erstellen, solange es die Anforderungen der EU-Verordnung erfüllt. Die Verwendung des LBA Musters dürfte aber Einiges an Arbeit sparen.

Unsere Betreuungskunden unterstützen wir gerne bei der Erstellung ihres standortbezogenen Cybersicherheitsprogramms.

Gilt das Cybersicherheitsprogramm für den gesamten Konzern oder für einzelne Standorte?

Die Zulassung nach § 9a LuftSiG bezieht sich immer auf einzelne Betriebsstandorte. Entsprechend müssen Sie die Cybersicherheitsmaßnahmen auch für jeden Standort individuell umsetzen und nachweisen.

Eine Ausnahme bilden kritische IT-Systeme (KIKS), die Sie an mehreren Standorten nutzen. Diese müssen Sie dann übergreifend für alle betroffenen Standorte betrachten und absichern.

Was sind KIKS?

KIKS ist die Abkürzung für „kritische informations- und kommunikationstechnische Systeme“. Dies sind IT-Systeme, die für die sichere Abwicklung Ihrer luftfrachtbezogenen Prozesse besonders wichtig sind.

Wie erkenne ich, ob meine IT-Systeme als KIKS einzustufen sind?

Sie müssen Ihre IT Systeme und Prozesse dahingehend bewerten, ob Sie für die Sicherheit der Zivilluftfahrt relevant sind. Ist das der Fall, gelten Sie als KIKS und Sie müssen entsprechende Maßnahmen ergreifen, um die Systeme vor Mißbrauch und Risiken zu schützen.

Verschaffen Sie sich einen Überblick über die Prozesse und fragen Sie sich:

„Könnte ein teilweiser oder vollständiger Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems oder der Daten die Sicherheit der Zivilluftfahrt gefährden?“

Um diese Frage zu beantworten, brauchen Sie eine Reihe von Informationen dazu, wie die Abläufe in Ihrem Unternehmen sind.

Nützliche Infos sind:

  • Art des Einflusses auf die Luftsicherheit
  • Anzahl der Nutzenden
  • Verkaufender/Dienstleistender
  • Softwareversion/Patch- oder Updatestand
  • Art gespeicherter oder ausgetauschter Daten

Anhand dieser Informationen können Sie dann die Relevanz als KIKS bewerten.

Wie gehe ich mit Subunternehmern und externen Dienstleistern um?

Wenn Sie mit Subunternehmern, IT-Dienstleistern oder anderen externen Partnern zusammenarbeiten, müssen Sie auch deren Einfluss auf Ihre IT-Sicherheit bewerten. Dies gilt besonders, wenn diese Partner Zugriff auf Ihre kritischen IT-Systeme haben oder Daten mit Ihnen austauschen.

Prüfen Sie dabei:

  • Welche Risiken entstehen durch die Zusammenarbeit?
  • Ist der Partner selbst als reglementierter Beauftragter, reglementierter Lieferant oder bekannter Versender zugelassen? In diesem Fall können Sie dies als risikomindernd berücksichtigen.
  • Welche zusätzlichen Sicherheitsmaßnahmen sind ggf. nötig?

Beachten Sie: Auch wenn Ihr Partner bereits zugelassen ist, müssen Sie verbleibende Risiken identifizieren und entsprechende Schutzmaßnahmen umsetzen.

Gibt es eine Bestätigung bzw. ein Zertifikat oder Schreiben seitens des BSI oder LBA, dass die Anforderungen erfüllt werden?

Nein, Sie erhalten kein gesondertes Zertifikat für Ihre Cybersicherheitsmaßnahmen. Die Prüfung und Bestätigung der Maßnahmen ist bereits Teil Ihrer regulären Zulassung als reglementierter Beauftragter/Lieferant oder bekannter Versender.

D.h. das LBA bewertet die Cybersecurity bei der Erstzulassung oder bei der nächsten fälligen Verlängerung Ihrer bestehenden Zulassung.

Muss das Cybersicherheitsprogramm jetzt zum 1.1.2025 beim Luftfahrt-Bundesamt eingereicht werden?

Nein, Sie müssen Ihr Cybersicherheitsprogramm nicht gesondert zum Jahresanfang 2025 einreichen.

Die Prüfung erfolgt im Rahmen Ihrer regulären Zulassungsprozesse:

  • Bei der nächsten Verlängerung Ihrer Zulassung (alle 5 Jahre)
  • Wenn Sie aus anderen Gründen Änderungen an Ihrem Luftsicherheitsprogramm vornehmen (z.B. sicherheitsrelevante räumliche Veränderungen, Änderung von bestehenden Sicherheitsmaßnahmen)
  • Bei Erstzulassungen ab dem 1. Januar 2025

Gut für Sie zu wissen:

Bei Inspektionen oder Aufsichtsbesuchen des LBA wird zwar überprüft, ob Sie ein Cybersicherheitsprogramm erstellt haben – eine detaillierte inhaltliche Prüfung findet dabei aber nicht statt. Diese erfolgt erst bei der nächsten regulären Prüfung Ihres gesamten Luftsicherheitsprogramms.

