Als organisatie in de burgerluchtvaart moet u vanaf 16 oktober 2025, 22 februari 2026 of 27 maart 2031, voldoen aan nieuwe regels voor beheer van informatiebeveiligingsrisco’s die gevolgen kunnen hebben voor de luchtvaartveiligheid. Deze regels staan in de Europese Part-IS-verordeningen (Information Security) 2022/1645, 2023/203 en 2025/22.
De luchtvaartautoriteit van de Inspectie Leefomgeving en Transport (ILT-Luchtvaartautoriteit) ziet toe op de naleving van Part-IS.
Moet uw organisatie nu al voldoen aan de Wet beveiliging netwerk- en informatiesystemen (Wbni)? Dan zijn de eisen van Part-IS bij uw organisatie deels al bekend.
Voor welke soorten organisaties gelden de nieuwe regels?
Sinds 16 oktober 2025 gelden de regels voor informatiebeveiliging in de burgerluchtvaart voor:
- Producenten met Part-21 Subpart G-certificaat (POA-houders).
-
Ontwerpers met Part-21 Subpart J-certificaat (DOA houders, deze certificaathouders staan onder direct toezicht van EASA).
- Luchthavens met een Europees certificaat (ADR) en organisaties die diensten op EASA-gecertificeerde luchthavens exploiteren (AMS).
Met ingang van 22 februari 2026 gelden de regels voor informatiebeveiliging in de burgerluchtvaart voor:
- Air operators met complex motor-powered aircrafts zoals bedoeld onder Annex III (Part-ORO):
- Luchtvaartmaatschappijen (AOC-houders).
- Niet-commerciële operaties met complexe motoraangedreven luchtvaartuigen (NCC)
- Commercieel en niet-commercieel gespecialiseerde vluchtuitvoeringen (SPO)
- Aircrew aero-medical centres (Annex VII: Part-ORA)
- Luchtwaardigheidsbeheerbedrijven (CAMO’s).
- Onderhoudsbedrijven (Part-145).
- ATM/ANS-providers.
- Trainingsorganisaties voor luchtverkeersleiders (ATCO’s).
- Goedgekeurde opleidingsorganisaties (ATO’s).
- U-space service providers and single common information service providers
Met ingang van 27 maart 2031 gelden de regels voor informatiebeveiliging in de burgerluchtvaart voor:
- Grondafhandelingsorganisaties (Engels) op Europees gecertificeerde luchthavens.
Lees meer over de organisaties waarvoor Part-IS geldt (Engels) op de website van EASA.
Wat houden de nieuwe regels in?
Als de nieuwe regels voor u gelden, moet u onder meer:
- Beschikken over een Information Security Management System (ISMS).
Dit vormt de basis van uw informatiebeveiliging. Het vermindert de risico’s en de impact van een cyberaanval. - Een Information Security Management Manual (ISMM) hebben.
Dit beschrijft uw ISMS en uw beleid voor change en risk management. - Een aanvraag voor goedkeuring van uw ISMM hebben ingediend bij de ILT-Luchtvaartautoriteit.
Hoe bereidt u zich voor op de nieuwe regels?
Lees meer over de eisen die Part-IS stelt aan uw ISMS en ISMM op de website van EASA.
- Part-IS (Engels): onderwerpen als toepasbaarheid, risicobeoordeling en samenhang met bestaande systemen en processen.
- EASA Acceptable Means of Compliance and Guidance Material (Engels).
- Cybersecurity (Engels): rol van EASA, Part-IS-trainingen.
- Hoe EASA toezicht houdt (pdf, Engels).
- Easy Acces Rules for Information Security (Engels)
- Discussieforum voor luchtvaartorganisaties (voertaal Engels).
- ISO/IEC 27001-norm.
Heeft u vragen?
Stuur een e-mail naar luchtvaart-cybersecurity@ilent.nl.