Diese FAQ sind noch nicht vollständig, wir arbeiten aktuell daran, alle verfügbaren Informationen für Sie leicht verständlich aufzubereiten.

Bei Fragen erreichen Sie uns mit den o.g. Kontaktmöglichkeiten.

Ab dem 01.01.2025 müssen bekannte Versender, reglementierte Beauftragte und reglementierte Lieferanten neue Cybersicherheitsmaßnahmen umsetzen. Grundlage sind die EU-Durchführungsverordnung 2019/1583 sowie die „Grundsätze zur Umsetzung von Maßnahmen zum Schutz von kritischen informations- und kommunikationstechnischen Systemen (KIKS).“

Diese Maßnahmen sind in einem Cybersicherheitsprogramm zu dokumentieren und als Teil des Sicherheitsprogramms dem Luftfahrt-Bundesamt (LBA) vorzulegen. Außerdem muss das Personal zur Cybersicherheit geschult werden.

Um Ihnen die Umsetzung dieser neuen Anforderungen zu erleichtern, haben wir die wichtigsten Fragen zu diesem Thema zusammengestellt. Die FAQ gliedern sich in zwei Hauptbereiche: Allgemeine Fragen zur Umsetzung der Cybersicherheitsmaßnahmen sowie spezifische Fragen zur Schulung des Personals.

Allgemeine Fragen

Welche Unternehmen müssen Cybersicherheitsmaßnahmen umsetzen?

Als reglementierter Beauftragter, reglementierter Lieferant oder bekannter Versender sind Sie verpflichtet, ab 1. Januar 2025 Cybersicherheitsmaßnahmen in Ihrem Unternehmen umzusetzen.

Falls Sie als behördlich zugelassener Transporteur tätig sind, müssen Sie aktuell noch keine speziellen Maßnahmen zur Cybersicherheit implementieren. Wir halten es für wahrscheinlich, dass zu einem späteren Zeitpunkt Transporteure auch entsprechend verpflichtet werden.

Welche Maßnahmen müssen ergriffen werden um die Cyber Security zu gewährleisten?

  1. Sie müssen Ihr Luftsicherheitsprogramm mit einer neuen Anlage – dem „Cybersicherheitsprogramm“ – ergänzen (und natürlich die dort beschriebenen Maßnahmen umsetzen).
  2. Sie müssen Ihr Personal schulen. Die Art der Schulung hängt vom Aufgabenbereich der jeweiligen Person ab.

Wo finde ich die Dokumente und Vorgaben, um ein Cybersicherheitsprogramm zu erstellen?

Das Luftfahrt-Bundesamt hat eine Reihe von Dokumenten zur Verfügung gestellt, in denen die Anforderungen genauer erläutert werden.

Muster Cyber-Luftsicherheitsprogramm für bekannte Versender und reglementierte Beauftragte

https://www.lba.de/SharedDocs/Downloads/DE/S/Reglementierter_Beauftragter/Muster_Cybersicherheitsprogramm.html

Quelle: Luftfahrt-Bundesamt

Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen

https://www.lba.de/DE/Luftsicherheit/Cybersecurity/Umsetzung_DV_EU_2019_1583.html?nn=4398814

Quelle: Bundesministerium für Digitales und Verkehr

Zusatzinformationen zu den Anwendungsgrundsätzen für §§ 9 und 9a Luftsicherheitsgesetz

Diese Informationen können Sie nicht direkt downloaden, sie müssen beim LBA per E-Mail angefordert werden.

https://www.lba.de/DE/Luftsicherheit/Cybersecurity/ZusatzinfosZuAnwendungsgrundsaetzen.html?nn=4398814

Quelle: Luftfahrt-Bundesamt

Grundsätze zur Umsetzung von Maßnahmen zum Schutz von kritischen informations- und kommunikationstechnischen Systemen und Daten in der
Luftsicherheit gemäß dem Anhang der DVO (EU) 2015/1998

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/LuSi/LuftSiG_Hauptdokument.pdf

Quelle:  Bundesministerium des Innern und für Heimat

Muss ich das Muster-Cybersicherheitsprogramm des LBA verwenden?

Nein, die Verwendung des Muster-Cybersicherheitsprogramms ist nicht verpflichtend. Sie können auch ein eigenes Programm erstellen, solange es die Anforderungen der EU-Verordnung erfüllt. Die Verwendung des LBA Musters dürfte aber Einiges an Arbeit sparen.