Wann und wem muss ich Änderungen an meinem Cybersicherheitsprogramm melden?

Wenn sich etwas an Ihren kritischen IT-Systemen (KIKS) ändert, müssen Sie dies dem Luftfahrt-Bundesamt (LBA) melden. Das betrifft zum Beispiel:

  • Wenn Sie neue kritische IT-Systeme einführen
  • Wenn Sie bestehende Systeme außer Betrieb nehmen
  • Wenn sich das Risiko-Level Ihrer Systeme wesentlich ändert (über oder unter die 60%-Grenze gemäß Punkt 2.3.4 der Grundsätze)

In diesen Fällen müssen Sie Ihr aktualisiertes Cybersicherheitsprogramm dem LBA zur Genehmigung vorlegen. Eine separate Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nicht erforderlich.

Welche Regeln gelten für ausländische IT-Dienstleister, die mit unseren KIKS zu tun haben?

Die Cybersicherheitsanforderungen beziehen sich nur auf IT-Systeme, die:

  • in Deutschland betrieben oder genutzt werden oder
  • unter deutsche Rechtshoheit fallen

Das bedeutet für Sie: Wenn Sie mit ausländischen IT-Dienstleistern zusammenarbeiten (z.B. für Softwareentwicklung oder IT-Support), müssen Sie nur die Systeme in Ihr Cybersicherheitsprogramm einbeziehen, die in Deutschland genutzt werden oder Ihrem deutschen Unternehmen zugeordnet sind.

Fragen zur Schulung des Personals

Welche Unternehmen müssen ihr Personal zur Cyber-Luftsicherheit schulen?

Alle Stellen der sicheren Lieferkette, die Cybersicherheitsmaßnahmen in der Luftsicherheit umsetzen müssen, müssen auch ihr Personal entsprechend schulen.

Beispiele sind reglementierte Beauftragte, bekannte Versender sowie behördlich zugelassene Transporteure innerhalb der sicheren Lieferkette.

Wer muss in meinem Unternehmen Cybersicherheitsschulungen absolvieren?

Ab dem 01.01.2026 gilt eine vereinfachte Grundregel: Alle internen und externen Mitarbeitenden,

  • die in ihrer Tätigkeit Auswirkungen von Cyberangriffen auf kritische informations- und kommunikationstechnische Systeme und Daten (KIKS) feststellen
  • oder einen solchen Cyberangriff beobachten könnten,

müssen eine Cyber Security Awareness Schulung absolvieren.

Die Cyber Security Awareness Schulung hat einen Mindestumfang von 2 Unterrichtseinheiten (à 45 Minuten).

Gibt es ab 2026 noch Personengruppen (a/b/c) für die Cyberschulung?

Nein. Die bisherige Einteilung in Personengruppen entfällt. Stattdessen steht eine einheitliche Cyber Security Awareness Schulung im Mittelpunkt.

Weitere, aufgabenbezogene Schulungen können sinnvoll sein – sie sind aber nicht mehr als feste Gruppenpflicht definiert.

Welche Inhalte muss die verpflichtende Cyber Security Awareness Schulung abdecken?

Als Beispiel für Schulungsinhalte werden vom BSI folgende Themen genannt:

Internetsicherheit, Phishing, Social Engineering, Clean Desk, Passwörter und Verhalten bei einem Sicherheitsvorfall.

Müssen auch unternehmensinterne Richtlinien und Verfahren vermittelt werden?

Ja. Zusätzlich zur Awareness-Schulung müssen Sie unternehmensinterne Richtlinien und Verfahren zum Schutz vor und zum Verhalten bei Cyberangriffen vermitteln. Sie können diese Inhalte in die Awareness-Schulung integrieren oder separat schulen.

Entscheidend ist: Die Vermittlung muss erfolgen und dokumentiert werden.

Wenn Sie Ihre internen Richtlinien/Verfahren aktualisieren, müssen Sie die Mitarbeitenden umgehend informieren.

Welche optionalen Zusatzschulungen können sinnvoll sein – und für wen?

Für Personen mit spezifischen Aufgaben im Zusammenhang mit KIKS (z. B. KIKS-Nutzende, Personen mit Administratorrechten oder Mitarbeitende, für die Cybersicherheit zum Tätigkeitsprofil gehört) können ergänzende, aufgabenbezogene Schulungen sinnvoll sein.

