Højtflyvende: EU's Luftfartssikkerhedsagenturs Part-IS-regler forklaret

By Kate O'Flaherty • 19. marts 2026 • 6 minutters læsning

Det nye Part-IS-regler fra Den Europæiske Unions Luftfartssikkerhedsagentur er trådt i kraft, hvilket udvider cybersikkerhedsforpligtelserne i hele den civile luftfartssektor. Hvad betyder disse nye krav i praksis?

Af Kate O'Flaherty

Cyberangreb inden for luftfart er stigende. Mellem 2024 og 2025 var der en 600% stigning i angreb på sektoren, med 27 større hændelser i perioden, ifølge Thales-data.

Sidste år oplevede vi adskillige højprofilerede hændelser, herunder ransomware-angrebet på Collins Aerospace der slog check-in-systemerne ud i alle europæiske lufthavne. Air France og KLM var også overtrådt i 2025, via en tredjepartsplatform brugt af deres modergruppe. I mellemtiden et angreb på en leverandør til det australske flyselskab Qantas så seks millioner kunders optegnelser afsløre.

I takt med at angreb som disse stiger, bliver de typer trusler, som luftfartssektoren står over for, mere komplekse og sofistikerede. Udover at kompromittere flyoperationer har cyberangreb nu også strategiske mål.

Disse omfatter industriel cyberspionage, adgang til følsomme teknologier såsom flyelektronik og kommunikationssystemer, afbrydelse af forsyningskæder og "indsamling af værdifulde data såsom diplomatiske rejseplaner og fortrolige fragtforsendelser", ifølge Thales.

Det er med denne eskalerende trussel i tankerne, at den nye Den Europæiske Unions Luftfartssikkerhedsagenturs del IS Der er trådt regler i kraft, der udvider cybersikkerhedsforpligtelserne i hele den civile luftfartssektor.

Så hvad betyder de nye krav i praksis?

Attraktivt mål

De sammenkoblede systemer, der kræves til global rejseaktivitet, er præcis det, der gør luftfart til et attraktivt mål for cyberkriminelle og aktører i forskellige stater, siger Danny Jenkins, administrerende direktør for ThreatLocker. "Brud på booking-, check-in- eller boardingsystemer kan forårsage omfattende forstyrrelser – og afbrydelser i luftfarten udvikler sig hurtigt til bredere økonomisk skade," advarer han.

Part-IS formaliserer derfor, hvad trusselsbilledet har gjort tydeligt i et stykke tid. "Cybersikkerhed er ikke længere en teknisk backoffice-funktion," forklarer Matt Conlon, CEO og medstifter af Cytidel. "Det er en sikkerhedsdisciplin, og den kræver den samme strukturerede styring, risikovurdering og løbende overvågning, som luftfart altid har anvendt til andre operationelle farer."

Del-IS kræver, at virksomheder viser, at de har kontroller, og at de demonstrerer, at de fungerer. Reglerne kræver struktureret risikovurdering, defineret styring og ansvarlighed, implementering og overvågning af forholdsmæssige kontroller, rapportering af hændelser og løbende forbedringer.

"Det skal være i overensstemmelse med den bredere luftfartsregulering og være underlagt tilsyn, hvilket betyder, at organisationer ikke blot skal dokumentere, at der findes kontroller, men også at de fungerer i praksis," fortæller Lawrence Baker, teknisk sikkerhedskonsulent for luftfart hos NCC Group. IO.

Formelle ISMS'er

Eksperter siger, at det regulatoriske skift fremhæver, hvordan sektorspecifikke cyberreguleringer i stigende grad favoriserer ledelsessystembaserede tilgange, der er i overensstemmelse med anerkendte standarder.

Del IS kræver en formel Informationssikkerhedsstyringssystem (ISMS). "Og ligesom alle moderne ledelsessystemstandarder afhænger dette af dokumenterede processer, klar ansvarlighed og løbende forbedringer," forklarer Baker.

Disse principper er allerede integreret i luftfartsreguleringsrammen, herunder regler som f.eks. Del 21, Delvis CAMO og Del 145Disse er velkendte for luftdygtighedsmyndigheder, der udfører revisioner og tilsyn, siger Baker.

Ifølge Baker kræver overholdelse af del IS, at organisationer demonstrerer:

Sporbarhed af beslutninger
Definerede ansvarsområder
Ydelsesovervågning
Løbende forbedring af kontroller

Part-IS er også "bevidst designet", så compliance ikke er noget, man "opnår én gang og gemmer væk", ifølge Cytidels Conlon. "Ansvarlighed er eksplicit," siger han. "Det betyder, at ledelsesstrukturer klart skal definere, hvem der ejer risikobeslutninger, hvem der er ansvarlig for tilsyn, og hvordan eskalering fungerer."

Dokumentation er evidensgrundlaget, siger Conlon. "Risikovurderinger, behandlingsplaner, procedurer for håndtering af hændelser og ISMS-manualen skal samlet set demonstrere, at systemet er sammenhængende og fungerer i praksis – ikke kun på papiret."