Unsere Betreuungskunden unterstützen wir gerne bei der Erstellung ihres standortbezogenen Cybersicherheitsprogramms.

Gilt das Cybersicherheitsprogramm für den gesamten Konzern oder für einzelne Standorte?

Die Zulassung nach § 9a LuftSiG bezieht sich immer auf einzelne Betriebsstandorte. Entsprechend müssen Sie die Cybersicherheitsmaßnahmen auch für jeden Standort individuell umsetzen und nachweisen.

Eine Ausnahme bilden kritische IT-Systeme (KIKS), die Sie an mehreren Standorten nutzen. Diese müssen Sie dann übergreifend für alle betroffenen Standorte betrachten und absichern.

Was sind KIKS?

KIKS ist die Abkürzung für „kritische informations- und kommunikationstechnische Systeme“. Dies sind IT-Systeme, die für die sichere Abwicklung Ihrer luftfrachtbezogenen Prozesse besonders wichtig sind.

Wie erkenne ich, ob meine IT-Systeme als KIKS einzustufen sind?

Sie müssen Ihre IT Systeme und Prozesse dahingehend bewerten, ob Sie für die Sicherheit der Zivilluftfahrt relevant sind. Ist das der Fall, gelten Sie als KIKS und Sie müssen entsprechende Maßnahmen ergreifen, um die Systeme vor Mißbrauch und Risiken zu schützen.

Verschaffen Sie sich einen Überblick über die Prozesse und fragen Sie sich:

„Könnte ein teilweiser oder vollständiger Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit dieses Systems oder der Daten die Sicherheit der Zivilluftfahrt gefährden?“

Um diese Frage zu beantworten, brauchen Sie eine Reihe von Informationen dazu, wie die Abläufe in Ihrem Unternehmen sind.

Nützliche Infos sind:

  • Art des Einflusses auf die Luftsicherheit
  • Anzahl der Nutzenden
  • Verkaufender/Dienstleistender
  • Softwareversion/Patch- oder Updatestand
  • Art gespeicherter oder ausgetauschter Daten

Anhand dieser Informationen können Sie dann die Relevanz als KIKS bewerten.

Wie gehe ich mit Subunternehmern und externen Dienstleistern um?

Wenn Sie mit Subunternehmern, IT-Dienstleistern oder anderen externen Partnern zusammenarbeiten, müssen Sie auch deren Einfluss auf Ihre IT-Sicherheit bewerten. Dies gilt besonders, wenn diese Partner Zugriff auf Ihre kritischen IT-Systeme haben oder Daten mit Ihnen austauschen.

Prüfen Sie dabei:

  • Welche Risiken entstehen durch die Zusammenarbeit?
  • Ist der Partner selbst als reglementierter Beauftragter, reglementierter Lieferant oder bekannter Versender zugelassen? In diesem Fall können Sie dies als risikomindernd berücksichtigen.
  • Welche zusätzlichen Sicherheitsmaßnahmen sind ggf. nötig?

Beachten Sie: Auch wenn Ihr Partner bereits zugelassen ist, müssen Sie verbleibende Risiken identifizieren und entsprechende Schutzmaßnahmen umsetzen.

Gibt es eine Bestätigung bzw. ein Zertifikat oder Schreiben seitens des BSI oder LBA, dass die Anforderungen erfüllt werden?

Nein, Sie erhalten kein gesondertes Zertifikat für Ihre Cybersicherheitsmaßnahmen. Die Prüfung und Bestätigung der Maßnahmen ist bereits Teil Ihrer regulären Zulassung als reglementierter Beauftragter/Lieferant oder bekannter Versender.

D.h. das LBA bewertet die Cybersecurity bei der Erstzulassung oder bei der nächsten fälligen Verlängerung Ihrer bestehenden Zulassung.

Muss das Cybersicherheitsprogramm jetzt zum 1.1.2025 beim Luftfahrt-Bundesamt eingereicht werden?

Nein, Sie müssen Ihr Cybersicherheitsprogramm nicht gesondert zum Jahresanfang 2025 einreichen.

