Stellungnahme
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des Bundesministeriums für Digitales und Verkehr:
Grundsätze zur Umsetzung der DVO (EU) 2019/1583 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen GrundstandardsfürdieLuftsicherheitinBezugauf Cybersicherheitsmaßnahmen für die Bereiche der §§ 9 und 9a LuftSiG
Bundesverband der Deutschen Industrie e. V.
Stand: 19.09 2023
BMDV-Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“
Hintergrund
Der Entwurf des Umsetzungskonzepts „Cybersicherheit im Bereich Luftsicherheit“ des Bundesministeriums für Digitales und Verkehr (BMDV) definiert als Anlage zum Nationalen Luftsicherheitsprogramm (NLSP) Grundsätze für die Umsetzung der über die DVO (EU) 2019/1583 festgesetzten europäischen Grundstandards für die Luftsicherheit in Bezug auf Cybersicherheitsmaßnahmen in den Bereichen §§ 9 und 9a LuftSiG. Damit richtet sich das Umsetzungskonzept des BMDV an Luftfahrtunternehmen und die Beteiligten der sicheren Lieferkette.
Für die im Zuständigkeitsbereich des Bundesministeriums des Innern und für Heimat (BMI) liegenden Personen- und Gepäckkontrollen (§ 5 LuftSiG) und Sicherheitsmaßnahmen der Flughafenbetreiber (§ 8 LuftSiG) haben sich das BMI und die Luftsicherheitsbehörden der Länder bereits auf eine bundeseinheitliche Umsetzung der europäischen Vorgaben für Cybersicherheit in der Zivilluftfahrt geeinigt und diese als Anlage zum NLSP veröffentlicht.
Sichere Luftverkehre und Lieferketten in Deutschland, Europa und weltweit sindfürdenBDIsowiediedurchihnvertretenenVerbändeundUnternehmen von höchster Bedeutung. Daher agieren die deutsche Luftverkehrswirtschaft und die Beteiligten der sicheren Lieferkette schon heute nach höchsten Sicherheitsstandards. Maßnahmen, die nachweislich und in effizienter Weise auf die Luftsicherheit einzahlen, unterstützt der BDI.
Harmonisierte und praxisnahe Konzeption der Anforderungen schafft Rechtssicherheit und sichert Wettbewerbsfähigkeit
Die europäische Cybersicherheitsarchitektur für den Luftverkehr und die sichere Lieferkette muss wirksam und praxisnah ausgestaltet sowie national und europäisch harmonisiert umgesetzt werden, um grenzüberschreitende Zugewinne an Sicherheit zu generieren sowie die innereuropäische und internationale Wettbewerbsfähigkeit deutscher Unternehmen zu sichern. Vor diesem Hintergrund begrüßt der BDI das Vorhaben des Gesetzgebers, die Harmonisierung der Cybersicherheitsmaßnahmen in der Luftsicherheit voranzubringen. Damit das vom BMDV vorgeschlagene Umsetzungskonzept Sicherheit schafft sowie eine rechtssichere und ressourceneffiziente Anwendung erlaubt, muss aus Sicht des BDI jedoch nachjustiert werden:
- Die Harmonisierung der Anforderungen an die Cybersicherheit im Luftverkehr und der sicheren Lieferkette muss dringend in einem ganzheitlichen Konzept vorangebracht werden. Dabei sind alle Anforderungen aus der DVO (EU) 2019/1583, dem künftigen
Bundesverband der Deutschen Industrie e.V
Lobbyregisternummer R000534
Hausanschrift
Breite Straße 29 10178 Berlin
Postanschrift 11053 Berlin
Ansprechpartner
Marco Kutscher
T:+49 30 20281751
E-Mail: m.kutscher@bdi.eu
Internet www.bdi.eu
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV
NIS2UmsuCG sowie des EASA-Part-IS einzubeziehen und bestehendeStandardsanzuerkennen.Doppelregelungen zum übergeordneten EU-Recht müssen vermieden werden, um Rechtsunsicherheiten vorzubeugen.
- Dem Umsetzungskonzept muss eine praxisorientierte Analyse der Gefahrenpotenziale für die Luftfahrt durch Cybersicherheitslücken vorangehen, um echte Sicherheitsgewinne zu erreichen, ohne den Luftverkehrs- und Industriestandort über Gebühr zu belasten. Für den BDI bleibt etwa unklar, welche Manipulationsmöglichkeiten in der sicheren Lieferkette beim Bekannten Versender und Reglementierten Beauftragten liegen. Vor diesem Hintergrund sollte von umfassenden Schulungs- und Dokumentationsanforderungen abgesehen werden, bis die Frage nach den Manipulationspotenzialen überzeugend beantwortet ist.