Det er inden for løbende forbedringer, at EASA's tilsynsmodel "virkelig viser sine tænder", tilføjer Conlon. Her vurderer tilsynsmyndighederne, om dit system modnes. "Løbende compliance-overvågning, interne revisioner, ledelsesgennemgange og træning er det, der adskiller organisationer, der blot har politikker, fra organisationer, der kan bevise, at disse politikker virker."

Bredere regulatoriske tendenser i CNI

Part-IS afspejler den bredere udvidelse af cybersikkerhedsregulering på tværs af kritisk national infrastruktur (CNI) i takt med at cybertruslerne intensiveres. I lighed med rammer som f.eks. Netværksinformationssystemer 2 (NIS2) regler for modstandsdygtighed og Generel databeskyttelsesforordning (GDPR) for databeskyttelse bliver krav til cybersikkerhed inden for luftfart integreret i en eksisterende sektorspecifik reguleringsstruktur, siger Baker fra NCC Group.

"Ligesom i andre CNI-sektorer er tilgangen skræddersyet til luftfartens etablerede sikkerhedstilsynsmodel og driftsmiljø, hvorved cyberrobusthed integreres i et modent regulatorisk økosystem i stedet for at skabe et selvstændigt regime," fortæller han. IO.

Mønsteret er "konsistent på tværs af alle kritiske infrastruktursektorer i Europa lige nu", siger Cytidels Conlon. "Det Lov om digital operationel modstandskraft (DORA) har været gældende for finansielle tjenesteydelser siden januar 2025. NIS2 udvider cybersikkerhedsforpligtelser på tværs af kritisk infrastruktur, og overholdelse forventes inden oktober 2026. Part-IS bringer luftfarten ind i den samme ramme af forventninger.

Den fælles tråd er, at tilsynsmyndighederne er gået fra "har I en sikkerhedspolitik?" til "kan I bevise, at den fungerer kontinuerligt?", forklarer Conlon.

Struktureret risikostyring, ansvarlighed på bestyrelsesniveau, synlighed i forsyningskæden og rapportering af hændelser er nu nøglen. "Sproget er forskelligt på tværs af DORA, NIS2 og Part-IS, men forventningerne er ved at konvergere," ifølge Conlon.

Men det betyder, at der er en praktisk fordel for organisationer, der opererer på tværs af flere rammer. Part-IS er tæt forbundet med ISO / IEC 27001 og deler strukturelle ligheder med DORA og NIS2, siger Conlon.

Derfor vil organisationer, der opbygger én sammenhængende sikkerhedsstyringsramme og kortlægger den på tværs af forpligtelser, være i en "meget stærkere position" end dem, der behandler hver regulering som et separat compliance-projekt, råder han.

Prioriteter for CISO'er og compliance-ledere inden for luftfart

Det er tydeligt, at integration af informationssikkerhed, robusthed og risikostyring inden for en struktureret ramme understøtter regulatorisk forsvarlighed og langsigtet operationel tillid, uanset de mange udviklende regler på tværs af sektorer og geografier.

Med del IS bør CISO'er og compliance-ledere inden for luftfart prioritere at sikre, at deres dokumenterede processer fungerer effektivt i praksis og "kan modstå myndighedskontrol", råder Baker fra NCC Group.

De skal overvåge udviklende trusler, lovgivningsmæssige forventninger og arbejdsstyrkens kompetencer og tilpasse deres tilgang i overensstemmelse hermed, siger han.

Som en del af dette bør CISO'er integrere trusselsintelligens i deres risikovurderingsproces, siger Conlon fra Cytidel. "Part-IS kræver risikovurdering, der står i forhold til sikkerhedspåvirkningen, men alt for mange organisationer vurderer stadig risiko baseret på teoretiske alvorlighedsscorer. Forståelse af, hvilke sårbarheder der rent faktisk bliver brugt som våben mod luftfarten, hvilke trusselsaktører der er aktive, og hvilke mønstre deres kampagner følger, bør forme, hvordan du prioriterer."

Synlighed i forsyningskæden er afgørende, tilføjer Conlon. "Nogle af de mest betydningsfulde cyberhændelser inden for luftfart i de seneste år kom gennem leverandører. Collins Aerospace-ransomware-angrebet forstyrrede check-in på tværs af europæiske lufthavne i 2025. Air France og KLM blev hacket via en tredjeparts kundeserviceplatform. Hvis du ikke ved, hvordan dine kritiske leverandørers eksponering påvirker din egen risikoprofil, er det det hul, du skal lukke først."

Samtidig skal du sørge for kontinuerlig overholdelse af reglerne, råder Conlon. "Regulatorerne vil vende tilbage, og de vil have bevis for, at dit system fungerer og er effektivt, ikke kun at det eksisterede, da du oprettede det. Det betyder løbende overvågning, realtidsbevidsthed om nye trusler, der er relevante for din sektor, og evnen til at vise, at dit sikkerhedsprogram tilpasser sig, efterhånden som landskabet ændrer sig."