27.05.2026
Gernot Fritz, Amina Kovacevic
Im europäischen Weltraumrecht zeichnet sich derzeit ein grundlegender regulatorischer Wandel ab. Besonders sichtbar wird das im Bereich der Cybersicherheit. Während der ursprüngliche Kommissionsvorschlag des EU Space Act vom 25. Juni 2025 noch stark auf ein eigenständiges sektorales Cybersecurity-Regime für die Raumfahrt setzte, verfolgt der aktuelle Kompromisstext des Rates vom 30. März 2026 (Cyprus Compromise Proposal) inzwischen einen deutlich anderen Ansatz.
Cybersecurity wird nicht mehr primär als isoliertes Spezialthema der Raumfahrt behandelt. Stattdessen soll der Weltraumsektor systematisch in die bestehende europäische Cybersecurity-Architektur integriert werden. Darin liegt eine der wichtigsten Veränderungen des aktuellen Verhandlungsstands.
Der Hintergrund dieser Entwicklung ist offensichtlich. Raumfahrtinfrastruktur ist längst Teil kritischer digitaler Infrastruktur geworden. Satelliten steuern Kommunikationsnetze, Navigation, Wetterdienste, Finanztransaktionen, Energieversorgung und sicherheitsrelevante Anwendungen. Gleichzeitig wächst die Angriffsfläche kontinuierlich. Cyberangriffe auf Bodenstationen, Satellitenkontrollsysteme oder Kommunikationsverbindungen gelten längst nicht mehr als hypothetisches Szenario, sondern als reales Risiko mit potenziell erheblichen wirtschaftlichen und sicherheitspolitischen Folgen.
Bereits der ursprüngliche Kommissionsvorschlag stellte deshalb die Resilienz von Weltrauminfrastruktur in den Mittelpunkt. Der Kompromisstext des Rates geht nun allerdings einen entscheidenden Schritt weiter: Die neuen Weltraumregeln werden eng mit der bestehenden NIS2-Systematik verzahnt.
NIS2 wird zur Grundlage des neuen Space-Act-Regimes
Besonders deutlich zeigt sich dieser Richtungswechsel beim Verhältnis zur NIS2-Richtlinie.
Der ursprüngliche Entwurf verstand den EU Space Act weitgehend als sektorspezifische lex specialis gegenüber Art 21 NIS2-Richtlinie. Weltraumakteure sollten ihre Cybersecurity-Pflichten primär aus dem Space Act ableiten. Ziel war vor allem, Doppelregulierung zu vermeiden und ein eigenständiges Sicherheitsregime für den Raumfahrtsektor zu schaffen.
Der Kompromisstext des Rates stellt diese Logik nun weitgehend auf den Kopf.
Die NIS2-Richtlinie wird ausdrücklich als horizontale Grundlage anerkannt, auf der der EU Space Act aufbaut. Der Space Act soll die bestehenden europäischen Cybersecurity-Regeln ergänzen, präzisieren und teilweise erweitern, aber nicht mehr ersetzen.
Besonders sichtbar wird diese neue Architektur in Art 75. Dort wird ausdrücklich festgehalten, dass die Verordnung „without prejudice“ zur NIS2-Richtlinie gelten soll. Weltraumakteure, die bereits als wesentliche oder wichtige Einrichtungen unter der NIS2-Richtlinie zu qualifizieren sind, bleiben also grundsätzlich Teil des bestehenden NIS2-Regimes.
Gleichzeitig verpflichtet der Kompromisstext die nationalen Space-Act-Behörden zur engen Zusammenarbeit mit den zuständigen NIS2-Behörden, Computer Security Incident Response Teams (CSIRTs) und weiteren Cybersecurity-Stellen. Auch Aufsichts- und Informationsweiterleitungsmechanismen werden deutlich stärker miteinander verzahnt.
Damit wird klar: Der EU Space Act entwickelt sich zunehmend zu einem sektorspezifischen Aufbau auf der bestehenden europäischen Cybersecurity-Regulierung.
Art 75a wird zur zentralen Cybersecurity-Vorschrift
Im Zentrum dieser neuen Architektur steht der neu eingefügte Art 75a.
Die Vorschrift bildet künftig die eigentliche Kernregelung für Cybersecurity-Pflichten im EU Space Act. Sie schafft ein zweistufiges System für Weltraumakteure.
Weltraumakteure, die bereits als wesentliche oder wichtige Einrichtungen im Sinne der NIS2-Richtlinie gelten, müssen künftig vor allem den geplanten sektorspezifischen NIS2-Durchführungsrechtsakt für den Raumfahrtsektor einhalten. Die konkreten technischen und organisatorischen Anforderungen sollen damit künftig stärker innerhalb des NIS2-Systems konkretisiert werden.
