Cybersecurity - Erfüllung neuer gesetzlicher Vorgaben
Frankfurt am Main, 19. Juli 2024
Seit dem 31. Mai 2024 sind neue Cybersecurity-Vorgaben des Bundesministeriums für Digitales und Verkehr (BMDV) für Unternehmen der sicheren Lieferkette in Kraft. Der VACAD ist für seine Mitglieder schon länger an diesem zweifellos wichtigen Thema dran, denn an den Vorgaben gäbe es einiges zu verbessern. Der VACAD arbeitet auch im vom BDL und BSI geleiteten Expertenkreis "Cybersicherheit im Luftverkehr" mit, der sich u. a. mit dieser Thematik befasst.
Die Mitglieder des VACAD müssen als Teil der sicheren Lieferkette für Luftfracht neue formale Auflagen zur Cybersecurity erfüllen.
Ohne Zweifel ist Cybersecurity ein wichtiges Thema! Unternehmen tun gut daran, sich vor Angriffen aus dem Internet zu schützen, um ihre Daten zu sichern und ihre betriebliche Kontinuität sicherzustellen. Es ist deshalb davon auszugehen, dass Maßnahmen zur Erhöhung der Cybersicherheit von Unternehmen ergriffen wurden und werden.
Die EU hat im Jahr 2019 eine Durchführungsverordnung zur Cybersicherheit für Unternehmen der sicheren Lieferkette von Luftfracht erlassen. Hierzu wurden nun vom BMDV Grundsätze zur Umsetzung dieser EU-Verordnung aufgestellt, die seit dem 31.Mai 2024 in Kraft sind und die vorgeben, dass reglementierte Beauftragte bei Änderungen des eigenen Luftfrachtsicherheitsprogramms nach dem 01. Januar 2025 auch eine detaillierte Analyse zur Cybersecurity und zu den zu ergreifenden Maßnahmen dem LBA vorzulegen haben.
Der VACAD hatte sich im September 2023 gerne an einer Anhörung des BMDV zum Entwurf dieser Grundsätze beteiligt. Die am 31. Mai 2024 in Kraft getretene Fassung dieser Grundsätze ist stark gegenüber der Entwurfsfassung verändert. Es wäre wünschenswert gewesen, zu dieser Version nochmals angehört zu werden oder zu erfahren, warum Änderungen gegenüber dem zur Anhörung vorgelegten Entwurf vorgenommen wurden.
Eine unserer damaligen Forderungen war, dass zwischen der Veröffentlichung der Grundsätze und der Verpflichtung zur Umsetzung der Grundsätze eine angemessene Frist liegen muss, um den betroffenen Unternehmen ausreichend Zeit zur Umsetzung der Grundsätze zu geben. Immerhin enthält die nun in Kraft gesetzte Verordnung eine siebenmonatige Frist zur Umsetzung der Vorgaben durch die betroffenen Unternehmen. Angesichts der Komplexität der vorzunehmenden Risikobeurteilung und der aus dieser Risikobeurteilung abzuleitenden Maßnahmen keine zu lange Frist. Zumal insbesondere kleine Unternehmen sich fachlichen Rat zur Beurteilung der Vorgaben werden holen müssen.
Erschwert wird die Umsetzung der Grundsätze auch durch den Umstand, dass diese immer noch nicht vollständig veröffentlicht sind. Es fehlt der Anhang A (Stand 09. Juli 2024). Zur Beantwortung fachlicher Fragen steht erfreulicherweise das BSI gemäß Aussage in den Grundsätzen zur Verfügung. Erste Anfragen aus unserem Mitgliederkreis warten jedoch seit mehr als vier Wochen auf Beantwortung (Stand 09. Juli 2024). Diese beiden Sachverhalte sind unglücklich, da die Grundsätze zur Umsetzung der DVO (EU) 2019/1583 von unseren Mitgliedsunternehmen innerhalb eines knapp bemessenen Zeitraums eine umfassende Risikoanalyse und die Beschreibung der zur Abwehr von Cyberrisiken ergriffenen Maßnahmen erfordern.
Es ist sicherlich auch positiv zu bewerten, dass im ersten Schritt die zu schützenden Systeme von dem jeweiligen Unternehmen selbst identifiziert werden können. Allerdings finden sich in den Grundsätzen auch Vorgaben, welche Systeme im Sinne der Gewährleistung der Cybersecurity als kritische Systeme zu behandeln sind. In den Grundsätzen werden auch Systeme genannt, die sich außerhalb des Einflussbereichs eines reglementierten Beauftragten befinden. Dies gilt sowohl fachlich wie z. B. für Sicherungstechnik als auch räumlich wie z. B. für Software, deren Produzenten ihren Sitz im Ausland haben.
Es wird auch zu beobachten sein, wie sich bezüglich der Umsetzung der Vorgaben die Zusammenarbeit zwischen dem LBA als Aufsichtsbehörde und den reglementierten Beauftragten gestalten wird. Eine intensive Kommunikation wäre aus Sicht des VACAD wünschenswert und hilfreich. Doch gerade diese Kommunikation ist verbesserungswürdig (s. oben) bzw. ruht mit dem VACAD seitens des BMDV/LBA seit Monaten.
Dieses Thema wird vom VACAD im Interesse seiner Mitglieder trotz und wegen des fehlenden Austausches mit dem BMDV/LBA in den nächsten Monaten weiter begleitet werden.
Dr. Jürgen Vogt, VACAD
Über den VACAD e.V.
Der Verband der Air Cargo Abfertiger Deutschlands wurde 2007 gegründet. Mit Sitz in Frankfurt am Main zählt der Interessensverband 14 Mitglieder, die an fast allen Verkehrsflughäfen in Deutschland tätig sind. Zusammengezählt schlugen alle Mitglieder 2023 rund 1,7 Millionen Tonnen Fracht um. Insgesamt werden etwa 3.400 Mitarbeiter beschäftigt. Wichtige Ziele des Verbandes sind Kommunikation mit Ministerien, Ämtern und anderen Organisationen sowie Öffentlichkeitsarbeit. Ebenso liegt ein Fokus auf Erfahrungs- und Gedankenaustausch mit Verbands- und Branchenmitgliedern.