Part-IS EU-Verordnungen zur Informationssicherheit in der Luftfahrt

Informationssicherheitsanforderungen mit potentiellen Auswirkungen auf die Sicherheit der Zivilluftfahrt (Aviation Safety)

Die Zivilluftfahrt ist ein hochkomplexes Zusammenspiel vieler miteinander verbundener Systeme, die zunehmend Ziel von Cyberangriffen werden.

Als verantwortliche Luftfahrtbehörde hat die EASA (Europäische Agentur für Flugsicherheit) neue Vorschriften erlassen, die alle an diesem System beteiligten Organisationen verpflichten, sich wirksam vor Informationssicherheitsrisiken zu schützen, die potenziell die Flugsicherheit beeinträchtigen könnten.

Die Part-IS Bestimmungen, festgelegt in der Durchführungsverordnung (EU) 2023/203 und der Delegierten Verordnung 2022/1645 der Kommission, zielen darauf ab, eine einheitliche Anwendung in allen Bereichen der Luftfahrt sicherzustellen. Dadurch wird ein Rahmen für Luftfahrtresilienz (Aviation Resilience) geschaffen, um Informationsrisiken rasch erkennen und effektiv gegensteuern zu können. Die zentrale Anforderung ist die Einrichtung eines Informationssicherheitsmanagementsystems (ISMS).

Die Herausforderung für Unternehmen wird es sein, die Part-IS Anforderungen in bestehende Managementsysteme wie das Safety Management System (SMS), das Qualitätsmanagementsystem (QMS) oder vorhandene Informationssicherheitsmanagementsysteme (ISMS) effizient zu integrieren. Ein weiterer kritischer Aspekt ist die Identifizierung von Flugsicherheitsrisiken sowohl innerhalb des Unternehmens als auch bei verbundenen Organisationen. Zudem müssen Bedrohungen erkannt werden, die Prozesse und Verfahren als auch die menschliche Leistungsfähigkeit beeinträchtigen können.

Was sind die Anforderungen?

Im Gegensatz zu bestehenden Informationssicherheitsmanagementsystemen liegt der Schwerpunkt bei Part-IS auf Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit. Die wichtigsten Anforderungen umfassen:

  • Festlegung eines Governance-Konzepts mit dokumentierten Prozessen, Verfahren, Aufgaben und Verantwortlichkeiten, die in der Organisation verankert sind
  • Einrichtung oder Integration in ein internes Meldesystem, das die Erfassung und Bewertung von Informationssicherheitsereignissen ermöglicht
  • Dokumentation und Implementierung von Sicherheitsfunktionen und -prozessen zur Erkennung, Verwaltung, Reaktion, Risikobewertung und Minderung von Cyber- und Informationssicherheitsrisiken
  • Sicherstellung kontinuierlicher Verbesserungsprozesse
  • Etablierung eines externen Berichtssystems zur Information der Behörden und Organisationen, mit denen Schnittstellen bestehen, um diese über geteilte Risiken zu informieren

Sie fragen sich, ob Sie Part-IS implementieren müssen?

Für wen gilt Part-IS?

Die neuen Part-IS Verordnungen betreffen eine Vielzahl von Organisationen in der Zivilluftfahrt:

  • Ab dem 16. Oktober 2025 (gemäß Verordnung (EU) 2022/1645): Gilt für Herstellungs- und Entwicklungsbetriebe, Flughafenbetreiber sowie Vorfeldkontrolldienste.
  • Ab dem 22. Februar 2026 (gemäß Verordnung (EU) 2023/203): Gilt für alle anderen EASA-Organisationen, darunter Luftfahrtunternehmen, Instandhaltungsbetriebe, Flugsicherungsorganisationen und die zuständigen Behörden, einschließlich der EASA.

Es gelten Ausnahmen und Sonderregelungen, die je nach Organisation und spezifischen Umständen greifen können.

Warum Airbus Protect?

Luftfahrtsicherheit ist Teil unserer DNA

Seit über drei Jahrzehnten sind wir in den Bereichen Cybersecurity, Informationssicherheit und Safety tätig.

Seit dem A380/A350-Programm ist Airbus Protect in die Gewährleistung der Flugzeugsicherheit involviert und hat wesentliche Beiträge zur Entwicklung eines nachhaltigen Sicherheitsrisikomanagements geleistet.

