Die neuen EU-Cybersecurity-Verordnungen für die Zivilluftfahrt und was auf Airlines, Flughäfen & Co. zukommt

Die Luftfahrt ist ein "System von Systemen", das neben den Luftfahrtprodukten und den dazugehörigen Technologien auch Menschen, Prozesse und andere immaterielle Vermögenswerte umfasst, die ihrerseits für Sicherheitsbedrohungen anfällig sind. Luftfahrtorganisationen, Behörden und ihre Vermögenswerte sind ein integraler Bestandteil dieses Systems und müssen ebenfalls vor Informationssicherheitsrisiken geschützt werden, die sich möglicherweise auf die Sicherheit auswirken können.

Neues Regelwerk

Aus diesem Grund wurden neue Anforderungen, als Teil der Informationssicherheit (Teil-IS) bezeichnet, geschaffen. Diese legen Anforderungen für Organisationen und Behörden im gesamten Luftfahrtbereich fest, die sich mit dem Management von Informationssicherheitsrisiken befassen, die potenzielle Auswirkungen auf die Flugsicherheit haben können.

Die neuen europäischen Regelwerke dazu – die Delegierte Verordnung (EU) 2022/1645 und die Durchführungsverordnung (EU) 2023/203 – umfassen die Identifizierung und das Management von Informationssicherheitsrisiken, welche Informations- und Kommunikationstechnologiesysteme und -daten, die für die Zwecke der Zivilluftfahrt genutzt werden, beeinträchtigen könnten. Sie umfassen auch die Erkennung von Informationssicherheitsvorfällen, die Identifizierung von Vorfällen, die als Informationssicherheitsvorfälle betrachtet werden, sowie die Reaktion auf solche Vorfälle. Schließlich regeln sie die Wiederherstellung eines entsprechenden Sicherheitsniveaus.

Für wen gilt es?

Die Teil-IS-Bestimmungen gelten ab dem 16. Oktober 2025 für Flughafenbetreiber, Vorfeldkontrolldienste, Herstellungs- und Entwicklungsorganisationen und ab dem 22. Februar 2026 für Luftfahrtunternehmen, Instandhaltungsorganisationen, Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (CAMO), zugelassene Ausbildungsorganisationen (ATO), Flugmedizinische Zentren für das fliegende Personal, Betreiber von Flugsimulationsübungsgeräten, Ausbildungsorganisationen für Fluglotsen (ATCO TO), flugmedizinische Zentren für Fluglotsen, Flugsicherungsorganisationen, Anbieter von U-Space-Diensten sowie die zuständigen Behörden, einschließlich der EASA.

Was wird geregelt?

Die zentralen Anforderungen an die betroffenen Organisationen und Behörden sind die Einrichtung eines Informationssicherheits-Managementsystems (ISMS), das Sicherheitsvorfälle erkennen, schützen, darauf reagieren und die Integrität nach einem Vorfall wiederherstellen kann. Dies umfasst die Festlegung von Zuständigkeiten und Verantwortlichkeiten, die Identifizierung und Überprüfung von Informationssicherheitsrisiken, die Bewertung des Informationssicherheitsrisikos, die Entwicklung entsprechender Maßnahmen, die Schulung des Personals und die Überwachung der Einhaltung der Anforderungen.

Die Cybersecurity-Verordnungen sehen auch vor, dass bestimmte Organisationen, die bereits den Cybersicherheitsanforderungen in anderen Rechtsvorschriften der Union entsprechen, als gleichwertig mit den Anforderungen der Teil-IS gelten, sofern sie in den nationalen Luftsicherheitsprogrammen der Mitgliedstaaten genannt werden.

Zusätzlich gelten die Sicherheitsanforderungen gemäß der NIS-Richtlinie als Erfüllung der Anforderungen der Cybersecurity-Verordnungen. Die NIS-Richtlinie führt besondere Sicherheitsanforderungen und Meldepflichten für Betreiber wesentlicher Dienste in bestimmten Wirtschaftssektoren ein, einschließlich des Verkehrssektors.

In Österreich müssen Betreiber wesentlicher Dienste geeignete Sicherheitsvorkehrungen treffen, Sicherheitsvorfälle melden, ihre Sicherheitsvorkehrungen alle drei Jahre nachweisen und eine Aufstellung der vorhandenen Sicherheitsvorkehrungen übermitteln. Es gibt derzeit drei wesentliche Dienste im Teilsektor Luftverkehr: die Austrian Airlines AG, die Flughafen Wien AG und die Austro Control GmbH.

Rechtsanwalt Luftfahrtrecht

Rechtsanwalt Dr. Simon Harald Baier LL.M. berät zu allen Fragen des Luftfahrtrechts und Wirtschaftsrechts.

Artikel auf shb-law.at