In der vernetzten Welt der Luftfahrt sind die Risiken für die Informationssicherheit nicht nur auf die Produktebene beschränkt. Die Luftfahrt ist ein "System von Systemen", das neben den Luftfahrtprodukten und den dazugehörigen Technologien auch Menschen, Prozesse und andere immaterielle Vermögenswerte umfasst, die ihrerseits für Sicherheitsbedrohungen anfällig sind.
Luftfahrtorganisationen, Behörden und ihre Vermögenswerte sind ein integraler Bestandteil dieses Systems und müssen ebenfalls vor Informationssicherheitsrisiken geschützt werden, die sich möglicherweise auf die Sicherheit auswirken können.
Aus diesem Grund wurde neue Anforderungen („requirements“), bezeichnet als Teil-IS („Informationssicherheit“), geschaffen, die Anforderungen für Organisationen und Behörden im gesamten Luftfahrtbereich für das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit festlegen.
Die neuen europäischen Regelwerke dazu – die Delegierte Verordnung (EU) 2022/1645 und die Durchführungsverordnung (EU) 2023/203 – umfassen die Identifizierung und das Management von Informationssicherheitsrisiken, welche Informations- und Kommunikationstechnologiesysteme und -daten, die für die Zwecke der Zivilluftfahrt genutzt werden, beeinträchtigen könnten. Sie umfassen weiters die Erkennung von Informationssicherheitsvorfällen, die Identifizierung von Vorfällen, die als Informationssicherheitsvorfälle betrachtet werden, sowie die Reaktion auf solche Vorfälle. Schließlich regeln sie die Wiederherstellung eines entsprechenden Sicherheitsniveaus.
Ab wann und für wen gelten die neuen Bestimmungen?
Die Teil-IS-Bestimmungen gelten ab 16. Oktober 2025 folgende Organisationen (mit bestimmten Ausnahmen):
Flughafenbetreiber und für Vorfeldkontrolldienste zuständige Organisationen
Herstellungs- und Entwicklungsorganisationen
Die Teil-IS-Bestimmungen gelten ab 22. Februar 2026 für alle anderen Organisationen und Behörden (mit bestimmten Ausnahmen):
Luftfahrtunternehmen
Instandhaltungsorganisationen
Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (CAMO)
Zugelassene Ausbildungsorganisationen (ATO)
Flugmedizinische Zentren für das fliegende Personal
Betreiber von Flugsimulationsübungsgeräten
Ausbildungsorganisationen für Fluglotsen (ATCO TO) und flugmedizinische Zentren für Fluglotsen
Flugsicherungsorganisationen
Anbieter von U-Space-Diensten
Die jeweils zuständigen Behörden (in Österreich sind vier Luftfahrtbehörden eingerichtet, wobei im Anwendungsbereich der relevanten Verordnung der Obersten Zivilluftfahrtbehörde (Verkehrsministerium) und der Austro Control Bedeutung zukommen würde), einschließlich der EASA
Inhalt der Anforderungen
Zentrale Anforderung an die regelungsunterworfenen Organisationen und Behörden und wesentliches Element der Cybersecurity-Verordnungen ist die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Ein solches soll Sicherheitsvorfälle erkennen, vor ihnen schützen, darauf entsprechend reagieren lassen und die Integrität nach einem Vorfall wiederherzustellen ermöglichen.
Insbesondere bedarf es – analog bestehender luftfahrtspezifischer Managementsysteme – der Festlegung von Zuständigkeiten und Verantwortlichkeiten und der Bestellung eines verantwortlichen Managers; der Identifizierung und Überprüfung von Informationssicherheitsrisiken; der Bewertung des Informationssicherheitsrisikos (Risk Assessment); der entsprechenden Maßnahmenentwicklung; fachkundigen und geschulten Personals; sowie einer Überwachungsfunktion betreffend die Einhaltung der Anforderungen. Die Cybersecurity-Verordnungen sehen weiters die Einrichtung eines internen sowie externen Meldesystems sowie die Erstellung eines ISM-Handbuches vor.
