Wat zijn de nieuwe EAR-informatiebeveiligingsregels voor de luchtvaart van de EU?

Recente herzieningen van EU-brede cyberbeveiligingsregelgeving voor de luchtvaartindustrie zouden de acceptatie van IT-industriestandaarden zoals ISO 27001 kunnen stimuleren.

De eerste Easy Access Rules (EAR) voor informatiebeveiliging (deel IS) van het Agentschap voor de veiligheid van de luchtvaart van de Europese Unie (EASA) heeft “eisen gesteld voor het beheer van informatiebeveiligingsrisico’s met een potentiële impact op de luchtvaartveiligheid”. Eerdere cyberbeveiligingsregels waren beperkt tot OEM’s – in tegenstelling tot de EAR (Part IS), die van toepassing is op de hele luchtvaartsector. Nalevingsdeadlines van oktober 2025 en februari 2026 zullen van toepassing zijn op verschillende soorten organisaties, zoals gedefinieerd in de ondersteunende EU-wetten.

Deze omvatten: onderhoudsorganisaties, aanbieders van luchtwaardigheidsbeheer, luchtvaartexploitanten, luchtvaartgeneeskundige centra, organisaties voor de opleiding van luchtverkeersleiders en exploitanten van vluchtsimulatieapparatuur. Ook op de lijst staan ​​luchthavens, aanbieders van communicatie-infrastructuur, organisaties voor navigatie-infrastructuur, luchttorens en surveillance-outfits.

De regels zijn bedoeld om ervoor te zorgen dat informatiebeveiligingsrisico's effectief worden beheerd binnen de luchtvaartindustrie, een belangrijke factor voor de veiligheid in het algemeen. Er is al overeenstemming bereikt over de afstemming op de Amerikaanse luchtvaartnormen, en er zijn regelmatige updates van de Easy Access Rules (Deel IS) gepland, waardoor deze een reeks voorschriften worden die in de loop van de tijd zullen evolueren.

Detecteer, bescherm, reageer en herstel

Het runnen van een Information Security Management System (ISMS) is van cruciaal belang voor luchtvaartorganisaties die aan de regels moeten voldoen. Andere belangrijke componenten omvatten beveiligingsmonitoring, audits en maatregelen die organisaties richting een grotere volwassenheid op het gebied van cyberbeveiliging leiden. Zij zijn:

⦁ Opzetten en exploiteren van een ISMS
⦁ Implementeer en onderhoud een informatiebeveiligingsbeleid
⦁ Informatiebeveiligingsrisico's identificeren, beoordelen en verhelpen
⦁ Bedreigingsdetectie voor gebeurtenissen die verband houden met luchtvaartbeveiliging
⦁ Neem corrigerende maatregelen om de bevindingen aan te pakken die door een bevoegde autoriteit zijn gemeld
⦁ Beveiligingsrapportage
⦁ Toezicht op naleving
⦁ Introduceer een continu verbeteringsproces

Ken Munro is CEO bij Pen Test Partners, een bedrijf van in het Verenigd Koninkrijk gevestigde penetratietesters met klanten in de luchtvaartsector. Hij vertelt ISMS.online dat het adopteren van ISO 27001 de organisatie van de luchtvaartsector zal helpen om te voldoen aan de nieuwe EU-brede regelgeving.

“De EAR (Part IS) volgt inderdaad de bestaande standaarden zoals ISO 27001 vrij nauwkeurig, dus organisaties met bestaande compliance-frameworks zouden het in kaart brengen redelijk eenvoudig moeten vinden”, legt hij uit.

De verschillende niveaus van adoptie van best practices op het gebied van cyberbeveiliging in de sector kunnen voor sommigen echter een uitdaging vormen.

“Onze ervaring in de luchtvaartsector als geheel wijst op zeer uiteenlopende niveaus van volwassenheid op het gebied van beveiliging. Een deel hiervan is begrijpelijk: zouden we verwachten dat een kleine regionale luchthaven hetzelfde volwassenheidsniveau heeft als een grote hubluchthaven? De uitdaging hier is dat de reiziger en zijn bagage worden gescreend op het punt van inchecken en niet bij de overdracht, waardoor aansluitende vluchten zichtbaar kunnen worden”, legt Munro uit.

“Mogen we op dezelfde manier verwachten dat een grote luchtvaartmaatschappij hetzelfde volwassenheidsniveau heeft als een kleine regionale luchtvaartmaatschappij? Ze zullen vergelijkbare vliegveiligheidsregimes hebben, maar eenzelfde mate van cybersecurityregime is minder waarschijnlijk.”

