Bezpieczeństwo informacji w lotnictwie cywilnym – nowe przepisy EASA PART-IS zmieniają reguły gry.
Współczesne lotnictwo funkcjonuje w oparciu o wysoce zautomatyzowane i cyfrowe systemy informacyjne. Każdy etap procesu — od planowania lotu, przez zarządzanie ruchem lotniczym, aż po obsługę techniczną samolotów — opiera się na infrastrukturze cyfrowej. W takiej rzeczywistości ochrona informacji staje się równie istotna jak bezpieczeństwo techniczne samolotu. Europejska Agencja Bezpieczeństwa Lotniczego (EASA), rozpoznając skalę zagrożeń, opublikowała w 2024 roku jednolite przepisy w zakresie bezpieczeństwa informacji. Nowe regulacje zawarte w Rozporządzeniach (UE) 2023/203 i 2022/1645, wdrożone w dokumencie Easy Access Rules for Information Security, mają na celu zwiększenie odporności cyfrowej całego sektora lotniczego.
Nowa era ochrony danych w sektorze lotniczym.
Rozporządzenia EASA po raz pierwszy tak szczegółowo traktują bezpieczeństwo informacji jako integralny element bezpieczeństwa lotniczego. Nie chodzi wyłącznie o ochronę serwerów czy sieci IT, ale przede wszystkim o zagwarantowanie ciągłości operacyjnej w warunkach rosnących zagrożeń cyfrowych. Systemy informatyczne w lotnictwie są coraz bardziej zintegrowane. Oznacza to, że nawet niewielka luka w zabezpieczeniach może mieć realny wpływ na bezpieczeństwo pasażerów.
EASA wskazuje, że zagrożenia cyfrowe, takie jak ataki ransomware, manipulacje danymi czy błędy konfiguracyjne, są dziś równie niebezpieczne jak awarie mechaniczne. Dlatego organizacje lotnicze muszą zarządzać ryzykiem informacyjnym na takim samym poziomie jak ryzykiem operacyjnym. Wymaga to zmiany mentalności i wdrożenia nowych narzędzi organizacyjnych, czyli ISMS.
Czym jest ISMS w rozumieniu EASA?
System zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System) to narzędzie, które pozwala identyfikować zagrożenia, oceniać ryzyko oraz wdrażać skuteczne mechanizmy kontroli. W przypadku EASA ISMS musi być bezpośrednio powiązany z istniejącym systemem zarządzania bezpieczeństwem lotniczym (SMS). Ma on służyć do ochrony nie tylko danych, ale i procesów oraz systemów informacyjnych, które wpływają na operacje lotnicze.
ISMS w ujęciu EASA to system dynamiczny. Organizacja musi prowadzić regularne analizy ryzyka, wdrażać działania prewencyjne i korygujące oraz stale doskonalić swoje podejście. To nie może być dokument „do szuflady”, lecz aktywnie wykorzystywany mechanizm zarządzania. Szczególny nacisk położono na rolę kontekstu operacyjnego – system ISMS ma być dopasowany do charakteru działalności danego podmiotu.
Wymagania dla organizacji lotniczych i nadzorczych.
Nowe regulacje obejmują bardzo szeroką grupę organizacji działających w sektorze lotniczym. Dotyczą zarówno operatorów samolotów, jak i organizacji obsługowych (Part-145), ośrodków szkoleniowych (ATO), organizacji zarządzających ciągłą zdatnością do lotu (CAMO), centrów medycznych, dostawców usług ATM/ANS oraz podmiotów projektujących i produkujących systemy dla lotnictwa. Obowiązki obejmują również organy nadzoru, czyli m.in. EASA oraz krajowe agencje.
Przepisy różnicują obowiązki w zależności od rodzaju organizacji i stopnia ryzyka. Mniejsze podmioty, które wykonują ograniczone działania — na przykład obsługę samolotów ELA 2 — mogą być wyłączone z niektórych obowiązków. Jednak dla większości certyfikowanych organizacji wdrożenie ISMS będzie obowiązkowe.
Incydenty informacyjne a obowiązek raportowania.