Es ist möglich, das ISMS in andere bereits bestehende Managementsysteme zu integrieren (zB Safety-Managementsystem, Security-Managementsystem).
Anforderungen, die sich bereits aus anderen Rechtsvorschriften der Union ergeben (VO 300/2008 und NIS-RL)
Die Cybersecurity-Verordnungen sehen vor, dass dann, wenn es sich bei einer Organisation um einen Betreiber oder eine Stelle handelt, auf die in den nationalen Luftsicherheitsprogrammen der Mitgliedstaaten nach Artikel 10 der Verordnung (EG) Nr. 300/2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt Bezug genommen wird, die in Nummer 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/1998 festgelegten Cybersicherheitsanforderungen als gleichwertig mit den Anforderungen der Cybersecurity-Verordnungen gelten (mit Ausnahme der Punkte über externe Meldesysteme des Teils-IS).
Die Verordnung (EG) 300/2008 und die zugehörigen Durchführungsbestimmungen der Verordnung (EU) 2015/1998 beinhalten die grundlegenden Vorschriften, welche in der gesamten Europäischen Union zum Schutz vor Terrorangriffen einzuhalten sind; diese Vorschriften gelten für Flughäfen, Luftfahrtunternehmen und eine Reihe weiterer Unternehmen.
Schließlich gilt gemäß den Cybersecurity-Verordnungen die Einhaltung der Sicherheitsanforderungen, die in Artikel 14 der Richtlinie (EU) 2016/1148 („NIS-Richtlinie“) festgelegt und den Anforderungen dieser Verordnungen gleichwertig sind, als Erfüllung der der Anforderungen.
Durch die NIS-Richtlinie werden in bestimmten Wirtschaftssektoren besondere Sicherheitsanforderungen und Meldepflichten für Betreiber wesentlicher Dienste eingeführt, damit eine Kultur des Risikomanagements gefördert wird und sichergestellt ist, dass die gravierendsten Sicherheitsvorfälle gemeldet werden. Umgesetzt wird die NIS-Richtlinie in Österreich durch das NIS-Gesetz und die Netz- und Informationssystemsicherheitsverordnung.
Danach sind wegen ihrer Bedeutung für die Aufrechterhaltung des öffentlichen Verkehrs im hier interessierenden Sektor Verkehr, Teilsektor Luftverkehr, wesentliche Dienste:
Die Beförderung von Personen im gewerblichen Luftverkehr durch ein Luftverkehrsunternehmen, das mehr als 33% der jährlich abgefertigten Passagiere an einem Flughafen befördert, der jährlich mehr als zehn Millionen Passagiere abfertigt;
im Bereich des Betriebes eines Flughafens die Flugabwicklung, insbesondere die Fluggastabfertigung und die Gepäckabfertigung sowie der Betrieb der Sicherheitssysteme, an einem Flughafen, der jährlich mehr als zehn Millionen Passagiere abfertigt;
im Bereich der Flugsicherung
- Flugsicherungsdienste durch Einrichtungen, denen die Wahrnehmung der Flugsicherung als hoheitliche Aufgabe des Bundes nach dem Luftfahrtgesetz (LFG) obliegt;
- Flugplatzkontrolldienste an einem Flughafen, der jährlich mehr als zehn Millionen Passagiere abfertigt.
Sohin gibt es in Österreich für den Teilsektor Luftverkehr derzeit drei wesentliche Dienste: Die Austrian Airlines AG, die Flughafen Wien AG sowie die Austro Control GmbH.
Betreiber wesentlicher Dienste sind insbesondere verpflichtet, geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen; Sicherheitsvorfälle, die von ihnen bereitgestellte Dienste betreffen, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden; mindestens alle drei Jahre nach Zustellung des Bescheides die Erfüllung der Anforderungen gegenüber dem Bundesminister für Inneres nachzuweisen und zu diesem Zweck eine Aufstellung der vorhandenen Sicherheitsvorkehrungen zu übermitteln.
Rechtsanwalt Luftfahrtrecht
Rechtsanwalt Dr. Simon Harald Baier LL.M. berät zu allen Fragen des Luftfahrtrechts und Wirtschaftsrechts.