Part-IS-Roadmap für die Luftfahrtorganisation
Kernaussage
Part-IS ist keine zusätzliche IT-Sicherheitsübung, sondern eine sektorale ISMS-Pflicht mit direktem Bezug zur Flugsicherheit. Sie ergibt sich aus zwei EU-Rechtsakten auf Basis der EASA-Grundverordnung (EU) 2018/1139: der Delegierten Verordnung (EU) 2022/1645 (Anhang Part-IS.D.OR) und der Durchführungsverordnung (EU) 2023/203 (Anhang Part-IS.I.OR, mit Behördenanforderungen Part-IS.I.AR).
Für das Management heißt das: ein ISMS aufsetzen oder erweitern, das gezielt die Informationssicherheitsrisiken mit möglicher Wirkung auf die Flugsicherheit steuert. Eine Roadmap beantwortet drei Fragen: Sind wir betroffen und unter welchem Rechtsakt? Welches ISMS bauen oder erweitern wir? Wie weisen wir die Compliance gegenüber EASA beziehungsweise dem Luftfahrt-Bundesamt nach?
Problem in der Praxis
Viele Organisationen behandeln Part-IS als reines IT-Thema. Daraus entstehen zwei Fehlsteuerungen: Entweder wird der falsche Rechtsakt zugrunde gelegt, weil die Zuordnung von Organisation zu Verordnung nicht geklärt ist, oder es entsteht ein technisch ambitioniertes Programm ohne den geforderten Safety-Bezug.
Hinzu kommt Termin-Unsicherheit: Die Anwendbarkeitsdaten stehen fest, doch Sekundärquellen nennen zusätzliche Übergangszeiträume unklarer Rechtsgrundlage. Und die Nachweisseite wird unterschätzt. Part-IS ist kein Zertifizierungsschema mit Prüfsiegel, sondern Teil der laufenden behördlichen Aufsicht; die Organisation muss dauerhaft belegen können, dass ihr ISMS wie beschrieben funktioniert.
CISO-Einordnung
Der erste Schritt ist die Betroffenheitsanalyse entlang der Genehmigungslage, nicht der Unternehmensgröße. Maßgeblich ist die EASA-Zulassung.
Part-IS.D.OR (VO 2022/1645) adressiert Produktions- und Entwurfsbetriebe nach Part-21 Section A Subparts G und J der VO (EU) Nr. 748/2012 sowie Flugplatzbetreiber und Vorfeldkontrolldienste nach VO (EU) Nr. 139/2014. Reine ELA2-Organisationen sind ausgenommen (Details im Einzelfall zu prüfen).
Part-IS.I.OR (VO 2023/203) erfasst eine breitere Population: u. a. Instandhaltungsbetriebe (Part-145), CAMO, Betreiber (Part-ORO), Ausbildungsorganisationen (ATO), flugmedizinische Zentren, FSTD-Betreiber, ATCO-Ausbildung sowie ATM/ANS- und U-space-/CIS-Anbieter. Eine Erweiterung auf Bodenabfertigungsdienste über die Delegierte VO (EU) 2025/22 ist absehbar, ihre Geltung noch zu prüfen.
Beide Anhänge sind strukturgleich und verlangen denselben ISMS-Kern: Risikomanagement mit Safety-Fokus, eine Informationssicherheitsleitlinie mit benannter Verantwortung und Anbindung an die Leitung, Detektion/Reaktion/Wiederherstellung, eine externe Meldepflicht für Vorfälle mit Safety-Bezug, Lieferantensteuerung sowie kontinuierliche Verbesserung und Dokumentation.
Umsetzungsperspektive
Die Roadmap gliedert sich in fünf aufeinander aufbauende Phasen:
- Betroffenheit und Scope: klären, unter welchem Rechtsakt die Organisation fällt und welche Systeme, Dienste und Lieferanten Flugsicherheit beeinflussen können.
- Gap gegen bestehende Systeme: Ein ISMS nach ISO/IEC 27001 ist eine gute Basis; laut EASA kann es genutzt und auf den Aviation-Safety-Scope erweitert werden. Der Unterschied liegt im Fokus auf Risiken mit Flugsicherheitswirkung und der Kopplung an das Safety Management System.
- ISMS aufsetzen oder anpassen: Rollen, Risikologik, Detektion, Reaktion und Meldewege definieren.
- Safety-Security-Schnittstelle: IS-Risiken mit Safety-Wirkung in das SMS integrieren, statt ein zweites Risikoregister zu führen.
- Nachweis und Aufsicht: den Regelbetrieb so gestalten, dass Nachweise als Nebenprodukt entstehen und gegenüber EASA beziehungsweise LBA vorgelegt werden können.
Anker der Terminplanung sind die Anwendbarkeitsdaten: Part-IS.D.OR ab 16.10.2025, Part-IS.I.OR ab 22.02.2026 (EGNOS-Anbieter ab 01.01.2026); den Stand vor der Planung gegen die geltende Fassung prüfen. Ein kolportierter 18-monatiger Übergangszeitraum ist rechtlich nicht abschließend geklärt und sollte nicht als feste Frist gelten.
