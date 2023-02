Zwei neue EU-Verordnungen stellen Regeln zur Informationssicherheit in der Luftfahrt auf. Rechtsanwältin Nina Naske erklärt, was Unternehmen jetzt beachten müssen.

Für die Luftfahrt gelten zwei neue EU-Verordnungen. Wie jede Unionsverordnung, so sind auch diese zwei neuen Regelwerke unmittelbar anwendbar und haben Vorrang vor dem nationalen Recht der EU-Mitgliedstaaten (siehe Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union). Die zwei neuen EU-Verordnungen betreffen Systeme der Informations- und Kommunikationstechnik und stellen Anforderungen an die Informationssicherheit auf. Unternehmen müssen sich ab dem 16. Oktober 2025 bzw. 1. Januar 2026 an die neuen Vorschriften halten.

Zwei Verordnungen erfassen jedes Unternehmen im Luftfahrtsektor

Mit der Verordnung (EU) Nr. 2018/1139 haben das Europäische Parlament und der Rat die Kommission der Europäischen Union ermächtigt, bestimmte delegierte Rechtsakte und Durchführungsvorschriften zu erlassen. Die EU Kommission nutzt diese Rechtsgrundlage. Die Delegierte Verordnung der Kommission (EU) Nr. 2022/1645 vom 14. Juli 2022 und die Durchführungsverordnung der Kommission (EU) Nr. 2023/203 vom 27. Oktober 2022 beinhalten dieselben Anforderungen an das Management der Informationssicherheit mit potenziellen Auswirkungen auf die Flugsicherheit (aviation safety).

Mit einigen konkreten Ausnahmen gilt die Verordnung (EU) 2022/1645 für

Herstellungsorganisationen,

Entwicklungsorganisationen,

Flugplatzbetreibern,

Anbietern von Vorfeldkontrolldiensten.

Die Verordnung (EU) 2023/2023, wiederum mit bestimmten Ausnahmen, gilt für

Instandhaltungsorganisationen,

Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (continuing airworthiness management organisations, CAMOs),

Luftfahrzeugbetreiber, sowohl gewerbliche als auch nicht-gewerbliche,

zugelassene Ausbildungsorganisationen (approved training organisations, ATOs),

flugmedizinische Zentren für das fliegende Personal,

Betreiber von Flugsimulationsgeräten,

Ausbildungsorganisationen für Fluglotsen (air traffic controller training organisations, ATCO Tos),

flugmedizinische Zentren für Fluglotsen,

Flugsicherungsorganisationen,

Anbieter von U-Space-Diensten,

die jeweils zuständigen Behörden, einschließlich der Agentur der Europäischen Union für Flugsicherheit (European Union Aviation Safety Agency, Easa).

Wie zu ersehen ist, sind alle für die Luftfahrt bedeutsamen Unternehmensarten erfasst; jedes Unternehmen muss sich an die neuen Vorschriften halten, mit einigen wenigen Ausnahmen für die Allgemeine Luftfahrt.

Worum geht es in den neuen EU-Verordnungen?

Die Verordnung (EU) 2022/1645 und die Verordnung (EU) 2023/203 legen, so besagt ihr gleichlautender Artikel 1, die Anforderungen fest, welche die Organisationen und die zuständigen Behörden im Hinblick auf die Identifizierung und das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit erfüllen müssen; dabei geht es um Informationssicherheitsrisiken, welche die für die Zwecke der Zivilluftfahrt eingesetzte Systeme und Daten der Informations- und Kommunikationstechnik beeinträchtigen könnten.

Gefordert ist die Erkennung von Informationssicherheitsereignissen und die Identifizierung solcher Ereignisse, die als Störungen der Informationssicherheit mit potenziellen Auswirkungen auf die Flugsicherheit gelten, und die angemessene Reaktion auf diese Ereignisse und die Wiederherstellung der Systeme nach solchen Ereignissen.

Dabei bedeutet "Informationssicherheit" die Wahrung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Netz- und Informationssystemen (siehe Artikel 3 (1) der Verordnung (EU) 2022/1645 und der Verordnung (EU) 2023/203). Nach dieser Definition ist die Informationssicherheit ein weit gefasster Begriff und nicht auf die eigentliche Technologie beschränkt. Wer sich mit der Sache ein bisschen auskennt, den wird das nicht wundern.

