Flyger högt: EU:s flygsäkerhetsbyrås Part-IS-regler förklarade

Flyger högt: EU:s byrå för luftfartssäkerhets regler enligt Part-IS förklaras

By Kate O'Flaherty • 19 mars 2026 • 6 minuters läsning

Den nya Part-IS-reglerna från Europeiska unionens byrå för luftfartssäkerhet har trätt i kraft, vilket utökar cybersäkerhetsskyldigheterna inom den civila luftfartssektorn. Vad innebär dessa nya krav i praktiken?

Av Kate O'Flaherty

Cyberattacker inom flygbranschen ökar kraftigt. Mellan 2024 och 2025 inträffade en 600% spik i attacker mot sektorn, med 27 större incidenter som ägde rum under perioden, enligt Thales-data.

Förra året inträffade ett flertal uppmärksammade incidenter, inklusive ransomware-attacken mot Collins Aerospace som slog ut incheckningssystemen på alla europeiska flygplatser. Air France och KLM var också brutit år 2025, via en tredjepartsplattform som används av deras modergrupp. Samtidigt, en attack mot en leverantör till det australiska flygbolaget Qantas såg sex miljoner kunders register exponeras.

I takt med att attacker som dessa ökar blir de typer av hot som flygsektorn står inför alltmer komplexa och sofistikerade. Förutom att äventyra flygoperationer har cyberattacker nu också strategiska mål.

Dessa inkluderar industriell cyberspionage, tillgång till känslig teknik som flygelektronik och kommunikationssystem, störningar i leveranskedjor och "insamling av värdefull data såsom diplomatiska resplaner och konfidentiella fraktsändningar", enligt Thales.

Det är med detta eskalerande hot i åtanke som den nya Europeiska unionens byrå för luftfartssäkerhets del IS Regler har införts, vilket utökar cybersäkerhetsskyldigheterna inom den civila luftfartssektorn.

Så, vad innebär de nya kraven i praktiken?

Attraktivt mål

De sammankopplade system som krävs för globala resor är just det som gör flyget till ett attraktivt mål för cyberbrottslingar och aktörer i olika stater, säger Danny Jenkins, VD för ThreatLocker. ”Intrång i boknings-, inchecknings- eller boardingsystem kan orsaka omfattande störningar – och avbrott inom flyget kan snabbt utvecklas till bredare ekonomiska skador”, varnar han.

Part-IS formaliserar därför det som hotbilden har gjort uppenbar ett tag. ”Cybersäkerhet är inte längre en teknisk backoffice-funktion”, förklarar Matt Conlon, VD och medgrundare av Cytidel. ”Det är en säkerhetsdisciplin, och den behöver samma strukturerade styrning, riskbedömning och kontinuerliga tillsyn som flygbranschen alltid har tillämpat på andra operativa risker.”

Del-IS kräver att företag visar att de har kontroller och att de fungerar. Reglerna föreskriver strukturerad riskbedömning, definierad styrning och ansvarsskyldighet, implementering och övervakning av proportionella kontroller, incidentrapportering och kontinuerlig förbättring.

”Det måste vara i linje med det bredare regelverket för flygindustrin och vara föremål för tillsyn, vilket innebär att organisationer måste bevisa inte bara att det finns kontroller, utan att de fungerar i praktiken”, säger Lawrence Baker, teknisk säkerhetskonsult för flyg- och rymdindustrin på NCC Group. IO.

Formella ISMS

Experter säger att regelskiftet belyser hur sektorspecifika cyberregleringar i allt högre grad gynnar ledningssystembaserade metoder i linje med erkända standarder.

Del IS föreskriver en formell Informationssäkerhetshanteringssystem (ISMS). ”Och liksom alla moderna ledningssystemstandarder är detta beroende av dokumenterade processer, tydlig ansvarsskyldighet och kontinuerlig förbättring”, förklarar Baker.

Dessa principer är redan integrerade i hela luftfartsregelverket, inklusive förordningar som Del 21, Delvis CAMO och Del 145Dessa är bekanta för luftvärdighetsmyndigheter som utför revisioner och tillsyn, säger Baker.

Enligt Baker kräver efterlevnad av Del-IS att organisationer visar:

Spårbarhet av beslut
Definierade ansvarsområden
Prestationsövervakning
Kontinuerlig förbättring av kontroller

Part-IS är också ”medvetet utformat” så att efterlevnad inte är något man ”uppnår en gång och sedan sparar”, enligt Cytidels Conlon. ”Ansvarsskyldighet är tydlig”, säger han. ”Detta innebär att styrningsstrukturer tydligt måste definiera vem som äger riskbeslut, vem som ansvarar för tillsyn och hur eskalering fungerar.”

Dokumentation är evidensbasen, säger Conlon. ”Riskbedömningar, behandlingsplaner, procedurer för incidenthantering och ISMS-manualen måste tillsammans visa att systemet är sammanhängande och fungerar i praktiken – inte bara på pappret.”