Die Prüfung erfolgt im Rahmen Ihrer regulären Zulassungsprozesse:

  • Bei der nächsten Verlängerung Ihrer Zulassung (alle 5 Jahre)
  • Wenn Sie aus anderen Gründen Änderungen an Ihrem Luftsicherheitsprogramm vornehmen (z.B. sicherheitsrelevante räumliche Veränderungen, Änderung von bestehenden Sicherheitsmaßnahmen)
  • Bei Erstzulassungen ab dem 1. Januar 2025

Gut für Sie zu wissen:

Bei Inspektionen oder Aufsichtsbesuchen des LBA wird zwar überprüft, ob Sie ein Cybersicherheitsprogramm erstellt haben – eine detaillierte inhaltliche Prüfung findet dabei aber nicht statt. Diese erfolgt erst bei der nächsten regulären Prüfung Ihres gesamten Luftsicherheitsprogramms.

Wann und wem muss ich Änderungen an meinem Cybersicherheitsprogramm melden?

Wenn sich etwas an Ihren kritischen IT-Systemen (KIKS) ändert, müssen Sie dies dem Luftfahrt-Bundesamt (LBA) melden. Das betrifft zum Beispiel:

  • Wenn Sie neue kritische IT-Systeme einführen
  • Wenn Sie bestehende Systeme außer Betrieb nehmen
  • Wenn sich das Risiko-Level Ihrer Systeme wesentlich ändert (über oder unter die 60%-Grenze gemäß Punkt 2.3.4 der Grundsätze)

In diesen Fällen müssen Sie Ihr aktualisiertes Cybersicherheitsprogramm dem LBA zur Genehmigung vorlegen. Eine separate Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nicht erforderlich.

Welche Regeln gelten für ausländische IT-Dienstleister, die mit unseren KIKS zu tun haben?

Die Cybersicherheitsanforderungen beziehen sich nur auf IT-Systeme, die:

  • in Deutschland betrieben oder genutzt werden oder
  • unter deutsche Rechtshoheit fallen

Das bedeutet für Sie: Wenn Sie mit ausländischen IT-Dienstleistern zusammenarbeiten (z.B. für Softwareentwicklung oder IT-Support), müssen Sie nur die Systeme in Ihr Cybersicherheitsprogramm einbeziehen, die in Deutschland genutzt werden oder Ihrem deutschen Unternehmen zugeordnet sind.

Fragen zur Schulung des Personals

Welche Unternehmen müssen Ihr Personal zur Cyber-Luftsicherheit schulen?

Alle Stellen und Betreiber in der Luftsicherheit, die verpflichtet sind Cybersicherheitsmaßnahmen umzusetzen, müssen auch ihr Personal entsprechend schulen.

Wer muss in meinem Unternehmen Cybersicherheitsschulungen absolvieren?

Als reglementierter Beauftragter/Lieferant oder bekannter Versender müssen Sie Ihre Mitarbeiter je nach Tätigkeitsbereich unterschiedlich schulen. Es gibt drei Hauptgruppen:

Gruppe 1 – Standard-Schulung:

  • Mitarbeiter ohne direkten Zugriff auf kritische IT-Systeme
  • Personen, die durch ihre Tätigkeit Cybersicherheitsvorfälle beobachten oder unbeabsichtigt verursachen könnten
  • Beispiel: Mitarbeiter mit Zugang zu Räumen mit IT-Geräten

Anmeldung Cyber Security Standard

Gruppe 2 – Erweiterte Schulung:

  • Mitarbeiter, die kritische IT-Systeme und Daten nutzen
  • Personal, das Sicherheitskontrollen durchführt oder überwacht
  • Anwender von vernetzten Systemen ohne Administrator-Rechte

Anmeldung Cyber Security Erweitert

Gruppe 3 – Cyber-Experten-Schulung:

  • IT-Administratoren und Mitarbeiter mit besonderen Zugriffsrechten
  • Sicherheitsbeauftragte und Cybersecurity-Manager
  • IT-Sicherheitspersonal
  • Bei Bedarf auch die Geschäftsführung

Wichtig für Sie zu wissen:

  • Wenn ein Mitarbeiter in mehrere Gruppen fällt, gilt die höchste Schulungsstufe
  • Auch externe Mitarbeiter müssen entsprechend ihrer Tätigkeit geschult werden

Wer darf die Cybersicherheitsschulungen durchführen?

