Zurück zur Übersicht
18.09.2025 Fachbeitrag

Resilienz durch Design für den Weltraum: EU-Weltraumgesetz (4) – Der Entwurf des EU-Weltraumgesetzes für Resilienz

Resilienz im Weltraum ist nicht mehr optional. Der kommende EU Space Act verankert Resilienz als rechtliche Verpflichtung und verlangt von allen im EU-Raum tätigen Raumfahrtunternehmen, ihre Systeme zu stärken, Lieferketten abzusichern und die Missionskontinuität zu gewährleisten. Angesichts zunehmender Bedrohungen ist dies Europas Blaupause für eine Weltrauminfrastruktur, die auf Störungen vorbereitet ist.

Am 25. Juni 2025 hat die Europäische Kommission den Entwurf des EU Space Act (im Folgenden „Gesetzesentwurf“) veröffentlicht, der einen einheitlichen Rechtsrahmen für die Sicherheit, Resilienz und Nachhaltigkeit von Weltraumaktivitäten in der EU schaffen soll. Von diesen drei Säulen ist die Resilienz der technisch umfassendste und weitreichendste Aspekt, der Cybersicherheit, physischen Schutz, Integrität der Lieferkette und Kontinuität der Dienste umfasst. 

Der Gesetzesentwurf basiert auf der Erkenntnis, dass Weltrauminfrastrukturen – sowohl im Orbit als auch am Boden – zunehmend einer Vielzahl von Bedrohungen ausgesetzt sind: Cyberangriffe, Jamming und Spoofing, Sabotage, Naturgefahren und geopolitische Konflikte. Da viele europäische Raumfahrtsysteme essenzielle zivile, kommerzielle und staatliche Funktionen unterstützen und mehrheitlich als Dual-Use gelten, ist die Fähigkeit, Störungen zu widerstehen und sich davon zu erholen, von strategischer Bedeutung. 

Daher sieht der Gesetzesentwurf verbindliche Risikomanagementpflichten für alle Raumfahrtunternehmen vor, die im EU-Markt tätig sind – einschließlich nicht-europäischer Akteure. Er ist eng verzahnt mit den bestehenden EU-Regelwerken zur Cybersicherheit (NIS2-Richtlinie) und zum Schutz kritischer Infrastrukturen (CER-Richtlinie) und führt darüber hinaus raumfahrtspezifische Resilienzanforderungen ein. 

Wer ist betroffen – Adressaten des Gesetzesentwurfs

  • Die verbindlichen Resilienzpflichten gelten für alle bedeutenden Anbieter von Weltraumdiensten, darunter Satellitenbetreiber, Launch-Service-Provider, Hauptanbieter von weltraumbasierten Daten, Anbieter von In-Orbit-Services und Kollisionsvermeidungsdiensten.
  • Die Pflichten gelten unabhängig davon, ob die Unternehmen in der EU ansässig sind oder als Drittstaatenakteure im EU-Markt tätig werden.
  • Auch Zulieferer sind mittelbar betroffen, da die Hauptadressaten die Resilienzanforderungen vertraglich weitergeben und höhere technische Standards von ihren Lieferanten verlangen werden – auch wenn dies nicht explizit vorgeschrieben ist. Der Marktdruck wird voraussichtlich dazu führen, dass Subunternehmer die neuen Standards erfüllen müssen. 

Resilienzanforderungen – Was Betreiber tun müssen

Risikomanagement über den gesamten Lebenszyklus 

  • Betreiber müssen ein kontinuierliches, lebenszyklusweites Risikomanagement implementieren, das Missionsdesign, Start, Betrieb und Außerbetriebnahme umfasst.
  • Die Maßnahmen sind proportional zum Risikoprofil der Mission:
  1. Große oder kritische Missionen: Vollständiges Kontrollpaket (z. B. Verschlüsselung, Incident Response, Kontinuitätspläne).
  2. Kleine Unternehmen und Forschungseinrichtungen: Vereinfachtes Regime mit Mindestanforderungen für die wichtigsten Bedrohungen (z. B. Kontrollverlust über angetriebene Raumfahrzeuge oder schädliche Interferenzen).

