Normen & Vorschriften für Zulieferer in der Rüstungsindustrie
Stefan WeinzierlStefanWeinzierlStefan WeinzierlChefredakteur mi connect
Wer als Zulieferer für die Rüstungsindustrie tätig werden will, hat diverse Normen und Vorschriften zu beachten - diese fußen zwar auf ihren zivilen Pendants, gehen in manchen Fällen aber auch darüber hinaus.justsann - stock.adobe.com - KI-generiert)
Milliardenschwere Aufträge, höchste Sicherheitsauflagen und ein Regelwerk, das keine Fehler verzeiht: Wer in die Rüstungsindustrie liefern will, muss Normen und Vorschriften meistern.
Anzeige
Der russische Angriffskrieg gegen die Ukraine und die sicherheitspolitische Wende in Deutschland haben eine Zeitenwende in der Verteidigungspolitik ausgelöst. Mit dem Sondervermögen von 100 Milliarden Euro und steigenden Verteidigungshaushalten investiert die Bundeswehr in neues Wehrmaterial, moderne IT-Infrastrukturen und digitalisierte Prozesse.
Für die Industrie – insbesondere Zulieferer aus dem Maschinen- und Anlagenbau – eröffnen sich dadurch neue Marktchancen. Allerdings ist der Marktzugang zur wehrtechnischen Lieferkette stark reguliert: Neben strengen Vergabevorschriften müssen Qualitäts- und Informationssicherheitsstandards erfüllt, Genehmigungen eingeholt und Verschlusssachen geschützt werden.
Rüstungsnormen: Zivile Standards als Grundlage, VG-Normen als Ausnahme
Die Behördenleitung des Bundesamtes für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) hat ihren Sitz in der Rheinliegenschaft in Koblenz.pusteflower9024 - stock.adobe.com)
Bei der Beschaffung von Wehrmaterial setzt Deutschland vor allem auf zivile Normen. Das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) prüft zunächst, ob DIN-, EN- oder ISO-Normen die militärischen Anforderungen abdecken. Nur wenn diese Normen nicht ausreichen, werden wehrtechnische Normen wie Verteidigungsgerätenormen
Anzeige
(VG-Normen) und Werkstoffleistungsblätter (WLB) für spezielle Bauteile entwickelt. Sobald die militärischen Anforderungen in zivile Normen überführt wurden, werden die entsprechenden VG-Normen wieder zurückgezogen. Dieses Prinzip stellt sicher, dass militärische Beschaffungen möglichst kompatibel mit zivilen Industriestandards bleiben und Synergien genutzt werden können.
Normen erfüllen mehrere Funktionen: Sie legen Anforderungen an Produkte und Prozesse fest, schaffen Kompatibilität im internationalen Verbund und erhöhen die Sicherheit über die gesamte Lebensdauer. Gerade in internationalen Rüstungsprojekten sind NATO-Standardisierungsvereinbarungen (STANAG) entscheidend. Beispiele sind STANAG 2290, welche das Kennzeichnen von Bauteilen mittels DataMatrix-Codes zur eindeutigen Identifizierung regelt, und das Allied Ordnance Publication AOP 2D, das Farben und Markierungen von Munition vereinheitlicht. Auch europäische Luftfahrtstandards wie EN 9132 (AS 9132) für die direkte Teilekennzeichnung spielen bei sicherheitskritischen Komponenten eine Rolle.
Qualitätsmanagement der Rüstung: AQAP und branchenspezifische Normen
Anzeige
Für Zulieferer in der Luft- und Raumfahrt sowie Verteidigungsbranche ist die DIN EN 9100 (AS 9100) international zentral. Sie baut auf der Qualitätsnorm ISO 9001 auf, erweitert diese jedoch um branchenspezifische Anforderungen wie lückenlose Dokumentation, Rückverfolgbarkeit, Prozessstabilität, Konfigurations- und Änderungsmanagement sowie ein ausgeprägtes Risikomanagement. Für Instandhaltungsbetriebe existiert die EN 9110, für Händler und Lagerhalter die EN 9120.