Det är inom ständig förbättring som EASA:s tillsynsmodell ”verkligen visar sina tänder”, tillägger Conlon. Detta innebär att tillsynsmyndigheter bedömer om systemet mognar. ”Löpande efterlevnadsövervakning, internrevisioner, ledningsgranskningar och utbildning är det som skiljer organisationer som helt enkelt har policyer från organisationer som kan bevisa att dessa policyer fungerar.”

Bredare regleringstrender inom CNI

Part-IS återspeglar den bredare utvidgningen av cybersäkerhetsreglering över kritisk nationell infrastruktur (CNI) i takt med att cyberhoten intensifieras. I likhet med ramverk som Nätverksinformationssystem 2 (NIS2) regler för motståndskraft och Allmän uppgiftsskyddsförordning (GDPR) för dataskydd införlivas krav på cybersäkerhet inom flygbranschen i en befintlig sektorspecifik regelstruktur, säger NCC Groups Baker.

”Precis som i andra CNI-sektorer har tillvägagångssättet anpassats till flygets etablerade säkerhetstillsynsmodell och operativa miljö, vilket integrerar cybermotståndskraft i ett moget regelsystem, snarare än att skapa ett fristående system”, berättar han. IO.

Mönstret är ”konsekvent i alla kritiska infrastruktursektorer i Europa just nu”, säger Cytidels Conlon. ”Det Digital Operational Resilience Act (DORA) har varit i kraft för finansiella tjänster sedan januari 2025. NIS2 utökar cybersäkerhetsskyldigheterna för kritisk infrastruktur och efterlevnad förväntas senast i oktober 2026. Part-IS innebär att flyget omfattas av samma förväntningsram.

Den gemensamma tråden är att tillsynsmyndigheterna har gått från ”har ni en säkerhetspolicy?” till ”kan ni bevisa att den fungerar kontinuerligt?”, förklarar Conlon.

Strukturerad riskhantering, ansvarsskyldighet på styrelsenivå, transparens i leveranskedjan och incidentrapportering är nu avgörande. ”Formuleringen skiljer sig åt mellan DORA, NIS2 och Part-IS, men förväntningarna överensstämmer”, enligt Conlon.

Men det här innebär att det finns en praktisk fördel för organisationer som arbetar inom flera ramverk. Part-IS är nära kopplat till ISO / IEC 27001 och delar strukturella likheter med DORA och NIS2, säger Conlon.

Därför kommer organisationer som bygger ett sammanhängande ramverk för säkerhetshantering och kartlägger det över olika skyldigheter att ha en "mycket starkare position" än de som behandlar varje regel som ett separat efterlevnadsprojekt, råder han.

Prioriteringar för CISO:er och chefer inom efterlevnad inom flygbranschen

Det är tydligt att integreringen av informationssäkerhet, motståndskraft och riskhantering inom ett strukturerat ramverk stöder regelverksförsvarbarhet och långsiktigt operativt förtroende, oavsett de många föränderliga regelverken inom olika sektorer och geografiska områden.

Med del IS bör CISO:er och ledare för efterlevnad inom flygbranschen prioritera att säkerställa att deras dokumenterade processer fungerar effektivt i praktiken och "kan motstå myndighetsgranskning", råder Baker från NCC Group.

De måste övervaka utvecklande hot, regulatoriska förväntningar och arbetskraftens kompetens och anpassa sin strategi därefter, säger han.

Som en del av detta bör ITSO:er integrera hotinformation i sin riskbedömningsprocess, säger Conlon från Cytidel. ”Part-IS kräver riskbedömning som står i proportion till säkerhetspåverkan, men alltför många organisationer bedömer fortfarande risker baserat på teoretiska allvarlighetspoäng. Att förstå vilka sårbarheter som faktiskt används som vapen mot flyget, vilka hotaktörer som är aktiva och vilka mönster deras kampanjer följer bör forma hur man prioriterar.”

Synlighet i leveranskedjan är avgörande, tillägger Conlon. ”Några av de mest påverkande cyberincidenterna inom flygbranschen under senare år kom via leverantörer. Collins Aerospace-ransomware-attacken störde incheckningen på europeiska flygplatser 2025. Air France och KLM intrångades via en tredjeparts kundtjänstplattform. Om du inte vet hur dina kritiska leverantörers exponering påverkar din egen riskprofil är det gapet att täcka först.”

Samtidigt, bygg upp för kontinuerlig efterlevnad, råder Conlon. ”Tillsynsmyndigheter kommer tillbaka, och de vill ha bevis på att ditt system fungerar och är effektivt, inte bara att det fanns när du installerade det. Det innebär kontinuerlig övervakning, realtidsmedvetenhet om nya hot som är relevanta för din sektor och möjligheten att visa att ditt säkerhetsprogram anpassar sig i takt med att landskapet förändras.”