EASA Part-IS im Verhältnis zu ISO 27001 und NIS2
Kernaussage
Part-IS ist die sektorale Informationssicherheitspflicht der EU-Luftfahrt. Sie verlangt ein Informationssicherheits-Managementsystem (ISMS), das ausdrücklich auf Informationssicherheitsrisiken mit potenzieller Auswirkung auf die Flugsicherheit (aviation safety) ausgerichtet und an das bestehende Safety Management System (SMS) gekoppelt ist.
Für das Management zählen drei Punkte. Erstens ist Part-IS weitgehend ISO-27001-anschlussfähig: ein bestehendes ISO-27001-System kann als Basis dienen und auf den Safety-Scope erweitert werden, statt ein zweites ISMS aufzubauen. Zweitens sind Part-IS und NIS2 kein Entweder-oder; Part-IS ersetzt die NIS2-Pflichten des Sektors Luftverkehr nach derzeitigem Stand nicht automatisch, beide können parallel gelten. Drittens ist die zuständige Behörde für Part-IS in Deutschland das Luftfahrt-Bundesamt (LBA). Wer diese Linien sauber trennt und zugleich technisch zusammenführt, vermeidet Doppelarbeit und Compliance-Lücken.
Problem in der Praxis
Viele Organisationen behandeln Part-IS, ISO 27001 und NIS2 als drei getrennte Projekte mit drei Teams und drei Risikoregistern. Das ist teuer und schwer auditierbar: dieselbe Schwachstelle wird mehrfach unterschiedlich bewertet, und im Vorfall ist unklar, an wen wann gemeldet werden muss. Hinzu kommt die Fehlannahme, Part-IS sei nur eine weitere IT-Security-Vorgabe. Der Bezugspunkt ist aber die Flugsicherheit: Ein IS-Vorfall ist im Part-IS-Sinn relevant, wenn er den Flugbetrieb beeinträchtigen kann; das verschiebt die Schnittstelle zum Safety Management.
Rechtlich riskant ist schließlich die Annahme, Part-IS übersteuere als sektorspezifisches Recht automatisch NIS2. Diese Annahme ist nach aktuellem Stand nicht belastbar und führt zu Lücken, wenn man sich auf eine vermeintliche Befreiung verlässt.
CISO-Einordnung
Part-IS besteht aus zwei Rechtsakten mit gemeinsamer Ermächtigungsgrundlage (Verordnung (EU) 2018/1139, EASA-Grundverordnung):
- Delegierte Verordnung (EU) 2022/1645, Anhang Part-IS.D.OR: bestimmte Entwurfs- und Produktionsbetriebe sowie Flugplatzbetreiber und Vorfeldkontrolldienste. Geltung ab 16.10.2025.
- Durchführungsverordnung (EU) 2023/203, Anhang Part-IS.I.OR: die breitere Population, u. a. Instandhaltungsbetriebe, CAMO, Luftfahrtunternehmen, Ausbildungsorganisationen, ATM/ANS-Anbieter, sowie die zuständigen Behörden (Part-IS.I.AR). Geltung ab 22.02.2026.
Beide Anhänge sind strukturgleich und verlangen ein ISMS mit IS-Risikomanagement, Leitlinie und Verantwortlichkeiten, Detektion/Reaktion/Wiederherstellung, externer Meldepflicht für safety-relevante Vorfälle, Lieferanten- und Schnittstellensteuerung sowie kontinuierlicher Verbesserung. Der Anwendungsbereich ist genehmigungsgebunden, nicht größenbasiert: Maßgeblich ist die EASA-Zulassung, nicht die Unternehmensgröße.
Das Verhältnis zu den drei Rahmenwerken:
- ISO/IEC 27001 liefert die Management- und Methodenlogik; die konzeptionelle Deckung ist hoch. Ein bestehendes ISO-27001-System kann laut EASA genutzt und auf den Aviation-Safety-Scope erweitert werden. Der Unterschied ist der Fokus auf IS-Risiken mit Auswirkung auf die Flugsicherheit und die Kopplung an das SMS. ISO 27001 ist hier Referenz, kein Pflichtverweis.
