Die EASA (Europäische Agentur für Flugsicherheit) ist für die Sicherheit der zivilen Luftfahrt in Europa zuständig. Mit den Easy Access Rules – Part-IS hat sie erstmals verbindliche Vorgaben zur Cybersicherheit für Organisationen der Luftfahrtbranche veröffentlicht. Ziel dieser EU-Verordnung für Luftfahrt-Unternehmen ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen nachhaltig zu stärken.
Ab 2025/2026 sind betroffene Unternehmen verpflichtet, diese Anforderungen umzusetzen. Im Mittelpunkt steht die Einführung eines Informationssicherheits-Managementsystems (ISMS) sowie dessen Dokumentation in einem Information Security Management Manual (ISMM). Cybersicherheit wird damit zu einem integralen Bestandteil der regulatorischen Anforderungen in der europäischen Luftfahrt.
Wichtig sind die EU-Verordnungen
(EU) 2022/1645 und (EU) 2023/203
Ab 16. Oktober 2025
nach Verordnung (EU) 2022/1645
Ab 22. Februar 2026
nach Verordnung (EU) 2023/203
Cyberrisiken in der Luftfahrt nehmen zu. Gleichzeitig steigen die regulatorischen Anforderungen:
EASA, ISO/IEC 27001, NIS-2, DO-326A, ICAO, FAA – Sicherheit endet nicht beim Türschalter.
AeroSec unterstützt Sie dabei, Informationssicherheit verständlich, wirksam und branchenspezifisch umzusetzen.
Aufbau & Pflege von Managementsystemen nach ISO 27001, EASA Part-IS, DO-326A u.a. – speziell für Luftfahrt-Unternehmen. Wir begleiten Ihr ISMS auch über die Einführung hinaus.
Interne Audits, Gap-Analysen, Risiko-Workshops & Behördenvorbereitung.
Das Ergebnis: Ein zertifizierbares ISMS mit Handbuch (ISMM), das Sie bei der zuständigen Luftfahrtbehörde einreichen können.
Schulungen in Informationssicherheit und Cybersecurity.
Für Technik, IT, Crew & Management – speziell für die Luftfahrt.
Dokumentation aller Prozesse, Verfahren und Maßnahmen: IT-Infrastruktur, Cloud, Avionik-Systeme – mit Sicherheitsfokus.
NIS-2, EASA, Part-145, Part-CAMO – wir übersetzen Vorschriften in Handlungen. Individuell abgestimmt auf die EASA-Genehmigung (z. B. ATO, CAMO, AOC).
Wir starten mit einem strukturierten Kickoff und prüfen systematisch den Status Quo. In der Gap-Analyse identifizieren wir Schwachstellen, den aktuellen Reifegrad und regulatorische Lücken im Vergleich zu den EASA-Vorgaben (Part-IS). Das Ergebnis: Ein klarer Maßnahmenplan.
Gemeinsam entwickeln wir alle erforderlichen Dokumente für ein konformes Informationssicherheits-Managementsystem (ISMS) – inklusive Information Security Management Manual (ISMM), Risikoanalysen, Richtlinien und Prozessen.
Ob interne Prüfung oder externe Auditvorbereitung: Wir begleiten Sie bis zur erfolgreichen Umsetzung – und darüber hinaus. Mit pragmatischer Beratung, Audit-Coaching und technischer Unterstützung für einen nachhaltigen Betrieb des ISMS.
Part-IS ist ein neuer Teil der EASA-Regularien und enthält erstmals verbindliche Anforderungen zur Informationssicherheit in der zivilen Luftfahrt. Ziel ist es, die Resilienz von Organisationen gegenüber Cyberbedrohungen zu erhöhen.
Ein ISMS (Informationssicherheitsmanagementsystem) strukturiert, dokumentiert und überwacht alle Sicherheitsmaßnahmen im Unternehmen. Es ist der zentrale Baustein, um die Anforderungen aus Part-IS systematisch zu erfüllen.
Das Information Security Management Manual (ISMM) ist die zentrale Dokumentation deines ISMS. Es fasst Richtlinien, Prozesse, Rollen und Sicherheitsmaßnahmen in einem Handbuch zusammen – vergleichbar mit einem Safety Manual, aber für Informationssicherheit.
Eine Zertifizierung ist nicht zwingend, aber sehr hilfreich. Sie zeigt Behörden und Partnern, dass dein ISMS einem anerkannten Standard entspricht – und erleichtert die Umsetzung der EASA-Vorgaben erheblich.
Das kann im schlimmsten Fall zu aufsichtsrechtlichen Konsequenzen führen – etwa Einschränkungen im Betrieb, zusätzliche Audits oder Lizenzrisiken. Auch versicherungsrechtlich kann eine Nichterfüllung problematisch sein.
Das hängt von deinem aktuellen Reifegrad ab. Für kleinere Organisationen können 3–6 Monate ausreichen, größere Strukturen sollten mit 6–12 Monaten rechnen – inklusive Dokumentation, Maßnahmen und Auditvorbereitung.
Die EASA fordert eine benannte verantwortliche Person für Informationssicherheit – analog zur Rolle des Safety Managers. Diese Person muss organisatorisch verankert und ausreichend qualifiziert sein.
Wir begleiten dich in allen Phasen – von der Gap-Analyse über die Dokumentation bis zur Auditvorbereitung. Mit Fachwissen aus der Informationssicherheit und tiefem Verständnis für die Anforderungen der Luftfahrtbranche.
