Hoch hinaus: Die Teil-IS-Regeln der EU-Agentur für Flugsicherheit erklärt

Hoch hinaus: Die Part-IS-Regeln der EU-Agentur für Flugsicherheit erklärt

Von Kate O'Flaherty • 19. MÄRZ 2026

Die neuen Part-IS-Regeln der Europäischen Agentur für Flugsicherheit (EASA) sind in Kraft getreten und erweitern die Cybersicherheitspflichten im gesamten zivilen Luftfahrtsektor. Was bedeuten diese neuen Anforderungen in der Praxis?

Von Kate O'Flaherty

Cyberangriffe auf die Luftfahrt nehmen rasant zu. Zwischen 2024 und 2025 gab es … 600% Spitze Laut Angaben von Thales kam es in diesem Zeitraum zu 27 größeren Angriffen auf den Sektor.

Im vergangenen Jahr ereigneten sich zahlreiche aufsehenerregende Vorfälle, darunter der Ransomware-Angriff auf Collins Aerospace Das legte die Check-in-Systeme an europäischen Flughäfen lahm. Auch Air France und KLM waren betroffen. verletzt im Jahr 2025 über eine Drittanbieterplattform, die von der Muttergesellschaft genutzt wird. Unterdessen ein Angriff auf einen Zulieferer einer australischen Fluggesellschaft Qantas Die Datensätze von sechs Millionen Kunden wurden offengelegt.

Mit der Zunahme solcher Angriffe werden die Bedrohungen für die Luftfahrtbranche immer komplexer und ausgefeilter. Neben der Gefährdung des Flugbetriebs verfolgen Cyberangriffe mittlerweile auch strategische Ziele.

Laut Thales umfassen diese unter anderem industrielle Cyberspionage, den Zugang zu sensiblen Technologien wie Avionik und Kommunikationssystemen, die Unterbrechung von Lieferketten und die „Erfassung wertvoller Daten wie diplomatischer Reisepläne und vertraulicher Frachtsendungen“.

Angesichts dieser eskalierenden Bedrohung wurde die neue Teil-IS der Europäischen Agentur für Flugsicherheit Es wurden neue Regelungen eingeführt, die die Cybersicherheitspflichten im gesamten zivilen Luftfahrtsektor ausweiten.

Was bedeuten die neuen Anforderungen also in der Praxis?

Attraktives Ziel

Die für den globalen Reiseverkehr notwendigen vernetzten Systeme machen die Luftfahrt zu einem attraktiven Ziel für Cyberkriminelle und staatliche Akteure, so Danny Jenkins, CEO von ThreatLocker. „Angriffe auf Buchungs-, Check-in- oder Boardingsysteme können weitreichende Störungen verursachen – und Ausfälle in der Luftfahrt ziehen schnell größere wirtschaftliche Schäden nach sich“, warnt er.

Part-IS formalisiert somit, was die Bedrohungslandschaft schon seit Längerem deutlich macht. „Cybersicherheit ist keine rein technische Backoffice-Funktion mehr“, erklärt Matt Conlon, CEO und Mitgründer von Cytidel. „Sie ist eine Sicherheitsdisziplin und benötigt dieselbe strukturierte Governance, Risikobewertung und kontinuierliche Überwachung, die in der Luftfahrt seit jeher für andere betriebliche Gefahren angewendet wird.“

Teil IS verpflichtet Unternehmen, ihre Kontrollmechanismen nachzuweisen und deren Wirksamkeit zu belegen. Die Regeln schreiben eine strukturierte Risikobewertung, definierte Governance und Verantwortlichkeiten, die Implementierung und Überwachung verhältnismäßiger Kontrollen, die Meldung von Vorfällen und die kontinuierliche Verbesserung vor.

„Es muss mit dem umfassenderen regulatorischen Rahmenwerk der Luftfahrt übereinstimmen und der behördlichen Aufsicht unterliegen, das heißt, Organisationen müssen nicht nur nachweisen, dass Kontrollmechanismen existieren, sondern auch, dass diese in der Praxis funktionieren“, erklärt Lawrence Baker, technischer Sicherheitsberater für Luft- und Raumfahrt bei der NCC Group. IO.

Formale ISMS

Experten zufolge verdeutlicht diese regulatorische Neuausrichtung, wie branchenspezifische Cybersicherheitsvorschriften zunehmend auf Management-System-basierte Ansätze setzen, die mit anerkannten Standards übereinstimmen.

Teil-IS schreibt ein formelles Informationssicherheits-Managementsystem (ISMS). „Und wie alle modernen Managementsystemstandards basiert auch dieser auf dokumentierten Prozessen, klarer Verantwortlichkeit und kontinuierlicher Verbesserung“, erklärt Baker.

