Vlieg Hoog: Die EU Lugvaartveiligheidsagentskap se Deel-IS Reëls Verduidelik

By Kate O'Flaherty • 19 Maart 2026 • 6 min lees

Die nuwe Deel-IS-reëls van die Europese Unie se Lugvaartveiligheidsagentskap het in werking getree, wat kuberveiligheidsverpligtinge oor die burgerlike lugvaartsektor uitbrei. Wat beteken hierdie nuwe vereistes in die praktyk?

Deur Kate O'Flaherty

Kuberaanvalle in die lugvaart neem toe. Tussen 2024 en 2025 was daar 'n 600% styging in aanvalle op die sektor, met 27 groot voorvalle wat gedurende die tydperk plaasgevind het, volgens Thales-data.

Verlede jaar het talle hoëprofielvoorvalle plaasgevind, insluitend die ransomware-aanval op Collins Aerospace wat inboekstelsels by Europese lughawens uitgeskakel het. Air France en KLM was ook oortree in 2025, deur 'n derdeparty-platform wat deur hul moedergroep gebruik word. Intussen, 'n aanval op 'n verskaffer aan die Australiese lugredery Qantas het ses miljoen kliënte se rekords blootgelê.

Namate aanvalle soos hierdie toeneem, word die tipe bedreigings waarmee die lugvaartsektor te kampe het, meer kompleks en gesofistikeerd. Behalwe dat dit vlugbedrywighede in die gedrang bring, het kuberaanvalle nou ook strategiese doelwitte.

Dit sluit in industriële kuber-spioenasie, toegang tot sensitiewe tegnologieë soos avionika en kommunikasiestelsels, ontwrigting van voorsieningskettings en “die vaslegging van waardevolle data soos diplomatieke reisplanne en vertroulike vragversendings”, volgens Thales.

Dit is met hierdie toenemende bedreiging in gedagte dat die nuwe Europese Unie Lugvaartveiligheidsagentskap se Deel-IS reëls het in plek gestel wat kuberveiligheidsverpligtinge oor die burgerlugvaartsektor uitbrei.

So, wat beteken die nuwe vereistes in die praktyk?

Aantreklike teiken

Die onderling gekoppelde stelsels wat vir globale reise benodig word, is presies wat lugvaart 'n aantreklike teiken vir kubermisdadigers en nasiestaat-akteurs maak, sê Danny Jenkins, uitvoerende hoof van ThreatLocker. “Oortredings van besprekings-, inboek- of instapstelsels kan wydverspreide ontwrigting veroorsaak – en onderbrekings in lugvaart ontwikkel vinnig tot breër ekonomiese skade,” waarsku hy.

Part-IS formaliseer dus wat die bedreigingslandskap al 'n rukkie duidelik maak. “Kubersekuriteit is nie meer 'n tegniese agterkantoorfunksie nie,” verduidelik Matt Conlon, uitvoerende hoof en medestigter van Cytidel. “Dis 'n veiligheidsdissipline, en dit benodig dieselfde gestruktureerde bestuur, risikobepaling en deurlopende toesig wat lugvaart nog altyd op ander operasionele gevare toegepas het.”

Deel-IS vereis dat firmas moet aantoon dat hulle beheermaatreëls het, en dat hulle werk. Die reëls vereis gestruktureerde risikobepaling, gedefinieerde bestuur en aanspreeklikheid, implementering en monitering van proporsionele beheermaatreëls, voorvalrapportering en voortdurende verbetering.

“Dit moet in lyn wees met die breër lugvaartreguleringsraamwerk en onderhewig wees aan regulatoriese toesig, wat beteken dat organisasies nie net moet bewys dat beheermaatreëls bestaan nie, maar dat dit in die praktyk werk,” sê Lawrence Baker, tegniese sekuriteitskonsultant vir lugvaart by NCC Group. IO.

Formele ISMS'e

Kenners sê die regulatoriese verskuiwing beklemtoon hoe sektorspesifieke kuberregulasies toenemend bestuurstelselgebaseerde benaderings bevoordeel wat in lyn is met erkende standaarde.

Deel-IS vereis 'n formele Bestuurstelsel vir inligtingsekuriteit (ISMS). “En soos alle moderne bestuurstelselstandaarde, hang dit af van gedokumenteerde prosesse, duidelike aanspreeklikheid en voortdurende verbetering,” verduidelik Baker.

Hierdie beginsels is reeds ingebed in die lugvaartregulatoriese raamwerk, insluitend regulasies soos Deel 21, Deel-CAMO en Deel 145Dit is bekend aan lugwaardigheidsowerhede wat oudits en toesig uitvoer, sê Baker.

Volgens Baker vereis Deel-IS-nakoming dat organisasies die volgende moet demonstreer:

Naspeurbaarheid van besluite
Gedefinieerde verantwoordelikhede
Prestasiemonitering
Voortdurende verbetering van beheermaatreëls

Part-IS is ook “doelbewus ontwerp” sodat voldoening nie iets is wat jy “een keer bereik en weggooi nie”, volgens Cytidel se Conlon. “Verantwoordbaarheid is eksplisiet,” sê hy. “Dit beteken dat bestuursstrukture duidelik moet definieer wie risikobesluite besit, wie verantwoordelik is vir toesig, en hoe eskalasie werk.”