Die wichtigste Grundlage für Qualitätsmanagement in Bundeswehr-Aufträgen sind die Allied Quality Assurance Publications (AQAP) der NATO. Das BAAINBw setzt die Vorgaben aus dem NATO-Qualitätshandbuch bei der Ausrüstung und beim Betrieb von Rüstungsgütern ein. Je nach Risiko und Komplexität des Vorhabens kommen unterschiedliche AQAP-Dokumente zur Anwendung:
AQAP 2110: Basierend auf ISO 9001 mit NATO-spezifischen Qualitätssicherungsmaßnahmen und Standardanforderung für die meisten Rüstungsgüter.
AQAP 2131: Regelt besondere Verfahren für Abnahmeprüfungen und Tests.
AQAP 2105: Beschreibt Anforderungen an einen projektspezifischen Qualitätsplan.
AQAP 2210: Richtet sich an Softwareentwicklung und ist daher für IT-Systeme und eingebettete Software relevant.
AQAP 2310: Gilt für komplexe Luft-, Raumfahrt- und Rüstungsprojekte. Basierend auf EN 9100 mit zusätzlichen NATO-Vorgaben.
Anzeige
Die Zertifizierung nach AQAP erfolgt in Deutschland über die Zentralstelle für technische Qualität (ZtQ). Dabei wird geprüft, ob das Unternehmen Vertragsanforderungen umsetzt, Prüf- und Dokumentationsprozesse etabliert hat und wie es Lieferanten steuert. Ein zugelassenes AQAP-Audit erlaubt es Unternehmen, ihre Produkte auch an andere NATO-Staaten zu verkaufen. Der Aufwand ist jedoch erheblich.
Bei Rüstungsgütern im Allgemeinen und bei Flugzeugen des Militärs im Speziellen gelten strenge Vorschriften. Im Bild die Fertigung eines A400M bei Airbus.Bild: Airbus)
Sicherheitsanforderungen und Geheimschutz in der Rüstungsindustrie
Neben technischer Qualität spielt der Schutz von Verschlusssachen eine zentrale Rolle. Das Geheimschutzhandbuch (GHB) des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) unterscheidet verschiedene Sicherheitsprüfungen (1, 2, 3) für Personen je nach Geheimhaltungsgrad der Daten. Für die Kategorien VS-VERTRAULICH und höher (2, 3) werden erweiterte Sicherheitsprüfungen durchgeführt.
Zulieferer, die an Projekten mit Verschlusssachen beteiligt sind, gelten als VS-Auftragnehmer. Sie müssen vor Vertragsbeginn eine Sicherheitsbescheinigung erhalten, mit der sie nachweisen, dass sie die Anforderungen des Geheimschutzes erfüllen. Der öffentliche Auftraggeber darf VS-Material erst dann an das Unternehmen herausgeben, wenn dieser Nachweis vorliegt.
Anzeige
Das GHB legt weitere Pflichten fest: Dazu gehören die Benennung einer verantwortlichen Person, Schutz der Verschlusssachen, Belegführung in einem VS-Register sowie der Abschluss von Geheimhaltungsverträgen mit Unterauftragnehmern. Verstöße können strafrechtliche Konsequenzen nach sich ziehen. Unternehmen müssen regelmäßig prüfen, ob bestimmte Informationen noch benötigt werden und gegebenenfalls deren Rückgabe oder Vernichtung veranlassen.
