NIS2-Konformität für den Raumfahrtsektor

Weltraumgestützte Infrastrukturen unterstützen Telekommunikation, Navigation, Erdbeobachtung, Wettervorhersage, Koordinierung der Verteidigung und kritische Zeit- und Synchronisationsdienste in der gesamten Europäischen Union. Satellitensysteme und die zugehörige Bodeninfrastruktur sind tief in wesentliche Dienste integriert und stellen dadurch attraktive Ziele für Cyberbedrohungen dar.

Die NIS2-Richtlinie begründet EU-weit geltende Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für den Raumfahrtsektor spiegelt die strategische Bedeutung wider, Weltrauminfrastrukturen und Bodensysteme vor Störungen, Manipulation oder Kompromittierung zu schützen.

Die Richtlinie gilt für mittlere und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich des Raumfahrtsektors. Angesichts der sektorübergreifenden Abhängigkeit von Satellitendiensten werden viele Raumfahrtbetreiber in den Anwendungsbereich fallen.

Wenn Ihre Organisation im Raumfahrtsektor tätig ist, kann sie unter NIS2 als wesentliche oder wichtige Einrichtung eingestuft werden.

Der Raumfahrtsektor wird wie folgt eingestuft:

Relevanter Anhang: Anhang I (wesentliche Einrichtungen)

Dies umfasst Einrichtungen, die Satellitenbodenstationen und Satellitenkontrollzentren betreiben, sowie Anbieter von weltraumgestützten Kommunikations-, Navigations- oder Beobachtungsdiensten.

Einrichtungen, die die einschlägigen Größenschwellen erfüllen, gelten nach NIS2 als wesentliche Einrichtungen.

• Wesentliche Einrichtung gemäß Anhang I

• Betreiber bodengebundener Infrastruktur, die sich im Eigentum von Mitgliedstaaten oder privaten Akteuren befindet, von diesen verwaltet und betrieben wird und die Erbringung weltraumgestützter Dienste unterstützt
• Betreiber weltraumgestützter Dienste

Abdeckung des Subsektors (Anhang I – Raumfahrt):

Die NIS2-Compliance im Raumfahrtsektor gilt für:

Dazu gehören Satellitenbetreiber, Anbieter weltraumgestützter Kommunikationsdienste, Betreiber von Erdbeobachtungsdiensten sowie Betreiber von Bodeninfrastrukturen, die diese Dienste unterstützen.

Die Anwendbarkeit der NIS2 auf KMU ist in diesem Sektor relevant, da bestimmte spezialisierte Betreiber von Raumfahrttechnologien auch dann die EU-Kriterien für mittlere Unternehmen erfüllen können, wenn sie in Nischenmärkten tätig sind.

• Mittlere Unternehmen (≥50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Jahresbilanzsumme)
• Große Unternehmen, die diese Schwellenwerte überschreiten
• Gegebenenfalls nach nationalem Recht benannte Einrichtungen

Gemäß Artikel 21 der NIS2-Richtlinie müssen Akteure des Raumfahrtsektors geeignete und verhältnismäßige technische und organisatorische Maßnahmen umsetzen, um Cybersicherheitsrisiken zu steuern.

Verpflichtende Maßnahmen umfassen:

Im Raumfahrtsektor müssen diese NIS2-Sicherheitsmaßnahmen Satelliten-Kommando- und Kontrollsysteme, Bodenstationen, Telemetriesysteme sowie die Infrastruktur der Kommunikationsnutzlasten schützen.

Die Einhaltung von NIS2 im Raumfahrtsektor erfordert strikte Zugriffskontrollen, eine starke Verschlüsselung von Steuersignalen sowie Schutz vor Signalstörungen oder Spoofing. Da Raumfahrtsysteme mehrere kritische Sektoren unterstützen, sind Resilienz und Redundanzplanung zentral für die Einhaltung.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität & Notfallwiederherstellung
• Sicherheit der Lieferkette
• Sichere Entwicklung & Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Mehrfaktor-Authentifizierung (MFA)
• Umgang mit Schwachstellen & Patch-Management
• Cyberhygiene-Schulungen
• Einsatz sicherer Kommunikation

Einrichtungen im Raumfahrtsektor müssen die NIS2-Fristen für die Meldung erheblicher Sicherheitsvorfälle einhalten.