Jednym z fundamentów nowych przepisów jest obowiązek wczesnego wykrywania i raportowania incydentów informacyjnych. Organizacje muszą nie tylko posiadać procedury identyfikacji zdarzeń, lecz także reagować na nie w sposób zorganizowany i udokumentowany. Równie istotne jest raportowanie incydentów do odpowiednich organów krajowych odpowiedzialnych za bezpieczeństwo informacji (NIS competent authorities).
System reagowania ma obejmować detekcję, klasyfikację, analizę i odzyskiwanie funkcjonalności systemów. Przepisy precyzują również, że niektóre incydenty — zwłaszcza te mogące wpłynąć na bezpieczeństwo operacji — muszą być zgłaszane w określonym czasie i zgodnie z ustalonymi procedurami.
Znaczenie kompetencji personelu i podejścia systemowego.
Żaden system informacyjny nie będzie skuteczny bez ludzi, którzy nim zarządzają. EASA nakłada obowiązek zapewnienia odpowiednich kompetencji personelu zaangażowanego w zarządzanie bezpieczeństwem informacji. Oznacza to, że organizacje muszą zatrudniać lub wyznaczyć osoby odpowiedzialne za ISMS, zapewnić im odpowiednie szkolenia, a także regularnie weryfikować poziom wiedzy i doświadczenia.
Podejście systemowe zakłada również istnienie kultury organizacyjnej, w której bezpieczeństwo informacji nie jest dodatkiem, lecz integralną częścią codziennej działalności. Pracownicy muszą rozumieć, że nawet pozornie niewielkie naruszenie procedur może prowadzić do poważnych konsekwencji operacyjnych i finansowych.
Łańcuch funkcjonalny i współodpowiedzialność dostawców.
EASA wprowadza nową koncepcję funkcjonalnego łańcucha bezpieczeństwa informacji. Zakłada ona, że ryzyka związane z bezpieczeństwem mogą przenosić się między organizacjami powiązanymi operacyjnie. Przykład? Błąd w oprogramowaniu dostarczonym przez zewnętrzną firmę może spowodować usterkę w działaniu systemów pokładowych lub naziemnych.
Dlatego każda organizacja musi nie tylko zarządzać swoimi zasobami, lecz także identyfikować i przekazywać informacje o ryzyku swoim partnerom. Tylko dzięki współpracy możliwe jest stworzenie odpornego na zagrożenia ekosystemu informacyjnego w lotnictwie.
Spójność z innymi aktami prawnymi i harmonogram wdrożenia.
Nowe przepisy zostały tak zaprojektowane, aby mogły funkcjonować równolegle z istniejącymi regulacjami. EASA podkreśla, że ISMS musi być zgodny z wymogami dyrektywy NIS, rozporządzeniem 2015/1998 oraz innymi przepisami dotyczącymi bezpieczeństwa informacji. Jeśli organizacja już spełnia określone wymogi, może w niektórych przypadkach skorzystać z uproszczonych procedur.
Większość zapisów wchodzi w życie 22 lutego 2026 roku, natomiast dla operatora EGNOS termin ustalono na 1 stycznia 2026 roku. Oznacza to, że czas na wdrożenie wynosi niespełna dwa lata. To niewiele, jeśli weźmiemy pod uwagę skalę wymaganych zmian, konieczność przeszkoleń, audytów oraz aktualizacji dokumentacji.
Dlaczego warto działać już teraz?
Chociaż przepisy zaczną obowiązywać dopiero w 2026 roku, wdrożenie ISMS to proces złożony i czasochłonny. Wymaga zaangażowania zarządu, przygotowania dokumentacji, zmian w strukturach organizacyjnych i procesach operacyjnych. Wdrożenie na ostatnią chwilę może nie tylko narazić firmę na sankcje, lecz także pogorszyć jej wizerunek w oczach partnerów, klientów i urzędów.
Organizacje, które rozpoczną przygotowania wcześniej, zyskają przewagę konkurencyjną. Zbudują zaufanie klientów, ograniczą ryzyko strat i zwiększą odporność operacyjną. W dobie rosnącej cyfryzacji i zagrożeń informacyjnych to nie opcja — to konieczność.
źródło: EASA EUROPA