Seit September 2023 gilt die Anlage 4 des Geheimschutzhandbuchs – das VSNfD-Merkblatt – für den Umgang mit Verschlusssachen des Geheimhaltungsgrades VS – „Nur für den Dienstgebrauch“ (VS-NfD). Öffentliche Auftraggeber müssen vor Weitergabe von VS-NfD-Material einen Vertrag mit dem Unternehmen schließen, der die Bestimmungen des Merkblatts beinhaltet. Teil 3 des Merkblatts enthält detaillierte IT-Anforderungen für die Verarbeitung von VS-NfD. Unternehmen müssen spätestens bis zum 1. September 2025 eine Selbstakkreditierung durchführen. Dafür erklärt die verantwortliche Person gegenüber der Geschäftsleitung, dass
die IT-Anforderungen des Merkblatts umgesetzt wurden,
die Einsatz- und Betriebsbedingungen zugelassener IT-Sicherheitsprodukte eingehalten werden,
ein Informationssicherheitsmanagementsystem (ISMS) etabliert ist.
Für das ISMS gibt es drei Möglichkeiten: Anwendung der BSI IT-Grundschutz-Standards einschließlich Risikoanalyse, eine ISO 27001-Zertifizierung auf Basis IT-Grundschutz oder eine ISO 27001-Zertifizierung auf anderer Grundlage mit Nachweis eines gleichwertigen Sicherheitsniveaus. Damit werden IT-Sicherheit und Datenschutz für VS-NfD zum verbindlichen Bestandteil der Lieferkette.
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Einhaltung der Genehmigungen, zum Beispiel durch Betriebsprüfungen, die das Führen von Kriegswaffenbüchern und Sicherheitsvorkehrungen gegen Verlust oder unbefugte Nutzung umfassen.
Neben Kriegswaffen gibt es Rüstungsgüter und Dual-Use-Güter. Im BAFA-Merkblatt zur Exportkontrolle wird erläutert, dass Ausfuhren grundsätzlich genehmigungspflichtig sind, wenn Güter für militärische Zwecke besonders konstruiert oder verändert wurden. Diese Rüstungsgüter sind im Teil I Abschnitt A der Ausfuhrliste aufgeführt. Für Güter, die sowohl zivil als auch militärisch genutzt werden können (Dual-Use-Güter), ist eine Export- oder Verbringungsgenehmigung erforderlich, sofern sie im Anhang I der EU-Dual-Use-Verordnung oder im Teil I Abschnitt B der deutschen Ausfuhrliste aufgeführt sind. Die Außenwirtschaftsverordnung (AWV) enthält konkrete Verbote und Genehmigungspflichten. Unternehmen sind für die Einhaltung der Exportkontrollvorschriften selbst verantwortlich – Verstöße können zu Bußgeldern oder strafrechtlichen Maßnahmen führen.
Anzeige
Kriegswaffen vs. Zivile Waffen
Kriegswaffen sind Waffen, die speziell für den Einsatz in bewaffneten Konflikten durch Streitkräfte bestimmt und geeignet sind. Dazu zählen beispielsweise Panzer, Kampfjets, Raketen, Sturmgewehre oder schwere Artillerie. Ihr Besitz, ihre Herstellung und ihr Export unterliegen strengen gesetzlichen Regelungen, wie etwa dem deutschen Kriegswaffenkontrollgesetz (KWKG).
Zivile Waffen – etwa Jagd- oder Sportwaffen – sind für den privaten Gebrauch vorgesehen und dürfen nur unter bestimmten Voraussetzungen (z. B. mit Waffenschein) besessen oder genutzt werden. Sie sind in Bau, Wirkung und Einsatzbereich deutlich eingeschränkt und nicht für den militärischen Kampf gedacht.
Vergaberecht: VSVgV und EU-Vergaberichtlinie
Für die Vergabe öffentlicher Aufträge in den Bereichen Verteidigung und Sicherheit gilt seit 2012 die Vergabeverordnung Verteidigung und Sicherheit (VSVgV). Sie setzt die EU-Richtlinie 2009/81/EG in deutsches Recht um und regelt, wie Liefer-, Dienstleistungs- und Bauaufträge im Verteidigungsbereich zu vergeben sind. §1 der VSVgV stellt klar, dass die Verordnung für verteidigungs- oder sicherheitsspezifische öffentliche Aufträge gilt. §2 schreibt vor, dass bei der Vergabe von Liefer- und Dienstleistungsaufträgen die Vorschriften der Verordnung anzuwenden sind.