Cyber-, physischer und Lieferkettenschutz 

  • Betreiber müssen umfassende technische und organisatorische Schutzmaßnahmen für die Cyber- und physischen Komponenten ihrer Raumfahrtsysteme umsetzen.
  • Zu den Pflichten gehören:
  1. Cybersicherheit: Asset-Inventare, Zugangskontrollen nach dem Need-to-know-Prinzip, durchgehende Verschlüsselung von Steuerungssignalen.
  2. Physische Sicherheit: Schutz kritischer Bodeninfrastruktur (im Einklang mit den CER-Standards).
  3. Lieferkette: Prüfung von Nicht-EU-Komponenten, vertragliche Sicherheitsanforderungen für Lieferanten, Kontrolle von Drittanbietern.
  • Diese Maßnahmen sollen Raumfahrtoperationen gegen Cyberangriffe, Sabotage, Jamming/Spoofing und andere Bedrohungen absichern. 

Kontinuität und Incident Response 

  • Betreiber müssen die Missionskontinuität durch eingebaute Redundanzen und Wiederherstellungsplanung sicherstellen.
  • Konkrete Pflichten umfassen:
  1. Formale Backup-Systeme für Daten und kritische Infrastruktur (z. B. redundante Kontrollzentren, Antennen, Satellitenverbindungen, Betrieb im Degradationsmodus).
  2. Verpflichtende Business-Continuity- und Disaster-Recovery-Pläne mit regelmäßigen Tests (einschließlich Threat-Led Penetration Tests).
  3. Meldepflichten für Vorfälle: Erste Meldung innerhalb von 12–24 Stunden (je nach Umfang), detaillierter Bericht innerhalb von 72 Stunden, abschließende Ursachenanalyse innerhalb eines Monats. 

Abstimmung mit EU-Regelwerken

  • Der Gesetzesentwurf ist als lex specialis zur NIS2-Richtlinie ausgestaltet, sodass Raumfahrtunternehmen keine Doppelregulierung befürchten müssen.
  • Die Anforderungen an die physische Sicherheit sind mit der CER-Richtlinie abgestimmt, sodass keine Doppelungen entstehen, sondern ein hoher und einheitlicher Standard gilt.
  • Ein neues EU Space Resilience Network (EUSRN) wird als Koordinationsgremium eingerichtet, das die Europäische Kommission, EUSPA, Mitgliedstaaten, ENISA und weitere Akteure vernetzt, um Bedrohungsinformationen auszutauschen und die Reaktion auf Sicherheitsvorfälle im europäischen Raumfahrtsektor zu harmonisieren.

Eine ausführliche englischsprachige Version dieses Newsletters mit detaillierten Analysen, Praxisbeispielen und weiterführenden Informationen zu den einzelnen Regelungsbereichen des EU Space Acts finden Sie hier

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Thomas Jansen
München
Dr. Andreas Lenz
Köln

Ansprechpartner

Dr. Thomas Jansen
München
Dr. Andreas Lenz
Köln

Weitere Artikel

25.11.2025
EU Defence Industry Transformation Roadmap – Relevanz für Luft‑ und Raumfahrt, Defence und New Space
12.11.2025
Neue EU-Initiative zur Stärkung der Verteidigungsinvestitionen – Chancen für die Luftfahrt-, Verteidigungs- und SpaceTech-Industrie
17.10.2025
Kurzüberblick: Defence Readiness Roadmap 2030
22.09.2025
Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten
09.09.2025
Alle erreicht?“: Entwurf der EU-Weltraumverordnung (3) – Fokus auf KMU / Industrie
17.07.2025
Weitreichend“: EU-Weltraumgesetz (2) – Perspektive von Weltraumoperateuren aus Drittländern
17.07.2025
EU lanciert Sicherheitsaktion für Europa (SAFE): Wichtige neue Finanzierungs- und Beschaffungsmöglichkeiten für die Verteidigungsindustrie, mit besonderen Vorteilen für KMU
14.07.2025
EU Space Act: Treiber für die Weltraumversicherung?
02.07.2025
"Hoch hinaus": Ein erster Blick auf den EU Space Act – (und die Vision für die europäische Raumfahrtindustrie)
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
22.05.2025
Neue Technische Richtlinie BSI TR-03184-2 – Cybersicherheit für das Bodensegment von Weltraumsystemen
20.05.2025
Ausschluss eines Betriebsratsmitglieds wegen Weiterleitung personenbezogener Beschäftigtendaten an privates E-Mail-Postfach

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.