Het vinden van een manier om deze zwakke schakels in de keten in de hele luchtvaartsector te versterken is daarom een ​​uitdaging.

Turbulentie op komst?

De nieuwe regels geven enkele voorbeelden van toepasbaarheid in termen van hun reikwijdte, terwijl ze volgens Munro “beetje gedetailleerd” zijn in vergelijking met andere regelingen zoals CAA ASSURE.
Het CAA ASSURE-programma (Cyber ​​Audit) is een auditmodel van derden, ontwikkeld door de Britse Civil Aviation Authority (CAA) in samenwerking met CREST.

“Dit [gebrek aan details in EAR] lijkt een beetje in strijd met het CAA ASSURE-programma, dat aanzienlijke inspanningen levert om kritieke systemen bij luchtvaartmaatschappijen en luchthavens te identificeren”, legt Munro uit. “Dit heeft operators geholpen hun inspanningen te concentreren op de systemen die de vliegveiligheid kunnen beïnvloeden of de vluchtafhandeling kunnen verhinderen. Beide kunnen aanzienlijke gevolgen hebben voor de veiligheid.”

Munro concludeert: “Er is een poging gedaan om enkele voorbeelden van mogelijke aanvallen te geven in bijlage 1, maar dit lijkt een nogal willekeurige selectie en gaat voorbij aan tal van belangrijke gebieden. Het risico hierbij is dat organisaties zich focussen op de gegeven voorbeelden, ten koste van andere terreinen.”

Hugo Teso, een commerciële piloot en expert op het gebied van cyberbeveiliging in de luchtvaart, fungeerde als externe expert in het proces dat leidde tot de ontwikkeling van de regelgeving. In een bericht op LinkedIn zegt hij dat de regelgeving verder gaat dan alleen het vereisen van een ISMS voor organisaties die binnen de reikwijdte vallen.

Het ondersteunende document van 278 pagina's waarin EAR Part-IS en hun reikwijdte worden geschetst, positioneert een ISMS als een sleutelcomponent, maar zeker niet de enige stap om compliant te worden.

Voorbereiding op vertrek

Volgens andere experts is ISO 27001 echter een goed startpunt.

“Terwijl lucht- en ruimtevaartbedrijven zich voorbereiden op de komende EU-regelgeving voor cyberbeveiliging in de luchtvaart EASA EAR Part-IS, is een van de eerste stappen die ze kunnen zetten het opzetten van een ISMS dat voldoet aan de ISO 27001-standaard”, stelt Sam Peters, ISMS.online Chief Product Officer.

“Door nu proactief te werken aan de naleving van ISO 27001 kunnen lucht- en ruimtevaartorganisaties een voorsprong krijgen bij het voldoen aan de EASA-vereisten en aan toezichthouders laten zien dat zij cyberbeveiliging serieus nemen.”

Peters brengt vervolgens een plan van aanpak in kaart voor compliance managers en verantwoordelijken voor cybersecurity in de luchtvaartsector.

“De eerste fase zou bestaan ​​uit het definiëren van de reikwijdte van het ISMS op basis van de luchtvaartdiensten en -middelen van het bedrijf die onder toezicht van EASA zullen vallen”, zegt hij.

“Een uitgebreide risicobeoordeling kan vervolgens cyberkwetsbaarheden identificeren en passende controles uit ISO 27001 in kaart brengen om de verdediging op kritieke gebieden te versterken. Zaken als toegangscontrolebeleid, leveranciersbeheer, incidentresponsplannen en veiligheidstraining van het personeel moeten prioriteit krijgen.”

Ongeacht de vereisten van EAR Part-IS zal de overstap naar ISO 27001 zakelijke voordelen opleveren voor aanbieders in de luchtvaartsector.

“Een bijkomend voordeel van het omarmen van ISO 27001 is dat er een holistische, procesgebaseerde benadering van informatiebeveiliging voor nodig is. Dit maakt het ISMS tot een gezonde zakelijke driver, waardoor lucht- en ruimtevaartbedrijven inefficiënties kunnen identificeren, risico's kunnen verminderen en datagestuurde investeringsbeslissingen kunnen nemen voor de hele organisatie”, besluit hij.

“Nu de deadline voor het voldoen aan EASA EAR Part-IS nadert, zal het volgen van de vastgestelde ISO 27001-kaders lucht- en ruimtevaartorganisaties helpen aan EASA-auditors aan te tonen dat zij een volwassen ISMS hebben geïmplementeerd dat is afgestemd op de unieke cyberrisico’s van de luchtvaartindustrie. Als u vandaag deze proactieve stappen zet, zal het compliance-traject morgen soepeler verlopen.”