EASA Part-IS einfach erklärt, was Luftfahrtunternehmen wissen müssen 

Ab Oktober 2025 und Februar 2026 müssen Luftfahrtorganisationen die Anforderungen von EASA Part-IS einhalten. In diesem Artikel geben unsere Experten Mario Melmer und Paolo Magrini Einblick in das neue Regelwerk, beantworten die wichtigsten Fragen und stellen Maßnahmen vor, die Ihrem Unternehmen helfen können, die Anforderungen von Part-IS zu erfüllen. 

Was ist eigentlich EASA Part-IS?

Die Easy Access Rules for Information Security (Part-IS) sind ein Regelwerk der Europäischen Agentur für Flugsicherheit (EASA), das sich mit den Auswirkungen von Informationssicherheit auf die Flugsicherheit befasst.

Es basiert auf der Delegierten Verordnung (EU) 2022/1645 und der Durchführungsverordnung (EU) 2023/203. Die Regeln verpflichten betroffene Organisationen – darunter Luftfahrtunternehmen, Wartungsbetriebe und Betreiber kritischer Infrastrukturen – dazu, Informationssicherheitsrisiken zu identifizieren und zu minimieren, sofern diese die Flugsicherheit gefährden könnten.

  Die Easy Access Rules selbst sind keine eigenständige Rechtsquelle, sondern eine anwenderfreundlich aufbereitete Fassung der EU-Vorgaben, die von der EASA veröffentlicht wird.  

Wer ist betroffen - und bis wann? 

Die Anforderungen aus Part-IS müssen von verschiedenen Behörden und Organisationen je nach Rechtsgrundlage bis zu einem festgelegten Stichtag umgesetzt werden. 

  Bis zum 16. Oktober 2025:

Organisationen, die der Delegierten Verordnung (EU) 2022/1645 unterliegen, müssen Part-IS bis zu diesem Termin umsetzen. Dazu zählen:

• Herstellungsorganisationen
• Entwicklungsorganisationen
• Flughafen- und Flugplatzbetreiber
• Anbieter von Vorfeldmanagementdiensten

  Bis zum 22. Februar 2026:

Organisationen, die unter die Durchführungsverordnung (EU) 2023/203 fallen, müssen die Vorgaben aus Part-IS bis spätestens zu diesem Datum umsetzen. Dazu zählen unter anderem:

• Luftfahrtbehörden
• Behörden, die Lufttüchtigkeitszeugnisse oder Zulassungen erteilen
• Instandhaltungsbetriebe
• Organisationen für das fortlaufende Lufttüchtigkeitsmanagement (Continuing Airworthiness Management Organisation:Verantwortlich für die Planung, Überwachung und Dokumentation der Lufttüchtigkeit eines Flugzeugs..CAMO)
• Luftfahrtunternehmen
• Fliegerärztliche Zentren für Flugbesatzungen
• Betreiber von Flugsimulator-Trainingsgeräten (Flight Simulation Training Device: Flugsimulator-Trainingsgerät - technisches System zum Training von Pilotinnen und Piloten.FTSD)
• Ausbildungsorganisationen für Fluglotsen (Air Traffic Controller Training Organisation. Diese Organisationen sind dafür verantwortlich, Fluglotsen gemäß internationalen und europäischen Standards (z. B. EASA) theoretisch und praktisch auszubilden.ATCO TO)
• Digitale Dienste für den sicheren Drohnenbetrieb im unteren LuftraumU-Space-Dienstleister
• Hersteller vonATM = Air Traffic Management und ANS = Air Navigation Services. Technologien und Dienste für Flugnavigation und Luftraumüberwachung – z. B. Flugverkehrskontrolle, Kommunikation und Navigation. Sie sorgen für sicheren und effizienten Flugverkehr. ATM-/ANS-Systemen sowie beteiligte Organisationen 

Was fordert das Regelwerk? 

