Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Keine Luftnummern zur Cybersicherheit : Informations-Sicherheits-Anforderungen der Agentur für Flugsicherheit der Europäischen Union – EASA PART-IS

Als Blick über den regulatorischen Tellerrand beschreiben unsere Autoren* die Anforderungen zur Informations-Sicherheit, welche die Agentur für Flugsicherheit der Europäischen Union (EASA) im Rahmen der einschlägigen EU-Regularien in Form von „Easy Access Rules“ (EAR) für eine leichtere Zugänglichkeit durch betroffene Organisationen bereitgestellt hat.

Manuel AtugRozerin KaraterziComplianceEU-RegulierungLuftfahrtbrancheRecht
Lesezeit 6 Min.

Die Durchführungsverordnung (EU) 2023/203 „zur Festlegung von Vorschriften … hinsichtlich der Anforderungen an das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit“ [1] wurde von der EU-Kommission am 27. Oktober 2022 erlassen und trat am zwanzigsten Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft. Ab dem 22. Februar 2026 gilt sie unmittelbar in jedem EUMitgliedstaat.

Diese EU-Verordnung enthält verbindliche Vorschriften zur Informationssicherheit in der zivilen Luftfahrt. Ein zentraler Bestandteil dieser EU-Verordnung ist der sogenannte Part-IS (Information-Security), der sicherstellen soll, dass Organisationen der Luftfahrtbranche angemessene Maßnahmen zum Schutz sensibler Informationen vor Cyberbedrohungen und anderen sicherheitsrelevanten Risiken ergreifen.

Die europäische Agentur für Flugsicherheit (EASA) war an der inhaltlichen Vorbereitung dieser EUVerordnung beteiligt, indem sie Analysen, Empfehlungen und Fachwissen eingebracht hat. Zwar erlässt die EASA selbst keine Gesetze, sie unterstützt jedoch die Umsetzung durch Leitlinien (Guidance Material, GM) und anerkannte Umsetzungsmethoden (Acceptable Means of Compliance, AMC).

Die Durchführungsverordnung (EU) 2023/203 richtet sich an Organisationen der zivilen Luftfahrt – etwa Fluggesellschaften, Flughäfen, Wartungsbetriebe und Flugsicherungsdienste. Diese sind verpflichtet, ein Informationssicherheitsmanagement (ISM) einzuführen, Risiken zu bewerten und sicherheitsrelevante Vorfälle zu melden. Die Einhaltung dieser Vorschriften wird durch die zuständigen nationalen Luftfahrtbehörden überwacht – zum Beispiel das Luftfahrt-Bundesamt in Deutschland (www.lba.de).

Im August 2024 hat die EASA leicht zugängliche Vorschriften für die Informationssicherheit veröffentlicht, die sich auf die EU-Verordnungen 2023/203 [1] und 2022/1645 [2] beziehen, die wiederum die Anwendung der EU-Verordnung 2018/1139 [3] für bestimmte Organisationen (siehe unten) konkretisieren. Ziel dieser „Easy Access Rules“ (EAR) [4] ist es, eine effiziente und zuverlässige Umsetzung der EU-Verordnungen und -Regeln zu erleichtern.

Die EAR werden von der EASA herausgegeben, um ihren Interessengruppen eine aktualisierte, konsolidierte und leicht verständliche Veröffentlichung zur Verfügung zu stellen. Sie wurden erstellt, indem die offiziell veröffentlichten EU-Vorschriften mit den entsprechenden akzeptablen Mitteln der Einhaltung (AMC) und Leitmaterialien (GM) (einschließlich ihrer Änderungen), die bisher angenommen wurden, zusammengestellt wurden. Wichtig zu erwähnen ist, dass das EAR-Dokument keine offizielle Veröffentlichung der EU ist.

Geltungsbereich der PART-IS

Die EU-Durchführungsverordnung 2023/203 [1] gilt (mit Ausnahmen) unter anderem für bestimmte Instandhaltungsorganisationen, Organisationen zur Führung der Aufrechterhaltung der Lufttüchtigkeit (CAMO), Luftfahrtunternehmen, zugelassene Ausbildungsorganisationen (ATO), flugmedizinische Zentren, Betreiber von Flugsimulationsübungsgeräten (FSTD), Ausbildungsorganisationen (ATCO TO) und flugmedizinische Zentren für Fluglotsen, bestimmte Flugsicherungs- und Fluginformationsdienste sowie zuständige Behörden einschließlich der EASA selbst.

Dabei wird darauf hingewiesen, dass diese Verordnung die in Nr. 1.7 des Anhangs der Durchführungsverordnung (EU) 2015/1998 „… zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit“ sowie in Art. 14 der NIS-1-Richtlinie (EU 2016/1148) festgelegten Anforderungen an die Informationssicherheit und die Cybersicherheit unberührt lässt.

Anforderungen an die Informations-Sicherheit

Wie bereits erwähnt hat die EU-Kommission die Durchführungsverordnung 2023/203 erlassen, um eine sichere zivile Luftfahrt zu gewährleisten. Darüber hinaus stellt diese Verordnung klare Vorschriften vor allem in Bezug auf die Informationssicherheit auf: der Abschnitt „Informationssicherheit – Anforderungen an Organisationen (Teil-IS.O.OR)“ befindet sich konkret im Anhang II der Verordnung.

