Die Zivilluftfahrt besteht aus einem komplexen Netzwerk zahlreicher verknüpfter Systeme, die immer häufiger zum Ziel von Cyberangriffen werden. Mit Part-IS sollen beteiligte Organisationen dazu verpflichtet werden, effektive Maßnahmen zum Schutz vor Informationssicherheitsrisiken zu ergreifen, die die Luftsicherheit beeinträchtigen könnten.
Unsere Expertinnen Andrea Rupprich und Wienke Schumacher beantworten die 7 wichtigsten Fragen zu Part-IS und geben mit Hilfe ihrer Erkenntnisse aus Aufbau- und Beratungsprojekten Tipps für Ihre optimale Vorbereitung.
- Was ist Part-IS?
- Was sind die Ziele von Part-IS?
- Wer ist von Part-IS betroffen?
- Was sind die wichtigsten Anforderungen von Part-IS?
- Welche Auswirkungen hat Part-IS auf die Prozesse im Unternehmen?
- Inwiefern unterscheidet sich ein ISMS gemäß Part-IS von einem ISMS nach ISO 27001?
- Wie starten Sie am besten mit der Part-IS Umsetzung?
1. Was ist Part-IS?
Mit Part-IS (Part Information Security) werden zwei inhaltlich sehr ähnliche EU-Verordnungen bezeichnet.
Zum einen ist die „Durchführungsverordnung 2023/203“ der Europäischen Kommission gemeint, zum anderen die „Delegierte Verordnung 2022/1645“ der Europäischen Kommission. Die „Delegierte Verordnung 2022/1645“ gilt für Herstellungs- und Entwicklungsorganisationen sowie Flugplatzbetreiber und Anbieter von Vorfeldkontrolldiensten.
Beide haben das Ziel, Informationssicherheitsrisiken mit potentiellen Auswirkungen auf die Luftsicherheit zu managen. Kurz gesagt fordert Part-IS, dass Unternehmen, die in den Scope der Verordnung fallen, ein ISMS etablieren müssen. Eine Übertragung in nationales Recht ist nicht notwendig.
2. Was sind die Ziele von Part-IS?
Risiken in Bezug auf Sicherheit in der Flugindustrie wurden schon immer streng gemanagt: Jeder Vorfall in der Aviation Industrie führt dazu, dass umfangreiche Untersuchgen erfolgen mit dem Ziel, Prozesse zu verbessern, um ähnliche Zwischenfälle vermeiden zu können. Trotz solcher Anstrengungen konnten die Anschläge vom 11. September geschehen. Im abschließenden Untersuchungsbericht zu den Terroranschlägen wurde als gravierendster Fehler die „mangelnde Vorstellungskraft“ vermerkt – man hatte schlicht nicht genug Fantasie, um sich ein solch drastisches Szenario auszudenken (genaues Zitat: „The most important failure was one of imagination.“
Link zum 9/11 Report: National Commission on Terrorist Attacks Upon the United States (911commission.gov).
Mit der zunehmenden Digitalisierung wird das Szenario eines „Cyber 9/11“ denkbar, bei dem ein Angreifer nicht einmal mehr in das Flugzeug einsteigen muss, sondern es durch digitale Manipulationen fernsteuern und katastrophalen Schaden anrichten kann. Part-IS ist eine Maßnahme, genau diesem Worst-Case-Szenario gegenüberzutreten und sich dagegen zu wappnen.
3. Wer ist von Part-IS betroffen?
Betroffen ist eine Reihe von Organisationen, die bereits durch andere luftrechtliche Vorgaben reguliert sind. Die „Durchführungsverordnung 2023/203“ gilt zum einen für:
a) Instandhaltungsorganisationen ("Part-145-Betrieb", technische Wartung der Flugzeuge)
b) Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit ("CAMO-Betrieb", Überwachung der Maintenance-Tätigkeiten an Flugzeugen)
c) Luftfahrtunternehmen nach Anhang III (Teil-ORO) der Verordnung (EU) Nr. 965/2012 ("AOCs“, also Unternehmen, die ein Air Operators Certificate halten und aufgrund dessen Flugbetrieb durchführen können)
d) zugelassene Ausbildungsorganisationen (ATO)
e) flugmedizinische Zentren für das fliegende Personal
f) Betreiber von Flugsimulationsübungsgeräten (FSTD) (Ausnahme bei ausschließlich theoretischer Ausbildung)
g) Ausbildungsorganisationen (ATCO TO) und flugmedizinische Zentren für Fluglotsen
h) Organisationen nach Anhang III (Teil-ATM/ANS.OR) der Durchführungsverordnung (EU) 2017/373 (es handelt sich um Anbieter von "Air Traffic Management" und “Air Navigation Systems”, mit Einschränkungen z. B. für Luftverkehr im Zusammenhang mit Drohnen)
Neben diesen Organisationen müssen aber auch die zuständigen Behörden Part-IS umsetzten, also beispielsweise die EASA oder in Deutschland das LBA.