Die Ursachen von Bedrohungen und Schwachstellen beruhen häufig auch auf menschlichem Eingreifen oder Fehlern der Nutzer. Beispielsweise nutzen beim "social engineering" diejenigen, die Schaden anrichten wollen, die Schwächen der Nutzer aus und verschaffen sich so Zugang. Derartige Szenarien sind von den neuen Vorschriften deshalb ebenfalls erfasst.

Nach den Verordnungen (EU) 2022/1645 und 2023/203 müssen Unternehmen 14 neue Anforderungen einhalten, die im jeweiligen Anhang genauer beschrieben sind (Anhang der Verordnung (EU) 2022/1645 und Anhang II der Verordnung (EU) 2023/203). DieVerordnung (EU) 2023/203 verpflichtet außerdem die jeweils zuständigen Behörden, ihrerseits eine Reihe von Vorgaben umzusetzen, die in einem weiteren Anhang festgelegt sind (Anhang I der Verordnung (EU) 2023/203).

Es können stattdessen andere Rechtsvorschriften anzuwenden sein

Unternehmen werden skeptisch sein, wenn sie jetzt schon wieder zusätzliche Vorschriften einhalten sollen. Immerhin berücksichtigen die Verordnung (EU) 2022/1645 und die Verordnung (EU) 2023/203 bereits bestehende Rechtsanforderungen an die Informationssicherheit.

Fluglotsen der Deutschen Flugsicherung (DFS) im Tower des Flughafens Düsseldorf. © dpa / Oliver Berg

Artikel 5 der Verordnung (EU) Nr. 2023/203 besagt, dass, wenn es sich bei der jeweiligen Organisation um den Anbieter von Flugsicherungsdiensten der Europäischen Erweiterung des geostationären Navigationssystems (EGNOS) gemäß der Verordnung (EU) 2021/696 handelt, die Sicherheitsanforderungen nach Titel V Artikel 33 bis 43 jener Verordnung als gleichwertig mit den Anforderungen der Verordnung gelten, mit Ausnahme von Anhang II Punkt IS.I.OR.230 dieser Verordnung, der als solcher eingehalten werden muss.

Auch regeln Artikel 4 der Verordnung (EU) 2022/1645 und Artikel 5 der Verordnung (EU) 2023/203, dass denn, wenn eine Organisation bereits jene Sicherheitsanforderungen erfüllt, die in Artikel 14 der Richtlinie (EU) 2016/1148 festgelegt und den Anforderungen dieser Verordnung gleichwertig sind, die Einhaltung jener Sicherheitsanforderungen als Erfüllung der in der Verordnung festgelegten Anforderungen gilt; die Kommission kann nach Konsultation der Easa und der in Artikel 11 der Richtlinie (EU) 2016/1148 genannten Kooperationsgruppe auch Leitlinien für die Bewertung der Gleichwertigkeit der Anforderungen herausgeben.

Die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates zur Gewährleistung eines gemeinsamen hohen Niveaus der Netzwerk- und Informationssicherheit in der Union wird oft auch NIS-Richtlinie genannt. Die NIS-Richtlinie fordert von den EU-Mitgliedstaaten die Festlegung von Anforderungen zur Netzwerk- und Informationssicherheit, die von bestimmten Unternehmen einzuhalten sind. In Deutschland wird von "kritischen Infrastrukturen" (KRITIS) gesprochen, zu denen auch große Flughäfen und andere Luftfahrtinfrastruktur oder Unternehmen gehören.

Daten und IT-Systeme werden in der Luftfahrt immer wichtiger. © Adobe Stock / Datei-Nr. 218990661

Schließlich findet sich mit der Bezugnahme auf die Rechtsvorschriften zur Luftsicherheit (aviation security) die für die Unternehmen des Luftverkehrssektors wichtigste Ausnahme: Artikel 4 der Verordnung (EU) 2022/1645 und Artikel 5 der Verordnung (EU) 2023/203 geben vor, dass dann, wenn es sich bei einer Organisation um einen Betreiber oder eine Stelle handelt, auf die in den nationalen Luftsicherheitsprogrammen der Mitgliedstaaten nach Artikel 10 der Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates Bezug genommen wird, die in Nummer 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/1998 festgelegten Cybersicherheitsanforderungen als gleichwertig mit den Anforderungen der Verordnung gelten, mit Ausnahme von Punkt IS.I.OR.230 des Anhangs II der Verordnung (EU) 2023/203 und IS.D.OR.230 des Anhangs der Verordnung (EU) 2022/1645, der als solcher eingehalten werden muss.

