08.12.2025

HiGuide: EU-Verordnung 2023/203 zur Informationssicherheit in der Zivilluftfahrt: Neue Standards und Pflichten für Luftfahrtorganisationen

Ein Beitrag von Rozerin Karaterzi und Manuel "HonkHase" Atug

Der Schutz sensibler Daten und die Widerstandsfähigkeit gegen Cyberangriffe gewinnen für die Zivilluftfahrt immer mehr an Bedeutung. Mit der neuen Durchführungsverordnung (EU) 2023/203 stellt die Europäische Union verbindliche Anforderungen an die Informationssicherheit im gesamten Luftfahrtsektor auf. Ab dem 22. Februar 2026 sind verschiedene Luftfahrtorganisationen und Behörden in jedem EU-Mitgliedstaat verpflichtet, umfassende Maßnahmen für die Sicherheit ihrer Informationssysteme zu ergreifen und sich so aktiv gegen aktuelle und zukünftige Cyberbedrohungen zu schützen. 

Die Durchführungsverordnung (EU) 2023/2031 wurde von der EU-Kommission am 27. Oktober 2022 und gilt ab dem 22. Februar 2026 unmittelbar in jedem EU-Mitgliedstaat. 

Diese EU-Verordnung enthält verbindliche Vorschriften zur Informationssicherheit in der Zivilluftfahrt. Ein wesentlicher Bestandteil der Durchführungsverordnung ist der sogenannte Part-IS (Information Security). Die Einführung des Part-IS soll sicherstellen, dass Organisationen der Luftfahrt Maßnahmen zum Schutz sensibler Informationen vor Cyberbedrohungen und anderen sicherheitsrelevanten Risiken ergreifen. 

Die europäische Agentur für Flugsicherheit (EASA) hat an der inhaltlichen Vorbereitung der Durchführungsverordnung mitgewirkt. Ein zentraler Bestandteil der EASA war das Einbringen von Analysen, Empfehlungen und Fachwissen. Als EU-Agentur ist die EASA zwar keine gesetzgebende Behörde, sie unterstützt aber die Umsetzung der Durchführungsverordnung durch Leitlinien, sogenanntes Guidance Material und anerkannte Umsetzungsmethoden (AMC).2

Die Unterstützung der EASA machte sich besonders durch ihre leicht zugänglichen Vorschriften für die Informationssicherheit, auch Easy Access Rules (EAR)3 genannt, bemerkbar. Im August 2024 wurde das EAR-Dokument mit dem Ziel veröffentlicht, eine effiziente und zuverlässige Umsetzung der Anforderungen der Durchführungsverordnung für die Interessengruppen zugänglich zu machen. Das EAR-Dokument setzt sich aus der Zusammenstellung der EU-Vorschriften mit den veröffentlichten Umsetzungshilfen (AMC) und Leitmaterialien (GM) zusammen. Erwähnenswert ist, dass das EAR-Dokument keine offizielle Veröffentlichung darstellt, sondern lediglich als Leitfaden dienen soll.

Betroffene Einrichtungen der PART-IS

Geltungsbereich der PART-IS

Anforderungen der Durchführungsverordnung (EU) 2023/203

Deckt die NIS-2-Richtlinie die EASA-PART-IS ab?

Betroffene Einrichtungen der PART-IS

Die Durchführungsverordnung (EU) 2023/203 richtet sich an Betreibende von Luftfahrzeugen sowie Organisationen der zivilen Luftfahrt zur Führung der Aufrechterhaltung der Lufttüchtigkeit. Besonders betroffen von den Regelungen des PART-IS sind Flughafenbetreibende, Vorfeldkontrolldienste sowie Flugzeugbau- und -entwicklungsbetriebe. Diese Organisationen sind verpflichtet, ein Informationssicherheitsmanagement einzuführen, Risiken systematisch zu bewerten und sicherheitsrelevante Vorfälle zu melden. Die Einhaltung dieser Vorschriften wird durch die zuständigen nationalen Luftfahrtbehörden, wie etwa dem Luftfahrtbundesamt in Deutschland überwacht.

Ab dem 22. Februar 2026 sind folgende Organisationen von dieser EU-Verordnung im Detail betroffen:

  1. Instandhaltungsorganisationen nach Anhang II (Teil-145) Abschnitt A der Verordnung (EU) Nr. 1321/2014, mit Ausnahme der Organisationen, die ausschließlich mit der Instandhaltung von Luftfahrzeugen nach Anhang Vb (Teil-ML) der Verordnung (EU) Nr. 1321/2014 befasst sind;
  2. Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (CAMO) nach Anhang Vc (Teil-CAMO) Abschnitt A der Verordnung (EU) Nr. 1321/2014, mit Ausnahme der Organisationen, die ausschließlich mit der Führung der Aufrechterhaltung der Lufttüchtigkeit von Luftfahrzeugen nach Anhang Vb (Teil-ML) der Verordnung (EU) Nr. 1321/2014 befasst sind;
  3. Luftfahrtunternehmen nach Anhang III (Teil-ORO) der Verordnung (EU) Nr. 965/2012, mit Ausnahme der Organisationen, die ausschließlich mit dem Betrieb eines der folgenden Luftfahrzeuge befasst sind:
    1. ELA2-Luftfahrzeuge im Sinne des Artikels 1 Absatz 2 Buchstabe j der Verordnung (EU) Nr. 748/2012;
    2. Einmotorige Propellerflugzeuge mit einer höchstzulässigen betrieblichen Fluggastsitzkonfiguration von höchstens fünf Plätzen, die nicht als technisch komplizierte motorgetriebene Luftfahrzeuge eingestuft sind, wenn sie auf demselben Flugplatz oder Einsatzort starten und landen und nach Sichtflugregeln (VFR) am Tag betrieben werden;
    3. Einmotorige Hubschrauber mit einer höchstzulässigen betrieblichen Fluggastsitzkonfiguration von höchstens fünf Plätzen, die nicht als technisch komplizierte motorgetriebene Luftfahrzeuge eingestuft sind, wenn sie auf demselben Flugplatz oder Einsatzort starten und landen und nach Sichtflugregeln (VFR) am Tag betrieben werden;
  4. Zugelassene Ausbildungsorganisationen (ATO) nach Anhang VII (Teil-ORA) der Verordnung (EU) Nr. 1178/2011, mit Ausnahme der Organisationen, die ausschließlich mit Ausbildungsmaßnahmen für ELA2-Luftfahrzeuge im Sinne des Artikels 1 Absatz 2 Buchstabe j der Verordnung (EU) Nr. 748/2012 oder ausschließlich mit theoretischer Ausbildung befasst sind;
  5. Flugmedizinische Zentren für das fliegende Personal nach Anhang VII (Teil-ORA) der Verordnung (EU) Nr. 1178/2011;
  6. Betreibende von Flugsimulationsübungsgeräten (FSTD) nach Anhang VII (Teil-ORA) der Verordnung (EU) Nr. 1178/2011, mit Ausnahme der Organisationen, die ausschließlich mit dem FSTD-Betrieb für ELA2-Luftfahrzeuge im Sinne des Artikels 1 Absatz 2 Buchstabe j der Verordnung (EU) Nr. 748/2012 oder ausschließlich mit theoretischer Ausbildung befasst sind;
  7. Ausbildungsorganisationen (ATCO TO) und flugmedizinische Zentren für Fluglotsende nach Anhang III (Teil ATCO.OR) der Verordnung (EU) 2015/340;
  8. Organisationen nach Anhang III (Teil-ATM/ANS.OR) der Durchführungsverordnung (EU) 2017/373, mit Ausnahme der folgenden Diensteanbietende:
    1. Anbietende von Flugsicherungsdiensten, die eingeschränkte Zeugnisses nach Punkt ATM/ANS.OR. A.010 jenes Anhangs innehaben;
    2. Anbietende von Fluginformationsdiensten, die eine Erklärung nach Punkt ATM/ANS.OR.A.015 jenes Anhangs abgeben;
    3. Anbietende von U-Space-Diensten und einzige Anbietende gemeinsamer Informationsdienste nach Durchführungsverordnung (EU) 2021/664.
  9. Diese Verordnung gilt für die in Artikel 6 dieser Verordnung und in Artikel 5 der Delegierten Verordnung (EU) 2022/1645 der Kommission (14) genannten zuständigen Behörden, einschließlich der Agentur der Europäischen Union für Flugsicherheit (im Folgenden die „Agentur“).
  10. Diese Verordnung gilt auch für die zuständige Behörde, die für die Erteilung, Aufrechterhaltung, Änderung, Aussetzung oder den Widerruf von Lizenzen für freigabeberechtigtes Personal nach Anhang III (Teil-66) der Verordnung (EU) Nr. 1321/2014 zuständig ist.
  11. Diese Verordnung lässt die in Nummer 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/1998 und in Artikel 14 der Richtlinie (EU) 2016/1148 festgelegten Anforderungen an die Informationssicherheit und die Cybersicherheit unberührt.

Geltungsbereich der PART-IS

Der Geltungsbereich von PART-IS umfasst die Bedingungen für die Durchführung von Zulassung-, Aufsichts- und Durchsetzungsaufgaben sowie die Festlegung von Anforderungen an das Verwaltungs- und Managementsystem. Dabei müssen die zuständigen Behörden insbesondere die Durchführung und Durchsetzung der Delegierten Verordnung (EU) 2024/11074 sicherstellen.

Dieser Geltungsbereich richtet sich als allgemeine Anforderung an die zuständigen Behörden und beschreibt somit die Behörden in Bezug auf die Aufsicht über die Aufrechterhaltung der Lufttüchtigkeit einzelner Luftfahrzeuge und der Erteilung der Bescheinigungen über die Prüfung der Lufttüchtigkeit (ARC).5

Nach Artikel 7 der Durchführungsverordnung (EU) 2023/2036 sind die Organisationen, die von PART-IS.OR betroffen sind, verpflichtet, den zuständigen Behörden Informationssicherheitsvorfälle zu melden. Die jeweils zuständige Behörde, die unter die PART-IS.AR-Regulierung fällt, empfängt die Meldungen und hat nach PART-IS.AR 225 die Pflicht, Meldungen zu sammeln, zu bewerten, zu verarbeiten und im bestimmten Fall weiterzugeben. Außerdem müssen sie nach PART-IS.AR 230 die Informationen mit anderen betroffenen Behörden oder der EASA austauschen.

„Diese Behörde ist ferner zuständig für die Aufsicht über die Aufrechterhaltung der Lufttüchtigkeit des Steuerungs- und Überwachungsgeräts, soweit dieses für das in diesem Mitgliedstaat eingetragene unbemannte Luftfahrzeug verwendet wird.“7

Des Weiteren bestimmt der Geltungsbereich der Lufttüchtigkeit von Unmanned Aircraft Systems (UAS) die Anforderungen für die zuständigen Behörden bezüglich der Durchführung ihrer Aufgaben und der Wahrnehmung ihrer Aufsichtspflichten in Bezug auf die Aufrechterhaltung der Lufttüchtigkeit von UAS gemäß der Delegierten Verordnung (EU) 2024/11078 sowie die Erteilung von Bescheinigungen über die Prüfung der Lufttüchtigkeit (ARC), die erfüllt werden müssen.

Anforderungen der Durchführungsverordnung (EU) 2023/203

Wie bereits erwähnt hat die EU-Kommission mit der Durchführungsverordnung (EU) 2023/203 eine einheitliche und verpflichtende Vorgabe geschaffen, um die Sicherheit in der zivilen Luftfahrt zu stärken. Ein zentraler Schwerpunkt liegt dabei auf der Informationssicherheit. Im Abschnitt „Informationssicherheit – Anforderungen an Organisationen (Teil-IS.O.OR)“ legt die Verordnung umfassende Anforderungen an den Schutz und das Management sensibler Informationen in Luftfahrtorganisationen fest. Die konkreten Regelungen hierzu finden sich in Anhang II der Verordnung.

Die Organisationen müssen demzufolge:

  1. Ein Informationssicherheitsmanagementsystem (ISMS) einrichten.
  2. Alle Elemente ermitteln, die bei ihr vorliegen und die Informationssicherheitsrisiken ausgesetzt sein könnten.
  3. Maßnahmen entwickeln für nach Punkt IS.I.OR.205 identifizierte und nicht hinnehmbare Risiken, diese zeitnah umsetzen und kontinuierlich auf deren Wirksamkeit prüfen.
  4. Ein System für interne Meldungen einrichten, das die Erfassung und Bewertung von Informationssicherheitsereignissen, einschließlich solcher, die nach Punkt IS.I.OR.230 zu melden sind, ermöglicht.
  5. Maßnahmen ergreifen, um Störungen und Schwachstellen zu erkennen, die auf das potenzielle Eintreten nicht hinnehmbarer Risiken schließen lassen, die sich auf die Flugsicherheit auswirken können.
  6. Nach Erhalt einer Mitteilung über Beanstandungen durch die zuständige Behörde, die Ursache(n) für die Nichteinhaltung und die dazu beitragenden Faktoren ermitteln, einen Abhilfeplan erstellen, die Behebung der Beanstandung zur Zufriedenheit der zuständigen Behörde nachweisen. Die Maßnahmen müssen innerhalb der mit der zuständigen Behörde vereinbarten Frist durchgeführt werden
  7. Ein Meldesystem für die Informationssicherheit einrichten.
  8. Bei der Vergabe der Tätigkeiten an andere Organisationen sicherstellen, dass die in Auftrag gegebenen Tätigkeiten den Anforderungen dieser Verordnung genügen und dass die beauftragte Organisation unter ihrer Aufsicht arbeitet. Die Organisation muss sicherstellen, dass die mit den vertraglich vereinbarten Tätigkeiten verbundenen Risiken angemessen gemanagt werden.
  9. Anforderungen an das Personal stellen: Die verantwortliche Person muss sicherstellen, dass alle zur Erfüllung der Anforderungen dieser Verordnung erforderlichen Ressourcen zur Verfügung stehe. Zusätzlich muss sie, das für die Informationssicherheit genannte Konzept festlegen, fördern und nachweisen. Außerdem muss sie über fundierte Kenntnisse der Verordnung verfügen.
  10. Aufzeichnungen über ihre Tätigkeiten im Bereich des Informationssicherheitsmanagements führen.
  11. Der zuständigen Behörde ein Handbuch zum Informationssicherheitsmanagement und gegebenenfalls zugehörige Handbücher und Verfahren zur Verfügung stellen.
  12. Änderungen des ISMS nach einem von der Organisation entwickelten Verfahren verwalten und der zuständigen Behörde mitteilen. Dieses Verfahren muss von der zuständigen Behörde genehmigt werden.
  13. Anhand geeigneter Leistungsindikatoren die Wirksamkeit und Ausgereiftheit des ISMS bewerten. 

Deckt die NIS-2-Richtlinie die EASA-PART-IS ab?

Nach den Leitlinien der Europäischen Kommission zu sektorspezifischen Rechtsakten gilt EASA-PART-IS nicht als Lex Specialis gegenüber der NIS-2-Richtlinie – das heißt, sie ersetzt oder überlagert die NIS-2-Pflichten nicht automatisch. Dies liegt vor allem daran, dass die Vorschriften zu Informationssicherheitsmanagementsystemen (ISMS) im Bereich Luftfahrt spezifischer sind, während die NIS-2-Richtlinie einen deutlich breiteren Ansatz verfolgt. Aktuell arbeitet die EASA jedoch gemeinsam mit der Europäischen Kommission daran, die Erfüllung der EASA-PART-IS-Anforderungen auch im Sinne der NIS-2-Konformität anerkennen zu lassen. Dies könnte entweder bei der Umsetzung der Richtlinie in nationales Recht oder während der späteren Umsetzungsphase berücksichtigt werden. Weitere Leitlinien dazu werden für 2025 erwartet.

Fußnoten

1https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32023R0203

2https://www.easa.europa.eu/en/newsroom-and-events/news/easa-publishes-amc-and-gm-support-implementation-part und https://www.easa.europa.eu/en/document-library/acceptable-means-of-compliance-and-guidance-materials

3https://www.easa.europa.eu/en/document-library/easy-access-rules/easy-access-rules-information-security-regulations-eu-2023203

4 Delegierte Verordnung (EU) 2024/1107, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401107

5https://www.lba.de/DE/Technik/Aufrechterhaltung_Lufttuechtigkeit/ARC/ARC_node.html

6https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32023R0203

7 Erwägungsgrund AR.UAS.GEN.010 Zuständige Behörde, Abs. a 

8https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401107