Part-IS
Sie stärken die Luftsicherheit. Wir stehen Ihnen zur Seite.
Part-IS – Informationssicherheit in der Luftfahrt
Die Zivilluftfahrt besteht aus einem komplexen Netzwerk zahlreicher verknüpfter Systeme, die immer häufiger zum Ziel von Cyberangriffen werden. Mit Part-IS (Part Information Security) werden betroffene Organisationen dazu verpflichtet, effektive Maßnahmen zum Schutz vor Informationssicherheitsrisiken zu ergreifen, die die Luftsicherheit beeinträchtigen könnten.
Was ist Part-IS?
Part-IS bezeichnet dabei zwei inhaltlich sehr ähnliche EU-Verordnungen:
- die „Durchführungsverordnung 2023/203“ der Europäischen Kommission
- die „Delegierte Verordnung 2022/1645“ der Europäischen Kommission
Part-IS fordert von Unternehmen, die in den Scope einer der beiden Verordnungen fallen, bis Februar 2026 ein spezialisiertes Informationssicherheitsmanagementsystem (ISMS) zu etablieren.
Welche Unternehmen fallen in den Scope von Part-IS?
Betroffen ist eine Reihe von Organisationen, die bereits durch andere luftrechtliche Vorgaben reguliert sind:
- Instandhaltungsorganisationen ("Part-145-Betrieb")
- Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit ("CAMO-Betrieb")
- Luftfahrtunternehmen nach Anhang III (Teil-ORO) der Verordnung (EU) Nr. 965/2012 ("AOCs”)
- Zugelassene Ausbildungsorganisationen (“ATO”)
- Flugmedizinische Zentren für das fliegende Personal
- Betreiber von Flugsimulationsübungsgeräten (“FSTD”)
- Ausbildungsorganisationen (“ATCO TO”) und flugmedizinische Zentren für Fluglotsen
- Organisationen nach Anhang III (Teil-ATM/ANS.OR) der Durchführungsverordnung (EU) 2017/373)
Neben diesen Organisationen müssen aber auch zuständige Behörden Part-IS umsetzten, in Deutschland beispielsweise das Luftfahrt Bundesamt (LBA).
Haben Unternehmen, die bereits ein ISMS betreiben, einen Vorteil?
Nicht unbedingt – das von Part-IS geforderte ISMS ist nämlich nicht äquivalent zu einem ISMS nach ISO 27001. Die Sicherheitsanforderungen von Part-IS orientieren sich jedoch in Teilen an bekannten Standards wie ISO 27001 oder dem NIST Cyber Security Framework. Betreibt Ihr Unternehmen also bereits ein ISMS, sollten Sie unbedingt prüfen, ob bestehende Maßnahmen hinsichtlich ihrer Part-IS Compliance aufgegriffen und nutzbar gemacht werden können.
Sie sind betroffen? Das sind Ihre nächsten Schritte.
Muss Ihre Organisation Part-IS umsetzen, empfehlen wir Ihnen, zügig zu reagieren:
1.) Führen Sie im ersten Schritt eine Gap-Analyse durch. So erhalten Sie einen ersten Überblick über den Status Quo in Ihrer Organisation.
2.) Klären Sie die (Ziel-)Organisation zum Aufbau und zur Aufrechterhaltung der Part-IS-Compliance. Wichtige Fragen sind zum Beispiel: Wer übernimmt die Rolle der “Appointed Person Information Security” und wie genau definiert Ihr Unternehmen deren Aufgaben und Befugnisse? Oder macht die Etablierung einer “Common Responsible Person” mehr Sinn? Wie können Prozesse der IT, z. B. zum Incident Management, zur Erreichung der Part-IS integriert werden?
3.) Um sich Klarheit über den Umfang des Scopes zu verschaffen, erheben Sie die unter Part-IS relevanten Assets zeitnah, um zum Beispiel Abschätzungen über den Aufwand von Risk Assessments machen zu können.
Selbstverständlich stehen wir Ihnen bei jedem dieser Schritte mit Rat und Tat zur Seite.
Darauf können Sie vertrauen
Erfahrung
Über 20 Jahre Erfahrung in internationalen Aufbau- und Beratungsprojekten der Informationssicherheit, ergänzt durch umfassendes Branchen-Know-how der europäischen Luftfahrt.
Full Service Provider
Wir decken die gesamte Wertschöpfungskette der IT-Sicherheit ab – von Pentests über Beratung bis hin zu Assessments.
Unabhängigkeit
Unabhängige und umfassende Beratung – von der Sicherheitsstrategie bis zu Richtlinien.
Praktikabilität
Die beste Empfehlung hilft nichts, wenn sie in der Praxis nicht umsetzbar ist. Deshalb schätzen unsere Kunden unsere Best Practices und unseren Blick auf die Realität.
Mehr Informationen zu Part-IS