Part-IS verlangt von betroffenen Organisationen den Aufbau und Betrieb eines risikobasierten, strukturierten Informationssicherheitsmanagementsystems (ISMS). Die zentralen Anforderungen lassen sich in zehn Themenfelder gliedern:

1. Informationssicherheitsmanagementsystem: Ein ISMS steuert die Informationssicherheit im Unternehmen systematisch. Es umfasst all die hierzu notwendigen Prozesse, Rollen und Richtlinien.
2. Risikomanagement: Informationssicherheitsrisiken müssen identifiziert, bewertet und durch geeignete Maßnahmen kontrolliert werden - sei es durch Minderung, Vermeidung oder begründete Akzeptanz.
3. Internes Meldesystem: Mitarbeiter sollen sicherheitsrelevante Beobachtungen oder Verstöße vertraulich und strukturiert melden können. Dies erfordert ein internes, niederschwelliges Meldesystem.
4. Vorfallsmanagement: Sicherheitsvorfälle sind systematisch zu erkennen, zu analysieren, zu behandeln und zu dokumentieren. Ziel ist eine schnelle Reaktion und nachhaltige Beseitigung von Schwachstellen.
5. Korrekturmaßnahmen: Organisationen müssen erkannte Nichtkonformitäten mit Part-IS sowie Schwachstellen im ISMS durch geeignete Maßnahmen beheben - insbesondere, wenn diese die Flugsicherheit beeinträchtigen könnten.
6. Externes Meldesystem: Meldepflichtige Vorfälle sowie relevante Änderungen am ISMS sind formal korrekt und fristgerecht an die zuständige Aufsichtsbehörde oder externe Partner zu übermitteln.
7. Beauftragte Tätigkeiten: Bei der Vergabe sicherheitsrelevanter Aufgaben an externe Dienstleister sind Informationssicherheitsanforderungen vertraglich zu regeln, zu überwachen und in das eigene ISMS zu integrieren.
8. Personelle Anforderungen: Sicherheitskritische Tätigkeiten erfordern klar definierte Anforderungen an Qualifikation, Schulung und Sicherheitsbewusstsein des eingesetzten Personals.
9. Informationssicherheitsmanagement-Handbuch (ISMM): Das ISMM dokumentiert die Grundsätze, Verfahren und Verantwortlichkeiten des ISMS. Es dient sowohl der internen Steuerung als auch als Nachweis gegenüber der Aufsichtsbehörde.
10. Kontinuierliche Verbesserung: Das ISMS ist regelmäßig zu überprüfen und an neue Bedrohungen, technologische Entwicklungen und regulatorische Anforderungen anzupassen. 

Gelten die Anforderungen von Part-IS für alle betroffenen Unternehmen gleichermaßen? 

  Grundsätzlich gilt: 

Organisationen müssen alle in Part-IS definierten Anforderungen vollständig umsetzen. Die konkreten Pflichten ergeben sich aus den jeweiligen Anhängen der Verordnung:

• Anhang II und III enthalten die Anforderungen für Organisationen wie Luftfahrtunternehmen, Instandhaltungsbetriebe, Ausbildungsstätten oder Hersteller.
• Anhang I richtet sich ausschließlich an Luftfahrtbehörden.

Für Behörden gelten dabei reduzierte Anforderungen: 
Sie sind nicht verpflichtet, die folgenden Elemente umzusetzen:

• Internes Meldesystem
• Korrekturmaßnahmen
• Externes Meldesystem
• Informationssicherheits-Managementhandbuch (ISMM)
• Kontinuierliche Verbesserung des ISMS

Diese Erleichterung trägt dem Umstand Rechnung, dass Behörden im Regelfall keine operativen Flugsicherheitsaufgaben ausführen, sondern überwachen. 

Was unterscheidet Part-IS von ISO 27001? 

Part-IS orientiert sich in weiten Teilen an der internationalen Norm ISO/IEC 27001 für Informationssicherheitsmanagementsysteme (ISMS). Dennoch gibt es wesentliche Unterschiede in Zielgruppe, Schwerpunktsetzung und regulatorischer Umsetzung:  

Branchenfokus 
Die ISO 27001 ist ein branchenunabhängiger Standard für Informationssicherheit. 
Part-IS dagegen ist speziell auf die Luftfahrtbranche zugeschnitten und legt den Fokus auf Risiken, die eine potenzielle Auswirkung auf die Flugsicherheit haben.