Wir setzen die Part-IS Anforderungen sowohl für Airbus als auch für Luftfahrtunternehmen um und waren Teil des ersten EASA Pilotprojekts: Airbus Helicopters 

Wir sind in Arbeitsgruppen eingebunden, die das Thema“Aircraft Security for Safety” vorantreiben, um Risiken effektiv zu minimieren

Wir kennen die Lücken, die es zu schließen gilt, sowie den speziellen Part-IS Kontext (Security for Aviation Safety)

Seit Jahren sind wir aktiv an der Identifizierung von Ereignissen beteiligt, die als Störungen mit potenziellen Auswirkungen auf die Flugsicherheit gelten.

Wir sind ein erfahrener Partner im Risikomanagement für die Luftfahrt und andere kritische Infrastrukturen. 

Wir verfügen daher über umfassende Expertise in allen relevanten Cybersicherheitsstandards und -richtlinien, wie NIST, ISO 27000 und NIS2, sowie den erforderlichen Safety-Regularien und Managementsystemen, die entweder in Part-IS integriert werden oder auf dessen Grundlage aufgebaut werden müssen.

Unser Angebot:

Wir unterstützen Sie bei der Einhaltung der Vorschriften

Unsere Sicherheitsexperten arbeiten Hand in Hand mit Ihnen, um Sie bei der Implementierung von Part-IS zu unterstützen.

Schulung und Sensibilisierung

Bereiten Sie Ihre Teams mit unserem speziellen Schulungs- und Sensibilisierungsprogramm auf Part-IS vor. Nutzen Sie unsere Serious Games und das e-Learning-Angebot, um eine sicherheitsorientierte Kultur zu etablieren.

Part-IS Gap-Analyse

Wir zeigen Ihnen, wo Sie aktuell stehen und erstellen einen Aktionsplan, um identifizierte Lücken zu schließen und die Einhaltung von Part-IS zu gewährleisten.

Governance, Risk und Compliance

Wir stellen sicher, dass Sie über ein schlankes, effizientes und leistungsfähiges ISMS mit der erforderlichen Integration des Safety-Managementsystems (SMS) verfügen.

Implementierung

Wir beraten und unterstützen Sie bei der Implementierung der Part-IS Anforderungen entsprechend Ihrem Status. Egal, ob Sie am Anfang stehen, auf ein bestehendes ISO27001 ISMS aufbauen oder weitere Anforderungen wie NIS2 integrieren möchten.

Compliance Pre-Audit

Wir führen ein Voraudit zur Einhaltung der Vorschriften gemäß Part-IS durch und erstellen einen Bericht, in dem unsere Ergebnisse, Schlussfolgerungen und Empfehlungen dargelegt werden.

Gewährleistung eines ordnungsgemäßen Risikomanagements

Über die Implementierung der Vorschriften hinaus sollten Sie auch darüber nachdenken, wie Sie Ihre Fähigkeiten zur Risikominderung nachhaltig sichern können. Wir unterstützen Sie dabei, diese auf Ihre spezifischen Bedürfnisse zuzuschneiden.

Integration von SMS, ISMS und Qualitätsmanagement

Wir stellen sicher, dass Sie über ein schlankes, effizientes und leistungsfähiges ISMS verfügen, das in Ihr SMS, Qualitäts- und Business-Resilience-Management integriert ist.

SOC-Dienstleistungen

Wir sorgen für die Einrichtung eines geeigneten Security Operations Centre (SOC) und bereiten eine Make-or-Buy-Entscheidung vor.

Vulnerability, Incident Detection und Response

Wir unterstützen bei der Integration von IDR- (Incident Detection and Response), Pentesting- und Red-Teaming-Funktionen.

Automatisierung des Compliance- und Risikomanagements

Wir helfen Ihnen bei der Definition der Anforderungen und der Auswahl von Tools für Ihr Compliance- und Risikomanagement.

Kultur und Human Factors

Wir helfen Ihnen, Informationssicherheit in Ihrer Unternehmenskultur so zu verankern, dass menschliche Sicherheitsrisiken adressiert werden.

Krisenmanagement

Wir stärken Ihr Krisenmanagement und unterstützen Sie im Krisenfall.

Nehmen Sie Kontakt auf und erfahren Sie, wie wir Sie unterstützen können