Die ISMS-Pflicht nach EASA Part-IS: Informationssicherheitsrisiken mit Flugsicherheitsbezug steuern
Kernaussage
Part-IS macht ein Information Security Management System (ISMS) für luftfahrtregulierte Organisationen verbindlich, mit einem engeren Fokus als bei einem generischen ISMS: Gegenstand sind Informationssicherheitsrisiken, die die Flugsicherheit (aviation safety) beeinflussen können. Relevant ist nicht jedes IT-Risiko, sondern jenes, das über Systeme, Daten oder Schnittstellen auf den sicheren Flugbetrieb durchschlagen kann.
Rechtsgrundlage sind die Delegierte Verordnung (EU) 2022/1645 (Anhang: Part-IS.D.OR, Geltung ab 16. Oktober 2025) und die Durchführungsverordnung (EU) 2023/203 (Anhang II: Part-IS.I.OR, Geltung ab 22. Februar 2026), beide gestützt auf die EASA-Grundverordnung (EU) 2018/1139. Beide Anhänge sind strukturgleich und weitgehend ISO-27001-anschlussfähig. Der Unterschied liegt in der Kopplung an das Safety Management System (SMS) und an eine behördliche Meldepflicht. Für die Leitung heißt das: Part-IS ist kein reines IT-Compliance-Thema, sondern eine Safety-Pflicht mit Informationssicherheitsmitteln, und gehört in die Verantwortung des Accountable Managers.
Problem in der Praxis
Viele Organisationen behandeln Part-IS als zweites, unabhängiges Managementsystem neben dem SMS und einem eventuell vorhandenen ISO-27001-ISMS. Es entstehen parallele Risikoregister, getrennte Gremien und doppelte Nachweise: teuer und mit Lücken genau an der Schnittstelle, die Part-IS adressiert, nämlich dort, wo ein Informationssicherheitsrisiko zur Flugsicherheitsfrage wird.
Zwei Symptome sind typisch. Erstens bewertet das Risikoregister Vertraulichkeit, Verfügbarkeit und Integrität generisch nach Geschäftsschaden; die Frage, ob Ausfall oder Manipulation eines Systems eine unsichere Betriebslage erzeugen kann, wird nicht gestellt. Damit fehlt genau die Bewertungsdimension, die Part-IS verlangt. Zweitens werden Vorfälle technisch bearbeitet, aber Safety-Bezug und mögliche externe Meldepflicht an die zuständige Behörde nicht systematisch geprüft: Die Organisation hat dann Incident Response, aber keine Part-IS-konforme Meldekette.
CISO-Einordnung
Part-IS verlangt im Wesentlichen die gleichen Bausteine wie ein risikobasiertes ISMS: eine dokumentierte Informationssicherheitsleitlinie, benannte Verantwortlichkeiten mit Anbindung an die Leitung, einen Risikomanagementprozess (Identifikation, Bewertung, Behandlung, Risikoakzeptanz), Fähigkeiten zu Detektion, Reaktion und Wiederherstellung, die Steuerung externer Organisationen und Lieferanten sowie kontinuierliche Verbesserung, Kompetenzmanagement und Dokumentation. Drei Besonderheiten heben Part-IS davon ab:
- Safety als Bewertungsmaßstab. Die Risikobewertung fragt nicht primär nach Geschäftsschaden, sondern ob ein Risiko die Flugsicherheit beeinträchtigen kann. Risiken mit Safety-Wirkung gehören in das bestehende Sicherheitsmanagement (SMS), nicht daneben.
- Externe Meldepflicht. Vorfälle mit Safety-Bezug sind an die zuständige Behörde zu melden. Konkrete Fristen und Schwellen ergeben sich aus Verordnungstext und AMC/GM und sind am aktuellen Rechtsstand zu prüfen.
- Genehmigungsgebundener Anwendungsbereich. Part-IS knüpft an die EASA-Zulassung oder -Genehmigung an, nicht an die Unternehmensgröße, anders als die größenbasierte NIS2-Logik.
Umsetzungsperspektive
Wer bereits ein ISO-27001-ISMS betreibt, sollte nicht neu bauen, sondern erweitern. Laut EASA können bestehende ISO/IEC-27001-Systeme genutzt und auf den Aviation-Safety-Scope ausgedehnt werden. Praktisch heißt das:
- Scope erweitern um die Systeme, Daten und Schnittstellen, die für den sicheren Flugbetrieb relevant sind, einschließlich der zugehörigen Lieferanten- und Dienstleisterketten.
- Bewertungsdimension Safety ergänzen: den Risikoprozess um die Frage erweitern, ob ein Risiko zu einer Beeinträchtigung der Flugsicherheit führen kann; solche Risiken gemeinsam mit dem Safety Manager bewerten und in das SMS überführen.
- Meldekette definieren: den Incident-Prozess um ein Triage-Kriterium "Safety-Bezug" und die externe Meldekette an die zuständige Behörde ergänzen. In Deutschland ist das Luftfahrt-Bundesamt (LBA) zuständig; das BSI unterstützt technisch bei Melde- und Reporting-Infrastruktur.
- Rollen klären: eine verantwortliche Rolle für Informationssicherheit benennen und sauber zwischen Accountable Manager, Safety Manager und CISO/ISMS-Verantwortlichem abgrenzen.
Typische Fehler
- Part-IS wird als eigenständiges Parallelsystem neben SMS und ISO-27001-ISMS aufgebaut statt integriert.
- Die Risikobewertung bleibt geschäftsschadenorientiert und ignoriert den Flugsicherheitsbezug.
