EASA Part-IS: Informationssicherheit in der Luftfahrt
Kernaussage
EASA Part-IS macht Informationssicherheit für luftfahrtregulierte Organisationen zur regulatorischen Pflicht - mit klar umrissenem Blickwinkel. Geschützt wird Informationssicherheit nicht als Selbstzweck, sondern soweit sie die Flugsicherheit (aviation safety) beeinflussen kann. Part-IS verlangt ein Information Security Management System (ISMS) mit Safety-Bezug und koppelt es an das vorhandene Sicherheitsmanagement.
Tragend sind zwei Rechtsakte auf Basis der EASA-Grundverordnung (EU) 2018/1139: die Delegierte Verordnung (EU) 2022/1645 mit dem Anhang Part-IS.D.OR (Geltung ab 16. Oktober 2025) und die Durchführungsverordnung (EU) 2023/203 mit dem Anhang Part-IS.I.OR sowie den Behördenanforderungen Part-IS.I.AR (Geltung ab 22. Februar 2026). Es entsteht eine prüfbare Steuerungspflicht, die nicht in der IT endet, sondern bis in die Safety-Governance und zum Accountable Manager reicht.
Problem in der Praxis
Viele luftfahrtregulierte Organisationen betreiben bereits Informationssicherheit, oft nach ISO/IEC 27001 - aber häufig entkoppelt von der Flugsicherheit. Genau diese Trennung löst Part-IS auf. Der Unterschied zu einem allgemeinen ISMS liegt nicht in der Methodik, sondern im Schutzziel: IS-Risiken werden danach beurteilt, ob sie die Flugsicherheit beeinträchtigen können.
Ein zweites Missverständnis betrifft den Anwendungsbereich. Part-IS ist genehmigungsgebunden, nicht größenbasiert: Maßgeblich ist die EASA-Zulassung, nicht Mitarbeiterzahl oder Umsatz wie bei NIS2. Hinzu kommt Unsicherheit über Zuständigkeiten: Viele vermuten die NIS2-Aufsicht, obwohl für Part-IS in Deutschland das Luftfahrt-Bundesamt (LBA) zuständig ist und auf EU-Ebene die EASA.
CISO-Einordnung
Beide Anhänge (Part-IS.D.OR und Part-IS.I.OR) sind strukturgleich aufgebaut und beschreiben einen vertrauten ISMS-Regelkreis mit Safety-Fokus. Konzeptionell verlangen sie:
- IS-Risikomanagement: Identifikation, Bewertung und Behandlung von IS-Risiken mit potenzieller Auswirkung auf die Flugsicherheit, inklusive Risikoakzeptanz.
- IS-Leitlinie und Verantwortlichkeiten: dokumentierte Politik, benannte verantwortliche Rolle, Anbindung an die Leitung.
- Detektion, Reaktion, Wiederherstellung: Erkennung von IS-Ereignissen und Schwachstellen, Vorfallreaktion, Recovery und Continuity.
- Externe Meldepflicht: Meldung von IS-Vorfällen mit Safety-Bezug an die zuständige Behörde.
- Steuerung externer Organisationen und Lieferanten (Supply-Chain-Bezug).
- Kontinuierliche Verbesserung, Personal und Kompetenz, Dokumentation und Nachweise.
Part-IS ist kein Zertifizierungsschema, sondern eine Aufsichtspflicht, und weitgehend ISO-27001-anschlussfähig. Laut EASA-FAQ kann ein bestehendes ISO/IEC-27001-System genutzt und auf den Aviation-Safety-Scope erweitert werden. Die Arbeit liegt damit in der Verknüpfung von Informationssicherheit und Safety, nicht im Aufbau eines neuen Systems.
Umsetzungsperspektive
Die Umsetzung beginnt mit einer sauberen Zuordnung: Welcher Rechtsakt gilt? Part-IS.D.OR (VO 2022/1645) adressiert Produktions- und Entwurfsbetriebe nach Part-21 sowie Flugplatzbetreiber und Vorfeldkontrolldienste. Part-IS.I.OR (VO 2023/203) erfasst eine breitere Population, u. a. Instandhaltungsbetriebe (Part-145), CAMO, Betreiber, Ausbildungsorganisationen und ATM/ANS-Anbieter. Manche Organisationen sind von beiden betroffen.
Danach folgt eine Gap-Analyse gegen die konsolidierte Referenz - die EASA Easy Access Rules for Information Security samt AMC/GM, deren Versionsstand vorab zu prüfen ist. Der wirksamste Hebel ist die Integration: IS-Risiken mit Safety-Wirkung gehören in die bestehenden Safety-Risikoprozesse, nicht in ein paralleles Silo. Der Meldeweg ist frühzeitig zu klären; in Deutschland ist das LBA die Aufsichtsbehörde, das BSI unterstützt technisch bei Meldesystem und Reporting.
Typische Fehler
- Die beiden Rechtsakte verwechseln oder die eigene Betroffenheit (D.OR vs. I.OR) nicht sauber bestimmen.