- NIS2 (Richtlinie (EU) 2022/2555) erfasst den Luftverkehr als Sektor in Anhang I. Part-IS ist nach derzeitigem Stand allerdings nicht als Lex specialis nach Artikel 4 NIS2 anerkannt. In den Kommissions-Leitlinien (Stand 18.09.2023) ist als gleichwertiger sektorspezifischer Rechtsakt allein DORA (Verordnung (EU) 2022/2554) gelistet, nicht Part-IS. Folge: Part-IS und die nationale NIS2-Umsetzung können parallel gelten. EASA arbeitet mit der Kommission an einer Anrechnung (Crediting); der Status ist offen und vor verbindlichen Aussagen zu prüfen.
- Die Safety-Schnittstelle ist der Kern: IS-Risiken mit Safety-Wirkung gehören in das bestehende SMS und seine Risikoakzeptanz- und Meldelogik, nicht in ein abgekoppeltes IT-Risikoregister.
Umsetzungsperspektive
Aus CISO-Sicht ist der wirtschaftlichste Weg ein integriertes Managementsystem mit gemeinsamem Kern (ISO-27001-Logik: ein Scope, ein Risikoprozess, ein Maßnahmen- und Nachweismanagement, eine Review-Taktung) und klar markierten Sichten. Für Part-IS wird der Risikoprozess so erweitert, dass die Safety-Wirkung einer Bedrohung explizit bewertet und mit dem SMS verzahnt wird.
Bei den Meldewegen empfiehlt sich gemeinsame Vorfallerkennung, aber getrennte Adressaten. Ein safety-relevanter IS-Vorfall ist an die zuständige Luftfahrtbehörde (in Deutschland das LBA) zu melden; die technische Meldeinfrastruktur unterstützt in Deutschland das BSI. Parallel kann derselbe Vorfall eine NIS2-Meldepflicht über die nationale Schiene auslösen. Die genauen Vorfallmelde-Fristen und Schwellen ergeben sich aus Verordnungstext und AMC/GM und sind vor der Festlegung interner Playbooks zu prüfen. Als konsolidierte Arbeitsgrundlage dienen die EASA Easy Access Rules for Information Security; deren Versionsstand ist vor Nutzung zu prüfen.
Typische Fehler
- Drei getrennte Managementsysteme für ISO 27001, Part-IS und NIS2 aufbauen statt eines integrierten Kerns mit drei Sichten.
- Part-IS als reine IT-Security-Vorgabe behandeln und die Kopplung an das SMS und die Flugsicherheit übersehen.
- Sich auf eine vermeintliche Lex-specialis-Wirkung von Part-IS gegenüber NIS2 verlassen, ohne die parallele Geltung zu prüfen.
- Die Behördenzuordnung verwechseln (Part-IS = LBA/EASA, nicht NIS2-Aufsicht, nicht BNetzA, nicht BaFin).
- Vorfallmelde-Fristen aus Sekundärquellen übernehmen, statt sie am Verordnungstext und an AMC/GM zu verifizieren.
Risiken und Trade-offs
Ein vollintegriertes System spart Aufwand, kann aber spezifische Safety- und Behördenanforderungen verwässern, wenn der gemeinsame Kern zu generisch bleibt; drei getrennte Systeme erzeugen umgekehrt Konsistenz- und Reporting-Probleme.
Beim NIS2-Verhältnis liegt das Risiko in der Annahme rechtlich nicht abgesicherter Befreiungen. Solange die Anrechnung der Part-IS-Compliance im NIS2-Kontext nicht geklärt ist, ist die konservative Annahme paralleler Geltung die sicherere Grundlage. Zudem unterschätzt eine rein IT-getriebene Bewertung die Safety-Wirkungen, eine rein safety-getriebene die klassischen IT-Bedrohungen; beide Perspektiven müssen zusammengeführt werden.
