Weltraum
Die Weltraum-Branche zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit dem 6. Dezember 2025 in Deutschland erweiterten Cybersicherheitspflichten. Für betroffene Unternehmen sind vor allem Risikomanagement, 24-Stunden-Meldewege, Lieferkettensicherheit, abgesicherte Bodeninfrastrukturen und dokumentierte Schulungen für Leitung und Schlüsselrollen entscheidend.
Sektor
Der deutsche NIS2-Katalog nennt den Sektor Weltraum ausdrücklich. Erfasst sind Betreiber von Bodeninfrastrukturen, die weltraumgestützte Dienste unterstützen, soweit nicht ohnehin der Sonderfall öffentlicher elektronischer Kommunikationsnetze greift.
Meldepflicht
§ 32 BSIG verlangt bei erheblichen Sicherheitsvorfällen eine Frühwarnung innerhalb von 24 Stunden, eine Meldung binnen 72 Stunden und grundsätzlich eine Abschlussmeldung innerhalb eines Monats.
Bußgeldrahmen
Die NIS2-Richtlinie verlangt für besonders wichtige Einrichtungen mindestens diesen Höchstrahmen. Für Weltraum-Unternehmen ist die richtige Einordnung deshalb nicht nur rechtlich, sondern auch wirtschaftlich relevant.
Deutschland
Das BSI weist aus, dass Registrierungs- und Meldepflichten nach dem NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025 gelten. Für bereits betroffene Unternehmen lief die erste Dreimonatsfrist damit grundsätzlich bis zum 6. März 2026.
Praktische Maßnahmen
Sie sollten zuerst klären, ob Ihre Organisation Bodenstationen, Kontrollzentren, Gateway-Infrastrukturen, Missionsleitstellen oder andere Bodensegmente betreibt, die weltraumgestützte Dienste tatsächlich unterstützen. Nicht jedes SpaceTech-Unternehmen ist automatisch betroffen, aber Bodeninfrastrukturen sind ausdrücklich reguliert.
Sie sollten OT-nahe Bodenanlagen, Funk- und Netzwerksegmente, Missionsdaten, Identitäten, Fernwartung, Cloud-Backends und klassische Office-IT in einem gemeinsamen Risikomodell betrachten. Gerade im Weltraum entstehen hohe Risiken an den Übergängen zwischen Bodensegment, Software und Lieferkette.
Sie sollten Hersteller, Integratoren, Softwarelieferanten, Antennen- und Terminalpartner, Bodenstationsbetreiber, Hosting-Dienste, Startpartner und externe Spezialdienstleister in eine dokumentierte Lieferkettensteuerung einbinden. Der Ausfall oder Missbrauch eines einzelnen Partners kann Missions- und Kundendienste gleichzeitig treffen.
Sie sollten Frühwarnung, technische Bewertung, Behördenkommunikation, Kundeninformation und Managementeskalation vorab definieren. Bei Weltraum-Diensten kosten unklare Zuständigkeiten besonders viel Zeit, weil technische Ursachenanalyse, Sicherheitsbewertung und Betriebswiederherstellung parallel laufen müssen.
Sie sollten Geschäftsleitung, Missionsbetrieb, Security, Netzwerkbetrieb, Engineering, Beschaffung und Qualitätsmanagement nicht mit einer allgemeinen Awareness-Folie abspeisen. NIS2 verlangt im Weltraum-Kontext belastbare Entscheidungen zu Kritikalität, Resilienz und Vorfallmeldung.
Die Weltraum-Branche zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit dem 6. Dezember 2025 in Deutschland erweiterten Cybersicherheitspflichten. Für betroffene Unternehmen heißt das konkret: Die EU-Umsetzungsfrist endete am 17. Oktober 2024, erhebliche Sicherheitsvorfälle sind in Deutschland grundsätzlich innerhalb von 24 Stunden anzumelden, der Sanktionsrahmen reicht je nach Einordnung bis 10 Mio. EUR oder 2 Prozent Jahresumsatz, und die erste deutsche Registrierungsfrist lief für bereits betroffene Einrichtungen bis zum 6. März 2026.
