Hvad er EU's nye EAR-informationssikkerhedsregler for luftfart?

Nylige revisioner af EU-dækkende cybersikkerhedsforordninger for luftfartsindustrien kan fremme optagelsen af ​​it-industristandarder som ISO 27001.

Den første Easy Access Rules (EAR) for informationssikkerhed (del IS) fra European Union Aviation Safety Agency (EASA) opstillet "krav til håndtering af informationssikkerhedsrisici med en potentiel indvirkning på luftfartssikkerheden". Tidligere cybersikkerhedsregler var begrænset til OEM'er – i modsætning til EAR (Part IS), som gælder på tværs af hele luftfartssektoren. Overholdelsesfrister i oktober 2025 og februar 2026 vil gælde for forskellige typer organisationer, som defineret i understøttende EU-love.

Disse omfatter: vedligeholdelsesorganisationer, udbydere af luftdygtighedsstyring, luftoperatører, flyvemedicinske centre, træningsorganisationer for flyveledere og operatører af flyvesimuleringsanordninger. På listen er også lufthavne, udbydere af kommunikationsinfrastruktur, organisationer for navigationsinfrastruktur, lufttårne ​​og overvågningsudstyr.

Reglerne er designet til at sikre, at informationssikkerhedsrisici styres effektivt inden for luftfartsindustrien, en vigtig faktor for sikkerheden generelt. Tilpasning til amerikanske luftfartsstandarder er allerede blevet aftalt, og regelmæssige opdateringer af Easy Access Rules (Part IS) er planlagt, hvilket gør dem til et sæt regler, der vil udvikle sig over tid.

Opdag, beskyt, svar og gendan

At køre et informationssikkerhedsstyringssystem (ISMS) er nøglen til luftfartsorganisationer, der skal overholde reglerne. Andre vigtige komponenter omfatter sikkerhedsovervågning, revisioner og foranstaltninger, der peger organisationer mod større cybersikkerhedsmodenhed. De er:

⦁ Etablere og drive et ISMS
⦁ Implementere og vedligeholde en informationssikkerhedspolitik
⦁ Identificere, gennemgå og afhjælpe informationssikkerhedsrisici
⦁ Trusselsdetektion for hændelser relateret til luftfartssikkerhed
⦁ Træf afhjælpende foranstaltninger for at imødegå resultater, der er anmeldt af en kompetent myndighed
⦁ Sikkerhedsrapportering
⦁ Overholdelsesovervågning
⦁ Indfør en løbende forbedringsproces

Ken Munro er CEO hos Pen Test Partners, et firma af britisk-baserede penetrationstestere med kunder i luftfartssektoren. Han siger til ISMS.online, at vedtagelsen af ​​ISO 27001 vil hjælpe luftfartssektorens organisation med at overholde de nye EU-dækkende regler.

"EAR (Part IS) følger faktisk eksisterende standarder såsom ISO 27001 temmelig nøje, så organisationer med eksisterende compliance-rammer bør finde kortlægning ret ligetil," forklarer han.

Forskellige niveauer af vedtagelse af bedste praksis inden for cybersikkerhed på tværs af sektoren kan dog vise sig at være en udfordring for nogle.

"Vores erfaring i luftfartssektoren som helhed viste meget varierende niveauer af sikkerhedsmodenhed. Noget af dette er forståeligt: ​​Ville vi forvente, at en lille regional lufthavn har samme modenhedsniveau som en stor hub-lufthavn? Udfordringen her er, at den rejsende og deres bagage bliver screenet ved check-in, ikke overførsel, hvilket kan afsløre forbindelsesflyvninger,” forklarer Munro.

"Ville vi på samme måde forvente, at et stort flyselskab har samme modenhedsniveau som en lille regional operatør? De vil have lignende flysikkerhedsregimer, men samme grad af cybersikkerhedsregime er mindre sandsynligt."

At finde en måde at befæste disse svage led i kæden på tværs af luftfartssektoren er derfor en udfordring.

