Flugzeug in den Wolken

Part-IS und ISO 27001: Synergien für Ihre Compliance nutzen

14. Januar 2026
News | ISMS

Am 22. Februar 2026 tritt die EU-Verordnung Part-IS für Luftfahrtorganisationen in Kraft. Diese müssen Informationssicherheitsrisiken so steuern, dass die Sicherheit der zivilen Luftfahrt bestmöglich geschützt wird. Viele setzen bereits auf ein ISMS nach ISO 27001 – doch reicht das für die Part‑IS-Compliance? Unsere Expertinnen Andrea Rupprich und Wienke Schumacher zeigen praxisnah, wie ISO 27001 als solide Basis dient und wie Sie beide Anforderungen effizient harmonisieren.

Andrea Rupprich, usd AG, Expertin für Part-IS
Andrea Rupprich
Wienke Schumacher, usd AG, Expertin für Part-IS
Wienke Schumacher

Part-IS Anforderungen: Was bedeutet die Verordnung für Ihr Unternehmen?

Part-IS schreibt vor, dass regulierte Organisationen ein Informationssicherheitsmanagementsystem (ISMS) einführen. Ziel ist es, Risiken systematisch zu identifizieren, zu bewerten und zu behandeln, um die Zivilluftfahrt besser vor Cyberangriffen zu schützen. Die Aufsicht liegt bei der Europäischen Agentur für Flugsicherheit (EASA) sowie den nationalen Luftfahrtbehörden wie dem deutschen Luftfahrt-Bundesamt (LBA). Die Verordnung orientiert sich an ISO 27001, ergänzt den Standard aber durch zusätzliche Anforderungen. Wer bereits ein ISMS betreibt, kann Part‑IS-Anforderungen gezielt integrieren und so Zeit und Ressourcen sparen.

Mehr zu den Grundlagen finden Sie in unserem Beitrag: Die 7 wichtigsten Fragen zu Part IS.

Part-IS vs. ISO 27001: Was Sie für Ihre Compliance wissen müssen

Part-IS und ISO 27001 verfolgen beide das Ziel, Informationssicherheit strukturiert umzusetzen. Der Vergleich zeigt, wo sich die Anforderungen überschneiden, wo Unterschiede bestehen und welche zusätzlichen Vorgaben Part‑IS mitbringt.

Gemeinsamkeiten

  • ISMS als Kernanforderung: Beide Regelwerke verlangen die Einführung eines Informationssicherheitsmanagementsystems mit klar definierten Rollen, Prozessen und Verantwortlichkeiten.
  • Asset-Management: Verwaltung und Schutz kritischer Assets sind zentrale Elemente in beiden Ansätzen.
  • Incident-Management: Strukturierte Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen sind Pflicht.
  • Management-Commitment: Sowohl ISO 27001 als auch Part-IS setzen auf die Einbindung der Unternehmensleitung und die Etablierung einer Sicherheitskultur.
  • Dokumentation und Nachweisführung: Beide fordern nachvollziehbare, dokumentierte Prozesse und regelmäßige Überprüfungen (Audits bzw. behördliche Kontrollen).
  • Kontinuierliche Verbesserung: Beide Systeme basieren auf einem Managementsystem-Ansatz (PDCA-Zyklus), der eine fortlaufende Optimierung vorsieht.

Unterschiede

  • Scope: Für Part‑IS muss der ISMS-Geltungsbereich mindestens die regulierten Organisationsteile abdecken. Ein ISO‑27001-Zertifikat mit kleinerem Scope reicht nicht.
  • ISMS: Eigenständig vs. integriert: Ein ISMS nach ISO 27001 kann eigenständig im Unternehmen etabliert werden. Ein ISMS gemäß Part-IS muss gemäß luftrechtlichen Vorgaben (z. B. EU-Verordnung 965/2012) in das bestehende Safetymanagementsystem integriert und darf nicht isoliert betrieben werden.
  • Security vs. Safety: ISO 27001 fokussiert auf Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit). Part‑IS verfolgt ein übergeordnetes Ziel: Safety. Informationssicherheit ist hier Mittel zum Zweck, um die Flugsicherheit zu gewährleisten.
  • Business Risks vs. Safety Risks: ISO 27001 bewertet primär Geschäftsrisiken. Part‑IS verlangt eine Ausrichtung auf Informationssicherheits-Risiken mit Auswirkungen auf die Flugsicherheit. Die Risikoanalysen müssen angepasst werden.
  • Behördliche Kontrollen vs. Zertifizierung: ISO 27001 wird durch akkreditierte Zertifizierungsstellen geprüft. Part‑IS unterliegt der behördlichen Kontrolle durch die EASA und nationale Luftfahrtbehörden (z. B. das LBA), die neben Part‑IS weitere luftrechtliche Vorgaben überwachen. Die Konsequenzen sind gravierender: Während ISO‑Abweichungen den Verlust eines Zertifikats bedeuten, kann die Nichteinhaltung von Part‑IS die Zulassung gefährden.

