Deutschland 2025: EU 300/2008 und ICAO Annex 17 fordern neue Cybersicherheitsprogramme– Validato Regulations digitalisiert die Luftsicherheits-Compli

Seit den Terroranschlägen vom 11. September 2001 hat die internationale Luftsicherheit eine nie dagewesene regulatorische Dichte erfahren. Im Zentrum stehen zwei eng verzahnte Regelwerke: ICAO Annex 17 zum Chicagoer Abkommen (Internationales Recht) und die Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates (EU-Recht). Mit kontinuierlich aktualisierten Durchführungsverordnungen, zuletzt bis Mai 2025, und neuen Cybersicherheitsanforderungen ab Januar 2025 stehen Flughafenbetreiber, Luftfahrtunternehmen, reglementierte Beauftragte und bekannte Versender vor einem hochdynamischen Compliance-Umfeld. Validato unterstützt alle betroffenen Organisationen mit dem Modul „Validato Regulations ICAO / EU 300/2008“ bei der strukturierten, digitalen und revisionssicheren Umsetzung.

Deutschland: LBA-Zuständigkeit, LuftSiG und die Pflicht zum Luftsicherheitsprogramm

In Deutschland ist das Luftfahrt-Bundesamt (LBA) in Braunschweig die zentrale Behörde für die Zulassung und Überwachung von Luftsicherheitsprogrammen nach Artikel 13 der Verordnung (EG) Nr. 300/2008 in Verbindung mit § 9 und § 16 des Luftsicherheitsgesetzes (LuftSiG). Die gesetzlichen Pflichten sind weitreichend:

Luftsicherheitsprogramm-Pflicht: Jedes Luftfahrtunternehmen mit Luftfahrzeugen über 5,7 Tonnen Höchstgewicht – gleich ob deutsches oder ausländisches Unternehmen, das Deutschland anfliegt – muss dem LBA ein Luftsicherheitsprogramm zur Zulassung vorlegen. Das Programm ist Voraussetzung für die Betriebserlaubnis bzw. Einflugerlaubnis. Ausländische Programme werden spätestens alle fünf Jahre auf Aktualität überprüft.

Neu ab Januar 2025 – Cybersicherheitsprogramm: Gemäß Durchführungsverordnung (EU) 2019/1583 (in Kraft seit 31. Dezember 2020) müssen alle betroffenen Organisationen seit dem 1. Januar 2025 Cybersicherheitsmaßnahmen in einem eigenen Cybersicherheitsprogramm beschreiben und nachweisen können. Das LBA hat hierzu spezifische Anwendungsgrundsätze veröffentlicht.

Nationale Ergänzungskompetenz: Artikel 6 der Verordnung (EG) Nr. 300/2008 erlaubt den Mitgliedstaaten, über die EU-Grundstandards hinausgehende Sicherheitsmaßnahmen zu ergreifen. Deutschland macht von dieser Kompetenz durch das LuftSiG aktiv Gebrauch.

Zuverlässigkeitsüberprüfung: Personal, das sicherheitsrelevante Tätigkeiten ausübt, unterliegt der Zuverlässigkeitsüberprüfung nach § 7 LuftSiG – ein weiteres compliance-relevantes Element, das im Luftsicherheitsprogramm zu dokumentieren ist.

„Unternehmen müssen spätestens ab Januar 2025 die Cybersicherheitsmaßnahmen in ihren Sicherheitsprogrammen berücksichtigen und nachweisen können.“ – Luftfahrt-Bundesamt (LBA), Dezember 2024

Das EU-Luftsicherheits-Regelwerk: Von Verordnung 300/2008 bis zur jüngsten Änderung 2026

Die Verordnung (EG) Nr. 300/2008 bildet seit 2008 den EU-weiten Rahmen für die Zivilluftfahrtsicherheit. Sie gilt für alle Zivilflughäfen in der EU sowie für Luftfahrtunternehmen und sonstige Personen oder Unternehmen, die Güter oder Dienstleistungen an oder über diese Flughäfen bereitstellen. Die Durchführungsverordnung (EU) 2015/1998 enthält die detaillierten Maßnahmen und wurde seither durch zahlreiche Änderungsverordnungen kontinuierlich aktualisiert:

Durchführungsverordnung (EU) 2019/1583 – Cybersicherheit: Verbindliche Cybersicherheitsmaßnahmen für Luftfahrtunternehmen, Flughafenbetreiber und zertifizierte Stellen als Reaktion auf ICAO Annex 17 Amendment 16. In Kraft seit 31. Dezember 2020, vollständig anzuwenden ab 1. Januar 2025.

Durchführungsverordnung (EU) 2024/1255 (3. Mai 2024) – Transporteure (Fracht und Post): Aktualisierte Anforderungen an Frachtbeförderer in der sicheren Lieferkette.