Für das Keyword NIS2 Weltraum ist deshalb die wichtigste Aussage nicht abstrakt, sondern sehr praktisch. Nicht die gesamte Raumfahrtwirtschaft fällt pauschal unter dieselbe Regulierung. Entscheidend ist vielmehr, ob Sie Bodeninfrastrukturen betreiben, die weltraumgestützte Dienste unterstützen, wie Ihre Lieferkette organisiert ist, wie ausfallsicher Ihr Bodensegment arbeitet und ob Management, Technik und Security dieselbe Melde- und Krisenlogik beherrschen. Wenn Sie zuerst die Rechtsgrundlage sortieren wollen, sind die Übersichtsseite zur NIS2-Richtlinie in Deutschland, der Fachbeitrag zu den NIS2-Anforderungen nach Artikel 21, der Begriff NIS2-Richtlinie, der Begriff KRITIS und die produktnahe NIS2-Schulung die wichtigsten Anschlussstellen.
NIS2 reguliert den Weltraum-Sektor ausdrücklich. Schon Anhang I Nummer 7 der Richtlinie (EU) 2022/2555 nennt den Sektor Weltraum als Sektor von hoher Kritikalität. In der deutschen Umsetzung konkretisiert Anlage 1 Nummer 7.1.1 BSIG diese Einordnung für Betreiber von Bodeninfrastrukturen, die weltraumgestützte Dienste unterstützen. Für die Praxis ist das der zentrale Ausgangspunkt: Der Regulierungsfokus liegt nicht auf der Rakete als Symbolbild, sondern auf den real betriebenen Bodensegmenten, über die Dienste gesteuert, überwacht, verarbeitet und bereitgestellt werden.
Das ist für Weltraum-Unternehmen besonders wichtig, weil der Sektor technisch hybrid ist. Ein Bodenstationsbetreiber nutzt klassische IT, industrielle und funktechnische Komponenten, Missionssoftware, Netzwerke, Cloud-Dienste, Identitäts- und Fernwartungssysteme sowie oft internationale Partner gleichzeitig. Genau diese Kopplung macht NIS2 im Weltraum anspruchsvoll. Ein Vorfall ist selten nur ein „IT-Problem“, sondern kann Verfügbarkeit, Integrität und Vertraulichkeit von Satellitenkommunikation, Telemetrie, Nutzlastdaten, Kundenservices oder sicherheitskritischen Betriebsfunktionen gleichzeitig treffen.
Die allgemeine Logik der Richtlinie gilt dabei auch im Weltraum unverändert. Art. 21 NIS2 und die deutsche Umsetzung in § 30 BSIG verlangen kein loses Bündel an Sicherheitsmaßnahmen, sondern ein dokumentiertes Risikomanagement. Dazu gehören Risikoanalyse, Vorfallbehandlung, Business Continuity, Backup- und Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Wartung, Wirksamkeitskontrollen, Kryptografie, Personalsicherheit, Zugriffskonzepte und grundlegende Schulungen. Im Weltraum-Sektor ist diese Pflicht aber stärker mit technischer Resilienz gekoppelt als in vielen rein administrativen Branchen.
Hinzu kommt die Managementdimension. § 38 BSIG verpflichtet Leitungsorgane betroffener Einrichtungen, die Risikomaßnahmen zu billigen, deren Umsetzung zu überwachen und regelmäßig Schulungen zu absolvieren. Für Weltraum-Unternehmen heißt das: Geschäftsleitung, Programmleitung, Missionsbetrieb und Security dürfen sich die Verantwortung nicht gegenseitig zuschieben. Gerade dort, wo Ausfälle hochkritische Verträge, öffentliche Aufträge oder grenzüberschreitende Dienste betreffen, wird die Leitungsverantwortung schnell zum eigentlichen Prüfstein.