Die „Delegierte Verordnung 2022/1645“ gilt für Herstellungs- und Entwicklungsorganisationen sowie Flugplatzbetreiber und Anbieter von Vorfeldkontrolldiensten.
Die Audittätigkeiten, die die zuständigen Behörden jetzt schon in Bezug auf geltende luftrechtliche Anforderungen tätigen, werden um Part-IS erweitert.
4. Was sind die wichtigsten Anforderungen von Part-IS?
Anforderung IS.I.OR.240 Anforderungen an das Personal
Part-IS fordert zum einen die Einrichtung einer neuen Rolle, die für die Einhaltung der Anforderungen in der Organisation zuständig sein soll, die sogenannte „Appointed Person Information Security“. Es gibt auch die Möglichkeit, eine Gruppe an APIS zu benennen. Diese Person verantwortet alles, was in Part-IS in Richtung InfoSec gefordert ist und vertritt die Part-IS Compliance gegenüber den Behörden. Alternativ gibt es für komplexere Organisationsstrukturen die Möglichkeit, eine „Common Responsible Person“ zu benennen, die über Organisationen hinweg diese Rolle einnehmen kann.
Neben dem „APIS“ fordert Part-IS weitere bereits bekannte Rollen wie die des Accountable Managers oder des Compliance Monitoring Managers.
Anforderungen IS.I.OR.205 Bewertung des Informationssicherheitsrisikos und IS.I.OR.210 Umgang mit dem Informationssicherheitsrisiko
Die wohl aufwändigste Anforderung ist diejenige zum Risk Management. Wie in einem ISMS üblich, sollen Informationssicherheitsrisiken identifiziert, bewertet und behandelt werden. Bei Part-IS liegt eine Spezialität darin, dass dies auf Basis einer umfangreichen Asset-Erhebung zu basieren hat. Im Detail sollen die Organisationen „alle Elemente ermitteln, […] die Informationssicherheitsrisiken ausgesetzt sein könnten.“ Das umfasst:
1. die Tätigkeiten, Einrichtungen und Ressourcen der Organisation sowie die Dienste, die die Organisation betreibt, erbringt, erhält oder aufrechterhält;
2. die Ausrüstung, Systeme, Daten und Informationen, die zur Funktionsfähigkeit der unter Nummer 1 aufgeführten Elemente beitragen.
3. die Schnittstellen zu anderen Organisationen, die dazu führen könnten, dass sie gegenseitig Informationssicherheitsrisiken ausgesetzt sind.
Schließlich sind für Part-IS hierfür speziell Informationssicherheitsrisiken zu betrachten, die einen negativen Impact auf die Sicherheit im Sinne der Safety des Flugbetriebs haben könnten.
Anforderung IS.I.OR.250 Handbuch zum Informationssicherheitsmanagement (ISMM)
Unabdingbar für die Part-IS Compliance ist außerdem die Forderung nach dem „Information Security Management Manual“ (ISMM). Hier sollen alle Rollen, Verantwortlichkeiten und Kernprozesse des implementierten Part-IS ISMS dokumentiert werden. Welche Punkte inhaltlich in das ISMM gehören, ist durch Part-IS streng vorgegeben. Das ISMM dient letztendlich als Compliance-Nachweis, der den zuständigen Behörden als Beleg für die Umsetzung von Part-IS vorgelegt werden muss.
Dabei gibt es die Möglichkeit, die Inhalte des ISMM in bestehende luftrechtlich geforderte Handbücher wie zum Beispiel in ein genehmigtes Safety Management Manual eines genehmigten Luftfahrtunternehmen zu integrieren.
5. Welche Auswirkungen hat Part-IS auf die Prozesse im Unternehmen?
Grundsätzlich müssen die bestehenden Prozesse der luftrechtlich regulierten Organisationen erweitert werden, um Informationssicherheitsrisiken managen zu können. Der Gesetzestext fügt sich dabei in die bestehenden Vorgaben ein und knüpft an viel Bekanntes an, beispielsweise in den Anforderungen an das interne und externe Reporting oder auch bei den Vorgaben zum Compliance Monitoring Management (internes Auditsystem).
