Cybervize - Cybersecurity Beratung

EASA Part-IS: Informationssicherheit in der Luftfahrt

Luftfahrt (EASA Part-IS)CISOAccountable ManagerGeschäftsführungSafety ManagerCompliance ManagerISMS Manager

Kernaussage

EASA Part-IS macht Informationssicherheit für luftfahrtregulierte Organisationen zur regulatorischen Pflicht - mit klar umrissenem Blickwinkel. Geschützt wird Informationssicherheit nicht als Selbstzweck, sondern soweit sie die Flugsicherheit (aviation safety) beeinflussen kann. Part-IS verlangt ein Information Security Management System (ISMS) mit Safety-Bezug und koppelt es an das vorhandene Sicherheitsmanagement.

Tragend sind zwei Rechtsakte auf Basis der EASA-Grundverordnung (EU) 2018/1139: die Delegierte Verordnung (EU) 2022/1645 mit dem Anhang Part-IS.D.OR (Geltung ab 16. Oktober 2025) und die Durchführungsverordnung (EU) 2023/203 mit dem Anhang Part-IS.I.OR sowie den Behördenanforderungen Part-IS.I.AR (Geltung ab 22. Februar 2026). Es entsteht eine prüfbare Steuerungspflicht, die nicht in der IT endet, sondern bis in die Safety-Governance und zum Accountable Manager reicht.

Problem in der Praxis

Viele luftfahrtregulierte Organisationen betreiben bereits Informationssicherheit, oft nach ISO/IEC 27001 - aber häufig entkoppelt von der Flugsicherheit. Genau diese Trennung löst Part-IS auf. Der Unterschied zu einem allgemeinen ISMS liegt nicht in der Methodik, sondern im Schutzziel: IS-Risiken werden danach beurteilt, ob sie die Flugsicherheit beeinträchtigen können.

Ein zweites Missverständnis betrifft den Anwendungsbereich. Part-IS ist genehmigungsgebunden, nicht größenbasiert: Maßgeblich ist die EASA-Zulassung, nicht Mitarbeiterzahl oder Umsatz wie bei NIS2. Hinzu kommt Unsicherheit über Zuständigkeiten: Viele vermuten die NIS2-Aufsicht, obwohl für Part-IS in Deutschland das Luftfahrt-Bundesamt (LBA) zuständig ist und auf EU-Ebene die EASA.

CISO-Einordnung

Beide Anhänge (Part-IS.D.OR und Part-IS.I.OR) sind strukturgleich aufgebaut und beschreiben einen vertrauten ISMS-Regelkreis mit Safety-Fokus. Konzeptionell verlangen sie:

  • IS-Risikomanagement: Identifikation, Bewertung und Behandlung von IS-Risiken mit potenzieller Auswirkung auf die Flugsicherheit, inklusive Risikoakzeptanz.
  • IS-Leitlinie und Verantwortlichkeiten: dokumentierte Politik, benannte verantwortliche Rolle, Anbindung an die Leitung.
  • Detektion, Reaktion, Wiederherstellung: Erkennung von IS-Ereignissen und Schwachstellen, Vorfallreaktion, Recovery und Continuity.
  • Externe Meldepflicht: Meldung von IS-Vorfällen mit Safety-Bezug an die zuständige Behörde.
  • Steuerung externer Organisationen und Lieferanten (Supply-Chain-Bezug).
  • Kontinuierliche Verbesserung, Personal und Kompetenz, Dokumentation und Nachweise.

Part-IS ist kein Zertifizierungsschema, sondern eine Aufsichtspflicht, und weitgehend ISO-27001-anschlussfähig. Laut EASA-FAQ kann ein bestehendes ISO/IEC-27001-System genutzt und auf den Aviation-Safety-Scope erweitert werden. Die Arbeit liegt damit in der Verknüpfung von Informationssicherheit und Safety, nicht im Aufbau eines neuen Systems.

Umsetzungsperspektive

Die Umsetzung beginnt mit einer sauberen Zuordnung: Welcher Rechtsakt gilt? Part-IS.D.OR (VO 2022/1645) adressiert Produktions- und Entwurfsbetriebe nach Part-21 sowie Flugplatzbetreiber und Vorfeldkontrolldienste. Part-IS.I.OR (VO 2023/203) erfasst eine breitere Population, u. a. Instandhaltungsbetriebe (Part-145), CAMO, Betreiber, Ausbildungsorganisationen und ATM/ANS-Anbieter. Manche Organisationen sind von beiden betroffen.

Danach folgt eine Gap-Analyse gegen die konsolidierte Referenz - die EASA Easy Access Rules for Information Security samt AMC/GM, deren Versionsstand vorab zu prüfen ist. Der wirksamste Hebel ist die Integration: IS-Risiken mit Safety-Wirkung gehören in die bestehenden Safety-Risikoprozesse, nicht in ein paralleles Silo. Der Meldeweg ist frühzeitig zu klären; in Deutschland ist das LBA die Aufsichtsbehörde, das BSI unterstützt technisch bei Meldesystem und Reporting.