Diese Prinzipien sind bereits im gesamten regulatorischen Rahmen der Luftfahrt verankert, einschließlich Vorschriften wie beispielsweise Teil-21, Teil-Tarnung und Teil-145Diese sind den für die Durchführung von Audits und Aufsichtsmaßnahmen zuständigen Luftfahrtbehörden wohlbekannt, sagt Baker.

Laut Baker müssen Organisationen im Rahmen der Part-IS-Konformität Folgendes nachweisen:

Rückverfolgbarkeit von Entscheidungen
Definierte Verantwortlichkeiten
Leistungsüberwachung
Kontinuierliche Verbesserung der Kontrollen

Part-IS ist laut Conlon von Cytidel zudem „bewusst so konzipiert“, dass die Einhaltung der Vorschriften keine einmalige Angelegenheit ist, die man „ablegt und dann ablegt“. „Verantwortlichkeit ist eindeutig definiert“, sagt er. „Das bedeutet, dass die Governance-Strukturen klar festlegen müssen, wer für Risikoentscheidungen zuständig ist, wer die Aufsicht führt und wie die Eskalation funktioniert.“

„Die Dokumentation bildet die Grundlage für die Beweisführung“, sagt Conlon. „Risikobewertungen, Behandlungspläne, Verfahren zur Bearbeitung von Zwischenfällen und das ISMS-Handbuch müssen gemeinsam belegen, dass das System in der Praxis kohärent ist und funktioniert – und nicht nur auf dem Papier.“

„Kontinuierliche Verbesserung ist der Bereich, in dem das Aufsichtsmodell der EASA seine wahre Stärke zeigt“, ergänzt Conlon. Dabei bewerten die Regulierungsbehörden, ob Ihr System ausgereift ist. „Laufende Compliance-Überwachung, interne Audits, Managementbewertungen und Schulungen unterscheiden Organisationen, die lediglich über Richtlinien verfügen, von solchen, die deren Wirksamkeit nachweisen können.“

Weitergehende regulatorische Trends bei CNI

Teil-IS spiegelt die breitere Ausweitung der Cybersicherheitsregulierung auf kritische nationale Infrastrukturen (KRITIS) angesichts zunehmender Cyberbedrohungen wider. Ähnlich wie Rahmenwerke wie das Netzwerkinformationssysteme 2 (NIS2) Vorschriften für Resilienz und Allgemeine Datenschutzverordnung Laut Baker von der NCC Group werden die Anforderungen an die Cybersicherheit in der Luftfahrt im Rahmen der DSGVO zum Datenschutz in eine bestehende branchenspezifische Regulierungsstruktur integriert.

„Wie in anderen kritischen Infrastruktursektoren wurde der Ansatz an das etablierte Sicherheitsaufsichtsmodell und das Betriebsumfeld der Luftfahrt angepasst, indem die Cyberresilienz in ein ausgereiftes regulatorisches Ökosystem integriert wurde, anstatt ein eigenständiges System zu schaffen“, erklärt er. IO.

„Dieses Muster ist derzeit in allen kritischen Infrastruktursektoren Europas einheitlich zu beobachten“, sagt Conlon von Cytidel. „Das Gesetz zur digitalen betrieblichen Resilienz (DORA) gilt seit Januar 2025 für Finanzdienstleistungen. NIS2 erweitert die Cybersicherheitsverpflichtungen auf kritische Infrastrukturen; die Einhaltung wird bis Oktober 2026 erwartet. Teil IS bindet die Luftfahrt in denselben Rahmen von Erwartungen ein.

Gemeinsamer Nenner ist, dass die Regulierungsbehörden von der Frage „Haben Sie eine Sicherheitsrichtlinie?“ zu „Können Sie nachweisen, dass sie kontinuierlich funktioniert?“ übergegangen sind, erklärt Conlon.

Strukturiertes Risikomanagement, Verantwortlichkeit auf Vorstandsebene, Transparenz der Lieferkette und die Meldung von Vorfällen sind heute entscheidend. „Die Formulierungen unterscheiden sich zwar in DORA, NIS2 und Part-IS, aber die Erwartungen gleichen sich an“, so Conlon.

Dies bedeutet jedoch einen praktischen Vorteil für Organisationen, die mit mehreren Frameworks arbeiten. Part-IS ist eng mit diesem Framework abgestimmt. ISO / IEC 27001 und weist strukturelle Ähnlichkeiten mit DORA und NIS2 auf, sagt Conlon.

Organisationen, die ein einheitliches Sicherheitsmanagement-Framework aufbauen und es auf alle Verpflichtungen anwenden, befinden sich daher in einer „deutlich stärkeren Position“ als diejenigen, die jede einzelne Vorschrift als separates Compliance-Projekt behandeln, rät er.