Besonders bemerkenswert ist dabei, dass der Space Act selbst Änderungen an der NIS2-Richtlinie vorsieht. Über den neuen Art 118a soll die Kommission verpflichtet werden, einen eigenen Durchführungsrechtsakt mit technischen, methodischen und sektoralen Anforderungen für Weltraumakteure zu erlassen.
Der EU Space Act reguliert Cybersecurity für NIS2-pflichtige Betreiber damit künftig nicht mehr primär selbst, sondern stößt eine sektorspezifische Konkretisierung innerhalb der bestehenden NIS2-Architektur an.
Für alle übrigen Raumfahrtakteure gelten dagegen weiterhin unmittelbare Cybersecurity-Pflichten nach dem Space Act selbst. Das betrifft insbesondere Betreiber außerhalb des klassischen NIS2-Anwendungsbereichs, bestimmte Forschungsakteure, Drittstaatenbetreiber mit EU-Bezug sowie Betreiber unionseigener Weltrauminfrastruktur.
Dieser Punkt ist regulatorisch besonders relevant, denn viele Akteure der Raumfahrt würden allein über die NIS2-Richtlinie nicht vollständig erfasst werden. Der Kompromisstext des Rates versucht daher erkennbar, bestehende Schutzlücken zu schließen und gleichzeitig ein möglichst kohärentes europäisches Cybersecurity-System zu schaffen.
All-Hazards-Ansatz und missionsbezogene Resilienz
Inhaltlich orientiert sich Art 75a deutlich stärker an der Systematik der NIS2-Richtlinie als noch der ursprüngliche Kommissionsvorschlag. Gleichzeitig bleibt der Space Act aber erkennbar von den Besonderheiten der Raumfahrt geprägt.
Die Vorschrift verlangt geeignete technische, operative und organisatorische Maßnahmen zur Beherrschung von Cyberrisiken. Gleichzeitig folgt sie ausdrücklich einem sogenannten „All-Hazards-Approach“. Geschützt werden soll nicht nur klassische IT-Infrastruktur, sondern die gesamte Weltraummission über ihren gesamten Lebenszyklus hinweg.
Genau darin liegt eine der Besonderheiten des Space Act. Cybersecurity wird nicht isoliert als reines IT-Thema verstanden. Vielmehr verbindet die Verordnung digitale Sicherheit, operative Kontrolle, physische Resilienz und Missionsfähigkeit zu einem gemeinsamen Sicherheitsansatz.
Gefordert werden unter anderem Risikoanalyse- und Informationssicherheitsrichtlinien, Incident Handling, Business Continuity und Disaster Recovery, Lieferkettensicherheit, sichere Entwicklung und Wartung von Netz- und Informationssystemen, Schwachstellenmanagement, Cybersecurity-Schulungen, Kryptografie- und Verschlüsselungsrichtlinien, Zugangskontrollen und Asset-Management sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme.
Besonders auffällig ist dabei die starke Betonung missionskritischer Kommunikations- und Kontrollstrukturen. Gerade Telemetrie-, Tracking- und Telecommand-Systeme stehen implizit im Zentrum der Sicherheitsarchitektur. Denn letztlich hängt die Sicherheit eines Satelliten maßgeblich davon ab, wer die technische Kontrolle über das Weltraumsegment ausübt.
Lieferketten werden zum zentralen Sicherheitsfaktor
Eine besonders wichtige Rolle spielt im Kompromisstext des Rates die Lieferkettensicherheit.
Betreiber müssen künftig ausdrücklich auch die Sicherheitsmaßnahmen ihrer direkten Zulieferer, Technologieanbieter und Dienstleister berücksichtigen. Dabei geht es nicht nur um klassische IT-Lieferketten, sondern um die gesamte relevante Wertschöpfungskette.
Gerade in der Raumfahrtwirtschaft ist das praktisch hochrelevant. Weltraummissionen beruhen typischerweise auf komplexen internationalen Lieferketten mit hochspezialisierten Komponenten, Softwarelösungen und Dienstleistern. Viele Systeme sind dual-use-fähig, sicherheitskritisch oder von wenigen globalen Anbietern abhängig.
Cybersecurity wird damit nicht mehr nur zur Frage einzelner Systeme, sondern der gesamten technologischen und geopolitischen Abhängigkeiten einer Mission.
Vereinfachtes Regime für kleinere Akteure
Eine weitere wichtige Neuerung betrifft kleinere Marktteilnehmer.
Der Kompromisstext des Rates sieht ein vereinfachtes Regime für Forschungs- und Bildungseinrichtungen sowie kleine und Kleinstunternehmen vor. Dieses sogenannte „light regime“ soll die besonderen Risiken kleinerer Akteure berücksichtigen und die regulatorischen Anforderungen stärker auf bestimmte kritische Risiken beschränken.