- Die Vorfallbehandlung kennt kein Triage-Kriterium für Safety-Bezug und keine definierte externe Meldekette.
- Die Pflicht wird vollständig in die IT delegiert, ohne Anbindung an den Accountable Manager und das SMS.
- Konkrete Meldefristen oder ein "18-Monats-Übergang" werden aus Sekundärquellen übernommen, ohne den aktuellen Rechtsstand zu prüfen.
Risiken und Trade-offs
Ein zu eng gefasster Scope übersieht Systeme, deren Störung mittelbar auf die Flugsicherheit wirkt, etwa über Lieferanten oder gemeinsam genutzte Dienste. Ein zu weiter Scope überdehnt die Organisation und verwässert den Safety-Fokus. Die Integration in das SMS schafft Effizienz, kann aber dazu führen, dass Informationssicherheitsrisiken in der etablierten Safety-Logik untergehen, wenn die Bewertungslogik nicht explizit ergänzt wird; eine zu starke Trennung erzeugt umgekehrt doppelte Strukturen.
Beim Verhältnis zu NIS2 besteht ein Trade-off zwischen Abwarten und Vorbereiten: Da der Aviation-Sektor als Verkehrssektor unter NIS2 fällt und das Anrechnungsverhältnis noch nicht abschließend geklärt ist, riskiert eine "Part-IS deckt NIS2 mit ab"-Annahme eine Compliance-Lücke.
Entscheidungspunkte
- Welcher Anwendungsbereich gilt für die Organisation: Part-IS.D.OR (Entwurfs-/Produktionsbetriebe, Flugplätze) oder Part-IS.I.OR (u. a. Instandhaltung, CAMO, Betreiber, ATO, ATM/ANS)?
- Wird ein bestehendes ISO-27001-ISMS erweitert oder ein neues Managementsystem aufgesetzt?
- Wie wird der Safety-Bezug eines Informationssicherheitsrisikos operationalisiert und wer entscheidet im Zweifel?
- Wie ist die externe Meldekette an die zuständige Behörde organisiert, und wer trifft die Meldeentscheidung?
- Wie wird das Verhältnis zu den parallel geltenden NIS2-Pflichten des Sektors gesteuert?
Praktische Empfehlungen
- Verankern Sie Part-IS als Safety-Pflicht in der Verantwortung des Accountable Managers und integrieren Sie sie in SMS und ISMS, statt ein drittes System zu bauen.
- Erweitern Sie den vorhandenen Risikoprozess um die explizite Frage nach dem Flugsicherheitsbezug und bewerten Sie diese Risiken gemeinsam mit dem Safety Management.
- Definieren Sie eine Vorfall-Triage mit dem Kriterium "Safety-Bezug" und eine dokumentierte externe Meldekette an die zuständige Behörde (in DE: LBA).
- Prüfen Sie konkrete Melde- und Übergangsfristen stets am aktuellen Verordnungstext und an den Easy Access Rules, bevor Sie sich auf eine bestimmte Frist verlassen.
- Klären Sie das Verhältnis zu NIS2 aktiv: Behandeln Sie Part-IS und NIS2 vorerst als parallele Pflichten und beobachten Sie den Stand einer möglichen Anrechnung.
Relevante Normreferenzen
- Delegierte Verordnung (EU) 2022/1645 (Part-IS.D.OR): Geltung ab 16.10.2025. EU-Recht, frei zitierbar.
- Durchführungsverordnung (EU) 2023/203 (Part-IS.I.OR; Behördenanforderungen Part-IS.I.AR): Geltung ab 22.02.2026. EU-Recht, frei zitierbar.
- Verordnung (EU) 2018/1139 (EASA-Grundverordnung): Ermächtigungsgrundlage. EU-Recht, frei zitierbar.
- EASA Easy Access Rules for Information Security (inkl. AMC/GM): konsolidierte Referenz; Versionsstand vor Nutzung prüfen.
- Richtlinie (EU) 2022/2555 (NIS2): Luftverkehr ist Anhang-I-Sektor; Verhältnis zu Part-IS siehe Hinweise.
- ISO/IEC 27001: konzeptionelle Referenz für das ISMS; nur Referenz, kein Volltext.
Häufige Fragen
Ersetzt ein ISO-27001-ISMS die Part-IS-Pflicht?+
Nein, aber es ist eine gute Basis. Laut EASA kann ein bestehendes ISO/IEC-27001-System genutzt und auf den Flugsicherheits-Scope erweitert werden. Zu ergänzen sind insbesondere der Safety-Bezug in der Risikobewertung und die externe Meldekette.
Wer ist in Deutschland die zuständige Behörde?+
Das Luftfahrt-Bundesamt (LBA). Das BSI leistet technische Unterstützung bei Melde- und Reporting-Infrastruktur. Nicht zuständig sind hier BNetzA, BaFin oder KBA.
Deckt Part-IS die NIS2-Pflichten des Sektors ab?+
Nach derzeitigem Stand nicht automatisch. Part-IS ist nicht als Lex specialis im Sinne von Art. 4 NIS2 anerkannt; als gleichwertiger sektorspezifischer Rechtsakt ist bislang nur DORA gelistet. Part-IS und NIS2 können parallel gelten; eine Anrechnung wird geprüft (Status zu prüfen).
Welche Meldefristen gelten bei einem Vorfall?+
Die konkreten Fristen und Schwellen ergeben sich aus Verordnungstext und AMC/GM und sind am aktuellen Rechtsstand zu prüfen. Dieser Artikel nennt bewusst keine feste Zahl.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-002.
