„Ihr Tagesgeschäft ist das Vorfeld, nicht ein Rechenzentrum."
Sie ent- und beladen Flugzeuge, koordinieren Bodenpersonal, halten den Takt. Informationssicherheit, ISMS, Cyber - das sind Begriffe aus einer anderen Welt. Verständlich.
EU 2022/1645 · EU 2025/22 · IS.D.OR · LBA
ISMS für Bodenabfertiger. Wir holen Sie ab.
Ab 2031 verpflichtet die EU Sie zu einem Informationssicherheits-Managementsystem. Die Registrierungs-Pflicht beim Luftfahrtbundesamt greift bereits 2027. Wir bauen das System mit Ihnen Schritt für Schritt auf - in Ihrer Sprache, in Ihrem Tempo, ohne IT-Vorwissen.
Klingt nach Ihnen?
Drei Sätze, die wir oft hören.
Ehrlich gesagt: Wenn einer davon passt, sind Sie genau richtig hier.
„ISMM, IS.D.OR.250, Erklärung statt Genehmigung - das hören Sie zum ersten Mal."
Die EU-Verordnungen sind dicht geschrieben. Der Bezug zur Realität in Ihrem Hangar ist nicht offensichtlich. Sie brauchen jemanden, der übersetzt - in beide Richtungen.
„Die Fristen rücken näher, aber der Weg ist unklar."
27. März 2027 LBA-Registrierung. 27. März 2031 volle Anwendung. Ein ISMS aus dem Boden zu stampfen ist nicht in drei Wochen erledigt - aber wo fängt man an? Genau da.
Hintergrund
Was kommt auf Sie zu - in einem Absatz.
Die Delegierte Verordnung (EU) 2025/22 vom 19. Dezember 2024 erweitert die VO (EU) 2022/1645 auf Bodenabfertigungsorganisationen. Wenn Sie zur Erbringung Ihrer Dienste Daten Dritter verarbeiten oder Luftfahrzeugbetreibern unmittelbar betriebliche Daten zur Verfügung stellen, müssen Sie ein Informationssicherheits-Managementsystem (ISMS) einführen, betreiben und gegenüber dem Luftfahrtbundesamt erklären. Sie sind dabei „Erklärungen abgebende Organisation" - keine behördliche Genehmigung erforderlich, aber Vorlage-, Aktualisierungs- und Meldepflichten.
Quellen: lba.de - Bodenabfertigungsdienste · EUR-Lex - VO (EU) 2025/22
Zeitlinie 2025 - 2031
Sechs Jahre klingen viel.
Sind sie nicht. Ein ISMS muss leben, bevor es geprüft wird - und das braucht Übung.
07.03.2025
Veröffentlichung
VO (EU) 2025/22 im Amtsblatt veröffentlicht, tritt 20 Tage später in Kraft.
16.10.2025
Anhang wirksam
Technische ISMS-Anforderungen (IS.D.OR.200/220/230/250/255) beginnen anzuwenden.
27.03.2027
LBA-Registrierung
Erklärung gemäss ORGH.DEC.100 (Anhang I VO 2025/20) ist beim LBA einzureichen.
27.03.2028
Aufsicht beginnt
Das LBA leitet fortlaufende betriebliche Überwachung der Bodenabfertiger ein.
27.03.2031
Volle Anwendung
Artikel 1 VO (EU) 2025/22 wird vollumfänglich angewendet - das ISMS muss stehen.
Wer 2031 ein geprüftes, gelebtes ISMS vorweisen will, beginnt nicht 2030 - sondern jetzt.
Demystifizierung
Was ist ein ISMS überhaupt? Fünf Fragen.
Hinter dem Begriff verbergen sich keine Geheimnisse - sondern fünf nachvollziehbare Fragen, die Sie sich systematisch beantworten.
01
Risikomanagement
Was kann uns passieren?
02
Schutzmassnahmen
Was tun wir dagegen?