Durchführungsverordnung (EU) 2024/2108 (29. Juli 2024) – Sicherheitsausrüstung für die Kontrolle von LAGs (Flüssigkeiten, Aerosole, Gele): Neue Anforderungen an Screeningausrüstungen.

Durchführungsverordnung (EU) 2025/920 (19. Mai 2025) – Fracht und Zulassungen: Aktualisierte Anforderungen an die Zulassung reglementierter Beauftragter und bekannter Versender.

Durchführungsverordnung (EU) 2026/449 (27. Februar 2026) – Kapitel 3, 6, 8 und 9: Jüngste umfassende Aktualisierung der Anforderungen an Passagierkontrolle, Fracht, Post und Sicherheitsausrüstung.

Parallel hat die EU im Mai 2026 eine Ratsposition zur Unterstützung von Änderungen an ICAO Annex 17 eingenommen (EU-Ratsdokument 8879/26) – ein klares Signal, dass das europäische Luftsicherheitsrecht weiter dynamisch bleibt.

Österreich: Austro Control, BMK und die Umsetzung im Alpenraum

In Österreich ist Austro Control GesmbH (gemeinsam mit dem Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie, BMK) für die Luftsicherheit zuständig. Das österreichische Luftfahrtgesetz (LFG) und die Zivilluftfahrt-Betriebsvorschriften (ZBV) setzen die EU-Anforderungen national um. Der Flughafen Wien-Schwechat ist als bedeutendster österreichischer Flughafen besonders von den Anforderungen der EU 300/2008 betroffen. Für Unternehmen, die sowohl am Frankfurter Flughafen (Deutschland) als auch in Wien operieren, entstehen parallele Compliance-Anforderungen unter zwei nationalen Aufsichtssystemen – ein typischer Multi-Jurisdiktion-Fall für Validatos Plattform.

Niederlande, Frankreich und die grossen Drehkreuze Europas

Die Niederlande mit dem Amsterdam Airport Schiphol und Frankreich mit dem Flughafen Paris Charles de Gaulle gehören zu den größten Luftverkehrsdrehkreuzen Europas. Beide unterliegen vollständig der EU-Verordnung 300/2008 und den nationalen Umsetzungsvorschriften (Niederlande: Nationale Beveiligingsprogramma Burgerluchtvaart; Frankreich: Programme National de Sûreté de l Aviation Civile). Für Frachtlogistikunternehmen, die als bekannte Versender oder reglementierte Beauftragte an mehreren europäischen Hubs tätig sind, bedeutet dies: Unterschiedliche nationale Aufsichtsbehörden (ILT/Niederlande, DGAC/Frankreich, LBA/Deutschland) mit gleichem EU-Rechtsrahmen, aber je eigenem nationalen Luftsicherheitsprogramm-Management.

Wer ist betroffen? Die betroffenen Organisationen unter EU 300/2008 und ICAO Annex 17

Das Regelwerk erfasst die gesamte Luftfahrt-Wertschöpfungskette. Betroffene Organisationen sind:

Flughafenbetreiber: Verpflichtung zum nationalen Flughafensicherheitsprogramm, zur Zugangskontrolle in Sicherheitsbereichen, zur Durchführung von Personenkontrollen und zur Sicherung von Luftfahrzeugen.

Luftfahrtunternehmen / Airlines: Luftsicherheitsprogramm und Cybersicherheitsprogramm, Passagierkontrolle, Gepäcksicherheit, Besatzungsschulung, Schutz des Luftfahrzeugs.

Reglementierte Beauftragte (Regulated Agents, RA): Zugelassene Frachtdienstleister, die sichere Luftfracht/-post von bekannten Versendern entgegennehmen und weitergeben. Zulassung durch das LBA, strenge Schulungs- und Sicherheitsanforderungen, Cybersicherheitsprogramm-Pflicht ab Januar 2025.

Bekannte Versender (Known Consignors, KC): Produktionsunternehmen und Versender, die Luftfracht direkt an reglementierte Beauftragte übergeben. Zulassungspflichtig beim LBA. Schutz der Sendungen ab dem Moment der Identifizierbarkeit als Luftfracht.

Reglementierte Lieferanten: Catering-Unternehmen, Reinigungsdienstleister und andere Flughafen-Dienstleister, die Zugang zu Sicherheitsbereichen haben.

ACC3-Validierungsbeauftragte: Luftfahrtunternehmen, die Fracht aus Drittstaaten (außerhalb der EU) transportieren, müssen ACC3-Status nachweisen und ihre Sicherheitsstandards in Drittstaaten durch unabhängige Validierungen belegen.