Der Bedarf wird von Ihnen ermittelt. Als mögliche Themen werden z. B. genannt:

Erweiterte Cyber Security Awareness, Datensicherheit, Vorfallsbehandlung, Netzwerksicherheit, Malware, Sicherheitskonfiguration, Hacking, Digitale Forensik, Einhaltung von Vorschriften und Standards, Penetration Testing, Anwendungsentwicklung.

Wer darf die Schulungen durchführen? Brauchen Schulende ein Ausbilderzertifikat?

Ein Ausbilderzertifikat ist nicht erforderlich.

Die Schulenden müssen jedoch über tätigkeitsbezogene Kompetenzen und Erfahrungen verfügen. Zertifizierungen (z. B. mit Bezug zu ISO 27001 oder IT-Grundschutz) können ein Beleg sein.

Eine Genehmigung der Schulenden durch das Luftfahrt-Bundesamt ist nicht notwendig.

Darf die Schulung als Onlinekurs (WBT) oder webinarbasiert durchgeführt werden? Muss das LBA das genehmigen?

Ja, sowohl ein WBT als Selbstlernkurs als auch ein Live-Webinar mit Seminarleiter ist erlaubt. In den „Grundsätzen“ steht dazu:

Die Schulungs- und Fortbildungsmaßnahmen können computergestützt erfolgen. Eine Genehmigung dieser computergestützten Schulungen oder Fortbildungen durch das Luftfahrt-Bundesamt ist nicht vorgesehen.

Wie muss ich die Schulungen dokumentieren?

Für alle Teilnehmenden ist eine gesonderte Teilnahmebestätigung zu erstellen, zu pflegen, aufzubewahren und auf dem neuesten Stand zu halten.

Die Teilnahmebestätigung muss mindestens enthalten:

  • Name der teilnehmenden Person,
  • Name der schulenden Person,
  • Datum der Schulung/Fortbildung,
  • Thema und Inhalte (oder Verweis auf die zugrundeliegende Vorgabe),
  • sowie den Zeitumfang.

Wie oft müssen Schulungen wiederholt werden?

Die Grundsätze definieren für 2026 vor allem das „Was“ (Awareness + interne Verfahren + ggf. optionale, aufgabenbezogene Schulungen).

Für Wiederholungs-/Auffrischungsintervalle gelten weiterhin die allgemeinen Vorgaben der Luftsicherheit.

  • Grundsätzlich alle 5 Jahre als reguläre Auffrischung
  • Nach 6 Monaten, wenn ein Mitarbeiter die gelernten Kompetenzen nicht angewendet hat
  • Bei neuen Cybersicherheitsbedrohungen, die zusätzliche Schulungsinhalte erfordern

Diese Anforderung ergibt sich aus Nummer 11.4.3 der DVO (EU) 2015/1998 und der Luftsicherheitsschulungsverordnung.

Wichtig: Wenn interne Richtlinien/Verfahren aktualisiert werden, müssen Sie Mitarbeitende umgehend informieren und dies dokumentieren.

Brauche ich fälschungssichere Zertifikate?

In der Praxis genügt eine Teilnahmebestätigung, solange sie die o.g. Mindestangaben enthält und Sie sie nachvollziehbar aufbewahren.

Zusätzliche „fälschungssichere“ Features sind nicht vorgeschrieben. Entscheidend ist eine saubere, prüffähige Dokumentation.

LBA-Zulassung Luftsicherheit

Hier finden Sie Infos zu Neuzulassungen und Verlängerungen beim Luftfahrt-Bundesamt:

Bekannter Versender

Reglementierter Beauftragter

Bekannter Lieferant

Reglementierter Lieferant

Behördlich zugelassener Trans­porteur

Die Luftsicherheitsschulungen

Schulung 11.2.5 Sicherheitsbeauftragte

Auffrischung Sicherheitsbeauftragte

Schulung 11.2.3.9

Schulung Sicherheitskultur

Cybersicherheit

Gratis Beratung Luftsicherheit

Sie möchten Ihre Zulassung beim Luftfahrt-Bundesamt (LBA) beantragen oder verlängern? Wir unterstützen Sie zuverlässig – von der Erstzulassung bis zur turnusmäßigen Verlängerung alle fünf Jahre.

✅ Persönliche Beratung durch erfahrene Experten
✅ Klare Schritt-für-Schritt-Anleitung zur Einhaltung aller LBA-Anforderungen
✅ Antworten auf Ihre konkreten Fragen rund um Luftsicherheit & Fristen

Jetzt kostenlose Beratung sichern – wir melden uns schnellstmöglich bei Ihnen!