Was sind die neuen EAR-Informationssicherheitsregeln der EU für die Luftfahrt? ISMS.online

Was sind die neuen EAR-Informationssicherheitsregeln der EU für die Luftfahrt?

Von John Leyden • 7 Februar 2024

Die jüngsten Überarbeitungen der EU-weiten Cybersicherheitsvorschriften für die Luftfahrtindustrie könnten die Einführung von IT-Industriestandards wie ISO 27001 vorantreiben.

Der Erste Easy Access Rules (EAR) für Informationssicherheit (Teil IS) der Europäischen Agentur für Flugsicherheit (EASA) legen „Anforderungen für das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit“ fest. Bisherige Cybersicherheitsregeln waren auf OEMs beschränkt – im Gegensatz zum EAR (Teil IS), das für den gesamten Luftfahrtsektor gilt. Die Einhaltungsfristen Oktober 2025 und Februar 2026 gelten für verschiedene Arten von Organisationen, wie in den unterstützenden EU-Gesetzen definiert.

Dazu gehören: Wartungsorganisationen, Anbieter von Lufttüchtigkeitsmanagement, Luftfahrtunternehmen, flugmedizinische Zentren, Ausbildungsorganisationen für Fluglotsen und Betreiber von Flugsimulationsgeräten. Auf der Liste stehen auch Flughäfen, Kommunikationsinfrastrukturanbieter, Navigationsinfrastrukturorganisationen, Flugtürme und Überwachungseinrichtungen.

Die Regeln sollen sicherstellen, dass Informationssicherheitsrisiken in der Luftfahrtindustrie effektiv gemanagt werden, was ein wichtiger Faktor für die Sicherheit insgesamt ist. Die Angleichung an US-Luftfahrtstandards wurde bereits vereinbart, und regelmäßige Aktualisierungen der Easy Access Rules (Teil IS) sind geplant, so dass es sich um eine Reihe von Vorschriften handelt, die sich im Laufe der Zeit weiterentwickeln werden.

Erkennen, schützen, reagieren und wiederherstellen

Der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist für Luftfahrtunternehmen, die die Vorschriften einhalten müssen, von entscheidender Bedeutung. Weitere wichtige Komponenten umfassen Sicherheitsüberwachung, Audits und Maßnahmen, die Unternehmen auf eine höhere Cybersicherheitsreife hinweisen. Sie sind:

⦁ Ein ISMS aufbauen und betreiben
⦁ Implementieren und pflegen Sie eine Informationssicherheitsrichtlinie
⦁ Informationssicherheitsrisiken identifizieren, überprüfen und beheben
⦁ Bedrohungserkennung für Ereignisse im Zusammenhang mit der Flugsicherheit
⦁ Ergreifen Sie Abhilfemaßnahmen, um die von einer zuständigen Behörde gemeldeten Feststellungen zu beheben
⦁ Sicherheitsberichte
⦁ Compliance-Überwachung
⦁ Führen Sie einen kontinuierlichen Verbesserungsprozess ein

Ken Munro ist CEO bei Pen Test Partners, einem in Großbritannien ansässigen Unternehmen für Penetrationstester mit Kunden aus der Luftfahrtbranche. Er sagt gegenüber ISMS.online, dass die Einführung von ISO 27001 den Organisationen des Luftfahrtsektors dabei helfen wird, die neuen EU-weiten Vorschriften einzuhalten.

„Die EAR (Teil IS) orientiert sich tatsächlich ziemlich genau an bestehenden Standards wie ISO 27001, sodass Organisationen mit bestehenden Compliance-Frameworks die Zuordnung ziemlich einfach finden sollten“, erklärt er.

Allerdings könnte sich die unterschiedliche Umsetzung von Best Practices im Bereich Cybersicherheit in der gesamten Branche für einige als Herausforderung erweisen.

„Unsere Erfahrungen im Luftfahrtsektor als Ganzes haben gezeigt, dass der Sicherheitsreifegrad sehr unterschiedlich ist. Einiges davon ist verständlich: Würden wir erwarten, dass ein kleiner Regionalflughafen den gleichen Reifegrad hat wie ein großer Drehkreuzflughafen? Die Herausforderung besteht darin, dass der Reisende und sein Gepäck beim Check-in und nicht beim Transfer überprüft werden, wodurch Anschlussflüge möglicherweise aufgedeckt werden“, erklärt Munro.

„Dürfen wir auch erwarten, dass eine große Fluggesellschaft den gleichen Reifegrad hat wie ein kleiner regionaler Betreiber? Sie werden ähnliche Flugsicherheitsregelungen haben, aber das gleiche Maß an Cybersicherheitsregelungen ist weniger wahrscheinlich.“

Daher ist es eine Herausforderung, einen Weg zu finden, diese Schwachstellen in der Kette im gesamten Luftfahrtsektor zu stärken.

Turbulenzen stehen bevor?

Die neuen Regeln geben einige Beispiele für die Anwendbarkeit in Bezug auf ihren Anwendungsbereich, sind laut Munro jedoch im Vergleich zu anderen Systemen wie CAA ASSURE „etwas ungenau“.
Das CAA ASSURE (Cyber Audit)-Programm ist ein externes Auditmodell, das von der britischen Zivilluftfahrtbehörde (CAA) in Zusammenarbeit mit CREST entwickelt wurde.