Sie haben bei der Durchführung der Schulungen zwei Möglichkeiten:

Interne Schulungen:

  • Durch eigene qualifizierte Mitarbeiter
  • Der Trainer muss nachweisbare Erfahrung im Bereich Cybersicherheit haben
  • Besonders geeignet für unternehmensspezifische Inhalte und Prozesse

Externe Schulungen:

  • Durch spezialisierte Schulungsanbieter
    – dazu gehört auch die  First Class Management GmbH mit dem Angebot an Luftsicherheitschulungen
  • Der Anbieter muss Expertise in Luftsicherheit und Cybersecurity nachweisen können
  • Das LBA gibt keine spezifischen Schulungsanbieter vor

Wichtig für Sie zu wissen:

  • Der Schulungsleiter muss fachlich qualifiziert sein und praktische Erfahrung mitbringen
  • Sie müssen die Qualifikation des Trainers dokumentieren können
  • Die Schulungsinhalte müssen den aktuellen Anforderungen entsprechen. Siehe nächste Frage.

Wurde der Schulungsinhalt für die Personengruppen a, b und c bereits bestimmt?

Die Schulungsthemen je Personengruppe werden in den oben verlinkten Grundsätze im Abschnitt 3.3.2 genannt:

Das „Bundesamt für Sicherheit in der Informationstechnik“ hat die detaillierten Schulungsinhalte als PDF veröffentlicht:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/LuSi/LuftSiG_Vorgaben_Schulungsinhalte.pdf

Kann die Cyber Security Schulung auch als Online Kurs (WBT) oder Webinar durchgeführt werden?

Ja, sowohl ein WBT als Selbstlernkurs als auch ein Live-Webinar mit Seminarleiter ist erlaubt. In den „Grundsätzen“ steht dazu:

Die Schulungs- und Fortbildungsmaßnahmen können computergestützt erfolgen. Eine Genehmigung dieser computergestützten Schulungen oder Fortbildungen durch das Luftfahrt-Bundesamt ist nicht vorgesehen.

Wie oft müssen die Schulungen wiederholt werden?

Sie müssen die Cybersicherheitsschulungen in folgenden Fällen durchführen bzw. wiederholen:

  • Grundsätzlich alle 5 Jahre als reguläre Auffrischung
  • Nach 6 Monaten, wenn ein Mitarbeiter die gelernten Kompetenzen nicht angewendet hat
  • Bei neuen Cybersicherheitsbedrohungen, die zusätzliche Schulungsinhalte erfordern

Diese Anforderung ergibt sich aus Nummer 11.4.3 der DVO (EU) 2015/1998 und der Luftsicherheitsschulungsverordnung.

Wer gehört zur Personengruppe c der zu schulenden Personen?

Zur Gruppe c gehören Mitarbeiter, die hauptberuflich für Cybersicherheit verantwortlich sind oder weitreichende IT-Berechtigungen haben.

Die Einstufung erfolgt nach der tatsächlichen Tätigkeit, nicht nach der Position. Sie müssen das nach den Vorgaben von Punkt 3.3.1 der Grundsätze selbst einordnen.

Zur Gruppe c können beispielsweise gehören:

  • IT-Administratoren
  • Cybersecurity-Manager
  • Luftsicherheitsbeauftragte mit umfangreicher IT-Verantwortung
  • Geschäftsführung und IT-Leitung (wenn sie aktiv mit Cybersicherheit befasst sind)

Sind Schulungen mit Zertifikaten zu belegen?

Ähnlich wie bei den Schulungen zur Sicherheitskultur benötigen Sie lediglich eine einfache Teilnahmebestätigung vom Schulungsleiter.

Fälschungssichere Zertifikate und überprüfbare Zertifizierungen sind nicht nötig.

 

LBA-Zulassung Luftsicherheit

Hier finden Sie Infos zu Neuzulassungen und Verlängerungen beim Luftfahrt-Bundesamt:

Bekannter Versender

Reglementierter Beauftragter

Bekannter Lieferant

Reglementierter Lieferant

Behördlich zugelassener Trans­porteur

Die Luftsicherheitsschulungen

Schulung 11.2.5 Sicherheitsbeauftragte

Auffrischung Sicherheitsbeauftragte

Schulung 11.2.3.9

Schulung Sicherheitskultur

Cybersicherheit

Kostenlose Beratung

Haben Sie In­ter­esse an einer Beratung im Bereich Luftsicherheit? Dann ru­fen Sie uns doch ein­fach mal an. Fragen kostet nichts!

Wir kommen für ein Erstgespräch zu Ihnen und be­sprechen Ihre Mög­lich­keiten.