03
Erkennung
Wie merken wir, dass etwas passiert?
04
Reaktion & Meldung
Was tun wir, wenn es passiert?
05
Dokumentation (ISMM)
Wie weisen wir das alles nach?
Anforderungen
Was die EU-Verordnung konkret von Ihnen verlangt.
Die wichtigsten Punkte aus VO (EU) 2022/1645 (i.d.F. der VO 2025/22) - übersetzt aus dem Behördendeutsch.
Managementsystem einrichten
Sie führen ein Informationssicherheits-Managementsystem ein und halten es aufrecht. Eingebettet in Ihr bestehendes Sicherheitsmanagement, mit klaren Verantwortlichkeiten.
Sicherheitsereignisse erkennen
Sie identifizieren Informationssicherheitsereignisse - insbesondere solche, die als Störungen mit potenziellen Auswirkungen auf die Flugsicherheit gelten. Plus Reaktions- und Wiederherstellungsmassnahmen.
Externe Meldungen
Störungen mit Bezug zur Flugsicherheit müssen an das LBA und ggf. weitere Stellen gemeldet werden. Dafür braucht es klare Meldewege, Schwellwerte und benannte Verantwortliche.
ISMM - Handbuch zum ISMS
Das Informationssicherheitsmanagement-Handbuch dokumentiert Ihr System. Als Erklärungen abgebende Organisation müssen Sie es nicht genehmigen lassen - aber dem LBA vorlegen und aktuell halten.
Änderungsmanagement
Änderungen am ISMS werden nach einem festgelegten Verfahren verwaltet und der zuständigen Behörde mitgeteilt. Erklärungen abgebende Organisationen brauchen keine Vorab-Genehmigung.
Erklärung beim LBA
Bis spätestens 27. März 2027 reichen Sie eine Erklärung gemäss Anhang I VO 2025/20 beim Luftfahrt-Bundesamt ein. Ab 27. März 2028 läuft die fortlaufende Aufsicht.
Unser Vorgehen
Fünf Phasen. Ein gelebtes ISMS.
Wir bauen nicht auf der grünen Wiese. Wir starten dort, wo Sie heute stehen - und arbeiten uns gemeinsam vor.
01
Bestand & Scope
Welche Systeme, welche Daten, welche Schnittstellen? Wir nehmen auf, was es gibt - und definieren, was ins ISMS gehört.
02
Risikoanalyse
Welche Cyber-Risiken könnten die Flugsicherheit berühren? Strukturierte Bewertung nach LBA-/EASA-Logik.
03
ISMM erstellen
Ihr Handbuch zum Informationssicherheitsmanagement - kompakt, prüfbar, in Ihrer Realität verankert.
04
Detection & Response
Wir richten Erkennung, interne Reaktion und Meldewege Richtung LBA ein - inkl. Übung anhand realistischer Szenarien.
05
Schulung & Betreuung
Schulung Ihrer Verantwortlichen, jährliche Reviews, Unterstützung bei LBA-Korrespondenz und bei Vorfällen.
Warum JULITH
Was uns anders macht.
Wir kommen aus der Luftfahrt-Compliance - nicht aus dem klassischen IT-Beratungs-Sprech.
Wir übersetzen, statt zu zitieren.
Wir lesen die VO, Sie hören Klartext. „Was bedeutet das für Sie konkret morgen?" - statt „Gemäss Artikel 5 Absatz 3 Buchstabe c..."
Schritt für Schritt, nicht „Big Bang".
Ein ISMS entsteht durch Üben, nicht durch das Drucken eines 200-Seiten-Handbuchs. Wir bauen es iterativ auf - so, dass es vom ersten Tag an im Alltag funktioniert.
Wir kennen den Hangar.
Bodenabfertigung läuft 24/7, das Vorfeld kennt keine Compliance-Pause. Unsere Massnahmen berücksichtigen das - sie behindern Ihren Betrieb nicht.
Erfahrung mit LBA-Programmen.
