De luchtvaartsector is altijd sterk gereguleerd geweest. Van de structurele integriteit van een vleugel tot verplichte rusttijden voor piloten: regels vormen de basis van veiligheid. Het is een constante cyclus: er ontstaat een nieuwe technologie, er wordt een risico geïdentificeerd en er wordt een regel opgesteld om dit risico te beheersen. Dit zorgde ervoor dat vliegen tot op vandaag de veiligste vorm van massatransport is.
Maar de digitalisering verandert alles. Luchtvaart draait nu op netwerken, GPS-systemen en enorme hoeveelheden data. Het risico is niet langer alleen mechanisch of menselijk, maar ook cybersecurity. Het volgende hoofdstuk in luchtvaartregelgeving heet Part-IS.
Part-IS (Information Security) is een nieuwe Europese regelgeving van EASA (European Union Aviation Safety Agency). Het doel? Informatiebeveiliging op hetzelfde niveau brengen als operationele en luchtwaardigheidsveiligheid.
Deze regels zijn vastgelegd in Delegated Regulation (EU) 2022/1645 en Implementing Regulation (EU) 2023/203. Ze zijn een antwoord op de groeiende digitalisering van de burgerluchtvaart. Systemen die vroeger geïsoleerd waren, zijn nu verbonden. Een cyberincident kan net zo catastrofaal zijn als een fysiek defect.
Het primaire doel van Part-IS is duidelijk: bescherm luchtvaartveiligheid tegen informatiebeveiligingsrisico’s. Dit gebeurt door een verplicht Information Security Management System (ISMS), dat de confidentialiteit, integriteit, beschikbaarheid en authenticiteit van kritieke ICT-systemen waarborgt.
Part-IS staat niet op zichzelf. Het maakt deel uit van een breder ecosysteem van internationale en Europese kaders voor informatiebeveiliging. Twee belangrijke referenties zijn ISO/IEC 27001 en de NIS2-richtlijn.
Dit is de wereldwijd erkende standaard voor Information Security Management Systems (ISMS). Organisaties die al ISO 27001-gecertificeerd zijn, hebben een voorsprong, omdat veel processen en controles overeenkomen. ISO 27001 is echter een algemene norm, terwijl Part-IS een sectorspecifieke regelgeving is. Om te voldoen aan Part-IS moet het ISMS expliciet gericht zijn op informatiebeveiligingsrisico’s die van invloed kunnen zijn op de veiligheid van de luchtvaart, waarbij de specifieke risicoacceptatiecriteria en regelgevende toezichtmechanismen die uniek zijn voor EASA moeten worden geïntegreerd. Een ISO-gecertificeerd ISMS moet daarom worden aangepast en uitgebreid om te voldoen aan de precieze reikwijdte en veiligheidsfocus van Part-IS.
De Europese NIS2-richtlijn wil een hoog niveau van cybersecurity garanderen voor kritieke sectoren, waaronder transport. Hoewel sommige luchtvaartentiteiten onder zowel NIS2 als Part-IS vallen, heeft EASA bevestigd dat de regelgeving is ontworpen om samen te werken. Naleving van de veiligheidseisen van Part-IS wordt over het algemeen beschouwd als gelijkwaardig aan de overeenkomstige eisen van NIS2, wat betekent dat organisaties niet te maken krijgen met dubbele, tegenstrijdige eisen. Toch blijft de verificatie van Part-IS bij de luchtvaartautoriteit, omdat de focus hier op veiligheid ligt, niet alleen op digitale weerbaarheid.
Kortom: Part-IS integreert naadloos met bestaande frameworks, maar vereist een sectorspecifieke aanpak. Compliance is geen dubbele last, maar een versterking van de totale beveiligingsstrategie.
Voor organisaties in scope is compliance met Part-IS geen keuze, maar een verplichting. Deadlines komen eraan in eind 2025 en begin 2026. Het is een kans om:
Start nu met een gap-analyse, integreer ISMS in je Safety Management System en bouw een sterke securitycultuur. In de moderne luchtvaart zijn digitale verdedigingslinies net zo cruciaal als fysieke onderhoudschecks.
Meer informatie over onze services?
Neem vrijblijvend contact met ons op.