Informationssäkerhet inom luftfart
Certifierade organisationer inom luftfart ska implementera ledningssystem för informationssäkerhet enligt EU-förordningen Part-IS.
Bakgrund
För att säkerställa flygsäkerheten genom att den information som hanteras inom luftfarten inte obehörigen röjs, ändras, görs otillgänglig eller förstörs finns det nu kravställt på organisationer som är certifierade i enlighet med (EU) 2018/1139, att ett ledningssystem för informationssäkerhet ska implementeras, ISMS.
Vilka organisationer gäller kraven?
De organisationer som ska ha ett ledningssystem för informationssäkerhet finns angivna i (EU) 2022/1645 samt (EU) 2023/203. EASA har även publicerat kraven som Easy Access Rules (EAR) på sin webbplats ihop med vägledande material. Enligt punkten e) i IS.D.OR.200/IS.I.OR.200 kan organisationer ansöka om undantag för att införa ledningssystem om organisationen kan visa att dess verksamhet, anläggningar och resurser, liksom de tjänster som den driver, tillhandahåller, tar emot och upprätthåller, inte utgör några informationssäkerhetsrisker med en potentiell inverkan på flygsäkerheten, vare sig för sig själv eller för andra organisationer.
Vad ni behöver göra:
- Ni behöver inrätta system för hantering av informationssäkerhet i enlighet med punkt IS.D.OR.200/IS.I.OR.200 System för hantering av informationssäkerhet (ISMS).
- Ni behöver upprätta en handbok för hantering av informationssäkerhet (ISMM) i enlighet med punkt IS.D.OR.250/IS.I.OR.250 Handbok för hantering av informationssäkerhet (ISMM).
ISMM ska skickas in till Transportstyrelsen för godkännande. - Ni behöver uppdatera era förfaranden för ändringshantering för att omhänderta punkt IS.D.OR.255/IS.I.OR.255 Ändringar av systemet för hantering av informationssäkerhet.
Tänk på att:
- ISMS får integreras i era befintliga ledningssystem för att säkerställa konsistens och effektivitet i enlighet med IS.D.OR.200/IS.I.OR.200 Information security management system (ISMS) (d) samt tillhörande vägledande material.
- Organisationen får enligt IS.D.OR.250/IS.I.OR.250 Handbok för hantering av informationssäkerhet (ISMM) (d) integrera ISMM med sina andra ledningshandböcker eller handledningar, förutsatt att det finns en tydlig korshänvisning som anger vilka delar av handboken som motsvarar de olika kraven i IS.D.OR.250/IS.I.OR.250.
Frågor om Part-IS
Frågor gällande Part-IS implementering kan skickas in till luftfart@transportstyrelsen.se, ange TSL 2025-2256 i ärendemening.