Die Verordnung 300/2008 bildet die Grundlage für die Security-Verordnungen der Europäischen Union (EU). Die Durchführungsverordnung (EU) 2015/1998 beschreibt die detaillierten Maßnahmen der Luftfahrt Sicherheit. Diese wurde am 25. September 2019 durch die Durchführungsverordnung (EU) 2019/1583 geändert bzw. konkretisiert. Sie legt detaillierter Maßnahmen für die Durchführung gemeinsamer Grundstandards für die Luftsicherheit in Bezug auf Cybersicherheitsmaßnahmen fest.
DVO (EU) 2015/1998 für die Luftfahrt
Prüfungen und Schulungen gemäß Durchführungsverordnung (EU) 2015/1998 bzw. 2019/1583
DVO 2019/1583 Prüfung
Flughafenbetreiber müssen die für ihre Zwecke genutzten KIKS (Kritische Informations- und Kommunikations-Systeme) ermitteln. KIKS im Sinne Nr. 1.7.1. des Anhangs der DVO (EU) 2015/1998) sind alle Systeme und Daten, welche bei Verlust ihrer Vertraulichkeit, Integrität oder Verfügbarkeit das Sicherheitsniveau der Zivilluftfahrt absenken können, insbesondere
- elektronische Kommunikationsnetze im Sinne des Artikels 2a der Richtlinie 2002/21/EG
- ein System oder eine Komponente miteinander verbundener oder zusammenhängender Systeme, die einzeln oder zu mehreren die automatische Verarbeitung digitaler Daten durchführen (auf der Grundlage BMI Anlage I zum Nationalen Luftsicherheitsprogramm Stand: 09/22 S.6)
- digitale oder analoge Daten, die von den oben genannten Elementen zum Zweck ihres Betriebs, ihrer Nutzung, Ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden
sofern die Systeme alleine oder in Verbindung miteinander Einfluss auf die Luftsicherheit haben.
HvS-Consulting ist eine vom BSI anerkannte Prüfstelle für die Prüfung gem. DVO (EU) 2019/1583.
Der Ablauf im Detail
Vorbereitung
Vor der Prüfung legen wir in einem Erstgespräch die Rahmenbedingungen fest:
- Wann kann die Prüfung stattfinden?
- Was sind Ihre identifizierten KIKS?
- Bis wann können Sie uns Ihre Sicherheitsdokumente zur Verfügung stellen?
Im Anschluss erstellen wir einen Prüfplan, damit Sie mit der Terminkoordination beginnen können. Der Prüfplan enthält alle wichtigen Information zur Prüfung. Zu welcher Zeit welche Sitzungen stattfinden werden, wann und im welchem Umfang die Prüfung stattfindet, welche KIKS als Stichproben ausgewählt wurden und wer Ihre Prüfer sein werden.
Vor der Durchführung der Interviews (siehe "Prüfung") sichten wir Ihre Sicherheitsdokumente. Die Sichtung ihrer sowie die Erstellung der notwendigen Dokumente wird etwa 2 - 3 PT in Anspruch nehmen.
Prüfung
Die Prüfung wird in Form von Interviews mit den Verantwortlichen, sowie technischen Stichproben durchgeführt. Dabei werden die identifizierten Schwachstellen und/oder Abweichungen von den Anforderungen der DVO (EU) 2019/1583 dokumentiert. So sind wir in der Lage, eine Einschätzung über die Wirksamkeit der implementierten Maßnahmen zu geben.
Die Durchführung der Prüfung nimmt ca. 3 Tage in Anspruch (2 x 3 PT).
Ergebnis
Abschließend erstellen wir einen Prüfbericht inkl. Mängelliste (falls vorhanden). Diese Dokumente müssen von Ihnen an die zuständige Behörde übermittelt werden.
Der Prüfbericht enthält folgende Inhalte:
- Management Summary: Kurze Zusammenfassung der Prüfergebnisse
- Gegenstand der Prüfung: Kurzbeschreibung der KIKS
- Prüfungsdetails
- Prüfplan, prüfende Stelle und Prüfteam
- Klassifizierung der Feststellungen & Vorgehensweise. Die Feststellungen werden gem. DVO (EU) 2019/1583 klassifiziert in "Schwerwiegende oder erhebliche Sicherheitsmängel", "Geringfügige Abweichungen bzw. Sicherheitsmängel", sowie "Empfehlungen".