Die VSVgV ermöglicht es Auftraggebern, neben wirtschaftlichen auch Sicherheits- und Geheimhaltungskriterien zu verlangen. Sie erlaubt die Nutzung des Verhandlungsverfahrens mit Teilnahmewettbewerb und die Einschränkung von Unteraufträgen aus Sicherheitsgründen. Unternehmen müssen auch vergaberechtlich nachweisen, dass sie die Sicherheits- und Geheimschutzanforderungen erfüllen.
Anzeige
Umgang der deutschen Industrie mit dem Regelwerk
Die Einführung neuer Normen und Vorschriften stellt die Industrie vor Herausforderungen, eröffnet aber auch Chancen. Die Bundesvereinigung der Mittelständischen Wirtschaft (BVMW) weist darauf hin, dass lange Vorlaufzeiten, hoher Dokumentationsaufwand und komplexe Normen wie AQAP, ISO 9001 und EN 9100 mittelständische Unternehmen besonders belasten. Dennoch bieten die Modernisierung der Bundeswehr und die Öffnung von Ausschreibungsplattformen attraktive Perspektiven. Der BVMW rät Unternehmen, sich frühzeitig mit den Anforderungen auseinanderzusetzen und einen strukturierten Projektansatz zu wählen.
Typische Einstiegsvoraussetzungen sind ein leistungsfähiges Qualitätsmanagementsystem (ISO 9001), gegebenenfalls eine EN 9100- oder AQAP-Zertifizierung, belastbare Dokumentations- und Rückverfolgbarkeitssysteme sowie Export- und Compliance-Know-how.
Große Rüstungskonzerne wie Rheinmetall, Krauss-Maffei Wegmann oder Airbus Defence verlangen von ihren Zulieferern in der Regel die Einhaltung der branchenspezifischen Normen. Sie geben AQAP-Anforderungen vertraglich an Unterlieferanten weiter und kontrollieren deren Umsetzung. Eine enge Abstimmung mit militärischen Behörden, regelmäßige Audits und der Aufbau von Informationssicherheitsmanagementsystemen sind heute Standard.
Experten betonen, dass ein wirksames Managementsystem Unternehmen dabei unterstützt, AQAP und EN 9100-Anforderungen systematisch zu erfüllen. Gefordert werden durchgängige Nachverfolgbarkeit, systematisches Risikomanagement und Maßnahmen zur Produktsicherheit. Bei Software- und IT-Projekten kommt zusätzlich AQAP 2210 zum Tragen.
Ein wachsendes Thema ist die Cybersecurity in der Lieferkette. Der IT-Angriff auf einen Bundeswehr-Dienstleister im Frühjahr 2025
und die anschließenden Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben die Verwundbarkeit der Lieferkette aufgezeigt. Als Reaktion verstärken Unternehmen ihre IT-Sicherheitsmaßnahmen, führen externe Audits durch und setzen vermehrt auf ISO 27001-zertifizierte Infrastrukturen.
Wer als Zulieferer in der Rüstungsindustrie Fuß fassen will, muss sich auf einen streng regulierten Markt einstellen. Ob Produktnormen, Qualitäts- und Informationssicherheitsstandards, Geheimschutz oder Exportkontrolle – die Anforderungen sind hoch, dienen aber letztlich der Sicherheit von Soldatinnen und Soldaten sowie der Interoperabilität im internationalen Verbund. Die Bundeswehr folgt dabei dem Grundsatz „so viel zivile Norm wie möglich, so viel militärische Norm wie nötig“. Zentrale Dokumente sind die AQAP-Standards, die EN 9100, das VSNfD-Merkblatt und das Kriegswaffenkontrollgesetz.