Dokumentasie is die bewysbasis, sê Conlon. “Risikobeoordelings, behandelingsplanne, voorvalhanteringsprosedures en die ISMS-handleiding moet gesamentlik demonstreer dat die stelsel samehangend is en in die praktyk funksioneer – nie net op papier nie.”

Deurlopende verbetering is waar EASA se toesigmodel “werklik sy tande wys”, voeg Conlon by. Dit behels dat reguleerders assesseer of jou stelsel volwasse word. “Deurlopende voldoeningsmonitering, interne oudits, bestuursoorsigte en opleiding is wat organisasies wat bloot beleide het, onderskei van organisasies wat kan bewys dat daardie beleide werk.”

Breër Regulatoriese Tendense in CNI

Deel-IS weerspieël die breër uitbreiding van kuberveiligheidsregulering oor kritieke nasionale infrastruktuur (KNI) namate kuberbedreigings toeneem. Soortgelyk aan raamwerke soos die Netwerkinligtingstelsels 2 (NIS2) regulasies vir veerkragtigheid en Regulasie Algemene Data Protection (GDPR) vir databeskerming, word kuberveiligheidvereistes vir lugvaart in 'n bestaande sektorspesifieke regulatoriese struktuur ingebou, sê Baker van NCC Group.

“Soos in ander CNI-sektore, is die benadering aangepas by die lugvaart se gevestigde veiligheidsoorsigmodel en bedryfsomgewing, wat kuberveerkragtigheid in 'n volwasse regulatoriese ekosisteem integreer, eerder as om 'n alleenstaande regime te skep,” vertel hy. IO.

Die patroon is “konsekwent in elke kritieke infrastruktuursektor in Europa op die oomblik”, sê Cytidel se Conlon. “Die Wet op Digitale Operasionele Veerkragtigheid (DORA) is sedert Januarie 2025 van krag vir finansiële dienste. NIS2 brei kuberveiligheidsverpligtinge oor kritieke infrastruktuur uit, met nakoming wat teen Oktober 2026 verwag word. Deel-IS bring lugvaart binne dieselfde raamwerk van verwagtinge.

Die gemeenskaplike draad is dat reguleerders van “het julle ’n sekuriteitsbeleid?” na “kan julle bewys dat dit deurlopend werk?” beweeg het, verduidelik Conlon.

Gestruktureerde risikobestuur, aanspreeklikheid op direksievlak, sigbaarheid van die voorsieningsketting, en voorvalrapportering is nou die sleutel. “Die taal verskil tussen DORA, NIS2 en Part-IS, maar die verwagtinge kom ooreen,” volgens Conlon.

Maar dit beteken dat daar 'n praktiese voordeel is vir organisasies wat oor verskeie raamwerke werk. Part-IS stem nou saam met ISO / IEC 27001 en deel strukturele ooreenkomste met DORA en NIS2, sê Conlon.

Daarom sal organisasies wat een samehangende sekuriteitsbestuursraamwerk bou en dit oor verpligtinge karteer, in 'n "veel sterker posisie" wees as dié wat elke regulasie as 'n aparte voldoeningsprojek behandel, adviseer hy.

Prioriteite vir Lugvaart-CISO's en Nakomingsleiers

Dit is duidelik dat die integrasie van inligtingsekuriteit, veerkragtigheid en risikobestuur binne 'n gestruktureerde raamwerk regulatoriese verdedigbaarheid en langtermyn operasionele vertroue ondersteun, ongeag die vele ontwikkelende regulasies oor sektore en geografiese gebiede.

Met Deel IS moet lugvaart-CISO's en voldoeningsleiers prioritiseer om te verseker dat hul gedokumenteerde prosesse effektief in die praktyk funksioneer en "regulatoriese ondersoek kan weerstaan", adviseer Baker van NCC Group.

Hulle moet ontwikkelende bedreigings, regulatoriese verwagtinge en werksmagbevoegdhede monitor en hul benadering dienooreenkomstig aanpas, sê hy.

As deel hiervan moet KISO's bedreigingsintelligensie in hul risikobepalingsproses integreer, sê Cytidel se Conlon. “Part-IS vereis risikobepaling wat proporsioneel is tot die veiligheidsimpak, maar te veel organisasies beoordeel steeds risiko gebaseer op teoretiese ernspunte. Om te verstaan watter kwesbaarhede eintlik teen lugvaart gebruik word, watter bedreigingsakteurs aktief is en watter patrone hul veldtogte volg, behoort te bepaal hoe jy prioritiseer.”

Sigbaarheid in die voorsieningsketting is noodsaaklik, voeg Conlon by. “Van die mees impakvolle kubervoorvalle in die lugvaart in onlangse jare het deur verskaffers gekom. Die Collins Aerospace-ransomware-aanval het inboek by Europese lughawens in 2025 ontwrig. Air France en KLM is deur 'n derdeparty-kliëntediensplatform oortree. As jy nie weet hoe jou kritieke verskaffers se blootstelling jou eie risikoprofiel beïnvloed nie, is dit die gaping wat jy eers moet toemaak.”

Bou terselfdertyd vir deurlopende nakoming, adviseer Conlon. “Reguleerders sal terugkom, en hulle sal bewyse wil hê dat jou stelsel werk en effektief is, nie net dat dit bestaan het toe jy dit opgestel het nie. Dit beteken deurlopende monitering, intydse bewustheid van opkomende bedreigings wat relevant is vir jou sektor, en die vermoë om te wys dat jou sekuriteitsprogram aanpas soos die landskap verander.”