- Part-IS als reines IT-Projekt führen und vom Safety Management System entkoppeln.
- Annehmen, eine bestehende NIS2-Compliance erfülle Part-IS automatisch - oder umgekehrt.
- Die falsche Aufsichtsbehörde adressieren (etwa NIS2-Sektoraufsicht statt LBA/EASA).
- Bis kurz vor das Geltungsdatum warten, statt den Vorlauf für Integration und Nachweisaufbau zu nutzen.
Risiken und Trade-offs
Der zentrale Trade-off ist die parallele Pflichtenlage. Der Luftverkehr ist NIS2-Sektor nach Anhang I der Richtlinie (EU) 2022/2555. Part-IS ist nach derzeitigem Stand jedoch nicht als Lex specialis i. S. v. Artikel 4 NIS2 anerkannt - in den Kommissions-Leitlinien ist bislang nur DORA als gleichwertiger sektorspezifischer Rechtsakt gelistet. Part-IS und NIS2 können daher parallel gelten; EASA arbeitet an einer Anrechnung (Crediting) der Part-IS-Compliance im NIS2-Kontext, was fortlaufend zu prüfen ist.
Daraus folgen Abwägungen: Doppelaufwand versus Synergie bei Risikobewertung, Meldewegen und Nachweisen sowie die Versuchung, den IS-Scope auf die gesamte IT statt auf das safety-relevante Spektrum auszudehnen. Eine zu enge Auslegung übersieht Risiken, eine zu weite überlastet Organisation und Safety-Funktion.
Entscheidungspunkte
- Welcher Part-IS-Rechtsakt gilt für welche unserer Genehmigungen, und sind wir doppelt betroffen?
- Können wir ein bestehendes ISO/IEC-27001-System auf den Aviation-Safety-Scope erweitern statt neu aufzubauen?
- Wie integrieren wir IS-Risiken mit Safety-Wirkung in das bestehende SMS, ohne ein zweites Silo zu schaffen?
- Wer ist die benannte verantwortliche Rolle, und wie ist sie an die Leitung angebunden?
- Wie organisieren wir Part-IS und NIS2 so, dass Aufwände nicht doppelt entstehen?
Praktische Empfehlungen
- Betroffenheit zuerst klären: Genehmigungen den Rechtsakten Part-IS.D.OR bzw. Part-IS.I.OR zuordnen.
- Bestehendes ISMS als Fundament nutzen und gezielt um den Safety-Bezug erweitern, statt neu aufzubauen.
- IS-Risiken mit Flugsicherheits-Wirkung in die Safety-Risikoprozesse und das SMS integrieren.
- Aufsichts- und Meldeweg frühzeitig festlegen (in Deutschland LBA als Behörde, BSI als technische Unterstützung).
- Part-IS- und NIS2-Pflichten in einem gemeinsamen Mapping führen und bis zur geklärten Anrechnung als parallele Anforderungen behandeln.
- Exakte Übergangs- und Vorfallmeldefristen sowie den Versionsstand der Easy Access Rules am geltenden Verordnungstext und an AMC/GM verifizieren.
Relevante Normreferenzen
- Delegierte Verordnung (EU) 2022/1645 (Anhang Part-IS.D.OR): Geltung ab 16. Oktober 2025; frei zitierbar.
- Durchführungsverordnung (EU) 2023/203 (Anhang Part-IS.I.OR, Behördenteil Part-IS.I.AR): Geltung ab 22. Februar 2026; frei zitierbar.
- Verordnung (EU) 2018/1139: EASA-Grundverordnung als Ermächtigungsgrundlage beider Rechtsakte.
- EASA Easy Access Rules for Information Security (Regulations (EU) 2023/203 and 2022/1645), inkl. AMC/GM: konsolidierte Referenz; Versionsstand prüfen.
- Richtlinie (EU) 2022/2555 (NIS2): parallel relevanter Rahmen für den Sektor Luftverkehr.
- ISO/IEC 27001: konzeptionelle Referenz (reference only, kein Volltext, keine Control-Liste).
Häufige Fragen
Was unterscheidet Part-IS von einem allgemeinen ISMS?+
Der Fokus: Bewertet werden IS-Risiken danach, ob sie die Flugsicherheit beeinflussen können, und das ISMS wird an das Safety Management System gekoppelt.
Ersetzt eine ISO/IEC-27001-Zertifizierung die Part-IS-Pflicht?+
Nein, aber ein bestehendes ISO-27001-System kann laut EASA genutzt und auf den Aviation-Safety-Scope erweitert werden.
Erfüllt Part-IS automatisch die NIS2-Anforderungen?+
Nein. Part-IS ist derzeit nicht als Lex specialis nach Artikel 4 NIS2 anerkannt; beide können parallel gelten. Eine Anrechnung wird geprüft.
Wer beaufsichtigt Part-IS in Deutschland?+
Das Luftfahrt-Bundesamt (LBA); auf EU-Ebene die EASA. Das BSI unterstützt technisch bei Meldewegen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Luftfahrt (EASA Part-IS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: av-001.