Die Meldepflichten umfassen:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht der NIS2 ist besonders wichtig, wenn Cybervorfälle Satellitenkontrollsysteme, Navigationsdienste oder Kommunikationsverbindungen betreffen. Störungen können sektorübergreifende und grenzüberschreitende Auswirkungen haben.

Die Nichteinhaltung der vorgeschriebenen Fristen kann aufsichtsrechtliche Maßnahmen und Bußgelder nach sich ziehen.

Die NIS2-Compliance für den Raumfahrtsektor auferlegt dem Leitungsorgan eine unmittelbare Verantwortlichkeit.

Zentrale Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie macht Cybersicherheit zu einer Verantwortung auf Ebene des Leitungsorgans. Führungskräfte auf oberster Ebene müssen sicherstellen, dass die Risikomanagementmaßnahmen verhältnismäßig zum strategischen und sektorübergreifenden Einfluss weltraumgestützter Dienste sind.

Angesichts der geopolitischen Sensibilität der Weltrauminfrastruktur können Governance-Versäumnisse regulatorische und reputationsbezogene Konsequenzen nach sich ziehen.

• Genehmigung der Cybersicherheits-Risikomanagementmaßnahmen durch das Leitungsorgan
• Laufende Überwachung der Umsetzung
• Verpflichtende Cybersicherheitsschulungen für das Management
• Mögliche persönliche Haftungsrisiken nach nationalem Recht

Als Einrichtungen gemäß Anhang I unterliegen Organisationen des Raumfahrtsektors, die als wesentliche Einrichtungen eingestuft sind, einer proaktiven Aufsicht. Zuständige Behörden können Prüfungen, Inspektionen und Bewertungen der Cybersicherheit durchführen, unabhängig davon, ob ein Vorfall eingetreten ist.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung:

Nationale Umsetzungsgesetze können Mechanismen der Aufsichtskoordination präzisieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Sanktionen in allen Mitgliedstaaten fest.

Aufgrund der strategischen Bedeutung der Weltrauminfrastruktur wird eine strukturierte und risikobasierte Durchsetzung erwartet.

• Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

KMU im Raumfahrtsektor sollten einen strukturierten Compliance-Ansatz verfolgen:

Frühzeitige Vorbereitung reduziert das Risiko behördlicher Durchsetzungsmaßnahmen und schützt die Kontinuität der Dienste.

1. NIS2-Lückenanalyse durchführen
2. Kritische Abhängigkeiten der Satelliten- und Bodeninfrastruktur erfassen und abbilden
3. Ein dokumentiertes Rahmenwerk für das Cybersicherheits-Risikomanagement formalisieren
4. Pläne zur Vorfallsreaktion und zur Kontinuität aktualisieren und testen
5. Verträge mit Lieferanten und Anbietern von Raumfahrttechnologie überprüfen
6. Geschäftsleitung und technische Führungskräfte schulen
7. Einen Meldeworkflow für die 24-Stunden-, 72-Stunden- und 1-Monatsfristen einrichten

Einrichtungen des Raumfahrtsektors sehen sich unter NIS2 sektorspezifischen Risiken gegenüber:

Die NIS2-Compliance im Raumfahrtsektor ist daher zentral für die strategische Resilienz der EU und die sektorübergreifende Stabilität.

• Dienstunterbrechung: Cybervorfälle können Satellitenkommunikations- oder Navigationsdienste unterbrechen.
• Signalmanipulation oder Spoofing: Eine Kompromittierung von Befehlskanälen kann die Dienstintegrität beeinträchtigen.
• Sektorübergreifende Auswirkungen: Störungen können auf die Sektoren Energie, Verkehr, Verteidigung und Telekommunikation übergreifen.
• Regulatorische Geldbußen: Nichteinhaltung kann zu erheblichen finanziellen Sanktionen führen.
• Reputationsschäden: Das Vertrauen in weltraumgestützte Dienste hängt von der betrieblichen Resilienz ab.