Typische Fehler

  1. Die beiden Rechtsakte verwechseln oder die eigene Betroffenheit (D.OR vs. I.OR) nicht sauber bestimmen.
  2. Part-IS als reines IT-Projekt führen und vom Safety Management System entkoppeln.
  3. Annehmen, eine bestehende NIS2-Compliance erfülle Part-IS automatisch - oder umgekehrt.
  4. Die falsche Aufsichtsbehörde adressieren (etwa NIS2-Sektoraufsicht statt LBA/EASA).
  5. Bis kurz vor das Geltungsdatum warten, statt den Vorlauf für Integration und Nachweisaufbau zu nutzen.

Risiken und Trade-offs

Der zentrale Trade-off ist die parallele Pflichtenlage. Der Luftverkehr ist NIS2-Sektor nach Anhang I der Richtlinie (EU) 2022/2555. Part-IS ist nach derzeitigem Stand jedoch nicht als Lex specialis i. S. v. Artikel 4 NIS2 anerkannt - in den Kommissions-Leitlinien ist bislang nur DORA als gleichwertiger sektorspezifischer Rechtsakt gelistet. Part-IS und NIS2 können daher parallel gelten; EASA arbeitet an einer Anrechnung (Crediting) der Part-IS-Compliance im NIS2-Kontext, was fortlaufend zu prüfen ist.

Daraus folgen Abwägungen: Doppelaufwand versus Synergie bei Risikobewertung, Meldewegen und Nachweisen sowie die Versuchung, den IS-Scope auf die gesamte IT statt auf das safety-relevante Spektrum auszudehnen. Eine zu enge Auslegung übersieht Risiken, eine zu weite überlastet Organisation und Safety-Funktion.

Entscheidungspunkte

  • Welcher Part-IS-Rechtsakt gilt für welche unserer Genehmigungen, und sind wir doppelt betroffen?
  • Können wir ein bestehendes ISO/IEC-27001-System auf den Aviation-Safety-Scope erweitern statt neu aufzubauen?
  • Wie integrieren wir IS-Risiken mit Safety-Wirkung in das bestehende SMS, ohne ein zweites Silo zu schaffen?
  • Wer ist die benannte verantwortliche Rolle, und wie ist sie an die Leitung angebunden?
  • Wie organisieren wir Part-IS und NIS2 so, dass Aufwände nicht doppelt entstehen?

Praktische Empfehlungen

  1. Betroffenheit zuerst klären: Genehmigungen den Rechtsakten Part-IS.D.OR bzw. Part-IS.I.OR zuordnen.
  2. Bestehendes ISMS als Fundament nutzen und gezielt um den Safety-Bezug erweitern, statt neu aufzubauen.
  3. IS-Risiken mit Flugsicherheits-Wirkung in die Safety-Risikoprozesse und das SMS integrieren.
  4. Aufsichts- und Meldeweg frühzeitig festlegen (in Deutschland LBA als Behörde, BSI als technische Unterstützung).
  5. Part-IS- und NIS2-Pflichten in einem gemeinsamen Mapping führen und bis zur geklärten Anrechnung als parallele Anforderungen behandeln.
  6. Exakte Übergangs- und Vorfallmeldefristen sowie den Versionsstand der Easy Access Rules am geltenden Verordnungstext und an AMC/GM verifizieren.

Relevante Normreferenzen

  • Delegierte Verordnung (EU) 2022/1645 (Anhang Part-IS.D.OR): Geltung ab 16. Oktober 2025; frei zitierbar.
  • Durchführungsverordnung (EU) 2023/203 (Anhang Part-IS.I.OR, Behördenteil Part-IS.I.AR): Geltung ab 22. Februar 2026; frei zitierbar.
  • Verordnung (EU) 2018/1139: EASA-Grundverordnung als Ermächtigungsgrundlage beider Rechtsakte.
  • EASA Easy Access Rules for Information Security (Regulations (EU) 2023/203 and 2022/1645), inkl. AMC/GM: konsolidierte Referenz; Versionsstand prüfen.
  • Richtlinie (EU) 2022/2555 (NIS2): parallel relevanter Rahmen für den Sektor Luftverkehr.
  • ISO/IEC 27001: konzeptionelle Referenz (reference only, kein Volltext, keine Control-Liste).

Häufige Fragen

Was unterscheidet Part-IS von einem allgemeinen ISMS?+

Der Fokus: Bewertet werden IS-Risiken danach, ob sie die Flugsicherheit beeinflussen können, und das ISMS wird an das Safety Management System gekoppelt.

Ersetzt eine ISO/IEC-27001-Zertifizierung die Part-IS-Pflicht?+

Nein, aber ein bestehendes ISO-27001-System kann laut EASA genutzt und auf den Aviation-Safety-Scope erweitert werden.

Erfüllt Part-IS automatisch die NIS2-Anforderungen?+

Nein. Part-IS ist derzeit nicht als Lex specialis nach Artikel 4 NIS2 anerkannt; beide können parallel gelten. Eine Anrechnung wird geprüft.

Wer beaufsichtigt Part-IS in Deutschland?+

Das Luftfahrt-Bundesamt (LBA); auf EU-Ebene die EASA. Das BSI unterstützt technisch bei Meldewegen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-001.