Der Hintergrund ist nachvollziehbar. Gerade im New-Space-Bereich wird der Markt stark von jungen, innovativen und oft ressourcenbegrenzten Unternehmen geprägt. Zu starre oder kostenintensive Cybersecurity-Vorgaben könnten hier erhebliche Innovationshemmnisse verursachen.
Der Kompromisstext versucht deshalb, regulatorische Anforderungen stärker nach Risikoprofil, Unternehmensgröße und potenziellen Auswirkungen auf andere Weltraumaktivitäten zu differenzieren.
Incident Reporting und stärkere Behördenvernetzung
Auch beim Incident Reporting wird die stärkere Anbindung an die NIS2-Richtlinie deutlich sichtbar.
Bedeutende Sicherheitsvorfälle sollen künftig weitgehend nach der Logik von Art 23 NIS2-Richtlinie gemeldet werden. Für NIS2-pflichtige Betreiber sollen die bestehenden Meldekanäle über CSIRTs und zuständige Behörden genutzt werden. Gleichzeitig sollen relevante Informationen an die Space-Act-Behörden weitergeleitet werden.
Dadurch versucht der Gesetzgeber, parallele Meldewege und Doppelmeldungen zu vermeiden. Gleichzeitig entsteht aber auch eine deutlich komplexere Koordinierungsarchitektur zwischen Cybersecurity-Behörden, Space-Act-Behörden, CSIRTs, der Europäischen Agentur für Cybersicherheit (ENISA), EU-CyCLONe und weiteren europäischen Stellen.
Besonders wichtig wird dabei das geplante EU Space Resilience Network (EUSRN). Dieses Netzwerk soll die institutionelle Brücke zwischen Raumfahrtregulierung und europäischer Cybersecurity-Governance bilden.
Der ursprüngliche Kommissionsvorschlag setzte hier noch stärker auf ein eigenständiges Space-Act-Resilienzsystem. Der Kompromisstext des Rates integriert den Weltraumsektor nun deutlich tiefer in die bereits bestehende europäische Cybersecurity-Architektur.
Der Weltraum wird Teil der europäischen Cybersecurity-Governance
Der Fokus liegt nicht mehr auf einem vollständig eigenständigen sektoralen Cybersecurity-Regime für Weltraumakteure. Stattdessen entsteht eine enge Verzahnung mit den bestehenden europäischen Cybersecurity-Strukturen, insbesondere mit der NIS2-Richtlinie.
Für Unternehmen bedeutet das vor allem eines: Weltrauminfrastruktur wird regulatorisch zunehmend wie kritische digitale Infrastruktur behandelt.
Cybersecurity entwickelt sich damit endgültig von einem technischen Spezialthema zu einer zentralen Voraussetzung für Marktteilnahme, Zertifizierung, operative Resilienz und Compliance im europäischen Raumfahrtsektor.
Gleichzeitig bleiben viele praktische Fragen noch offen. Zahlreiche technische Details sollen erst durch die kommenden Durchführungsrechtsakte konkretisiert werden. Gerade diese Durchführungsrechtsakte dürften deshalb entscheidend dafür werden, wie streng, praxisnah und innovationsfreundlich das künftige europäische Space-Cybersecurity-Regime tatsächlich ausgestaltet sein wird.
Fest steht aber bereits jetzt: Die europäische Cybersecurity-Governance endet künftig nicht mehr an der Atmosphäre.
Fazit und Schlussgedanke
Outputdaten sind der Punkt, an dem KI-Systeme rechtlich sichtbar werden. Hier entscheiden sich Verantwortung, Haftung und Zulässigkeit. Was zuvor als abstrakter Datenfluss erscheint, wird hier zur konkreten Handlung.
Die größte Herausforderung liegt dabei nicht im einzelnen Ergebnis, sondern im Umgang damit. Output ist kein neutrales Produkt, sondern ein Vorschlag, der bewertet, eingeordnet und verantwortet werden muss.
Mit Trainingsdaten beginnt die Geschichte. Mit Inputdaten wird sie fortgeschrieben. Mit Outputdaten wird sie rechtlich relevant.
Die vielleicht größte Illusion im Umgang mit KI besteht darin, dass Verantwortung beim System endet. In Wirklichkeit beginnt sie genau dort.
Wenn Sie im Raumfahrtsektor tätig sind – als Betreiber, Zulieferer, Technologieanbieter oder Investor –, wird die entscheidende Frage nicht nur sein, welche neuen Pflichten gelten. Entscheidend wird sein, wie sich diese Pflichten in Governance, Lieferketten, Verträge und operative Resilienz übersetzen lassen. Dabei unterstützen wir Sie gerne.