Turbulens forude?

De nye regler giver nogle eksempler på anvendelighed i forhold til deres anvendelsesområde, mens de er en "lidt kort detalje" sammenlignet med andre ordninger såsom CAA ASSURE, ifølge Munro.
CAA ASSURE (Cyber ​​Audit)-ordningen er en tredjepartsrevisionsmodel udviklet af Storbritanniens Civil Aviation Authority (CAA) i samarbejde med CREST.

"Dette [manglende detaljer i EAR] virker lidt i modstrid med CAA ASSURE-ordningen, som gør en betydelig indsats for at identificere kritiske systemer hos flyselskaber og lufthavne," forklarer Munro. "Dette har hjulpet operatører med at fokusere deres indsats på de systemer, der kan påvirke flysikkerheden eller forhindre flyafsendelser. Begge kan have betydelige sikkerhedsmæssige konsekvenser."

Munro konkluderer: "Der er et forsøg på at give nogle eksempler på potentielle angreb i appendiks 1, men dette virker ret tilfældigt udvalg og går glip af adskillige vigtige områder. Risikoen her er, at organisationer fokuserer på de eksempler, der gives på bekostning af andre områder.”

Hugo Teso, en kommerciel pilot og ekspert i luftfartscybersikkerhed, fungerede som ekstern ekspert i processen, der førte til udviklingen af ​​forordningen. I et indlæg på LinkedIn siger han, at reglerne går ud over "bare at kræve et ISMS" for organisationer inden for rammerne.

Det understøttende dokument på 278 sider, der beskriver EAR Part-IS og deres omfang, placerer et ISMS som en nøglekomponent, men på ingen måde det eneste skridt i at blive kompatibel.

Forberedelse til take-off

ISO 27001 er dog et godt sted at starte, mener andre eksperter.

"Når luftfartsvirksomheder forbereder sig på de kommende EU-regler for cybersikkerhed for luftfart, EASA EAR Part-IS, er et af de første skridt, de kan tage, at etablere et ISMS, der er kompatibelt med ISO 27001-standarden," argumenterer Sam Peters, ISMS.online Chief Product Officer.

"Ved proaktivt at arbejde hen imod overholdelse af ISO 27001 nu kan luftfartsorganisationer få et forspring med at opfylde EASA-kravene og demonstrere over for regulatorer, at de tager cybersikkerhed alvorligt."

Peters fortsætter med at kortlægge en handlingsplan for compliance-ansvarlige og de ansvarlige for cybersikkerhed i luftfartssektoren.

"Den første fase ville være at definere omfanget af ISMS baseret på selskabets luftfartstjenester og aktiver, der vil falde ind under EASAs tilsyn," siger han.

"En omfattende risikovurdering kan derefter identificere cybersårbarheder og kortlægge passende kontroller fra ISO 27001 for at styrke forsvaret på kritiske områder. Ting som adgangskontrolpolitikker, leverandørstyring, hændelsesresponsplaner og personalesikkerhedstræning bør prioriteres."

Uanset EAR Part-IS-kravene, vil det at blive ISO 27001 give forretningsfordele til luftfartssektorens udbydere.

“En ekstra fordel ved at omfavne ISO 27001 er, at det tager en holistisk, procesbaseret tilgang til informationssikkerhed. Dette gør ISMS til en sund forretningsdrivende, der gør det muligt for luftfartsvirksomheder at identificere ineffektivitet, reducere risiko og træffe datadrevne investeringsbeslutninger på tværs af hele organisationen,” afslutter han.

"Når deadline for EASA EAR Part-IS compliance nærmer sig, vil det at følge etablerede ISO 27001-rammer hjælpe luftfartsorganisationer med at demonstrere over for EASA-revisorer, at de har implementeret et modent ISMS, der er skræddersyet til de unikke cyberrisici i luftfartsindustrien. At tage disse proaktive skridt i dag vil gøre overholdelsesrejsen nemmere i morgen."