Cybervize - Cybersecurity Beratung

Part-IS-Roadmap für die Luftfahrtorganisation

Luftfahrt (EASA Part-IS)Accountable ManagerCISOSafety ManagerCompliance ManagerISMS Manager

Kernaussage

Part-IS ist keine zusätzliche IT-Sicherheitsübung, sondern eine sektorale ISMS-Pflicht mit direktem Bezug zur Flugsicherheit. Sie ergibt sich aus zwei EU-Rechtsakten auf Basis der EASA-Grundverordnung (EU) 2018/1139: der Delegierten Verordnung (EU) 2022/1645 (Anhang Part-IS.D.OR) und der Durchführungsverordnung (EU) 2023/203 (Anhang Part-IS.I.OR, mit Behördenanforderungen Part-IS.I.AR).

Für das Management heißt das: ein ISMS aufsetzen oder erweitern, das gezielt die Informationssicherheitsrisiken mit möglicher Wirkung auf die Flugsicherheit steuert. Eine Roadmap beantwortet drei Fragen: Sind wir betroffen und unter welchem Rechtsakt? Welches ISMS bauen oder erweitern wir? Wie weisen wir die Compliance gegenüber EASA beziehungsweise dem Luftfahrt-Bundesamt nach?

Problem in der Praxis

Viele Organisationen behandeln Part-IS als reines IT-Thema. Daraus entstehen zwei Fehlsteuerungen: Entweder wird der falsche Rechtsakt zugrunde gelegt, weil die Zuordnung von Organisation zu Verordnung nicht geklärt ist, oder es entsteht ein technisch ambitioniertes Programm ohne den geforderten Safety-Bezug.

Hinzu kommt Termin-Unsicherheit: Die Anwendbarkeitsdaten stehen fest, doch Sekundärquellen nennen zusätzliche Übergangszeiträume unklarer Rechtsgrundlage. Und die Nachweisseite wird unterschätzt. Part-IS ist kein Zertifizierungsschema mit Prüfsiegel, sondern Teil der laufenden behördlichen Aufsicht; die Organisation muss dauerhaft belegen können, dass ihr ISMS wie beschrieben funktioniert.

CISO-Einordnung

Der erste Schritt ist die Betroffenheitsanalyse entlang der Genehmigungslage, nicht der Unternehmensgröße. Maßgeblich ist die EASA-Zulassung.

Part-IS.D.OR (VO 2022/1645) adressiert Produktions- und Entwurfsbetriebe nach Part-21 Section A Subparts G und J der VO (EU) Nr. 748/2012 sowie Flugplatzbetreiber und Vorfeldkontrolldienste nach VO (EU) Nr. 139/2014. Reine ELA2-Organisationen sind ausgenommen (Details im Einzelfall zu prüfen).

Part-IS.I.OR (VO 2023/203) erfasst eine breitere Population: u. a. Instandhaltungsbetriebe (Part-145), CAMO, Betreiber (Part-ORO), Ausbildungsorganisationen (ATO), flugmedizinische Zentren, FSTD-Betreiber, ATCO-Ausbildung sowie ATM/ANS- und U-space-/CIS-Anbieter. Eine Erweiterung auf Bodenabfertigungsdienste über die Delegierte VO (EU) 2025/22 ist absehbar, ihre Geltung noch zu prüfen.

Beide Anhänge sind strukturgleich und verlangen denselben ISMS-Kern: Risikomanagement mit Safety-Fokus, eine Informationssicherheitsleitlinie mit benannter Verantwortung und Anbindung an die Leitung, Detektion/Reaktion/Wiederherstellung, eine externe Meldepflicht für Vorfälle mit Safety-Bezug, Lieferantensteuerung sowie kontinuierliche Verbesserung und Dokumentation.

Umsetzungsperspektive

Die Roadmap gliedert sich in fünf aufeinander aufbauende Phasen:

  • Betroffenheit und Scope: klären, unter welchem Rechtsakt die Organisation fällt und welche Systeme, Dienste und Lieferanten Flugsicherheit beeinflussen können.
  • Gap gegen bestehende Systeme: Ein ISMS nach ISO/IEC 27001 ist eine gute Basis; laut EASA kann es genutzt und auf den Aviation-Safety-Scope erweitert werden. Der Unterschied liegt im Fokus auf Risiken mit Flugsicherheitswirkung und der Kopplung an das Safety Management System.
  • ISMS aufsetzen oder anpassen: Rollen, Risikologik, Detektion, Reaktion und Meldewege definieren.
  • Safety-Security-Schnittstelle: IS-Risiken mit Safety-Wirkung in das SMS integrieren, statt ein zweites Risikoregister zu führen.
  • Nachweis und Aufsicht: den Regelbetrieb so gestalten, dass Nachweise als Nebenprodukt entstehen und gegenüber EASA beziehungsweise LBA vorgelegt werden können.

Anker der Terminplanung sind die Anwendbarkeitsdaten: Part-IS.D.OR ab 16.10.2025, Part-IS.I.OR ab 22.02.2026 (EGNOS-Anbieter ab 01.01.2026); den Stand vor der Planung gegen die geltende Fassung prüfen. Ein kolportierter 18-monatiger Übergangszeitraum ist rechtlich nicht abschließend geklärt und sollte nicht als feste Frist gelten.