Betroffen sind vor allem Unternehmen, die ein funktionales Bodensegment betreiben. Dazu zählen typischerweise Betreiber von Bodenstationen, Telemetrie- und Kontrollzentren, Missionsleitstellen, Gateways für Satellitenkommunikation, Steuerungs- und Überwachungsplattformen oder integrierte Bodeninfrastrukturen für Erdbeobachtung, Navigation oder Kommunikationsdienste. Die entscheidende Frage lautet also nicht: „Sind wir ein SpaceTech-Unternehmen?“, sondern: „Betreiben wir Bodeninfrastruktur, die einen weltraumgestützten Dienst tatsächlich stützt?“
Nicht jedes Unternehmen der Raumfahrtlieferkette fällt automatisch in denselben NIS2-Kernbereich. Ein reiner Komponentenhersteller ohne eigenen Betrieb einer solchen Infrastruktur kann regulatorisch anders stehen als ein Unternehmen, das Bodenstationen rund um die Uhr betreibt. Dasselbe gilt für Softwareanbieter, Integratoren oder Datenverarbeiter, die zwar hochrelevant für die Branche sein können, aber nicht selbst als Betreiber der erfassten Infrastruktur auftreten. Diese Differenzierung ist wesentlich, weil sie entscheidet, ob unmittelbare Betreiberpflichten, Lieferkettenpflichten oder vor allem vertragliche Sicherheitsanforderungen im Vordergrund stehen.
Für die erste Einordnung hilft diese Übersicht:
| Typisches Geschäftsmodell im Weltraum | NIS2-Relevanz | Warum die Einordnung praxisnah ist |
|---|---|---|
| Betreiber von Bodenstationen und Telemetriezentren | Hoch | Anlage 1 BSIG erfasst genau diese Form der Bodeninfrastruktur, wenn sie weltraumgestützte Dienste unterstützt. |
| Betreiber von SATCOM-Gateways und Netzwerk-Bodensegmenten | Hoch | Verfügbarkeit, Integrität und sichere Steuerung wirken direkt auf Kommunikationsdienste und Kundenverträge. |
| Missionsleitstellen und Kontrollzentren | Hoch | Ausfälle oder Kompromittierungen können Steuerung, Monitoring und Incident Response der Mission beeinträchtigen. |
| Integratoren und Softwarehäuser ohne eigenen Betrieb | Mittel bis indirekt | Sie sind häufig nicht selbst Betreiber, werden aber über Lieferkette, Fernwartung und Kundenanforderungen unmittelbar sicherheitsrelevant. |
| Reine Komponentenlieferanten ohne Bodensegmentbetrieb | Prüffall | Hier hängt viel davon ab, ob eigene Dienste betrieben werden oder ob vor allem vertragliche und exportkontrollrechtliche Pflichten greifen. |
| Forschungs- und Demonstrationsprojekte im Weltraum | Einzelfall | Maßgeblich sind juristische Person, Betriebsmodell, Dienstcharakter und die Rolle des Bodensegments. |
In der Praxis sollten Sie die Betroffenheitsprüfung nicht nur technisch, sondern organisationsrechtlich durchführen. Relevant ist, welche juristische Person die Infrastruktur betreibt, wer Verträge mit Kunden oder öffentlichen Auftraggebern hält, wer Sicherheitsentscheidungen trifft und ob Fernwartung, Betrieb oder Support an Schwesterunternehmen oder Dienstleister ausgelagert sind. Gerade in der Raumfahrtwirtschaft sind Konsortien, Projektgesellschaften und internationale Betreiberstrukturen verbreitet. Ohne diese Strukturprüfung bleibt jede NIS2-Einordnung zu grob.
Wenn Sie unsicher sind, ob Ihr Unternehmen unmittelbar erfasst ist oder eher als Zulieferer mit mittelbaren Pflichten agiert, sollten Sie parallel die Begriffe NIS2-Richtlinie und KRITIS sauber abgrenzen. Viele Ausschreibungen und Sicherheitsfragebögen behandeln den gesamten Space-Sektor pauschal als „kritisch“. Für die Rechtslage genügt diese Pauschale aber nicht.
Die allgemeinen NIS2-Maßnahmen müssen im Weltraum-Sektor auf das Bodensegment übersetzt werden. Das klingt banal, ist aber der entscheidende Unterschied zwischen allgemeiner Cyberhygiene und echter NIS2-Reife. Ein Bodenstationsbetreiber muss nicht nur Firewalls und Backups vorweisen. Er muss nachvollziehbar erklären können, welche Dienste kritisch sind, welche Komponenten dafür benötigt werden, welche Partnerzugriffe bestehen, wie Ausfälle erkannt werden, wie Ersatz- und Wiederanlaufprozesse funktionieren und wer einen Vorfall gegenüber Behörden, Kunden und Management bewertet.
