Hoogvliegen: de Part-IS-regels van het Europees Agentschap voor de Veiligheid van de Luchtvaart (EASA) uitgelegd

De nieuwe Part-IS-regels van het Europees Agentschap voor de Veiligheid van de Luchtvaart (EASA) zijn van kracht geworden en breiden de cybersecurityverplichtingen in de burgerluchtvaartsector uit. Wat betekenen deze nieuwe eisen in de praktijk?

Door Kate O'Flaherty

Cyberaanvallen op de luchtvaart nemen sterk toe. Tussen 2024 en 2025 was er een 600% spike Volgens gegevens van Thales vonden er in die periode 27 grote incidenten plaats in de sector.

Vorig jaar vonden er tal van spraakmakende incidenten plaats, waaronder de ransomware-aanval op Collins Aerospace dat de inchecksystemen op Europese luchthavens platlegde. Air France en KLM waren er ook bij betrokken. geschonden in 2025, via een platform van derden dat door hun moederbedrijf wordt gebruikt. Ondertussen vond er een aanval plaats op een leverancier van een Australische luchtvaartmaatschappij. Qantas De gegevens van zes miljoen klanten werden openbaar gemaakt.

Naarmate dit soort aanvallen toenemen, worden de bedreigingen voor de luchtvaartsector complexer en geavanceerder. Cyberaanvallen brengen niet alleen de vluchtuitvoering in gevaar, maar hebben tegenwoordig ook strategische doelen.

Volgens Thales omvat dit onder meer industriële cyberespionage, toegang tot gevoelige technologieën zoals avionica en communicatiesystemen, verstoring van toeleveringsketens en "het onderscheppen van waardevolle gegevens zoals diplomatieke reisroutes en vertrouwelijke vrachtzendingen".

Met deze toenemende dreiging in gedachten is het nieuwe Deel IS van het Europees Agentschap voor de Veiligheid van de Luchtvaart Er zijn regels van kracht geworden die de cybersecurityverplichtingen in de burgerluchtvaartsector uitbreiden.

Wat betekenen de nieuwe eisen in de praktijk?

Aantrekkelijk doelwit

 De onderling verbonden systemen die nodig zijn voor wereldwijd reizen, maken de luchtvaartsector juist een aantrekkelijk doelwit voor cybercriminelen en staatsactoren, aldus Danny Jenkins, CEO van ThreatLocker. "Inbreuken op boekings-, incheck- of boardingsystemen kunnen wijdverspreide verstoringen veroorzaken, en storingen in de luchtvaart kunnen snel leiden tot bredere economische schade", waarschuwt hij.

Part-IS formaliseert daarmee wat het dreigingslandschap al een tijdje duidelijk maakt. "Cyberbeveiliging is niet langer een technische backofficefunctie", legt Matt Conlon, CEO en medeoprichter van Cytidel, uit. "Het is een veiligheidsdiscipline en vereist dezelfde gestructureerde governance, risicobeoordeling en continue controle die de luchtvaart altijd al heeft toegepast op andere operationele risico's."

Deel IS vereist dat bedrijven aantonen dat ze beheersmaatregelen hebben en dat deze effectief zijn. De regels schrijven een gestructureerde risicobeoordeling, een gedefinieerde governance en verantwoordingsstructuur, de implementatie en monitoring van proportionele beheersmaatregelen, incidentrapportage en continue verbetering voor.

"Het moet aansluiten bij het bredere regelgevingskader voor de luchtvaart en onderworpen zijn aan toezicht door de regelgevende instanties. Dit betekent dat organisaties niet alleen moeten aantonen dat er controles bestaan, maar ook dat ze in de praktijk werken," aldus Lawrence Baker, technisch veiligheidsadviseur voor de lucht- en ruimtevaart bij NCC Group. IO.

Formeel ISMS

Volgens deskundigen laat de verschuiving in de regelgeving zien hoe sectorspecifieke cyberregelgeving steeds meer de voorkeur geeft aan op beheersystemen gebaseerde benaderingen die aansluiten bij erkende standaarden.

Deel IS schrijft een formele procedure voor. Informatiebeveiligingsbeheersysteem (ISMS). "En net als alle moderne managementsysteemnormen is dit afhankelijk van gedocumenteerde processen, duidelijke verantwoording en continue verbetering," legt Baker uit.

Deze principes zijn reeds verankerd in het regelgevingskader voor de luchtvaart, inclusief regelgeving zoals: Part-21, Deels camouflage en Part-145Deze zijn bekend bij de luchtwaardigheidsautoriteiten die audits en toezicht uitvoeren, aldus Baker.

Volgens Baker vereist naleving van Deel IS dat organisaties aantonen:

• Traceerbaarheid van beslissingen
• Gedefinieerde verantwoordelijkheden
• Prestatie monitoring
• Continue verbetering van de controlemechanismen

Volgens Conlon van Cytidel is Part-IS ook "bewust zo ontworpen" dat naleving niet iets is wat je "eenmalig bereikt en vervolgens opbergt". "Verantwoordelijkheid is expliciet", zegt hij. "Dit betekent dat bestuursstructuren duidelijk moeten definiëren wie verantwoordelijk is voor risicobeslissingen, wie toezicht houdt en hoe escalatie werkt."

Documentatie vormt de bewijsbasis, zegt Conlon. "Risicobeoordelingen, behandelplannen, procedures voor incidentafhandeling en het ISMS-handboek moeten gezamenlijk aantonen dat het systeem coherent is en in de praktijk functioneert – niet alleen op papier."

