Erweiterung der Managementsysteme in den Durchführungsverordnungen der EASA Grundverordnung um die Informationssicherheit (Part-IS)

Die Delegierte Verordnung (EU) 2022/1645 und die Durchführungsverordnung (EU) 2023/203 zur Informationssicherheit in der Zivilluftfahrt, bekannt als Part IS (Information Security), legen verbindliche Sicherheitsstandards fest, die darauf abzielen, die Informationssicherheit im Luftverkehr zu stärken und die Luftfahrtakteure gegen die wachsende Bedrohung durch Cyberangriffe zu schützen. Diese Verordnungen richten sich an Organisationen der Luftfahrtbranche sowie an Luftfahrtbehörden.
 

Was beinhaltet Part-IS?

Die Verordnung schreibt den betroffenen Organisationen der Luftfahrtbranche Elemente eines Informationssicherheitsmanagementsystems (ISMS) vor, um Informationssicherheitsrisiken, welche eine Auswirkung auf die Sicherheit der Luftfahrt haben zu erkennen und zu minimieren. Dieses ISMS soll Unternehmen dabei helfen, systematisch und proaktiv gegen Sicherheitsbedrohungen vorzugehen, d.h. Sicherheitsvorfälle zu erkennen, zu verhindern, darauf zu reagieren und die Integrität und Verfügbarkeit nach einem Vorfall wiederherzustellen. Dies beinhaltet auch die Festlegung von Zuständigkeiten und Verantwortlichkeiten, die Identifizierung und Bewertung von Informationssicherheitsrisiken, die Entwicklung entsprechender Maßnahmen, die Schulung des Personals sowie die Überwachung der Einhaltung der Anforderungen.
 
Die Umsetzung des ISMS soll unter Beachtung der Verhältnismäßigkeit (ein Guidance Material (GM) der EASA gibt dazu genaue Informationen) und in Integration mit bestehenden Managementsystemen erfolgen.
 

Wer ist von Part-IS betroffen und wann treten die Bestimmungen in Kraft?

Am 16. Oktober 2025 treten die EU-Bestimmungen zur Informationssicherheit (Part-IS) für Flughafenbetreiber, Vorfeldkontrolldienste, Herstellungsorganisationen und Entwicklungsorganisationen in Kraft. In einem zweiten Schritt folgen ab dem 22. Februar 2026 Luftfahrtunternehmen, Instandhaltungsorganisationen, Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (CAMO), zugelassene Ausbildungsorganisationen (ATO), flugmedizinische Zentren für das fliegende Personal und Fluglotsen, Betreiber von Flugsimulationsübungsgeräten, Ausbildungsorganisationen für Fluglotsen (ATCO TO), Flugsicherungsorganisationen, Anbieter von U-Space-Diensten sowie die zuständigen Aufsichtsbehörden, einschließlich der EASA.
Anm.: Die unterschrichenen Organisationen fallen nicht in den Verantwortungsbereich der Austro Control GmbH.

 


Betroffene Organisationen, die durch eine Risikobetrachtung nachweisen können, dass durch etwaige Informationssicherheitsrisiken ihrer Prozesse und Produkte keine zusätzlichen Risiken für die Organisation selbst oder für andere entstehen, können bei der zuständigen Behörde eine Abweichung (Derogation) gemäß IS.D/I.OR.200(e) beantragen.
 

Welche Auswirkungen hat Part-IS auf das „System Luftfahrt“ insgesamt?

Die EU-Verordnung zur Informationssicherheit (Part IS) soll sich positiv auf die Cybersicherheitslage der Luftfahrtbranche auswirken, erfordert jedoch auch beträchtliche Investitionen in Technologie und Fachpersonal. Die Verordnung schreibt Luftfahrtunternehmen und -organisationen sowie Regulatoren vor, Sicherheitsmaßnahmen zu priorisieren und ihre IT-Infrastrukturen und Prozesse kontinuierlich an die steigenden Anforderungen der digitalen Sicherheit anzupassen. Die Einhaltung der neuen Informationssicherheitsanforderungen wird von nationalen Behörden und der EASA überwacht, und regelmäßige interne Audits der „Compliance Monitoring Function“ stellen sicher, dass die Organisationen den Vorschriften entsprechen. Zusammengefasst erhöht Part-IS die Widerstandsfähigkeit der Zivilluftfahrt gegenüber Cyberangriffen und stärkt das Vertrauen der Öffentlichkeit in die Luftsicherheit.
 

Koordination und Zusammenarbeit auf europäischer und nationaler Ebene

Auf europäischer Ebene wurde seitens EASA eine „Part-IS-Task Force“ eingerichtet. Im Rahmen dieser Task Force stimmen sich die Behörden untereinander ab und entwickeln harmonisierte Leitlinien zu bestimmten Themen im Umfeld von Part-IS. Die bereits publizierten Dokumente sind auf dieser Seite verlinkt.
Die Austro Control hat für jene Organisationen, für die sie Aufsichtsbehörde ist, ein monatliches „Part-IS-Café“ eingerichtet, bei dem aktuelle Informationen gezielt und strukturiert weitergegeben werden sowie Fragen der Industrie behandelt werden. Die Teilnahme an diesen Veranstaltungen ist für die Teilnehmer kostenfrei. Die Inhalte der Cafés stehen auf dieser Seite zum Download bereit.
 
Zusätzlich werden über unsere Tochtergesellschaft „Austro Control International“ eintägige (kostenpflichtige) Einführungstrainings zu Part-IS angeboten, die die Kompetenzanforderungen nach IS.I/D.OR.240 (a)(3) erfüllen.
 
Anträge und Anfragen zu Part-IS können per gestellt werden. 
 
 

Informationen und Links zu Part-IS:

 
Quick Access Rule Part-IS: 
Information Security (IS) | EASA
 
Tool für Part-IS Compliance assessment: 
https://www.easa.europa.eu/community/topics/part-compliance-assessment-tool
 
Part-IS Task Force Dokumente: 
Part-IS Implementation Task Force - Deliverables | EASA Community
 
Informationen über Part-IS bei der Schweizer Luftfahrtbehörde: 
EU-Verordnungen zur Informationssicherheit (Part-IS)


Dokumente:

 

Kontakt

Alle Kontakte

Part-IS

Titel / GegenstandNr.Versiongültig ab
Antrag auf Ausnahme gemäß IS.I/D.OR.200(e) der Verordnung (EU) 2023/203 oder 2022/1645FO_LFA_ALG_007_DE1.02025-08-2626.08.2025