Besonders prägend ist die Kombination aus Verfügbarkeit und Integrität. Im Weltraum genügt es nicht, Systeme „irgendwie wieder hochzubekommen“. Viele Bodeninfrastrukturen steuern oder unterstützen Dienste, bei denen falsche Kommandos, manipulierte Konfigurationen, gestörte Zeit- oder Positionsdaten oder kompromittierte Gateway-Funktionen gravierendere Folgen haben können als ein bloßer Office-Ausfall. Deshalb ist Zugriffssicherheit auf privilegierte Konten, Segmentierung zwischen Büro- und Missionsumgebungen, Absicherung von Fernwartungszugängen und Härtung kritischer Managementschnittstellen ein sektortypischer Schwerpunkt.
Hinzu kommt die Lieferkette. Der ENISA-Bericht zur Bedrohungslage im Weltraum 2025 beschreibt kommerzielle Satelliten- und Bodensysteme ausdrücklich als stark vernetzte Umgebungen über den gesamten Lebenszyklus hinweg. Für deutsche Unternehmen bedeutet das: Antennen- und Terminallieferanten, Integratoren, Missionssoftware, Cloud-Plattformen, Netzwerkpartner, Kryptokomponenten, Wartungsfirmen und externe Spezialisten dürfen nicht nur technisch angeschlossen, sondern müssen organisatorisch in das Risikomanagement einbezogen werden. § 30 BSIG nennt die Sicherheit in der Lieferkette nicht zufällig ausdrücklich.
Meldeprozesse sind der zweite harte Prüfpunkt. § 32 BSIG verlangt eine Frühwarnung innerhalb von 24 Stunden, eine Meldung innerhalb von 72 Stunden und grundsätzlich eine Abschlussmeldung innerhalb eines Monats. Im Weltraum-Kontext ist diese Frist besonders ambitioniert, weil technische Ursachen oft über Funk, Netze, Software, Bodenanlagen und Drittdienste verteilt sind. Genau deshalb müssen Sie vor dem Vorfall festlegen, wer die Erheblichkeit einschätzt, welche Minimaldaten für eine Frühwarnung vorliegen müssen, wer das BSI anspricht und wie technische Analyse und Betriebsstabilisierung parallel organisiert werden.
Für die Praxis ist folgende Gegenüberstellung hilfreich:
| Sektorspezifische Anforderungen im Weltraum | Allgemeine NIS2-Pflichten |
|---|---|
| Absicherung von Bodenstationen, Missionsleitstellen und SATCOM-Gateways | Risikoanalyse und technische-organisatorische Maßnahmen nach § 30 BSIG |
| Trennung und Härtung von Büro-IT, Missionsumgebung und privilegierten Zugängen | Zugriffskontrolle, Asset Management, sichere Konfiguration und Wartung |
| Steuerung internationaler Integratoren, Hersteller und Spezialdienstleister | Lieferkettensicherheit und Vorgaben für Dienstleister |
| Notfallfähigkeit für Ausfälle, Funkstörungen, Konfigurationsfehler und Fernwartungsrisiken | Business Continuity, Backup- und Krisenmanagement |
| Schnelle Bewertung erheblicher Vorfälle trotz technischer Komplexität | Incident Handling und Meldepflicht nach § 32 BSIG |
| Dokumentierte Schulung von Leitung, Betrieb und Security | Leitungsverantwortung und Schulungspflichten nach § 38 BSIG |
Wenn Sie diese Sektorlogik noch nicht in Prozesse übersetzt haben, ist eine gezielte NIS2-Schulung sinnvoller als eine allgemeine Awareness-Maßnahme. Der eigentliche Nutzen liegt nicht in der Wiederholung des Gesetzestextes, sondern in der Übersetzung auf Bodensegmente, Betreiberverantwortung und Vorfallabläufe.