- Die Bürokratiekosten und Erfüllungsaufwände für Verwaltung und Unternehmen müssen mit Augenmaß gestaltet werden. Nationale Sonderwege, die in einer Benachteiligung deutscher Unternehmen resultieren, sind zu vermeiden. Insbesondere mit Blick auf die im Umsetzungskonzept vorgenommene Definition kritischer informationsund kommunikationstechnischer Systeme und Daten (KIKS), Schulungsbestimmungen, den betroffenen Personenkreis der Zuverlässigkeitsüberprüfungen (ZÜP) und Dokumentationspflichten sollte geprüft werden, ob der Umsetzungsvorschlag echte Sicherheitsgewinne verspricht, die den hohen Erfüllungsaufwand rechtfertigen.
- Einige Begriffsbestimmungen sind aus Sicht des BDI unklar definiert. Um eine rechtssichere Anwendung der vorgeschlagenen Vorgaben zu erreichen, muss hier nachjustiert werden.
- Da der Entwurf des Umsetzungskonzepts signifikante Mehrbelastungen gegenüber den bereits geltenden, unionsrechtlichen Vorgaben vorsieht unddieAusgestaltung dernationalenUmsetzungsgrundsätze lange aussteht, sollten angemessene Übergangsfristen festgesetzt werden.
Die Anforderungen des BDI an die Ausgestaltung des Umsetzungskonzepts „Cybersicherheit im Bereich Luftsicherheit“ des BMDV werden im Folgenden detailliert ausgeführt. Dabei folgt die Stellungnahme der Struktur des Vorschlags des BMDV.
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV
Begriffsbestimmungen
Der Anwendungsbereich und die Begriffsbestimmungen des Umsetzungskonzepts müssen klar und den EU-Vorgaben entsprechend ausgestaltet werden, um eine rechtssichere und harmonisierte Umsetzung zu erreichen. In Nummer 2 bestehen insbesondere mit Blick auf die Definition der „Administratoren“ und der „Stelle“ aktuell noch Unsicherheiten:
Administratoren beziehungsweise Personen mit Administrator-Rechten betreuen regelmäßig mehrere zugelassene Standorte und können daher häufig nicht eindeutig einem Betriebsstandort zugeordnet werden. Daraus folgt die Frage, ob eine Zuordnung aller relevanten Administratoren für jeden Betriebsstandort einzeln und separat erfolgen muss. Dies wäre mit enormen bürokratischen und administrativen Aufwänden verbunden.
Der Begriff „Stelle“ ist in Art. 3 Abs. 6 der VO (EG) Nr. 300/2008 bereits für die Luftsicherheit definiert. Daher sollte klargestellt werden, ob es sich um eine neue Definition handelt oder die Definitionen deckungsgleich sind.
Definition kritischer informations- und kommunikationstechnischer Systeme und Daten (KIKS)
Die in Nr. 4 des Umsetzungskonzepts enthaltene, beispielhafte Auflistung von KIKS stellt eine unverhältnismäßige weite Auffassung von KIKS dar und beruht nicht deutlich genug auf Kriterien der für die Luftsicherheit relevanten Cyberbedrohungen. Nicht nachvollziehbar ist etwa, weshalb im Bereich Informationssicherheit Systeme für Einstellungsunterlagen und Schulungen oder im Bereich Fracht Systeme reglementierter Beauftragter und bekannter Versender und Lieferanten als KIKS eingestuft werden. Dies gilt auch für die Betreiber von Sekundärsystemen, wie etwa Stromanbieter.
Jede Erweiterung des Definitionskreis der KIKS führt zu einer Ausweitung des Personenkreises für Schulungen und Zuverlässigkeitsüberprüfungen. Die im Umsetzungskonzept skizzierte Erweiterung würde zu einem massiven Erfüllungsaufwand führen, der nicht durch klare Zugewinne an Luftsicherheit gerechtfertigt werden kann. Die KIKS sollten daher auf ein Mindestmaß definiert werden.