Prioritäten für CISOs und Compliance-Verantwortliche in der Luftfahrt

Es ist klar, dass die Integration von Informationssicherheit, Resilienz und Risikomanagement in einen strukturierten Rahmen die regulatorische Verteidigungsfähigkeit und das langfristige operative Vertrauen unterstützt, ungeachtet der vielen sich entwickelnden Vorschriften in den verschiedenen Sektoren und Regionen.

Laut Baker von der NCC Group sollten CISOs und Compliance-Beauftragte in der Luftfahrtbranche mit Part IS vorrangig darauf achten, dass ihre dokumentierten Prozesse in der Praxis effektiv funktionieren und „einer behördlichen Prüfung standhalten können“.

Sie müssen die sich wandelnden Bedrohungen, die regulatorischen Erwartungen und die Kompetenzen der Arbeitskräfte im Auge behalten und ihre Vorgehensweise entsprechend anpassen, sagt er.

Laut Conlon von Cytidel sollten CISOs im Rahmen dessen Bedrohungsanalysen in ihre Risikobewertungsprozesse integrieren. „Part-IS erfordert eine Risikobewertung, die dem Sicherheitsrisiko angemessen ist. Zu viele Organisationen bewerten Risiken jedoch immer noch anhand theoretischer Schweregrade. Das Verständnis, welche Schwachstellen tatsächlich gegen die Luftfahrt ausgenutzt werden, welche Bedrohungsakteure aktiv sind und welchen Mustern ihre Kampagnen folgen, sollte die Priorisierung maßgeblich beeinflussen.“

„Transparenz in der Lieferkette ist entscheidend“, ergänzt Conlon. „Einige der folgenreichsten Cyberangriffe der letzten Jahre in der Luftfahrtbranche gingen auf das Konto von Zulieferern. Der Ransomware-Angriff auf Collins Aerospace legte 2025 den Check-in an europäischen Flughäfen lahm. Air France und KLM wurden über eine Kundenservice-Plattform eines Drittanbieters gehackt. Wenn Sie nicht wissen, wie sich die Gefährdung Ihrer kritischen Zulieferer auf Ihr eigenes Risikoprofil auswirkt, sollten Sie diese Lücke als Erstes schließen.“

Gleichzeitig rät Conlon, auf kontinuierliche Compliance zu setzen. „Die Aufsichtsbehörden werden wiederkommen und den Nachweis verlangen, dass Ihr System funktioniert und effektiv ist, nicht nur, dass es bei der Einrichtung existierte. Das bedeutet fortlaufende Überwachung, Echtzeit-Erkennung neuer Bedrohungen für Ihre Branche und die Fähigkeit nachzuweisen, dass sich Ihr Sicherheitsprogramm an die sich verändernden Rahmenbedingungen anpasst.“

Erweitern Sie Ihr Wissen

Blog: Cybervorfall in Heathrow: Lehren für Resilienz und Krisenreaktion

Blog: Cyber-Vorfälle stellen die Widerstandsfähigkeit globaler Fluggesellschaften auf die Probe

Fallstudie: Wie Calrom das Kundenvertrauen durch die ISO 27001-Zertifizierung stärkt

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 26. MÄRZ 2026

Der Widerstandsfaktor, der das Banner des Bridgepay-Ransomware-Angriffs durchbricht

Der Resilienzfaktor: Eine Analyse des BridgePay-Ransomware-Angriffs

Betriebsstillstand ist das Letzte, was sich ein Unternehmen wünscht, aber er stellt bei einem Ransomware-Angriff ein sehr reales Risiko dar. Dies ist eine Lehre, die US-Zahlungsgateways ...

Kate O’Flaherty

Internet-Sicherheit 26 Februar 2026

EU-Digitalgesetz: Gemeinsame Compliance auf der Tagesordnung

EU-Digitalgesetz: Integrierte Compliance auf der Agenda

Die EU hat ein neues Digitalisierungsgesetz verabschiedet, das die Regulierung von Datenschutz, Cybersicherheit und KI vereinfachen soll. Wie können Unternehmen …

Kate O’Flaherty

Internet-Sicherheit 19 Februar 2026

Dxs International-Datenschutzverletzung: Lehren für den Gesundheitssektor (Blog)

Datenleck bei DXS International: Lehren für das Gesundheitswesen

Angesichts der zunehmenden Zahl schwerwiegender Vorfälle im Gesundheitswesen müssen Organisationen lernen, Informationssicherheit, Datenschutz und KI-Risiken als ... zu managen.

Kate O’Flaherty