Die größte Herausforderung der Weltraum-Branche ist die Verbindung von physischen, funkbasierten und digitalen Abhängigkeiten. Ein Vorfall betrifft oft nicht nur einen Server, sondern ein Gesamtsystem aus Bodenstation, Netzwerk, Missionssoftware, Cloud- oder Rechenzentrumsdiensten, Telemetrie, Authentisierung und externen Partnern. Diese Gemengelage macht klassische Unternehmenssicherheit zu kurz gegriffen. NIS2 zwingt deshalb zu einer Betriebsbetrachtung, bei der technische Kopplungen und organisatorische Verantwortlichkeiten zusammengeführt werden.
Ein zweites branchenspezifisches Problem ist die starke Einbindung externer Spezialisten. Viele Weltraum-Unternehmen arbeiten mit hochspezialisierten Integratoren, Antennen- und Hardwarelieferanten, Softwareherstellern, Teleport-Partnern, Kryptografieanbietern, Startdienstleistern oder öffentlichen Auftraggebern. Diese Spezialisierung ist fachlich sinnvoll, erhöht aber die Angriffsfläche. Fernwartungszugänge, privilegierte Servicekonten, projektbezogene Ausnahmeregelungen und stark individualisierte Systemlandschaften sind im Weltraum keine Ausnahme, sondern oft Normalzustand. Unter NIS2 müssen Sie diese Realität sauber dokumentieren und beherrschen.
Ein drittes Risiko liegt in der langen Lebensdauer vieler Systeme. Anders als bei rein webbasierten Produkten lassen sich Komponenten im Bodensegment oder in angrenzenden Missionsumgebungen nicht immer kurzfristig austauschen. Legacy-Protokolle, proprietäre Schnittstellen, spezielle Hardware, lange Beschaffungszyklen und umfangreiche Freigabe- oder Nachweisprozesse erschweren schnelle Sicherheitsverbesserungen. Gerade deshalb gewinnt NIS2 hier an Schärfe: Wenn technische Erneuerung langsam ist, müssen Governance, Kompensationsmaßnahmen, Härtung und klare Betriebsregeln umso belastbarer sein.
Viertens ist die internationale Dimension ausgeprägt. Weltraum-Unternehmen arbeiten häufig mit europäischen Programmen, internationalen Lieferanten, grenzüberschreitenden Bodenstationen und Kunden in regulierten oder sicherheitskritischen Umfeldern. Dadurch entstehen Mehrfachanforderungen aus Verträgen, Sicherheitsfreigaben, Exportkontrolle, Datenschutz, Telekommunikationsrecht oder öffentlichen Beschaffungsregeln. NIS2 ersetzt diese Regeln nicht. Sie wird aber schnell zum zentralen Nachweisrahmen dafür, dass Cyberrisiken im Betrieb systematisch gesteuert werden.
Das bekannteste greifbare Branchenbeispiel ist der Angriff auf das Satellitennetz KA-SAT von Viasat im Februar 2022. Die Europäische Union hat in ihrer Erklärung vom 10. Mai 2022 ausdrücklich festgehalten, dass die Attacke zu erheblichen Kommunikationsausfällen und Störungen bei öffentlichen Stellen, Unternehmen und Nutzern in der Ukraine sowie in mehreren EU-Mitgliedstaaten geführt hat. Für den Weltraum-Sektor ist dieser Fall deshalb so lehrreich, weil er zeigt, wie schnell ein Angriff auf einen weltraumgestützten Dienst in andere Wirtschafts- und Verwaltungsbereiche ausstrahlen kann.
Die NIS2-Lektion daraus ist eindeutig. Weltraum-Dienste sind nicht nur eine Spezialbranche für wenige technische Akteure, sondern Teil realer Versorgungsketten. Wenn Gateways, Bodenstationen, Managementsysteme oder unterstützende Netzwerke ausfallen oder kompromittiert werden, betrifft das nicht nur den Betreiber selbst. Es kann Kommunikation, Navigation, Datenverarbeitung, sicherheitskritische Kundenprozesse und staatliche oder wirtschaftliche Abläufe gleichzeitig stören. Genau diese Kaskadeneffekte erklären, warum der Weltraum-Sektor in Anhang I NIS2 zu den Sektoren hoher Kritikalität gehört.
