NIS2 für den Luftfahrtbereich
Luftfahrt-spezifische Regulatorik für Cyber-Sicherheit a la NIS2
Über die NIS2 Richtlinie haben wir bereits einige Blogs geschrieben und auch unser Whitepaper zum Thema ist seit Monaten stark nachgefragt. Als Ingenieur, der lange in der Luftfahrt unterwegs war, habe ich mich mit den spezifischen Pendants bzw. Erweiterungen für diese Branche beschäftigt und fasse die Erkenntnisse hier als Ergänzung zu den NIS 2-Informationen für Interessierte mit Luftfahrtbezug zusammen.
Geltungsbereich und Anforderungen – wer ist betroffen?
Die EU-Richtlinie 2023/203 und die EU-Richtlinie 2022/1645 stellen spezifische Anforderungen insbesondere in Bezug auf das Management von Informationssicherheitsrisiken an Unternehmen, die im Bereich der zivilen Luftfahrt tätig sind. Unternehmen, die unter diese Richtlinien fallen, müssen ein Managementsystem für IT-Sicherheitsrisiken einführen und betreiben, das sowohl strukturierte Bedrohungen der Informationssicherheit von außen als auch zufällige, ungeplante Ereignisse abdeckt.
Die Hauptunterschiede zwischen der EU-Richtlinie 2023/203 und der EU-Richtlinie 2022/1645 liegen in ihrem Anwendungsbereich und den spezifischen Anforderungen, die sie an Organisationen stellen. Sie beziehen sich insgesamt auf Organisationen, die unter verschiedene EU-Verordnungen fallen, einschließlich Entwicklungs- und Herstellerbetrieben, Unternehmen zur Instandhaltung von Luftfahrzeugen, Flughafenbetrieb und Vorfeldkontrolldiensten aber auch Unternehmen aus dem luftfahrtbezogenen Ausbildungsbereich.
Welche Anforderungen werden gestellt?
Die detaillierten Anforderungen im Anhang bzw. Anhang II sind weitestgehend identisch, so ergeben sich z. B. für Unternehmen, die sowohl Part 145 als auch Part 21 Betriebe sind, starke Synergien bei der Umsetzung im Management Tool.
Letztendlich kann man aus meiner Sicht die Anforderungen auf die wesentlichen Punkte reduzieren:
- Es muss ein Informationssicherheits-Managementsystem implementiert werden
- Es muss ein Business Continuity Management implementiert werden
- Es muss ein internes Meldesystem analog eines Hinweisgebersystems implementiert werden
- Es muss ein Lieferantenmanagement mit entsprechender Risikoanalyse und -behandlung implementiert werden
- Die oben genannten Aufgaben können auch extern vergeben werden
- Das Verantwortliche Personal muss mit den nötigen Kenntnissen, Ressourcen und Befugnissen ausgestattet werden, um die Anforderungen zu erfüllen
- Die oben genannten Punkte müssen adäquat dokumentiert sein, die Aufbewahrungsfristen müssen beachtet und der Behörde muss ein entsprechendes Informationssicherheits-Handbuch zur Verfügung gestellt werden.
- Der gesamte Prozess muss einer kontinuierlichen Verbesserung unterliegen (das ist ein wenig überflüssig, da dies im ISMS und BCM gem. der einschlägigen Normen, z.B. IT-Grundschutz oder ISO 27001 ohnehin der Fall ist)
Wann müssen die Anforderungen umgesetzt sein?
Für die Umsetzung der Anforderungen aus der EU-Richtlinie 2023/203 müssen die Mitgliedstaaten die notwendigen Rechts- und Verwaltungsvorschriften bis spätestens 24. Dezember 2024 in Kraft setzen.
Die EU-Richtlinie 2022/1645 enthält keine explizit genannt Fristen, in den Erwägungsgründen steht lediglich: „Damit die Organisationen ausreichend Zeit haben, um die Einhaltung der mit dieser Verordnung eingeführten neuen Vorschriften und Verfahren sicherzustellen, sollte die Geltung dieser Verordnung erst nach einem Zeitraum von drei Jahren ab ihrem Inkrafttreten beginnen.“
Welche Sanktionen drohen?
Unternehmen, die die Anforderungen der EU-Richtlinien 2023/203 und 2022/1645 nicht einhalten, können mit einer Reihe von Sanktionen konfrontiert werden, die von Geldbußen bis hin zu strafrechtlichen Konsequenzen reichen können. Die spezifischen Sanktionen hängen von den nationalen Gesetzen der Mitgliedstaaten ab, die die EU-Richtlinien in nationales Recht umsetzen. Schaut man sich die neuere Regulatorik in der EU und in Deutschland an, beziehen sich die Sanktionen in der Regel auf Prozente des weltweiten Unternehmensumsatzes (oft zwischen 2 und 4 %) und beginnen häufig mit Mindestsummen im Millionenbereich, je nach Schwere des Versäumnisses.
In einigen Fällen können auch individuelle Verantwortliche innerhalb des Unternehmens strafrechtlich verfolgt werden, insbesondere wenn nachgewiesen wird, dass sie vorsätzlich oder grob fahrlässig gehandelt haben. Darüber hinaus können Unternehmen, die die Richtlinien nicht einhalten, von der Teilnahme an öffentlichen Ausschreibungen und Förderprogrammen ausgeschlossen werden, was langfristige finanzielle Auswirkungen haben kann. Im schlimmsten Fall können Unternehmen, die gegen die Richtlinien verstoßen, ihre Betriebslizenzen oder Zertifizierungen verlieren, was den Unternehmen letztendlich teilweise oder gänzlich die Geschäftsgrundlage entzieht.
Fazit:
Die Übereinstimmungen zwischen den beiden Richtlinien liegen vor allem in den grundlegenden Anforderungen an das Risikomanagement und die Informationssicherheit, die für alle relevanten Organisationen innerhalb der zivilen Luftfahrtindustrie gelten. Es ist wichtig, dass Unternehmen, die von diesen Richtlinien betroffen sind, die spezifischen Anforderungen verstehen und umsetzen, um die Sicherheit und Integrität der Zivilluftfahrt zu gewährleisten.
Die Implementierung eines robusten Risikomanagementsystems ist zunehmend von großer Bedeutung, das zeigen auch andere Regulierungen (Lieferkettengesetz, Geldwäschegesetz, etc.). Unternehmen müssen proaktiv handeln, um diese Risiken zu identifizieren, zu bewerten und zu behandeln. Die Einrichtung interner Kontrollmechanismen und die Durchführung regelmäßiger Audits können ebenfalls dazu beitragen, die Einhaltung der Richtlinien zu gewährleisten. Die Einbindung von Stakeholdern, einschließlich Lieferanten und Partnern, ist empfehlenswert, um sicherzustellen, dass die gesamte Lieferkette den Richtlinien entspricht.
Technologische Lösungen wie die Automatisierung von Compliance-Prozessen können erheblich dazu beitragen, entsprechende Prozesse schlank umzusetzen, die Einhaltung der Vorschriften zu überwachen und zu verbessern. Unser SAVISCON GRC-COCKPIT ist genau dafür ausgelegt. Als Compliance-Management-, Risikomanagement- und ISMS-Plattform schafft es die Grundlage, alle Anforderungen synergetisch in einem System zu managen und damit Mehraufwand und Datensilos zu vermeiden.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir: