Unternehmen der sicheren Lieferketten kämpfen mit Doppelregulierungen : Das BSI unterstützt Firmen mit praktischen Lösungen zur Stärkung der Cybersicherheit im Spannungsfeld des NIS-2- Umsetzungsgesetzes und des deutschen Luftsicherheitsgesetzes
Einige Unternehmen der sicheren Lieferkette müssen neben § 9a Luftsicherheitsgesetz zusätzlich das NIS-2- Umsetzungsgesetz befolgen. Beide Regelwerke adressieren teils ähnliche Cybersicherheitsaspekte, unterscheiden sich jedoch in Detailvorgaben. Das führt zu Unsicherheit, Mehraufwand und erhöhten Anforderungen – vor allem für kleinere und mittlere Unternehmen (KMU) mit knappen Ressourcen.
Die zunehmende Digitalisierung macht auch vor sicherheitsrelevanten Prozessen in der Luftfahrtlogistik keinen Halt. Zunächst verpflichtete das Luftsicherheitsgesetz (§ 9a LuftSiG) Unternehmen der sicheren Lieferkette dazu, den physischen Schutz der zivilen Luftfahrt zu gewährleisten. Mit der Durchführungsverordnung (DVO) (EU) 2019/1583 kamen Schutzmaßnahmen kritischer IT-Systeme hinzu. Auch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) reguliert Cybersicherheit – sein Ziel ist es, die Cybersicherheit in Deutschland und auf europäischer Ebene zu vereinheitlichen. Das NIS2UmsuCG überschneidet sich teilweise mit den Regelungen der DVO (EU) 2019/1583. Für Unternehmen der sicheren Lieferkette in Deutschland – insbesondere kleine und mittlere Unternehmen (KMU), die von dem NIS2UmsuCG betroffen sind – führt diese Doppelregulierung zu erheblichen Herausforderungen in der praktischen Umsetzung.
Doppelregulierung in der Praxis
Das Zusammenspiel von § 9a des Luftsicherheitsgesetzes und des NIS-2-Umsetzungsgesetzes erweitert somit nicht nur den Pflichtenkatalog, sondern schafft auch Unklarheiten für betroffene Unternehmen. Beispielsweise verlangen beide Regelwerke die Meldung sicherheitsrelevanter Cybervorfälle – jedoch ohne einheitliche Vorgaben. Während das NIS2UmsuCG klare Fristen angibt (z.B. erste Meldung binnen 24 Stunden), nennt das LuftSiG keine Fristen. Auch verpflichtet das NIS2UmsuCG – im Gegensatz zum LuftSiG – „wichtige“ und „besonders wichtige“ Einrichtungen zur Registrierung und Meldung erheblicher Sicherheitsvorfälle im BSI-Portal.
Solche Unstimmigkeiten führen zu Verunsicherungen in den Unternehmen und können dazu beitragen, dass Meldefristen versäumt werden oder Meldungen verzögert eingehen. Außerdem kann es zur Folge haben, dass interne Abläufe doppelt geplant und unterschiedliche Format- oder Informationsanforderungen berücksichtigt werden müssen. Dies bedeutet zusätzlichen Abstimmungsaufwand und potenziellen Zeitverlust – gerade dann, wenn in der akuten Notfallsituation jede Minute zählt.
Wie viele Unternehmen sind betroffen?
Eine Schätzung auf Grundlage der Unternehmen der sicheren Lieferkette zeigt, dass rund 59% der reglementierten Beauftragten, 12% der Transporteure, 90% der bekannten Versender und 73% der reglementierten Lieferanten zusätzlich zu den Vorgaben des LuftSiG auch die Anforderungen des NIS-2-Umsetzungsgesetzes erfüllen müssen. Diese Zahlen verdeutlichen die Breite der Doppelregulierung in der Branche (siehe Abb. 1).
Kleine Unternehmen besonders gefordert
KMU in der sicheren Lieferkette sind hiervon besonders betroffen, denn oft fehlt es vor allem an personellen Ressourcen, um die gesetzlichen Anforderungen systematisch zu erfassen und umzusetzen. Zudem sind Gesetzestexte, Durchführungsverordnungen und andere Regularien nicht immer aufeinander abgestimmt, was zu Unsicherheiten im Umgang mit gesetzlichen Pflichten führen kann.
Unternehmen befürchten, dass die zusätzlichen Regularien mit Mehrkosten und gesteigertem bürokratischen Aufwand einhergehen. Diese Besorgnisse nimmt das BSI sehr ernst und arbeitet aktiv an praxisnahen und alltagstauglichen Hilfsmitteln und Unterstützungsangeboten.
Was Unternehmen jetzt und zukünftig hilft Um die Doppelregulierung in der Praxis besser handhabbar zu machen, arbeitet das BSI gemeinsam mit Branchenvertreterinnen und -vertretern an zusätzlichen Hilfsmitteln, die die Vorgaben aus dem LuftSiG und dem NIS2UmsuCG systematisch gegenüberstellen und Gemeinsamkeiten sowie Unterschiede klar herausheben.
An dieser Stelle möchten wir auf den im BSI-Magazin 2025/01 erschienen Artikel „Mehr Cybersicherheit, weniger Bürokratie: So stärkt das BSI die Resilienz der zivilen Luftfahrt“ [1] aufmerksam machen, in dem auf die Harmonisierung von Regulierungen auf EU-Ebene eingegangen wird.
Das BSI will nicht nur Orientierung bieten, sondern auch sicherstellen, dass gesetzliche Vorgaben in der Praxis effizient und ohne unnötige Doppelarbeit umgesetzt werden können. Die angedachten Hilfsmittel sollen dazu beitragen, eine bessere Übersicht über Anforderungen zu erhalten und dazu Prioritäten gezielt setzten zu können.
Denn klar ist: Die Grenzen der sicheren Lieferkette verlaufen nicht am Zaun oder an der Tür – sie beginnen bei sicheren IT-Systemen. Wenn physische und digitale Sicherheit ineinandergreifen, braucht es integrierte Ansätze, damit Schwachstellen an den Schnittstellen keine Einfallstore für Angreifer bieten.
Literatur
[1] Katharina Garbe, Fabian Rohde, Mehr Cybersicherheit, weniger Bürokratie: So stärkt das BSI die Resilienz der zivilen Luftfahrt, Das BSI setzt sich für harmonisierte Regulierungen auf EU-Ebene ein, Mit Sicherheit – BSI-Magazin 2025/01, Juni 2025, S. 44, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Magazin/BSI-Magazin_2025_01.pdf