- Ergebnis der externen Prüfung gem. DVO (EU) 2019/1583: Bewertung Ihres ISMS- und BCMS-Reifegrades mit kurzer Begründung. Abschließende Bewertung samt Fazit analog den Kapiteln der DVO (EU) 2019/1583.
- Feststellungen: Detaillierte Beschreibung der Feststellungen.
- Aufzeichnungen der Prüfdurchführung
Schulungen gemäß DVO 2019/1583
Die Durchführungsverordnung (EU) 2019/1583 stellt Anforderungen an die Fortbildung von Mitarbeitenden zum Thema Cyber Security (ausführliche in der BMI Version 12/21, jetzt aktualisierte vereinfachte in der BMI Version 11/23).
Im Rahmen der Joint.Cyberskills Initiative haben HvS und die Munich Airport Academy gemeinsam ein Schulungsangebot für alle relevanten Zielgruppen erstellt.
- HvS-Consulting ist der führende Cyber-Security-Spezialist und E-Learning-Anbieter für die Luftfahrt.
- Die Munich Airport Academy bietet eine Plattform für Schulungen und hat bei der Erstellung sichergestellt, dass die Inhalte den Anforderungen der Behörden bzw. der Verordnung genügen.
Alle Schulungsinhalte wurden im Bundesverband der Luftfahrtindustrie (BDL) als auch im Flughafenverband ADV mit zahlreichen Sicherheitsverantwortlichen und Behördenvertretern vorgestellt und durch Feedback weiter optimiert.
E-Learning Cyber Security
Das 90-minütige E-Learning richtet sich an alle Mitarbeitenden und erfüllt komplett die Anforderungen der DVO (EU) 2019/1583 an diese Zielgruppe. Es ist als allgemeine ADV / BDL - Version verfügbar oder kann unkompliziert auf die Layout und Prozesse des jeweiligen Unternehmens angepasst werden.
Cyber LABs für IT-Professionals
Die jeweils ca. 3-stündigen E-Learning-Kurse richten sich speziell an Administratoren und Entwickler und enthalten eine virtuelle LAB-Umgebung, in der Teilnehmer das erlernte Cyber-Security-Wissen direkt und live umsetzen können. Sie erfüllen die Anforderungen der DVO (EU) 2019/1583 an diese Zielgruppe.
Webinar zur Vorfallsbehandlung
Das eigens für die DVO erstellte Webinar richtet sich an eine breite Zielgruppe mit unterschiedlichen Aufgaben im Rahmen der Vorfallsbehandlung. Es werden regelmäßig offen buchbare Online-Webinar-Termine angeboten, auf Wunsch auch individuelle Einzeltermine.
E-Learning Cyber Security
- 95 minütiges E-Learning, in Deutsch und Englisch verfügbar
- Speziell erstellte Inhalte (z.B. Warum Cyber Security in der Luftfahrt), in Abstimmung mit BDL und Behörden konform zu den Anforderungen der DVO (EU) 2019/1583
- Als Cloud Service oder Scorm-Paket für zur Integration in ihr eigenes Lernmanagementsystem
- Bei Bedarf einfach auf individuelle Prozesse und Unternehmenslayout anpassbar
- Die 13 Kapitel im Überblick: Warum Cyber Security in der Luftfahrt, E-Mail & Phishing, Ransomware, Gefährliche Dateiendungen, Viren & Schadsoftware, Sichere Passwörter, Social Engineering, Sicherer Arbeitsplatz, Sichere Geschäftsreisen, Sicher im Home-Office, Internet & Cloud, Soziale Medien, Cyber Incident
- Mit Abschlusstest und Zertifikat
Auf Anfrage stellen wir Ihnen gerne eine umfassende Demo zur Verfügung.
Einzelne Benutzer können direkt über die Munich Airport Academy bezogen und sofort werden.