Zulassung des Sicherheitsprogramms
Die in Nr. 7 geregelte Zulassung des Sicherheitsprogramms sollte durch die in der DVO (EU) 2019/1583 skizzierte Möglichkeit ergänzt werden, die Anforderungen mit einem einfachen Verweis auf ein relevantes Cybersicherheitsdokument zu erfüllen. Da die Beschaffung von Dienstleistungen zunehmend international erfolgt, sollten erforderliche Anlagen zum Luftsicherheitsprogramm auch in englischer Sprache aufgenommen werden können. Sollte eine Aufnahme in englischer Sprache in das Luftsicherheitsprogramm selbst nicht zulässig sein, wäre ein geeigneter Ansatz, zumindest die in Nr. 7 als Alternative erwähnte Anlage in englischer Sprache einreichen zu dürfen.
Darüber hinaus bleiben die Kriterien für „akkreditierte Prüfer“ unklar.
Kontaktstelle
In Nr. 8 benennt der Entwurf die Anforderungen an die Registrierung und Benennung einer Kontaktstelle, über welche die Stelle jederzeit erreichbar ist Es sollte klargestellt werden, dass Luftfahrunternehmen und Stellen, die mehrereStandortebetreiben,dazuberechtigtsind,einezentraleKontaktstelle für alle Standorte zu benennen.
Zuverlässigkeitsüberprüfungen
Zuverlässigkeitsüberprüfungen fallen nach Nr. 9 des Umsetzungskonzepts sowohl für Personen, die einen unbeaufsichtigten und unbeschränkten Zugang zu den als relevant für die Sicherheit in der Luftfahrt ermittelten kritischen informations- und kommunikationstechnischen Systeme und Daten (KIKS) haben als auch für Personen mit Administrator-Rechten an. CheckIn- und Online-Check-In-Systeme werden in Nr. 4 des Umsetzungskonzept als KIKS definiert, sodass die oben genannten Personengruppen entsprechend zu überprüfen wären. Da deutsche Fluggesellschaften zur Abwicklung der Check-in-Prozesse Drittanbieter nutzen, die weltweit Mitarbeitende beschäftigen und eine Bestätigung gleichwertiger europäischer oder nicht-europäischer Zuverlässigkeitsüberprüfungen vom Gesetzgeber bislang nicht vorgesehen ist, ist diese Vorgabe nicht zweckmäßig, kaum umsetzbar und schwächt die Position deutscher Unternehmen im internationalen Wettbewerb um Fachkräfte. Im Umsetzungskonzept sollte Nr. 9 somit dahingehend präzisiert werden, dass eine Zuverlässigkeitsüberprüfung nur dann erforderlich ist, wenn diese zweckmäßig und praktisch auch durchführbar ist.
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV www.bdi.eu
Die Bundesregierung sollte die geschilderten Hemmnisse auch als Auftrag begreifen, Zuverlässigkeitsüberprüfungen anderer EU-Mitgliedsstaaten anzuerkennen. Hierzu besteht trotz eines Aufrufs der EU-Kommission in Deutschland aktuell keine Möglichkeit.
Dokumentationspflichten
Das Umsetzungskonzept sieht in Nr. 9 vor, alle Zugriffe und Tätigkeiten auf KIKS zu dokumentieren. Diese Dokumentationspflichten würden aufgrund großer Datenmengen in einem unverhältnismäßig hohen Aufwand bei Überprüfung und Protokollierung resultieren. Hinzu kommt, dass die sichere Lieferkette stetig Veränderungen unterworfen ist, welche fortlaufend angezeigt werden müssen. Die Einführung umfassender Dokumentationspflichten würde somit stark begrenzte Ressourcen über Gebühr binden. Um zu verhindern, dass personelle Kapazitäten von der Cyberabwehr zur Compliance verlagert werden, sind daher risikobasierte Ansätze unter Beachtung des Gebots der Datensparsamkeit zu präferieren. Bei der Einführung umfangreicher Dokumentations- und Überprüfungspflichten muss zudem eine Einhaltung der Vorgaben sichergestellt werden.
Schulungsbestimmungen
Das Umsetzungskonzept geht in Nr. 10 deutlich über die europäischen Vorgaben der umzusetzenden DVO (EU) 2019/ 1583 hinaus. Für den BDI ist diesnichtnachvollziehbar,dasodieWettbewerbsfähigkeitdes Industrie-und Luftverkehrsstandorts geschwächt wird, ohne klar nachvollziehbare Gewinne an Sicherheit zu generieren.
