NEU: Version 3 der Grundsätze im Bereich Cybersicherheit

Das Luftfahrt-Bundesamt hat mitgeteilt, dass das BMV neue Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen der VO (EU) 2015/1998 veröffentlicht hat. Inkraftsetzung am 01.01.2026.

Die neuen Grundsätze wirken für Neuzulassungen, Rezertifizierungen oder genehmigungspflichtige Änderungen von Sicherheitsprogrammen.

Das LBA hat auf seiner Internetseite mit Datum 21.11.25 folgendes veröffentlicht:

Ab sofort steht die Version 3 der „Grundsätze zur Anwendung der Cybersicherheitsmaßnahmen der Verordnung (EU) 2015/1998 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit“, kurz „Grundsätze“, zum Download zur Verfügung.

Link zum Download: https://www.lba.de/SharedDocs/Downloads/DE/S/Cybersecurity_VO_2019_1583.html?nn=616440

Die neuen Grundsätze enthalten Änderungen für u.a. folgende Bereiche:

• Definition der Kritikalität der Systeme
• Das Sicherheitsprogramm und der Zugang zur Unionsdatenbank für die Sicherheit der Lieferkette sind für alle zugelassenen Stellen als KIKS zu betrachten
• Definierte Vorgehensweise, wie Personal betrachtet werden soll, das nicht auf Zuverlässigkeit gemäß §7 LuftSiG überprüft werden kann
• Wegfall der Personengruppen (im Hinblick auf Schulungen)

Für Stellen, die bereits über ein genehmigtes Cybersicherheitsprogramm verfügen, besteht zunächst keine Anpassungspflicht des Cybersicherheitsprogramms. Erst bei der wiederholenden Zulassung, bei Änderungen im Sicherheitsprogramm oder bei Änderungen im Cybersicherheitsprogramm ist das Cybersicherheitsprogramm basierend auf der Version 3 der Grundsätze anzupassen und einzureichen. Cybersicherheitsprogramme, die bereits eingereicht aber noch nicht genehmigt wurden, müssen aufgrund der Veröffentlichung der Version 3 der Grundsätze nicht angepasst und erneut eingereicht werden. Cybersicherheitsprogramme, die bis zum 31.12.2025 eingereicht werden, können noch auf Basis der bisher veröffentlichten Version 2 der Grundätze erstellt werden. Es wird allerdings empfohlen, Cybersicherheitsprogramme ab sofort auf Basis der Version 3 der Grundsätze zu erstellen und einzureichen. Cybersicherheitsprogramme, die ab dem 01.01.2026 eingereicht werden, müssen auf Basis der Version 3 der Grundsätze erstellt werden. Ein Muster-Cybersicherheitsprogramm, dass auf der Version 3 der Grundsätze basiert, wird zeitnah auf der Homepage des Luftfahrt-Bundesamtes zur Verfügung gestellt.

Neue Regelung zu Cyberscurity-Schulungen

Mit den neuen durch das BMV herausgegebenen Grundsätzen zur Anwendung der Cybersicherheitsmaßnahmen der Verordnung (EU) 2015/1998 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit wurden auch die Voraussetzungen für die Schulungen angepasst.

So heißt es nun, dass alle internen und externen Mitarbeitenden, die im Rahmen der Erledigung ihrer Aufgaben

• die Auswirkungen von Cyberangriffen auf KIKS feststellen oder
• einen solchen Cyberangriff auf KIKS beobachten könnten,

eine Cybersecurity Awareness Schulung absolviert haben müssen, welche einen Mindestumfang von 2 Unterrichtseinheiten (je 45 Min.) hat.

Mögliche Inhalte

Es wurden auch Inhalte vorgeschlagen, wie

• Internetsicherheit
• Phishing
• Social Engineering
• Clean Desk
• Passwörter
• Verhalten bei einem Sicherheitsvorfall,

die auf die jeweiligen Aufgaben der Mitarbeitenden ausgerichtet sind und den Fokus auf die Luftsicherheit und die durchgeführte Risikobewertung festlegen.

Abweichungen zu den oben genannten Beispielinhalten sind möglich.

Die Wissensvermittlung soll nach dem Grundsatz „Kenntnis nur, wenn nötig“ erfolgen, was u.E. vernünftig ist, anders als in der klassischen Luftsicherheit.

In den Grundsätzen ist auch beschrieben, dass eine Freigabe der Schulung durch das LBA nicht erfolgt.

Darüber hinaus sind unternehmensinterne Richtlinien und Verfahren zum Schutz vor und Verhalten bei Cyberangriffen zu vermitteln. Dabei können u. a. Inhalte wie beispielsweise

• Erkennen und Melden von verdächtigen Gegenständen,
• Verhalten bei verdächtigen Situationen und
• Meldewege und Notfallkontakte

Berücksichtigung finden. Werden diese Themen nicht mit der Schulung vermittelt, sind die unternehmensinternen Richtlinien und Verfahren gesondert nahezubringen.

Über jede Aktualisierung der unternehmensinternen Richtlinien und Verfahren sind die Mitarbeitenden umgehend zu informieren.

Optionale Schulungen

Für Personen mit spezifischen Aufgaben hinsichtlich KIKS, z.B.

• Personen, die im Rahmen der Erledigung ihrer Aufgaben KIKS nutzen,
• Personen, für die Cybersicherheit zum Tätigkeitsprofil gehört,
• Personen, die Administrator-Rechte haben,
• Personen, die hauptsächlich mit Cybersicherheitsaufgaben betraut sind,

können neben der Cybersecurity Awareness Schulung weitere aufgabenbezogene Schulungen sinnvoll sein. Dieser Bedarf soll aber durch die Akteure selbst ermittelt werden. Mögliche Schulungsinhalte zu diesen Schulungsthemen werden auf der Homepage des BSI für den Bereich Luftsicherheit zur Verfügung gestellt.

Im Weiteren wird darauf hingewiesen, dass die Trainer nicht über ein Ausbilderzertifikat verfügen müssen, sondern über tätigkeitsbezogene Kompetenzen und Erfahrungen verfügen müssen wie beispielsweise Personenzertifizierung mit Bezug zu ISO27001 (z.B. „Security Officer“), IT-Grundschutz (z.B. „ITGrundschutzpraktiker“) oder vergleichbare Zertifizierungen. Eine Genehmigung dieser Kompetenzen und Erfahrungen durch das Luftfahrt-Bundesamt ist nicht vorgesehen.

Wichtig ist auch, dass die Schulungs- und Fortbildungsmaßnahmen computergestützt erfolgen können und eine Genehmigung dieser computergestützten Schulungen/Fortbildungen durch das LBA nicht vorgesehen ist.