Part-IS Umsetzung: Typische Stolperfallen und wie Sie sie vermeiden

Die genannten Unterschiede wirken sich direkt auf die Praxis aus. Damit Sie vorbereitet sind, haben wir die häufigsten Stolperfallen für Sie zusammengestellt:

  • Unzureichender Scope: Ein ISMS nach ISO 27001 deckt Part‑IS nur ab, wenn der Geltungsbereich identisch oder größer ist. Teilzertifizierungen sind nicht ausreichend und werden von Behörden nicht akzeptiert.
  • Fehlende Safety-Integration: Part-IS verlangt die aktive Einbettung von Safety-Bereichen in das ISMS. Ein rein IT-getriebenes ISMS erfüllt die Anforderungen nicht.
  • Ungeeignete Risikoanalyse: Für Part‑IS müssen Risikoanalysen auf sicherheitskritische Prozesse und deren Auswirkungen auf die Flugsicherheit berücksichtigt werden.
  • Unterschätzte behördliche Aufsicht: Verstöße gegen Part‑IS gefährden die behördliche Zulassung mit erheblichen operativen Konsequenzen.

Part-IS und ISO 27001 harmonisieren: So gelingt die Integration

Die genannten Stolpersteine zeigen, wie schnell die Umsetzung komplex werden kann. Unsere Expertinnen Andrea Rupprich und Wienke Schumacher empfehlen daher ein strukturiertes Vorgehen, das Synergien gezielt nutzt und den Aufwand reduziert:

  1. Gap-Analyse durchführen: Identifizieren Sie Unterschiede zwischen Ihrem bestehenden ISMS und den Part‑IS-Vorgaben. Prüfen Sie insbesondere Scope, Safety-Integration und behördliche Anforderungen.
  2. Governance-Strukturen anpassen: Etablieren Sie klare Verantwortlichkeiten. Positionieren Sie den (C)ISO als zentrale Schnittstelle zwischen Informationssicherheit und Safety-Management.
  3. Prozesse erweitern: Nutzen Sie etablierte ISMS-Prozesse für Asset-, Risiko- und Incident-Management und ergänzen Sie Safety-relevante Kriterien sowie Meldewege.
  4. Behörden frühzeitig einbinden: Stimmen Sie sich rechtzeitig mit EASA oder nationalen Luftfahrtbehörden ab, um Compliance-Risiken zu vermeiden und Planungssicherheit zu schaffen.

Part-IS Compliance: Ihr Fahrplan

Der Countdown läuft: Ab dem 22. Februar 2026 ist Part-IS verbindlich. Nutzen Sie ISO 27001 als Sprungbrett: Erweitern Sie den Scope, ergänzen Sie Risikoanalysen um Safety-Aspekte und schaffen Sie klare Governance-Schnittstellen. So machen Sie bestehende Stärken zu einem echten Wettbewerbsvorteil, sichern Ihre Zulassung und erhöhen Ihre Resilienz im Luftfahrtsektor.

Sie möchten prüfen, ob Ihr ISMS Part-IS konform ist? Unsere Expert*innen begleiten Sie bei der Gap-Analyse und Umsetzung. Kontaktieren Sie uns gerne.

Gap-Analyse Part-IS | Harmonisierung Part-IS und ISO 27001 | Informationssicherheit | ISMS | ISO 27001 | Luftfahrt Compliance Anforderungen | Part-IS | Part-IS Compliance | Part-IS ISMS | Risikomanagement | Risikomanagement Luftfahrt

Auch interessant:

Kategorien

Kategorien

Cloud Security Customer Stories  |  Corporate Social Responsibility  |  Events & Community Financial Sector & Compliance  |  ISMS  |  KRITIS  | Life@usd  |  Meet us  |   News   |  PCI Pentests & Security Analyses  |  Security Audits  |   Security Advisories