„Dieser [Mangel an Details in EAR] scheint ein wenig im Widerspruch zum CAA ASSURE-System zu stehen, das erhebliche Anstrengungen unternimmt, um kritische Systeme bei Fluggesellschaften und Flughäfen zu identifizieren“, erklärt Munro. „Dies hat den Betreibern geholfen, ihre Bemühungen auf die Systeme zu konzentrieren, die die Flugsicherheit beeinträchtigen oder die Flugabfertigung verhindern könnten. Beides könnte erhebliche Auswirkungen auf die Sicherheit haben.“

Munro kommt zu dem Schluss: „In Anhang 1 wird versucht, einige Beispiele für potenzielle Angriffe zu nennen, aber dies scheint eine ziemlich zufällige Auswahl zu sein und zahlreiche wichtige Bereiche außer Acht zu lassen.“ Dabei besteht die Gefahr, dass sich Organisationen auf die angeführten Beispiele zulasten anderer Bereiche konzentrieren.“

Hugo Teso, ein Berufspilot und Experte für Cybersicherheit in der Luftfahrt, fungierte als externer Experte in dem Prozess, der zur Entwicklung der Verordnung führte. In einem Beitrag Auf LinkedIn sagt er, dass die Vorschriften über die bloße Anforderung eines ISMS für betroffene Organisationen hinausgehen.

Das unterstützende 278-seitige Dokument, das EAR Part-IS und deren Umfang beschreibt, positioniert ein ISMS als Schlüsselkomponente, aber keineswegs als den einzigen Schritt zur Konformität.

Vorbereitung zum Abheben

Nach Ansicht anderer Experten ist ISO 27001 jedoch ein guter Ausgangspunkt.

„Während sich Luft- und Raumfahrtunternehmen auf die bevorstehenden EU-Cybersicherheitsvorschriften für die Luftfahrt (EASA EAR Part-IS) vorbereiten, ist einer der ersten Schritte, die sie unternehmen können, die Einrichtung eines ISMS, das dem ISO 27001-Standard entspricht“, argumentiert Sam Peters, Chief Product Officer von ISMS.online.

„Indem Luft- und Raumfahrtunternehmen jetzt proaktiv auf die Einhaltung der ISO 27001 hinarbeiten, können sie sich einen Vorsprung bei der Erfüllung der EASA-Anforderungen verschaffen und den Aufsichtsbehörden zeigen, dass sie Cybersicherheit ernst nehmen.“

Anschließend entwirft Peters einen Aktionsplan für Compliance-Manager und Verantwortliche für Cybersicherheit im Luftfahrtsektor.

„Die erste Phase bestünde darin, den Umfang des ISMS auf der Grundlage der Luftfahrtdienstleistungen und Vermögenswerte des Unternehmens zu definieren, die unter die Aufsicht der EASA fallen“, sagt er.

„Eine umfassende Risikobewertung kann dann Cyber-Schwachstellen identifizieren und geeignete Kontrollen aus ISO 27001 abbilden, um die Abwehrkräfte in kritischen Bereichen zu stärken.“ Dinge wie Zugangskontrollrichtlinien, Lieferantenmanagement, Pläne zur Reaktion auf Vorfälle und Sicherheitsschulungen des Personals sollten Vorrang haben.“

Unabhängig von den EAR Part-IS-Anforderungen wird die Umstellung auf ISO 27001 den Anbietern im Luftfahrtsektor geschäftliche Vorteile bringen.

„Ein zusätzlicher Vorteil der Einführung von ISO 27001 besteht darin, dass ein ganzheitlicher, prozessbasierter Ansatz zur Informationssicherheit verfolgt wird. Dies macht das ISMS zu einem soliden Geschäftstreiber, der es Luft- und Raumfahrtunternehmen ermöglicht, Ineffizienzen zu erkennen, Risiken zu reduzieren und datengesteuerte Investitionsentscheidungen im gesamten Unternehmen zu treffen“, schließt er.

„Da die Frist für die Einhaltung von EASA EAR Part-IS näher rückt, wird die Einhaltung etablierter ISO 27001-Rahmenwerke Luft- und Raumfahrtorganisationen dabei helfen, den Prüfern der EASA nachzuweisen, dass sie ein ausgereiftes ISMS implementiert haben, das auf die einzigartigen Cyberrisiken der Luftfahrtindustrie zugeschnitten ist.“ Wenn Sie diese proaktiven Schritte heute unternehmen, wird die Compliance-Reise morgen reibungsloser verlaufen.“

John Leiden

John Leyden schreibt seit mehr als 20 Jahren über Computernetzwerke und Cybersicherheit. Vor dem Aufkommen des Internets arbeitete er als Kriminalreporter bei einer Lokalzeitung in Manchester. John hat einen Abschluss in Elektrotechnik von der City, University of London.

Lesen Sie mehr von John Leyden

Datenschutz 22 August 2024

Unternehmen werden aufgefordert, die sich schnell entwickelnden KI-Vorschriften zu verfolgen

Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten

Künstliche Intelligenz (KI) verändert den Informationstechnologiesektor in schwindelerregendem Tempo. KI hat Anwendungen, einschließlich Daten, verändert ...

John Leiden

Internet-Sicherheit 20 Juni 2024

Warum Anbieter Schwierigkeiten haben könnten, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Zahlreiche Technologieanbieter haben sich der von der US-Regierung unterstützten „Secure by Design“-Verpflichtung angeschlossen. Doch stellt diese Verpflichtung einen Bruch mit der Vergangenheit dar?

John Leiden

Internet-Sicherheit 28. Mai 2024

Dekodierung der neuen NCSC-Richtlinien für Cloud-gehostete Scada-Banner

Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA

Operational Technology (OT)-Systeme überwachen und steuern automatisch Prozesse und Geräte, die alles von Kraftwerken bis hin zu intelligenten Krankenhäusern betreiben.

John Leiden