Typische Fehler

  1. Part-IS wird als IT-Projekt statt als Safety-relevantes Managementthema aufgesetzt, ohne Anbindung an das SMS.
  2. Die Betroffenheit wird größenbasiert wie unter NIS2 geprüft, obwohl die Genehmigungslage maßgeblich ist.
  3. D.OR und I.OR werden verwechselt, sodass der falsche Rechtsakt und das falsche Anwendbarkeitsdatum gelten.
  4. Roadmap-Termine werden auf kolportierte Übergangsfristen statt auf die verifizierten Anwendbarkeitsdaten gestützt.
  5. NIS2 und Part-IS werden als sich gegenseitig ersetzend behandelt, obwohl sie parallel gelten können; Lieferanten- und Schnittstellenrisiken bleiben dabei oft außen vor.

Risiken und Trade-offs

Die wichtigste Abwägung liegt zwischen Integration und Trennung der Managementsysteme. Eine zu enge Verschmelzung von ISMS und SMS verwässert die jeweils eigene Steuerungslogik; eine zu starke Trennung erzeugt doppelte Risikoregister und Reibung an der Schnittstelle. Die Praxis spricht für ein integriertes Risikobild mit klarer Übergabe an das Safety-Management.

Der zweite Trade-off betrifft NIS2. Luftverkehr ist ein NIS2-Sektor nach Anhang I der Richtlinie (EU) 2022/2555. Nach derzeitigem Stand ist Part-IS jedoch nicht als Lex-specialis-Rechtsakt im Sinne von Artikel 4 NIS2 anerkannt; in den Leitlinien der Kommission ist insoweit allein DORA gelistet. Part-IS und NIS2 können daher parallel gelten; eine Anrechnung wird erarbeitet, ist aber noch zu prüfen. Wer auf eine Entlastung spekuliert, trägt ein Compliance-Risiko.

Entscheidungspunkte

  • Unter welchem Rechtsakt fällt die Organisation, und gibt es mehrere betroffene Genehmigungen?
  • Bauen wir das ISMS neu auf oder erweitern wir ein bestehendes System?
  • Wie wird die Safety-Security-Schnittstelle verankert, und wer entscheidet bei Zielkonflikten?
  • Welche Meldewege und Schwellen gelten, und sind die internen Fristen darauf abgestimmt?
  • Wie organisieren wir Part-IS und NIS2 parallel, solange keine Anrechnung geklärt ist?

Praktische Empfehlungen

  1. Beginnen Sie mit einer dokumentierten Betroffenheitsanalyse und ordnen Sie die Organisation eindeutig D.OR oder I.OR zu.
  2. Nutzen Sie ein vorhandenes ISMS als Basis und erweitern Sie es gezielt um den Flugsicherheitsbezug.
  3. Verankern Sie die Safety-Security-Schnittstelle organisatorisch: integriertes Risikobild, klare Übergaben an das SMS, benannte Verantwortung.
  4. Richten Sie Meldewege frühzeitig ein; Schwellen und Fristen gegen den aktuellen Verordnungs- und AMC/GM-Stand prüfen.
  5. Behandeln Sie NIS2 und Part-IS bis zur Klärung einer Anrechnung als parallele Pflichten und beziehen Sie die nationale NIS2-Aufsicht mit ein.

Relevante Normreferenzen

  • Verordnung (EU) 2018/1139: EASA-Grundverordnung, Ermächtigungsgrundlage beider Rechtsakte.
  • Delegierte Verordnung (EU) 2022/1645: Anhang Part-IS.D.OR (Geltung ab 16.10.2025).
  • Durchführungsverordnung (EU) 2023/203: Anhang Part-IS.I.OR und Part-IS.I.AR (Geltung ab 22.02.2026).
  • EASA Easy Access Rules for Information Security (2023/203 und 2022/1645), inkl. AMC/GM; Revisionsstand vor Nutzung prüfen.
  • Richtlinie (EU) 2022/2555 (NIS2): Luftverkehr als Sektor nach Anhang I; nationale Umsetzung zusätzlich heranziehen.
  • ISO/IEC 27001: Referenz für den ISMS-Rahmen, auf den Aviation-Safety-Scope erweiterbar (reine Konzeptreferenz).

Häufige Fragen

Sind wir von Part-IS betroffen?+

Maßgeblich ist die EASA-Genehmigungslage, nicht die Unternehmensgröße. Produktions-, Entwurfs- und Flugplatzbetriebe fallen unter Part-IS.D.OR, eine breitere Population (u. a. Part-145, CAMO, Part-ORO, ATO, ATM/ANS) unter Part-IS.I.OR.

Können wir unser ISO-27001-ISMS weiternutzen?+

Ja, als Basis. Laut EASA können bestehende ISO/IEC-27001-Systeme genutzt und auf den Aviation-Safety-Scope erweitert werden; der Fokus liegt auf Risiken mit Flugsicherheitswirkung und der Kopplung an das SMS.

Ersetzt Part-IS die NIS2-Pflichten im Luftverkehr?+

Nach derzeitigem Stand nicht. Part-IS ist nicht als Lex specialis nach Artikel 4 NIS2 anerkannt; beide können parallel gelten. In Deutschland ist das LBA zuständig (technische Unterstützung durch das BSI), nicht BNetzA, BaFin oder KBA.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-004.