Unternehmen sollten frühzeitig eine Gap-Analyse durchführen, ein robustes Qualitäts- und Informationssicherheitsmanagement aufbauen und externe Expertise einbinden. Nur wer die komplexen Normen beherrscht, erhält Zugang zu den lukrativen, langfristigen Projekten der Bundeswehr.
Übersicht der wichtigsten Vorschriften und Normen für die Rüstungsindustrie
Kategorie
wichtigste Vorschriften/Normen
Kurzbeschreibung
Qualitätsmanagement
ISO 9001; EN 9100; AQAP 2110/2131/2105/2210/2310
ISO 9001 ist die Basis für Qualitätsmanagement. EN 9100 erweitert sie um branchenspezifische Anforderungen (Dokumentation, Rückverfolgbarkeit, Risikomanagement) für Luft‑, Raumfahrt‑ und Verteidigungsunternehmen. Die AQAP‑Dokumente der NATO sind vertragliche Bestandteile bei Bundeswehraufträgen; AQAP 2110 basiert auf ISO 9001, AQAP 2310 auf EN 9100 und gilt für komplexe Rüstungsprojekte.
Technische Normen und Markierung
DIN/EN/ISO; VG‑Normen/WL‑Blätter; STANAG 2290; AOP 2(D); EN 9132
Soweit möglich werden zivile Normen angewandt. Spezielle wehrtechnische Normen wie VG‑Normen oder WL‑Blätter gelten nur, wenn zivile Normen die Anforderungen nicht abdecken. STANAG 2290 definiert die eindeutige Kennzeichnung von Bauteilen, AOP 2(D) regelt die Markierung von Munition; EN 9132 (AS 9132) beschreibt die direkte Teilekennzeichnung.
Das GHB regelt die Sicherheitsüberprüfungen von Mitarbeitern und die Anforderungen an VS‑Auftragnehmer. Unternehmen müssen einen Geheimschutzbeauftragten benennen und dürfen VS‑Material erst nach einer Sicherheitsbescheinigung erhalten. Das VS‑NfD‑Merkblatt verpflichtet Zulieferer, bis 1. 9. 2025 eine Selbstakkreditierung vorzunehmen, die ein ISMS nach BSI‑Grundschutz oder ISO 27001 umfasst.
Kriegswaffen dürfen nur mit Genehmigung der Bundesregierung hergestellt, befördert oder gehandelt werden Die BAFA überwacht die Einhaltung und führt Betriebsprüfungen durch. Exporte sind genehmigungspflichtig, wenn Güter für militärische Zwecke konstruiert wurden; die betroffenen Rüstungsgüter sind im Teil I Abschnitt A der Ausfuhrliste aufgeführt. Dual‑Use‑Güter benötigen eine Ausfuhr‑ oder Verbringungsgenehmigung, sofern sie in der EU‑Dual‑Use‑Verordnung oder der deutschen Ausfuhrliste gelistet sind.
Vergabe
Vergabeverordnung Verteidigung und Sicherheit (VSVgV)
Regelt die Vergabe von Liefer‑, Dienstleistungs- und Bauaufträgen in den Bereichen Verteidigung und Sicherheit. Definiert den Anwendungsbereich und erlaubt Auftraggebern, neben wirtschaftlichen auch Sicherheits‑ und Geheimhaltungskriterien zu verlangen.
Einige der wichtigsten Normen und Vorschriften für die Rüstungsindustrie als Übersicht.
FAQ: Häufig gestellte Fragen zu Normen und Vorschriften in der Rüstungsindustrie
1. Welche Normen gelten für Zulieferer der Bundeswehr?
Zulieferer müssen je nach Auftragsart Normen wie ISO 9001, EN 9100 oder die NATO-Standards der AQAP-Reihe erfüllen. Zusätzlich gelten sicherheitsspezifische Anforderungen aus dem Geheimschutzhandbuch (GHB) und dem VS-NfD-Merkblatt.