Übertragen auf ein mittelgroßes deutsches Weltraum-Unternehmen würde ein ähnlicher Vorfall heute mehrere Pflichten gleichzeitig aktivieren. Zuerst müssten technische Eindämmung und Stabilisierung des Betriebs anlaufen. Parallel wäre die Frage zu beantworten, ob ein erheblicher Sicherheitsvorfall vorliegt. Gleichzeitig müssten Dienstleister eingebunden, Management und Kunden informiert, Zugänge geprüft und die Frühwarnung an das BSI vorbereitet werden. Wenn diese Schritte nicht geübt sind, wird aus einem technischen Vorfall in kurzer Zeit eine Governance-Krise.
Das Praxisbeispiel zeigt außerdem, warum branchenspezifische Schulung im Weltraum unverzichtbar ist. Missionsbetrieb, Netzbetrieb, Security, Engineering, Einkauf und Geschäftsleitung sehen denselben Vorfall aus unterschiedlichen Perspektiven. NIS2 verlangt aber eine gemeinsame Betriebs- und Meldefähigkeit. Genau hier liegt der Mehrwert einer strukturierten NIS2-Schulung: Sie schafft ein gemeinsames Verständnis dafür, welche Informationen wann vorliegen müssen und wer welche Entscheidung treffen darf.
NIS2 ist im Weltraum selten das einzige relevante Regelwerk. Je nach Rolle im Markt kann zusätzlich die Verordnung (EU) 2021/696 über das Weltraumprogramm der Union relevant werden. Das betrifft insbesondere Unternehmen und Organisationen, die in Programme, Dienste oder sicherheitsrelevante Komponenten des EU-Weltraumprogramms eingebunden sind. Dort stehen Sicherheitsüberwachung, Schutz sensibler Systeme und spezifische Governance-Anforderungen im Vordergrund. NIS2 ersetzt diese Vorgaben nicht, sondern bildet eher die horizontale Cyber- und Resilienzschicht für den allgemeinen Betrieb.
Praktisch bedeutsam ist außerdem die technische Orientierung an BSI-spezifischen Maßstäben. Das BSI führt mit TR-03184 eine eigene technische Richtlinie zur Informationssicherheit für Weltraumsysteme. Diese Richtlinie ersetzt kein Gesetz und macht ein Unternehmen nicht automatisch NIS2-konform. Sie ist aber ein starker Hinweis darauf, welche branchentypischen Sicherheitsaspekte im Weltraum technisch ernst genommen werden müssen. Für Unternehmen ist das vor allem dort wertvoll, wo allgemeine Unternehmensstandards den Missions- und Bodensegmentkontext nicht detailliert genug abdecken.
Daneben können vertragliche Sicherheitsanforderungen öffentlicher Auftraggeber, Telekommunikationsrecht, Exportkontrollvorgaben, Datenschutz und gegebenenfalls KRITIS-nahe Anschlussregeln relevant sein. Ein SATCOM-Betreiber mit öffentlichen Kunden steht oft vor einem anderen Anforderungsmix als ein Erdbeobachtungsdienstleister oder ein Integrator für Bodensegmente. Die richtige Schlussfolgerung lautet deshalb nicht, jede mögliche Norm gleichzeitig umzusetzen, sondern zuerst den eigenen regulatorischen Stack sauber zu kartieren und dann gemeinsame sowie getrennte Prozesse festzulegen.
Weltraum-Unternehmen brauchen also keine isolierte NIS2-Sicht, sondern eine gestapelte Compliance-Sicht. Prüfen Sie zuerst, ob Ihre Bodeninfrastruktur unmittelbar unter NIS2 fällt. Prüfen Sie danach, welche sektoralen, vertraglichen oder programmbezogenen Sicherheitsanforderungen zusätzlich gelten. Und übersetzen Sie diese Ebenen anschließend in ein gemeinsames Schulungs- und Governance-Modell für Leitung, Betrieb, Security und Einkauf.