Der Entwurf definiert etwa eine Personengruppe a, deren Rechtsgrundlage nicht nachvollzogen werden kann. Nach dem Anhang zur DVO (EU) 2019/1583 sind „Personen mit Funktionen und Verantwortlichkeiten in Bezug auf Cyberbedrohungen“ zu schulen. Allerdings besteht für die in Gruppe a aufgenommenen Personen weder ein sachlicher noch praktischer Zusammenhang zu möglichen Cyberbedrohungen oder Cyberabwehrmaßnahmen, da sie keine Manipulation von KIKS-Systemen durchführen können. Eine Sensibilisierung dieser Personengruppen ist somit nicht erforderlich. Vielmehr sollte die entsprechende Personengruppe vollumfänglich gestrichen werden.
Unklar bleibt im Umsetzkonzept auch, welche Schulungsinhalte im Rahmen von Sensibilisierung, Einweisung und Schulung vermittelt werden sollen. Im
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV www.bdi.eu
Bereich der Cybersicherheit gibt es zudem starke personelle Überschneidungen über die Zuständigkeiten nach §§ 5, 8, 9, 9a LuftSiG hinweg, sodass voneinander abweichende Regelungen nicht nur in unnötigem Bürokratieaufwand, sondern auch in doppelten Schulungen resultieren würden. Damit es hierzu nicht kommt, müssen Abweichungen und unklare Formulierungen zwischen den verschiedenen Vorgaben unbedingt vermieden werden. Eine Unsicherheit besteht außerdem bei der Anerkennung von Vorkenntnissen „aus abgeschlossenen fachspezifischen Berufsausbildungen und Studiengängen mit informationstechnischem Schwerpunkt“. Zur Konzeption anerkennungsfähiger Schulungen muss daher dringend Klarheit zu den Schulungsinhalten geschaffen werden, damit diese von Anbietern entwickelt und vorgehalten werden können.Damit UnternehmendieChancehaben,dienationalen und europäischen Anforderungen zu erfüllen, ist unbedingt ein ausreichender zeitlicher Vorlauf für die Konzeption und Durchführung der geforderten Schulungen einzuplanen.
Inkrafttreten und Übergangsfristen
Die europäischen, unmittelbar geltenden Vorgaben der DVO (EU) 2019/1583 sind am 31. Dezember 2021 in Kraft getreten. Wie betroffene Unternehmen zeitnah eine europäisch und national rechtskonforme Erfüllung der Anforderungen sicherstellen sollen, bleibt angesichts der Verzögerungen bei der Formulierung und der aus Sicht des BDI noch erforderlichen Anpassungen der nationalen Umsetzungsgrundsätze unklar.
Vor dem Hintergrund der massiven Verzögerungen bei der Erarbeitung der Umsetzungsgrundsätze sollte der Gesetzgeber im Entwurf einen angemessenen Übergangszeitraum festsetzen und die entstandenen Verzögerungen gegenüber der Europäischen Kommission anzeigen, um betroffenen Unternehmen die Chance zu eröffnen, die Anforderungen effizient, sicher und rechtssicher umzusetzen.
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV www.bdi.eu
Umsetzungskonzept „Cybersicherheit im Bereich Luftsicherheit“ des BMDV
Über den BDI
Der BDI transportiert die Interessen der deutschen Industrie an die politisch Verantwortlichen. Damit unterstützt er die Unternehmen im globalen Wettbewerb. Er verfügt über ein weit verzweigtes Netzwerk in Deutschland und Europa, auf allen wichtigen Märkten und in internationalen Organisationen. Der BDI sorgt für die politische Flankierung internationaler Markterschließung. Underbietet InformationenundwirtschaftspolitischeBeratung füralle industrierelevanten Themen. Der BDI ist die Spitzenorganisation der deutschen Industrie und der industrienahen Dienstleister. Er spricht für 39 Branchenverbände und mehr als 100.000 Unternehmen mit rund acht Millionen Beschäftigten. Die Mitgliedschaft ist freiwillig. 15 Landesvertretungen vertreten die Interessen der Wirtschaft auf regionaler Ebene.
Impressum
Bundesverband der Deutschen Industrie e.V. (BDI)
Breite Straße 29, 10178 Berlin www.bdi.eu
T: +49 30 2028-0
Lobbyregisternummer: R000534
Ansprechpartner
Marco Kutscher
Referent Mobilität und Logistik
T: +49 30 20281751
m.kutscher@bdi.eu
BDI Dokumentennummer: D 1840
www.bdi.eu