2. Was bedeutet AQAP 2110?
AQAP 2110 ist eine NATO-Richtlinie für Qualitätssicherungssysteme. Sie basiert auf der ISO 9001, ergänzt diese jedoch um spezielle Anforderungen für militärische Projekte, z. B. Dokumentationspflichten und projektbezogene Prüfpläne.
3. Welche Sicherheitsprüfungen müssen Mitarbeiter bestehen?
Je nach Geheimhaltungsgrad sind drei Stufen der Sicherheitsüberprüfung vorgeschrieben: Ü1 (grundlegend), Ü2 (erweitert, z. B. für VS-Vertraulich), Ü3 (erhöht, z. B. für VS-Geheim). Die Überprüfung erfolgt durch den Militärischen Abschirmdienst (MAD) oder das Bundesministerium für Wirtschaft und Klimaschutz (BMWK).
4. Was ist eine Selbstakkreditierung nach VS-NfD?
Unternehmen mit Zugang zu Informationen des Geheimhaltungsgrades „Nur für den Dienstgebrauch“ müssen bis zum 1. September 2025 nachweisen, dass sie ein Informationssicherheits-Managementsystem (ISMS) nach BSI-Grundschutz oder ISO 27001 implementiert haben. Diese Selbstakkreditierung ersetzt frühere externe Zulassungsverfahren.
5. Welche rechtlichen Grundlagen gelten für den Export von Rüstungsgütern?
Die Ausfuhr militärischer Güter unterliegt dem Kriegswaffenkontrollgesetz (KrWaffKontrG) sowie dem Außenwirtschaftsgesetz (AWG) und der Außenwirtschaftsverordnung (AWV). Zuständig für Genehmigungen ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).
6. Was ist der Unterschied zwischen VG-Normen und zivilen Normen?
VG-Normen (Verteidigungsgerätenormen) werden nur dann angewendet, wenn zivile Normen (DIN, EN, ISO) die militärischen Anforderungen nicht vollständig abdecken. Ziel der Bundeswehr ist es, möglichst viele zivile Standards zu übernehmen, um Interoperabilität und Kostenreduktion zu gewährleisten.
7. Welche Rolle spielt die Vergabeverordnung VSVgV?
Die VSVgV regelt die Vergabe öffentlicher Aufträge in den Bereichen Verteidigung und Sicherheit. Sie erlaubt es Auftraggebern, Sicherheits- und Geheimhaltungskriterien zu berücksichtigen und Unteraufträge aus Sicherheitsgründen einzuschränken.
8. Welche Zertifizierungen sind für mittelständische Zulieferer empfehlenswert?
Neben ISO 9001 sind insbesondere EN 9100 (für Luft- und Raumfahrt), AQAP 2110 (für Rüstungsprojekte) sowie ISO 27001 (für Informationssicherheit) relevant. Eine Kombination dieser Zertifikate erhöht die Wettbewerbsfähigkeit und die Chancen bei öffentlichen Ausschreibungen.
9. Was passiert bei Verstößen gegen Geheimschutzauflagen?
Verstöße gegen Geheimschutzbestimmungen können zum Verlust von Aufträgen, strafrechtlichen Konsequenzen und einem Ausschluss von zukünftigen Beschaffungen führen. Unternehmen sind daher verpflichtet, regelmäßige Schulungen und interne Audits durchzuführen.
10. Wie können Unternehmen den Einstieg in die Rüstungszulieferkette schaffen?
Empfohlen wird ein schrittweises Vorgehen: Aufbau eines zertifizierten Qualitätsmanagementsystems, Analyse der Sicherheitsanforderungen, Schulung des Personals, Einbindung spezialisierter Berater und frühzeitige Kontaktaufnahme mit dem BAAINBw oder relevanten Hauptauftragnehmern.