Betroffene Organisationen müssen:

  • ein Informationssicherheits-Managementsystem (ISMS) einrichten
  • alle „Elemente“ ermitteln, die bei ihnen vorliegen und die Informationssicherheitsrisiken ausgesetzt sein könnten
  • Maßnahmen für (nach IS.I.OR.205) identifizierte und nicht hinnehmbare Risiken entwickeln, zeitnah umsetzen und kontinuierlich auf ihre Wirksamkeit prüfen
  • ein System für interne Meldungen einrichten, das die Erfassung und Bewertung von Informationssicherheitsereignissen ermöglicht – einschließlich meldepflichtiger Ereignisse nach Punkt IS.I.OR.230
  • Maßnahmen ergreifen, um Störungen und Schwachstellen zu erkennen, die auf das potenzielle Eintreten nicht hinnehmbarer Risiken, die sich auf die Flugsicherheit auswirken können, schließen lassen
  • nach Erhalt einer Mitteilung über Beanstandungen durch die zuständige Behörde, die Ursache(n) für eine Nichteinhaltung sowie dazu beitragende Faktoren ermitteln, einen Abhilfeplan erstellen sowie die Behebung der Beanstandung zur Zufriedenheit der zuständigen Behörde nachweisen – diese Maßnahmen müssen innerhalb einer mit der zuständigen Behörde vereinbarten Frist durchgeführt werden
  • ein Meldesystem für die Informationssicherheit einrichten
  • bei der Vergabe der Tätigkeiten an andere Organisationen, sicherstellen, dass diese den Anforderungen der Verordnung genügen und die beauftragte Organisation unter Aufsicht arbeitet – es ist sicherzustellen, dass die mit den vertraglich vereinbarten Tätigkeiten verbundenen Risiken angemessen gemanagt werden
  • Anforderungen an das Personal stellen, damit sichergestellt wird, dass alle zur Erfüllung der Anforderungen erforderlichen Ressourcen zur Verfügung stehen – die zuständige Person muss ihre Kenntnisse über die Verordnung nachweisen sowie das für die Informationssicherheit genannte Konzept festlegen und fördern
  • Aufzeichnungen über ihre Tätigkeiten im Bereich des Informationssicherheitsmanagements führen
  • der zuständigen Behörde ein Handbuch zum Informationssicherheitsmanagement (ISM) und gegebenenfalls zugehörige Handbücher und Verfahren zur Verfügung stellen
  • Änderungen des ISMS nach einem von der Organisation entwickelten Verfahren verwalten und der zuständigen Behörde mitteilen – dieses Verfahren muss von der zuständigen Behörde genehmigt werden
  • anhand geeigneter Leistungsindikatoren die Wirksamkeit und Ausgereiftheit ihres ISMS bewerten

Bezug zu NIS-2

Zur Frage, ob die EASA PART-IS auch die Anforderungen der NIS-2-Richtlinie abdecken, erklärt die Agentur: „Gemäß den Leitlinien der Europäischen Kommission zu ‚sektorspezifischen Rechtsakten der Union‘ fällt EASA PART-IS nicht unter die Kategorie ‚Lex Specialis‘. Dies ist vor allem auf den spezifischen Anwendungsbereich der Rechtsvorschriften über Informationssicherheits-Managementsysteme (ISMS) im Vergleich zum umfassenderen Ansatz der NIS-2-Richtlinie zurückzuführen. Die EASA arbeitet jedoch mit der Europäischen Kommission zusammen, um die Einhaltung von EASAPART-IS im Rahmen der NIS-2-Konformität ‚anrechnen‘ zu lassen. Dies kann entweder während der Umsetzung der Richtlinie in nationales Recht oder während der Umsetzungsphase erreicht werden.“ [5] Weitere Leitlinien zu diesem Thema sollen laut EASA im Laufe des Jahres 2025 veröffentlich werden.

Manuel Atug ist Principal, Rozerin Karaterzi ist Werkstudentin Security Consulting bei der HiSolutions AG.

Literatur

[1] Europäische Union, Durchführungsverordnung (EU) 2023/203 der Kommission vom 27. Oktober 2022 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) 2018/1139 … hinsichtlich der Anforderungen an das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit …, in: Amtsblatt der Europäischen Union L 31, S. 1, Februar 2023, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R0203  

[2] Europäische Union, Delegierte Verordnung (EU) 2022/1645 der Kommission vom 14. Juli 2022 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates im Hinblick auf die Anforderungen an das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit …, in: Amtsblatt der Europäischen Union L 248, S. 18, September 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1645

[3] Europäische Union, Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit …, in: Amtsblatt der Europäischen Union L 212, S. 1, August 2018, geändert durch mehrere Rechtsakte zwischen Juli 2021 und Mai 2025, konsolidierte Fassung, Mai 2025, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02018R1139-20250525

 [4] European Union Aviation Safety Agency (EASA), Easy Access Rules for Information Security, Second Easy Access Rules, Juni 2024, www.easa.europa.eu/en/document-library/easy-access-rules/online-publications/easyaccess-rules-information-security

 [5] European Union Aviation Safety Agency (EASA), Applicability, in: Frequently Asked Questions (FAQs) regarding Information Security (Part-IS), undatiert, www.easa.europa.eu/en/the-agency/faqs/informationsecurity-part#category-applicability

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.