Die Schwierigkeit besteht darin, dass Part-IS die Organisationen dazu zwingt, zusätzlich zur Sicherheit im Sinne der „Safety“, also der Betriebssicherheit, nun auch Fragen der „Information Security“ zu berücksichtigen. Hierbei geht es bei Part-IS vorrangig um vorsätzliche oder illegale Handlungen, die gezielt Leib und Leben von Menschen gefährden. Das ausschließliche Ausgehen von vorsätzlichen und böswilligen Handlungen stellt in gewisser Weise einen Wandel für das Mindset bei der Betrachtung von Risiken in der Aviation Safety dar.
6. Inwiefern unterscheidet sich ein ISMS gemäß Part-IS von einem ISMS nach ISO 27001?
- Die Forderungen an ein ISMS nach ISO 27001 sind sehr allgemein gehalten, um für eine Vielzahl von Unternehmen anwendbar zu sein. Das ISMS nach Part-IS hingegen ist sehr speziell – es ist für einen spezifischen Anwendungsfall konzipiert und richtet sich an konkrete Unternehmen, die bereits jetzt strengen luftrechtlichen Anforderungen unterliegen. Der Anwendungsfall ist etwas umständlich formuliert „Informationssicherheitsrisiken, die negative Auswirkungen auf die Luftsicherheit (im Sinne der Safety) haben könnten“.
- Im ISMS nach ISO 27001 steht die Informationssicherheit eines Unternehmens im Fokus. Bei Part-IS geht es auch um die Informationssicherheit, hier ist aber das konkrete Ziel, darüber die Luftsicherheit (im Sinne der Safety) sicherzustellen.
- Ein etabliertes ISMS nach ISO 27001 bietet Unternehmen einen Vorsprung an Expertise, insbesondere was das Management von Informationssicherheitsrisiken betrifft. Part-IS jedoch bleibt letztlich eine luftrechtliche Vorgabe mit ganz konkreten Forderungen, die ein ISMS nach ISO 27001 ohne Zutun nicht erfüllen kann, schon allein aufgrund der speziellen Organisation des Safety Managements in der Aviation Industrie, die durch die strengen Vorgaben der Behörden geprägt ist. Damit muss sich ein Part-IS ISMS in die bestehenden luftrechtlichen Management Systeme integrieren.
- Falls es schon ein ISMS in einem Unternehmen gibt, bietet sich die Chance, Part-IS zumindest in Teilen über eine Harmonisierung der beiden Management Systeme umzusetzen. Hier macht es Sinn, zu schauen, welche Maßnahmen auf beiden Seiten bestehen und wie Brücken geschlagen werden können. Das ISMS nach ISO 27001 könnte dabei so ausgerichtet werden, dass es die Forderungen des Part-IS optimal unterstützt.
- Insbesondere bei den Themen Asset Management, Risiko Management und Incident Management können wertvolle Impulse aus der ISMS-Organisation kommen.
7. Wie starten Sie am besten mit der Part-IS Umsetzung?
Auf jeden Fall nicht zu spät – Februar 2026 ist nicht mehr weit und je nach Größe und Komplexität Ihres Unternehmens ist mitunter viel interner Abstimmungsbedarf notwendig. Außerdem sind die Inhalte des ISMM recht umfangreich.
Bei der Vorgehensweise kommt es vor allem auf 2 Faktoren an:
- Größe/Komplexität des Unternehmens (Anzahl der regulierten Organisationen innerhalb des Unternehmens, Anzahl der involvierten Aufsichtsbehörden, Komplexität der internen Organisation)
- Gibt es bereits ein ISMS, und wenn ja, welchen Reifegrad hat dieses und wie verankert ist das bestehende ISMS in der Part-IS regulierten Organisation?
Wir empfehlen die folgenden nächsten Schritte:
- Führen Sie eine Gap-Analyse als ersten wichtigen Schritt durch
- Klären Sie die (Ziel-)Organisation zum Aufbau und zur Aufrechterhaltung der Part-IS-Compliance
- Um sich Klarheit über den Umfang des Scopes zu verschaffen, erheben Sie die unter Part-IS relevanten Assets zeitnah, um zum Beispiel Abschätzungen über den Aufwand von Risk Assessments machen zu können.
- Es kann zusätzlich Vorteile bieten, früh mit einem Sounding mit den zuständigen Behörden zu starten und die bekannten Prüfer von den Behörden bei Unsicherheiten oder Ideen für die Umsetzung anzusprechen.
Bleiben Sie auf dem Laufenden: In unserem Newsblog werden wir weitere Artikel mit detaillierten Informationen zu Part-IS für Sie veröffentlichen. (Beispielsweise: Part-IS im Kontext anderer Standards und Verordnungen, wie ISO 27001 und NIS-2).
Sie haben in der Zwischenzeit Fragen zu Part-IS oder benötigen Unterstützung? Kontaktieren Sie uns, wir sind gerne für Sie da.