• Anwendungsbereich des ISMS 
  Während ISO 27001 den Geltungsbereich weitgehend frei definierbar lässt, verlangt Part-IS, dass alle Prozesse und Systeme einbezogen werden, die direkten oder indirekten Einfluss auf die Flugsicherheit haben.
• Führungskräfte-Schulung 
  Führungskräfte müssen die Anforderungen von Part-IS verstehen und wiedergeben können. Sie tragen Mitverantwortung für die Umsetzung im Unternehmen.
• Risikomanagement & Vorfallsmanagement 
  Beide Systeme fordern Risikomanagement, jedoch fordert Part-IS explizit, dass alle Risiken und Vorfälle im Zusammenhang mit der Flugsicherheit identifiziert, bewertet und behandelt werden.
• Externes Meldesystem 
  Im Unterschied zur ISO 27001 müssen bei Part-IS relevante Risiken, Vorfälle und ISMS-Änderungen an die zuständige Aufsichtsbehörde gemeldet werden.
• Korrekturmaßnahmen 
  Part-IS verlangt, dass Korrekturmaßnahmen im engen Austausch mit der Aufsichtsbehörde geplant und umgesetzt werden - dies ist in ISO 27001 nicht vorgeschrieben.
• Änderungsmanagement 
  Änderungen am ISMS müssen entweder durch die Behörde genehmigt oder im Rahmen eines behördlich freigegebenen Änderungsverfahrens abgewickelt werden. ISO 27001 kennt keine vergleichbare externe Steuerung.
• ISMM – Informationssicherheits-Managementhandbuch 
  Part-IS verpflichtet Organisationen, die Grundlagen, Prozesse und Zuständigkeiten des ISMS in einem Handbuch zu dokumentieren oder zu referenzieren. ISO 27001 fordert zwar Dokumentation, aber kein dediziertes ISMM.
• Technische Maßnahmen 
  Part-IS macht keine konkreten Vorgaben zu technischen Schutzmaßnahmen. Diese ergeben sich aus dem jeweiligen Risikomanagement. ISO 27001 verweist dagegen auf spezifische Maßnahmen im Anhang A (z. B. Zugriffskontrolle, Kryptografie).

Während ISO 27001 auf Flexibilität und internationale Vergleichbarkeit zielt, ist Part-IS ein verbindliches, luftfahrtspezifisches Regelwerk, das regulatorisch überwacht wird und die Verknüpfung zwischen Informations- und Flugsicherheit in den Mittelpunkt stellt. 

Was ist konkret zu tun?

Damit Sie die Anforderungen aus Part-IS fristgerecht und praxisnah umsetzen können, sind zwei Schritte entscheidend:

1. ISMS etablieren oder bestehendes System anpassen 

• Wenn Sie bereits ein Informationssicherheitsmanagementsystem (ISMS) eingeführt haben, analysieren wir bestehende Strukturen und identifizieren gezielt Lücken und Verbesserungspotenziale im Hinblick auf Part-IS.
• Wenn noch kein ISMS vorhanden ist, begleiten wir Sie bei Konzeption, Aufbau und Einführung eines systemspezifisch auf die Luftfahrt zugeschnittenen ISMS.

2. ISMS im Informationssicherheits-Managementhandbuch (ISMM) dokumentieren 

• Gemeinsam mit Ihnen passen wir unser erprobtes ISMM-Template individuell an Ihre Organisation an - von der Struktur bis zu den Inhalten.
• So schaffen Sie die notwendige Transparenz und Nachweisbarkeit gegenüber der Aufsichtsbehörde. 

Warum HvS-Consulting der richtige Partner für Ihre Part-IS-Umsetzung ist

Praxisnahe Expertise aus der Luftfahrt

Unsere Experten verfügen über langjährige Erfahrung im Aufbau und in der Auditierung von Informationssicherheitsmanagementsystemen (ISMS) - speziell im Umfeld der Luftfahrt.

Angetrieben von der Leidenschaft unseres Geschäftsführers Michael Hochenrieder - selbst Pilot und Fluglehrer - hat unser Team die Anforderungen von Part-IS intensiv analysiert. Gemeinsam mit Luftfahrtorganisationen haben wir herausgearbeitet, worauf es bei der praxisgerechten Umsetzung wirklich ankommt.

Erprobtes ISMM-Template

In enger Zusammenarbeit mit Kunden aus der Luftfahrt haben wir ein ISMM-Template entwickelt, das:

• alle Anforderungen von Part-IS vollständig erfüllt,
• für Unternehmen jeder Größe geeignet ist (KMU und Großunternehmen),
• sich nahtlos in bestehende ISMS-Prozesse integrieren lässt,
• und gleichzeitig vorgefertigte Prozesse für Organisationen ohne ISMS bereitstellt.

Das Ergebnis: ein adaptierbares, revisionssicheres und sofort einsetzbares Werkzeug für Ihre Informationssicherheitsdokumentation.