Die Verordnung (EG) 300/2008 über gemeinsame Anforderungen der Luftsicherheit und die zugehörigen Durchführungsbestimmungen der Verordnung (EU) 2015/1998 beinhalten die grundlegenden Vorschriften, welche in der gesamten Europäischen Union zum Schutz vor Terrorangriffen einzuhalten sind; diese Vorschriften gelten für Flughäfen, Luftfahrtunternehmen und eine Reihe weiterer Unternehmen. Gemäß Punkt 1.7 des Anhangs der Verordnung (EU) 2015/1998 müssen Flugplatzbetreiber, Luftfahrtunternehmen und andere Stellen ihre für Zivilluftfahrtzwecke genutzten kritischen informations- und kommunikationstechnischen Systeme und Daten ermitteln und vor Cyberangriffen schützen, die sich auf die Sicherheit der Zivilluftfahrt auswirken könnten. Diese Rechtsvorschriften sind schon seit längerem anzuwenden und in Kraft und müssen deshalb bereits jetzt eingehalten werden.

Wie sehen die Anforderungen aus?

Die Anforderungen, die dem Anhang der Verordnung (EU) 2022/1645 und dem Anhang II der Verordnung (EU) 2023/203 zu entnehmen sind, sind gleichlautend, sie werden in der erstgenannten Verordnung "IS.I.OR." und in der anderen Verordnung "IS.D.OR." genannt. Die Unternehmen müssen insgesamt 14 Anforderungen erfüllen. Die Kernvorschrift ist IS.I.OR./IS.D.OR.200, diese lautet wie folgt:

IS.I.OR./IS.D.OR.200

a) Damit die in Artikel 1 genannten Ziele erreicht werden, muss die Organisation ein Informationssicherheitsmanagementsystem (ISMS) einrichten, umsetzen und pflegen, mit dem sie Folgendes sicherstellt:

Festlegung eines Konzepts für die Informationssicherheit, in dem die allgemeinen Grundsätze der Organisation im Hinblick auf die potenziellen Auswirkungen von Informationssicherheitsrisiken auf die Flugsicherheit dargelegt werden; Identifizierung und Überprüfung von Informationssicherheitsrisiken nach Punkt IS.I.OR./IS.D.OR.205; Festlegung und Umsetzung der Maßnahmen für den Umgang mit Informationssicherheitsrisiken nach Punkt IS.I.OR./IS.D.OR.210; Umsetzung eines Informationssicherheitssystems für interne Meldungen nach Punkt IS.I.OR./IS.D.OR.215; Festlegung und Umsetzung nach Punkt IS.I.OR./IS.D.OR.220 der zur Erkennung von Informationssicherheitsereignissen notwendigen Maßnahmen, Identifizierung solcher Ereignisse, die als Störungen mit potenziellen Auswirkungen auf die Flugsicherheit gelten, es sei denn, dies ist nach Punkt IS.I.OR./IS.D.OR.205(e) zulässig, sowie Reaktion auf diese Störungen der Informationssicherheit und Wiederherstellung; Umsetzung der Maßnahmen, die von der zuständigen Behörde als unmittelbare Reaktion auf eine Störung oder Schwachstelle der Informationssicherheit mit Auswirkungen auf die Flugsicherheit gemeldet wurden; Ergreifung geeigneter Maßnahmen nach Punkt IS.I.OR./IS.D.OR.225, um den von der zuständigen Behörde mitgeteilten Beanstandungen Rechnung zu tragen; Umsetzung eines Systems für externe Meldungen nach Punkt IS.I.OR./IS.D.OR.230, damit die zuständige Behörde geeignete Maßnahmen ergreifen kann; Erfüllung der Anforderungen von Punkt IS.I.OR./IS.D.OR.235 für den Fall, dass ein Teil der unter Punkt IS.I.OR./IS.D.OR.200 genannten Tätigkeiten an andere Organisationen vergeben wird; Erfüllung der Anforderungen an das Personal nach Punkt IS.I.OR./IS.D.OR.240; Erfüllung der Anforderung an das Führen von Aufzeichnungen nach Punkt IS.I.OR./IS.D.OR.245; Überwachung der Einhaltung der Anforderungen dieser Verordnung durch die Organisation und Unterrichtung des leitenden Managers über Beanstandungen, damit Abhilfemaßnahmen wirksam umgesetzt werden; Schutz der Vertraulichkeit aller Informationen, die die Organisation möglicherweise von anderen Organisationen erhalten hat, unbeschadet geltender Vorschriften über die Meldung von Störungen und abhängig von deren Sensibilitätsgrad.

b) Zur kontinuierlichen Einhaltung der in Artikel 1 genannten Anforderungen muss die Organisation nach Punkt IS.I.OR./IS.D.OR.260 einen Prozess für kontinuierliche Verbesserungen implementieren.

