Ein regulatorischer Perspektivwechsel.
Mit den Verordnungen (EU) 2022/1645 und (EU) 2023/203 hat die Europäische Agentur für Flugsicherheit (EASA) einen grundlegenden Perspektivwechsel vollzogen. Informationssicherheit wird nicht länger ausschließlich als IT- oder Compliance-Thema verstanden, sondern als integraler Bestandteil der flugbetrieblichen Sicherheit. Die Regulierung trägt damit der zunehmenden Digitalisierung und Vernetzung sicherheitskritischer Prozesse in der Zivilluftfahrt Rechnung.
Mit EASA Part-IS Informationssicherheit rückt erstmals die systematische Bewertung von Informationssicherheitsrisiken im Hinblick auf ihre möglichen Auswirkungen auf die flugbetriebliche Sicherheit in den regulatorischen Fokus. EASA Part-IS verpflichtet Luftfahrtorganisationen dazu, Informationssicherheitsrisiken nicht nur technisch oder organisatorisch, sondern ausdrücklich sicherheitsbezogen zu erfassen, zu bewerten und zu steuern. Damit geht die Regulierung über etablierte Standards wie ISO/IEC 27001 hinaus, die primär die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit adressieren.
Digitale Abhängigkeiten als Safety-Risiko
Die Erweiterung der Risikobetrachtung ist konsequent. Flugbetriebliche Prozesse basieren heute in hohem Maße auf digitalen Informationsflüssen, etwa in der Flugplanung, Navigation, Wartung oder an Schnittstellen zwischen Flughäfen, Airlines und Flugsicherung. Werden solche Informationen verfälscht, verspätet bereitgestellt oder blockiert, kann dies unmittelbare sicherheitskritische Auswirkungen auf den Flugbetrieb haben – unabhängig von der technischen Ursache.
EASA Part-IS trägt diesen Abhängigkeiten Rechnung, indem Informationssicherheit ausdrücklich in den Kontext des Safety Managements gestellt wird. Betroffen ist eine Vielzahl flugbetrieblich relevanter Organisationen, darunter Flughafenbetreiber, Flugsicherungsorganisationen, Luftfahrtunternehmen, Instandhaltungsbetriebe sowie Entwicklungs- und Herstellerbetriebe und zuständige Behörden. Für sie wird ein wirksames, dokumentiertes Information Security Management System zur regulatorischen Pflicht.
ISMS, Safety Management und praktische Umsetzung
Ein zentrales Element von Part-IS ist die enge Verzahnung des Information Security Management Systems mit bestehenden Safety- und Managementsystemen. Risikoanalysen müssen künftig berücksichtigen, wie Informationssicherheitsvorfälle sicherheitsrelevante Prozesse beeinflussen können. Szenarien wie manipulierte Wartungsdaten oder unvollständige ATC-Informationen verdeutlichen, wie eng Informationssicherheit und Aviation Safety miteinander verknüpft sind. In der Praxis erfordert dies eine intensivere Zusammenarbeit zwischen IT, operativen Bereichen und dem Safety Management.
Die EASA betont zudem präventive Prinzipien wie „Security by Design“ und „Security in Safety“. Informationssicherheit wird als fortlaufende Managementaufgabe verstanden, die klare Verantwortlichkeiten, belastbare Prozesse und kontinuierliche Verbesserungsmechanismen erfordert. Bestehende ISMS nach ISO/IEC 27001 oder BSI-Grundschutz können hierfür eine solide Grundlage bilden, müssen jedoch um die flugbetrieblich relevante Dimension erweitert werden. In der Umsetzung zeigt sich, dass insbesondere die Integration bestehender Managementsysteme eine zentrale Herausforderung darstellt – ein Themenfeld, das auch bei AviaCert regelmäßig im Fokus steht.
Mit Part-IS hat die Europäische Union unmissverständlich klargestellt, dass Informationssicherheit ein zentraler Baustein der Aviation Safety ist. Die neuen Anforderungen stellen Luftfahrtorganisationen vor zusätzliche Herausforderungen, sind jedoch notwendig, um Resilienz und Sicherheit eines zunehmend digitalisierten Luftverkehrssystems langfristig zu gewährleisten.
Unterstützung bei der Umsetzung von Part-IS
Für Luftfahrtorganisationen stellt sich nun die Frage, wie sich die Anforderungen von Part-IS effizient und regelkonform in bestehende Strukturen integrieren lassen. Eine frühzeitige Einordnung der regulatorischen Vorgaben, die Bewertung vorhandener Managementsysteme sowie eine strukturierte Umsetzung können dabei helfen, Umsetzungsaufwand und Auditrisiken zu reduzieren.
AviaCert unterstützt Luftfahrtorganisationen dabei, Part-IS praxisnah in bestehende Safety- und Managementsysteme zu integrieren und regulatorische Anforderungen effizient umzusetzen.
Kontaktieren Sie uns gerne.