Continue verbetering is waar het toezichtsmodel van EASA "echt zijn tanden laat zien", voegt Conlon eraan toe. Hierbij beoordelen toezichthouders of uw systeem volwassen wordt. "Doorlopende nalevingsmonitoring, interne audits, managementbeoordelingen en trainingen onderscheiden organisaties die alleen beleid hebben van organisaties die kunnen bewijzen dat dat beleid werkt."

Bredere regelgevingstrends in CNI

Deel IS weerspiegelt de bredere uitbreiding van de regelgeving inzake cyberbeveiliging op kritieke nationale infrastructuur (CNI) naarmate cyberdreigingen toenemen. Vergelijkbaar met raamwerken zoals de Netwerkinformatiesystemen 2 (NIS2) regelgeving voor veerkracht en Algemene Verordening Gegevensbescherming Volgens Baker van NCC Group worden de eisen op het gebied van cyberbeveiliging voor de luchtvaart, zoals vastgelegd in de AVG (Algemene Verordening Gegevensbescherming), geïntegreerd in een bestaande sectorspecifieke regelgeving.

"Net als in andere sectoren van de cyberveiligheid is de aanpak afgestemd op het bestaande model voor veiligheidstoezicht en de operationele omgeving van de luchtvaart. Daarbij wordt cyberweerbaarheid geïntegreerd in een volwassen regelgevingssysteem, in plaats van een op zichzelf staand regime te creëren," vertelt hij. IO.

Het patroon is "op dit moment consistent in elke kritieke infrastructuursector in Europa", aldus Conlon van Cytidel. "De Wet digitale operationele veerkracht (DORA) is sinds januari 2025 van kracht voor financiële diensten. NIS2 breidt de cybersecurityverplichtingen uit naar kritieke infrastructuur, waarbij naleving wordt verwacht in oktober 2026. Deel IS brengt de luchtvaart onder hetzelfde kader van verwachtingen.

De rode draad is dat toezichthouders zijn overgestapt van "heeft u een beveiligingsbeleid?" naar "kunt u bewijzen dat het continu werkt?", legt Conlon uit.

Gestructureerd risicomanagement, verantwoording op bestuursniveau, transparantie in de toeleveringsketen en incidentrapportage zijn nu essentieel. "De terminologie verschilt tussen DORA, NIS2 en Part-IS, maar de verwachtingen komen steeds meer overeen", aldus Conlon.

Maar dit betekent dat er een praktisch voordeel is voor organisaties die met meerdere raamwerken werken. Part-IS sluit nauw aan bij ISO / IEC 27001 en vertoont structurele overeenkomsten met DORA en NIS2, aldus Conlon.

Organisaties die één samenhangend raamwerk voor beveiligingsbeheer ontwikkelen en dit afstemmen op alle verplichtingen, zullen zich daarom in een "veel sterkere positie" bevinden dan organisaties die elke regelgeving als een afzonderlijk nalevingsproject beschouwen, zo adviseert hij.

Prioriteiten voor CISO's en compliance-leiders in de luchtvaartsector

Het is duidelijk dat de integratie van informatiebeveiliging, veerkracht en risicomanagement binnen een gestructureerd raamwerk de wettelijke verdedigbaarheid en het operationele vertrouwen op lange termijn ondersteunt, ongeacht de vele veranderende regelgeving in verschillende sectoren en regio's.

Met betrekking tot Part IS zouden CISO's en compliance-leiders in de luchtvaartsector prioriteit moeten geven aan het waarborgen dat hun gedocumenteerde processen in de praktijk effectief functioneren en "bestand zijn tegen toezicht door de regelgevende instanties", aldus Baker van NCC Group.

Ze moeten de veranderende dreigingen, de wettelijke eisen en de competenties van het personeel in de gaten houden en hun aanpak daarop aanpassen, zegt hij.

Als onderdeel hiervan zouden CISO's dreigingsinformatie moeten integreren in hun risicobeoordelingsproces, aldus Conlon van Cytidel. "Part-IS vereist een risicobeoordeling die in verhouding staat tot de impact op de veiligheid, maar te veel organisaties beoordelen risico's nog steeds op basis van theoretische ernstscores. Inzicht in welke kwetsbaarheden daadwerkelijk worden ingezet tegen de luchtvaart, welke dreigingsactoren actief zijn en welke patronen hun campagnes volgen, zou bepalend moeten zijn voor de prioritering."

Inzicht in de toeleveringsketen is cruciaal, voegt Conlon eraan toe. "Sommige van de meest impactvolle cyberincidenten in de luchtvaart van de afgelopen jaren vonden plaats via leveranciers. De ransomware-aanval van Collins Aerospace verstoorde het inchecken op Europese luchthavens in 2025. Air France en KLM werden gehackt via een extern klantenserviceplatform. Als u niet weet hoe de blootstelling van uw kritieke leveranciers uw eigen risicoprofiel beïnvloedt, is dat de lacune die u als eerste moet dichten."

Tegelijkertijd is het belangrijk om te bouwen met het oog op continue naleving, adviseert Conlon. "Toezichthouders zullen terugkomen en bewijs willen zien dat uw systeem functioneert en effectief is, niet alleen dat het bestond toen u het opzette. Dat betekent continue monitoring, realtime inzicht in opkomende bedreigingen die relevant zijn voor uw sector, en de mogelijkheid om aan te tonen dat uw beveiligingsprogramma zich aanpast aan veranderende omstandigheden."

Breid je kennis uit

Blog: Cyberincident op Heathrow: lessen in veerkracht en incidentrespons

Blog: Cyberincidenten testen de veerkracht van wereldwijde luchtvaartmaatschappijen

Case study: Hoe Calrom het klantvertrouwen versterkt met ISO 27001-certificering