Wie zu entnehmen ist, beinhaltet das Informationssicherheitsmanagementsystem alle anderen Anforderungen, die in IS.I.OR.205/IS.D.OR.205 bis IS.I.OR.260/IS.D.OR.260 geregelt sind, und bezweckt deren Einhaltung, und es ist auch leicht verständlich, worin diese weiteren Anforderungen bestehen. Die wichtigste Aufgabe ist sicherlich, die Informationssicherheitsereignisse zu erkennen, darauf zu reagieren und die Wiederherstellung der Systeme zu meistern, aber das allein genügt nicht, wenn nicht zugleich Organigramme erstellt werden, das Personal ernannt und ein Informationssicherheitshandbuch geschrieben wird.

Eine Mitarbeiterin des «Aeronautical Information Service Centre» (AIS-C) der Deutschen Flugsicherung sitzt an einem Bildschirm mit der Darstellung des Frankfurter Flughafens. © dpa / DFS

Was müssen Unternehmen tun?

Die Verordnung (EU) 2022/1645 gilt ab dem 16. Oktober 2025, die Verordnung (EU) 2023/203 gilt a ab dem 1. Januar 2026 (für EGNOS-Anbieter) beziehungsweise ab dem 22. Februar 2026 (übrige). Die Unternehmen haben also noch viel Zeit, sich auf die neuen Vorschriften einzustellen. Auch ist natürlich der erste Schritt stets die Prüfung, ob die Organisation schon die anderen in Artikel 4 beziehungsweise Artikel 5 der Verordnungen genannten Rechtsvorschriften einzuhalten hat. Gleichwohl sollten alle Unternehmen im Bereich der Luftfahrt aufmerksam sein und berücksichtigen, dass die Anforderungen und auch die Aufsichtsführung durch die zuständigen Behörden "hochgedreht" werden und in der Intensität zunehmen werden.

Die Unternehmen sollten deshalb die noch verbleibende Zeit gut nutzen und sich vorbereiten. Der Anhang II der Verordnung (EU) 2023/203 und der Anhang der Verordnung (EU) 2022/1645 lassen sich als Checkliste für die Selbstprüfung nutzen. Die Umsetzung sollte bei der eigentlichen Informationstechnologie und der Netzwerkinfrastruktur ansetzen, das Managementsystem lässt sich dann am besten einrichten, indem das Konzept für Informationssicherheit geschrieben und die Organigramme erstellt werden, danach lassen sich die Einzelheiten im Handbuch zum Management der Informationssicherheit ausbuchstabieren. Vor allem Unternehmen, die sich an Punkt 1.7 des Anhangs der Verordnung (EU) 2015/1998 zu halten haben, sollten diese Aufgaben zwischenzeitlich abgearbeitet haben; wenn das noch nicht geschehen ist, dann wird es Zeit, das nachzuholen und zu erledigen.

Die neuen Anforderungen beinhalten altbekannte Elemente der Aufbau- und Ablauforganisation in der Luftfahrt; Managementsysteme, benannte Personen (Postholder) und Handbücher gehören zu den Kernvorgaben sowohl für die Flugsicherheit (aviation safety) als auch für die Luftsicherheit (aviation security). Es werden sich unterschiedliche Auffassungen dazu hören lassen, ob es wirklich hilft oder nicht durch nur unnötige Komplexität und Kosten bedeutet, jetzt noch ein weiteres "Risikomanagement" und wieder andere Postholder hinzuzufügen.

Viele Unternehmen werden die Notwendigkeiten der Informationssicherheit bereits im Griff haben, um ihre dauerhafte Fortführung und den Unternehmenserfolg sicherzustellen. Was mit den neuen Vorschriften hinzukommt, ist deshalb nicht die Umsetzung sinnvoller Maßnahmen durch die Unternehmen, sondern mehr Aufsichtsführung und Ausübung von Kontrolle durch staatliche Behörden. Viele werden berechtigte Zweifel daran haben, dass sich auf diese Weise etwas Sinnvolles erreichen lässt.