Für größere Unternehmenslizenzen inklusive Customizing nehmen Sie bitte Kontakt mit uns auf. Sie erhalten zeitnah ein maßgeschneidertes Angebot für eine einmalige Kauflizenz oder (optional) jährliche Mietlizenz für Ihre Anzahl PC-Nutzer. Das Customizing dauert i.d.R. 2 - 3 Wochen ab Bestellung (inklusive Review-Runden), sodass Sie die für Sie individuell angepasste Schulung ca. 4 Wochen nach Bestellung in ihrem Lernmanagement-System (LMS) veröffentlichen können. Das Zertifikat wird nach erfolgreichem Abschlusstest aus Ihrem LMS oder wahlweise aus unserem Kurs generiert.
Cyber LABs für IT-Professionals
- 3 - 4 stündiges E-Learning, in Deutsch und Englisch verfügbar
- Inklusive virtueller LAB Umgebung, um die Sicht der Angreifer einzunehmen und Erlerntes praktisch umzusetzen.
- Kompletter Cloud-Service inklusive Lernmanagementsystem und LABs
- Mit Abschlusstest und Zertifikat
- Die detaillierten Inhalte für Administratoren finden Sie hier
- Die detaillierten Inhalte für Entwickler, Architekten und Product Owner finden Sie hier
Auf Anfrage stellen wir Ihnen gerne eine umfassende Demo zur Verfügung.
Die Preise (netto, zzgl. MwSt) für diese spezielle BDL-Version liegen pro Kurs bei 135 EUR je Teilnehmer. Für detailliertere Informationen oder ein Angebot nehmen Sie bitte Kontakt mit uns auf.
Die Bereitstellung erfolgt innerhalb 1 - 2 Werktage nach Bestellung oder zu ihrem Wunschtermin. Der Kurs ist 6 Monate ab Bereitstellung verfügbar. Das Zertifikat wird nach erfolgreichem Abschlusstest aus dem System generiert und kann vom Teilnehmer als PDF gespeichert werden. Der Kundenadministrator kann jederzeit die Teilnahmequote einsehen und Statistiken als Excel-Datei exportieren.
Ein Betrieb der BDL-Version der Cyber LAB E-Learning in ihrem eigenen LMS ist aus Prozessgründen nicht möglich.
Online Webinar zur Vorfallsbehandlung
- Wir halten ein 90 minütiges Live-Online-Webinar (40 Minuten für nicht technisch Interessierte) in deutscher Sprache.
- Die Inhalte sind speziell auf die Anforderungen der DVO (EU) 2019/1583 abgestimmt.
- Das Webinar ist für verschiedene Zielgruppen mit unterschiedlichen Aufgaben im Rahmen der Vorfallsbehandlung und unterschiedlichem IT-technischen Know-how aufbereitet. Nicht IT-affine Personen erhalten die Grundlagen der Vorfallsbehandlung und können das Webinar nach 40 Minuten verlassen. Technisch interessierte nehmen auch am 2. Teil (technische Details im INcident Response) teil.
- Zwei erfahrene Trainer (eine Spezialistin für ISMS / BCM und ein Spezialist für Incident Response) sorgen für Expertise und Abwechslung.
- Die Teilnehmer erhalten auf Wunsch ein Teilnahmezertifikat zum Nachweis der Teilnahme gemäß DVO (EU) 2015/1998. Die erforderlichen Daten werden während des Webinars durch eine Forms-Umfrage erhoben. Die Erstellung des Zertifikates erfolgt durch unseren Kooperationspartner Munich Airport Academy.
Aktuelle Termine und Buchungsmöglichkeiten finden Sie auf den Seiten der Munich Airport Academy. Einzelne Teilnehmer können dort für 250 EUR (netto, zzgl. MwSt.) direkt buchen.
Für Gruppen ab 10 Personen oder individuelle Kurstermine nehmen Sie bitte Kontakt mit uns auf. Sie erhalten zeitnah ein Gruppenangebot und mit Bestellung den Teams-Link für die offenen Termine, den sie an Ihre Teilnehmer kommunizieren können.