Wir unterstützen bereits Reglementierte Beauftragte (RegB), Reglementierte Lieferanten (RegL) und bekannte Versender (bV) bei Cyber-Luftsicherheitsprogrammen nach §§ 9, 9a LuftSiG.
Sie sind auch RegB, RegL oder bekannter Versender?
Dann ist für Sie zusätzlich das Cyber-Luftsicherheitsprogramm nach LBA-Anwendungsgrundsätzen relevant - das ergänzen wir nahtlos.
Häufige Fragen
Was Sie sich vermutlich gerade fragen.
Die Fragen, mit denen Bodenabfertiger zu uns kommen - und worauf wir antworten.
Sind wir überhaupt von der EU-Verordnung 2025/22 betroffen?
Ja, wenn Sie als Bodenabfertigungsorganisation unter VO (EU) 2025/20 fallen und entweder Daten Dritter zur Erbringung Ihrer Dienste verarbeiten oder Luftfahrzeugbetreibern unmittelbar betriebliche Daten liefern. Beides trifft auf die meisten klassischen Bodenabfertiger zu.
Was ist ein ISMS - in einem Satz?
Ein Informationssicherheits-Managementsystem ist ein strukturiertes Verfahren, mit dem Ihr Unternehmen Risiken für seine IT erkennt, behandelt, dokumentiert und im Vorfall reagiert - und das alles regelmäßig überprüft.
Welche Fristen gelten konkret?
Drei zentrale Stichtage: 27. März 2027 - Erklärung beim LBA einreichen. 27. März 2028 - laufende LBA-Aufsicht beginnt. 27. März 2031 - volle Anwendung von Artikel 1 VO (EU) 2025/22, das ISMS muss stehen und gelebt werden. Der Anhang ist bereits seit 16. Oktober 2025 wirksam.
Was bedeutet „Erklärungen abgebende Organisation"?
Bodenabfertiger müssen ihr Managementsystem nicht von der Behörde genehmigen lassen. Stattdessen geben Sie eine Erklärung ab (ORGH.DEC.100 nach Anhang I VO 2025/20), dass Sie die Anforderungen einhalten. Das LBA prüft im Rahmen der Aufsicht.
Was ist ein ISMM und unterscheidet es sich vom ISMS?
Das ISMS ist Ihr lebendiges Managementsystem (Prozesse, Rollen, Maßnahmen). Das ISMM (Informationssicherheitsmanagement-Handbuch, IS.D.OR.250) ist die Dokumentation dieses Systems. Dem LBA legen Sie das ISMM vor und halten es aktuell.
Brauchen wir IT-Experten im Haus, um ein ISMS aufzubauen?
Nein. Wir kennen die Realität von Bodenabfertigern - klein, operativ getrieben, kein Rechenzentrum. Wir bauen das ISMS so auf, dass Ihre vorhandenen Verantwortlichen es im Alltag steuern können. Tiefes IT-Wissen ist nicht erforderlich.
Was kostet die Einführung?
Das hängt stark von Größe, Komplexität und Vorerfahrung ab. Im Erstgespräch (60 Min, kostenfrei) ordnen wir Ihre Situation ein und schlagen einen Weg vor - mit transparenter, individueller Kalkulation. Pauschalpreise nennen wir bewusst nicht, weil sie der Realität von Bodenabfertigung selten gerecht werden.
Wie lange dauert ein ISMS-Projekt typischerweise?
Von der ersten Bestandsaufnahme bis zur LBA-Einreichung rechnen wir typischerweise 6 bis 12 Monate. Wichtig: Ein ISMS ist kein Projekt mit Endtermin, sondern ein gelebtes System. Die laufende Betreuung danach ist deutlich entscheidender.
Erstgespräch
Unverbindlich. Kostenfrei. Zuhörend.
60 Minuten Erstgespräch - wir hören zu, ordnen Ihre Situation ein und schlagen einen Weg vor. Kein Verkaufsdruck, keine Folgeverpflichtung.