Typische Fehler
- Part-IS wird als IT-Projekt statt als Safety-relevantes Managementthema aufgesetzt, ohne Anbindung an das SMS.
- Die Betroffenheit wird größenbasiert wie unter NIS2 geprüft, obwohl die Genehmigungslage maßgeblich ist.
- D.OR und I.OR werden verwechselt, sodass der falsche Rechtsakt und das falsche Anwendbarkeitsdatum gelten.
- Roadmap-Termine werden auf kolportierte Übergangsfristen statt auf die verifizierten Anwendbarkeitsdaten gestützt.
- NIS2 und Part-IS werden als sich gegenseitig ersetzend behandelt, obwohl sie parallel gelten können; Lieferanten- und Schnittstellenrisiken bleiben dabei oft außen vor.
Risiken und Trade-offs
Die wichtigste Abwägung liegt zwischen Integration und Trennung der Managementsysteme. Eine zu enge Verschmelzung von ISMS und SMS verwässert die jeweils eigene Steuerungslogik; eine zu starke Trennung erzeugt doppelte Risikoregister und Reibung an der Schnittstelle. Die Praxis spricht für ein integriertes Risikobild mit klarer Übergabe an das Safety-Management.
Der zweite Trade-off betrifft NIS2. Luftverkehr ist ein NIS2-Sektor nach Anhang I der Richtlinie (EU) 2022/2555. Nach derzeitigem Stand ist Part-IS jedoch nicht als Lex-specialis-Rechtsakt im Sinne von Artikel 4 NIS2 anerkannt; in den Leitlinien der Kommission ist insoweit allein DORA gelistet. Part-IS und NIS2 können daher parallel gelten; eine Anrechnung wird erarbeitet, ist aber noch zu prüfen. Wer auf eine Entlastung spekuliert, trägt ein Compliance-Risiko.
Entscheidungspunkte
- Unter welchem Rechtsakt fällt die Organisation, und gibt es mehrere betroffene Genehmigungen?
- Bauen wir das ISMS neu auf oder erweitern wir ein bestehendes System?
- Wie wird die Safety-Security-Schnittstelle verankert, und wer entscheidet bei Zielkonflikten?
- Welche Meldewege und Schwellen gelten, und sind die internen Fristen darauf abgestimmt?
- Wie organisieren wir Part-IS und NIS2 parallel, solange keine Anrechnung geklärt ist?
Praktische Empfehlungen
- Beginnen Sie mit einer dokumentierten Betroffenheitsanalyse und ordnen Sie die Organisation eindeutig D.OR oder I.OR zu.
- Nutzen Sie ein vorhandenes ISMS als Basis und erweitern Sie es gezielt um den Flugsicherheitsbezug.
- Verankern Sie die Safety-Security-Schnittstelle organisatorisch: integriertes Risikobild, klare Übergaben an das SMS, benannte Verantwortung.
- Richten Sie Meldewege frühzeitig ein; Schwellen und Fristen gegen den aktuellen Verordnungs- und AMC/GM-Stand prüfen.
- Behandeln Sie NIS2 und Part-IS bis zur Klärung einer Anrechnung als parallele Pflichten und beziehen Sie die nationale NIS2-Aufsicht mit ein.
Relevante Normreferenzen
- Verordnung (EU) 2018/1139: EASA-Grundverordnung, Ermächtigungsgrundlage beider Rechtsakte.
- Delegierte Verordnung (EU) 2022/1645: Anhang Part-IS.D.OR (Geltung ab 16.10.2025).
- Durchführungsverordnung (EU) 2023/203: Anhang Part-IS.I.OR und Part-IS.I.AR (Geltung ab 22.02.2026).
- EASA Easy Access Rules for Information Security (2023/203 und 2022/1645), inkl. AMC/GM; Revisionsstand vor Nutzung prüfen.
- Richtlinie (EU) 2022/2555 (NIS2): Luftverkehr als Sektor nach Anhang I; nationale Umsetzung zusätzlich heranziehen.
- ISO/IEC 27001: Referenz für den ISMS-Rahmen, auf den Aviation-Safety-Scope erweiterbar (reine Konzeptreferenz).
Häufige Fragen
Sind wir von Part-IS betroffen?+
Maßgeblich ist die EASA-Genehmigungslage, nicht die Unternehmensgröße. Produktions-, Entwurfs- und Flugplatzbetriebe fallen unter Part-IS.D.OR, eine breitere Population (u. a. Part-145, CAMO, Part-ORO, ATO, ATM/ANS) unter Part-IS.I.OR.
Können wir unser ISO-27001-ISMS weiternutzen?+
Ja, als Basis. Laut EASA können bestehende ISO/IEC-27001-Systeme genutzt und auf den Aviation-Safety-Scope erweitert werden; der Fokus liegt auf Risiken mit Flugsicherheitswirkung und der Kopplung an das SMS.
Ersetzt Part-IS die NIS2-Pflichten im Luftverkehr?+
Nach derzeitigem Stand nicht. Part-IS ist nicht als Lex specialis nach Artikel 4 NIS2 anerkannt; beide können parallel gelten. In Deutschland ist das LBA zuständig (technische Unterstützung durch das BSI), nicht BNetzA, BaFin oder KBA.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-004.