Entscheidungspunkte
- Integriertes Managementsystem oder getrennte Systeme, und wie wird der Safety-Bezug im gemeinsamen Risikoprozess verankert?
- Wer ist die benannte Verantwortliche für Informationssicherheit, und wie ist sie an Accountable Manager und Safety Management angebunden?
- Wie werden Doppelmeldungen (Part-IS an LBA, NIS2 an nationale Aufsicht) ohne Lücke gesteuert?
- Welche ISO-27001-Artefakte können wiederverwendet, welche müssen für den Safety-Scope erweitert werden?
- Wann wird der NIS2-Crediting-Status erneut geprüft, um die Compliance-Annahmen anzupassen?
Praktische Empfehlungen
- Bauen Sie einen gemeinsamen ISMS-Kern auf ISO-27001-Logik und ergänzen Sie ihn um den Part-IS-Safety-Scope, statt parallele Systeme zu betreiben.
- Verankern Sie die Safety-Wirkung als feste Dimension der Risikobewertung und verzahnen Sie diese mit dem SMS.
- Behandeln Sie Part-IS und NIS2 vorsorglich als parallel geltend und dokumentieren Sie die Meldewege getrennt nach Adressat.
- Bestätigen Sie die Behördenzuordnung (LBA/EASA) und die technische Meldeinfrastruktur (BSI in Deutschland) schriftlich.
- Verifizieren Sie Fristen, Schwellen und Versionsstände (Verordnungstext, AMC/GM, Easy Access Rules) vor verbindlichen Festlegungen und beobachten Sie den NIS2-Crediting-Status.
EU-Recht und EASA-Dokumente sind frei zitierbar (Namensnennung); ISO/IEC-Normen nur als Referenz, ohne Volltexte/Control-Listen.
- Delegierte Verordnung (EU) 2022/1645 (Anhang Part-IS.D.OR), Geltung ab 16.10.2025.
- Durchführungsverordnung (EU) 2023/203 (Anhang Part-IS.I.OR; Behördenanforderungen Part-IS.I.AR), Geltung ab 22.02.2026.
- Verordnung (EU) 2018/1139 (EASA-Grundverordnung) als Ermächtigungsgrundlage.
- EASA Easy Access Rules for Information Security (Regulations (EU) 2023/203 and 2022/1645), inkl. AMC/GM; Versionsstand vor Nutzung prüfen.
- Richtlinie (EU) 2022/2555 (NIS2), Sektor Luftverkehr in Anhang I.
- ISO/IEC 27001: Referenz für die ISMS-Management- und Methodenlogik (reference only).
Häufige Fragen
Ersetzt Part-IS die ISO-27001-Zertifizierung?+
Nein. Part-IS ist sektorale Rechtspflicht, ISO 27001 freiwillige Management-Referenz. Ein bestehendes ISO-27001-System kann aber als Basis dienen und auf den Safety-Scope erweitert werden.
Befreit Part-IS vom NIS2-Recht im Luftverkehr?+
Nach derzeitigem Stand nein. Part-IS ist nicht als Lex specialis nach Artikel 4 NIS2 anerkannt; beide können parallel gelten. Eine mögliche Anrechnung ist in Arbeit und vor verbindlichen Aussagen zu prüfen.
Wer ist in Deutschland zuständige Behörde?+
Das Luftfahrt-Bundesamt (LBA), unterstützt durch das BSI bei der technischen Meldeinfrastruktur. Nicht zuständig sind BNetzA, BaFin oder KBA.
Welche Fristen gelten?+
Part-IS.D.OR gilt ab 16.10.2025, Part-IS.I.OR ab 22.02.2026. Vorfallmelde-Fristen und etwaige Übergangszeiträume ergeben sich aus Verordnungstext und AMC/GM und sind im Einzelfall zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-003.