Weltraum-Unternehmen sollten NIS2 nicht als reines Dokumentationsprojekt behandeln, sondern als Betriebsprogramm. Diese Reihenfolge ist in der Praxis am sinnvollsten:
Wenn Sie diese Punkte heute noch nicht belastbar nachweisen können, ist das kein Ausnahmefall. Genau deshalb lohnt sich eine fokussierte NIS2-Schulung, die nicht nur Pflichten erklärt, sondern Verantwortlichkeiten, Meldewege und typische Risiken des Weltraum-Sektors zusammenführt. Für den Rechtsrahmen und die Mindestmaßnahmen sollten Sie zusätzlich die Seite zur NIS2-Richtlinie in Deutschland und den Beitrag zu den NIS2-Anforderungen nach Artikel 21 einbeziehen.
Betroffen sind in Deutschland vor allem Betreiber von Bodeninfrastrukturen, die weltraumgestützte Dienste unterstützen. Maßgeblich ist also nicht nur die Branchenzuordnung zur Raumfahrt, sondern die konkrete Betreiberrolle. Bodenstationen, Kontrollzentren, Gateways und ähnliche Bodensegmente sind deutlich naheliegendere NIS2-Fälle als reine Zulieferer ohne eigenen Betrieb.
Für betroffene Unternehmen gelten die allgemeinen Risikomanagementpflichten nach § 30 BSIG. Dazu gehören Risikoanalyse, Incident Handling, Business Continuity, Backup- und Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Wartung, Wirksamkeitsprüfungen, Kryptografie, Zugriffskontrollen und grundlegende Schulungen. Im Weltraum kommt die Übersetzung dieser Pflichten auf Bodensegmente und Betreiberprozesse hinzu.
Der unionsrechtliche Rahmen reicht für besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen niedriger. Unabhängig von der konkreten Sanktion ist für Weltraum-Unternehmen schon die richtige Einstufung und nachweisbare Umsetzung entscheidend, weil Kunden, Auftraggeber und Aufsicht genau darauf schauen.
Leitungsorgane betroffener Einrichtungen müssen nach § 38 BSIG regelmäßig an Schulungen teilnehmen. Zusätzlich verlangt § 30 Abs. 2 Nr. 7 BSIG grundlegende Schulungen und Sensibilisierungsmaßnahmen in der Organisation. Für den Weltraum-Sektor sollten diese Schulungen Betrieb, Vorfallmeldung, Lieferkette, privilegierte Zugriffe und Ausfallkaskaden ausdrücklich abdecken.
Die EU-Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gelten die Registrierungs- und Meldepflichten seit dem 6. Dezember 2025. Für bereits betroffene Einrichtungen lief die erste Dreimonatsfrist grundsätzlich bis zum 6. März 2026; für neu betroffene Unternehmen gilt die Frist ab dem Zeitpunkt der Betroffenheit.
Je nach Rolle können zusätzlich Anforderungen aus der Verordnung (EU) 2021/696 zum Weltraumprogramm der Union, aus vertraglichen Sicherheitsvorgaben öffentlicher Auftraggeber, aus Telekommunikationsrecht, Exportkontrolle oder aus technischen BSI-Maßstäben wie TR-03184 relevant werden. NIS2 ist deshalb meist die Grundschicht, nicht das einzige Regelwerk.
Der Weltraum-Sektor braucht unter NIS2 keine abstrakte Compliance-Erzählung, sondern einen belastbaren Betriebsmodus für Bodensegmente, Lieferkette, Vorfälle und Leitungsverantwortung. Wenn Sie Bodeninfrastrukturen, SATCOM-Gateways oder missionsnahe Steuerungsumgebungen betreiben, ist ein branchenspezifischer Kurs sinnvoller als eine allgemeine Awareness-Schulung. Die NIS2-Schulung vermittelt die Pflichten, Meldewege und typischen Umsetzungsfehler der Branche in einer Form, die Management, Betrieb und Security gemeinsam nutzen können.
Häufige Fragen
Nächster Schritt
Wenn Sie die Pflichten nach Art. 4 sauber dokumentieren wollen, starten Sie mit einem gemeinsamen Schulungsstandard für betroffene Rollen.