Validato Regulations ICAO / EU 300/2008: Die digitale Compliance-Plattform für die Luftfahrtbranche

Das Modul „Validato Regulations ICAO / EU 300/2008“ unterstützt alle betroffenen Organisationen bei der vollständigen, strukturierten und nachweisbaren Erfüllung ihrer Luftsicherheitspflichten:

Luftsicherheitsprogramm-Management: Strukturierte Erstellung, Versionierung, Freigabe und laufende Aktualisierung aller geforderten Luftsicherheitsprogramm-Kapitel gemäß EU 300/2008 und LuftSiG. Terminüberwachung für Überprüfungsfristen und LBA-Zulassungsverlängerungen.

Cybersicherheitsprogramm-Integration: Dediziertes Modul für die Cybersicherheitsanforderungen gemäß DVO (EU) 2019/1583 / Kapitel 1.7 der DVO 2015/1998. Dokumentation kritischer IKT-Systeme, Schutzmaßnahmen, Incident-Response-Prozesse und Informationsaustauschverfahren. LBA-konform seit Januar 2025.

Reglementierter Beauftragter (RA) / Bekannter Versender (KC) Zulassungsmanagement: Vollständiger Zulassungsworkflow für RA- und KC-Status beim LBA. Dokumentation der Sicherheitskontrollen nach Ziffer 6.4.2.1 der DVO 2015/1998. Schulungsnachweise nach Ziffer 11.2.3.9.

Anforderungsmanagement mit automatischen Updates: Alle Änderungsverordnungen zur DVO 2015/1998 (zuletzt DVO 2026/449) werden zeitnah in die Plattform eingespielt. Automatische Gap-Analyse bei neuen Anforderungen.

Schulungs- und Zuverlässigkeitsprüfungs-Management: Verwaltung von Schulungsnachweisen und Zuverlässigkeitsüberprüfungen nach § 7 LuftSiG. Fristenüberwachung für Rezertifizierungen und Wiederholungsschulungen.

ICAO Annex 17 Mapping: Abgleich der nationalen und EU-Anforderungen mit den ICAO-Standards und -empfehlungen. Verwaltung von nationalen Unterschieden (Differences) zur ICAO-Meldung gemäß Art. 18 VO 300/2008.

Multi-Jurisdiktion-Management: Parallele Verwaltung von Anforderungen verschiedener nationaler Luftfahrtbehörden (LBA/Deutschland, Austro Control/Österreich, ILT/Niederlande, DGAC/Frankreich) in einer Plattform.

Revisionssicherer Audit-Trail: Vollständige, zeitgestempelte Protokollierung aller Aktivitäten – prüfungsbereit für LBA-Inspektionen, EU-Kommissionsaudits und ICAO-USAP-Überprüfungen.

Zahlen, Daten, Fakten: ICAO, EU 300/2008 und Luftsicherheit auf einen Blick

März 2008: Verabschiedung der Verordnung (EG) Nr. 300/2008 – sie gilt unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzungsakte.

November 2015: Durchführungsverordnung (EU) 2015/1998 mit detaillierten Luftsicherheitsmaßnahmen tritt in Kraft.

Dezember 2020: Durchführungsverordnung (EU) 2019/1583 (Cybersicherheit) tritt in Kraft.

Januar 2025: Vollständige Pflicht zur Umsetzung der Cybersicherheitsmaßnahmen in Sicherheitsprogrammen für alle betroffenen Organisationen in Deutschland und der EU.

Februar 2026: Jüngste Änderung der DVO 2015/1998 durch DVO 2026/449 – Kapitel 3, 6, 8 und 9 überarbeitet.

193 Staaten sind Vertragsparteien des Chicagoer Abkommens und damit ICAO-Mitglieder – das Annex-17-Framework hat weltweiten Geltungsanspruch.

Mehr als 10 Änderungen hat Annex 17 seit seiner Erstverabschiedung 1974 erfahren. Das EU-Recht geht in mehreren Punkten über die ICAO-Mindeststandards hinaus.

5-Jahres-Intervall: Zugelassene Luftsicherheitsprogramme ausländischer Luftfahrtunternehmen werden vom LBA spätestens alle fünf Jahre auf Aktualität überprüft.

„Die Bestimmungen der EU gehen über die vorgesehenen Sicherheitsmaßnahmen der ICAO in manchen Punkten hinaus – insbesondere bei Personalkontrollen, aufgegebenem Gepäck, Luftfahrzeugsicherung und Sicherheitskontrollen für Catering- und Reinigungsunternehmen.“ – Bundesministerium für Inneres, Österreich

Validato ist ein führender Anbieter für zuverlässige Background Checks und Human Risk Management in Deutschland. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen – datenschutzkonform, modular und skalierbar.

Validato ist speziell auf die Anforderungen in Deutschland ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.

Mehr unter: www.validato.com