PART-IS qui

È in arrivo il nuovo regolamento EASA Part-IS. Lavora nel settore dell'aviazione? Possiamo aiutarla a conformarsi.

> Servizi con un approccio integrato > PARTE-IS

Ottenere la conformità alla normativa EASA Part-IS

Le nuove regole EASA Part-IS riguardano l'intero settore dell'aviazione. Dalle organizzazioni di progettazione e produzione alle compagnie aeree, agli aerodromi, ai fornitori di manutenzione, agli ATM/ANS, alle organizzazioni di formazione, agli operatori dello spazio U e persino alle autorità, quasi tutte le parti interessate sono obbligate ad agire.

La sicurezza delle informazioni è ora un requisito critico per la sicurezza. Entro il 16 ottobre 2025 e il 22 febbraio 2026, tutte le società di aviazione dovranno disporre di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS ). La sfida è chiara: l'aviazione si concentra da tempo sulla sicurezza e sulla qualità, ma la Parte IS aggiunge una nuova disciplina. Le aziende devono ora integrare la sicurezza delle informazioni nei sistemi di gestione esistenti, interpretare ciò che la normativa significa realmente per le loro operazioni e fare tutto questo in tempi stretti, con la conformità e la certificazione in gioco.

È qui che entra in gioco il nostro servizio PART-IS. La aiutiamo a valutare la sua situazione, a progettare e implementare l'ISMS, a integrarlo nel suo sistema di gestione della sicurezza e a preparare i suoi team ai nuovi requisiti.

Che cos'è PART-IS e perché è importante?

PART-IS (sicurezza delle informazioni) è il quadro normativo dell'Unione Europea che richiede alle organizzazioni e alle autorità dell'aviazione di identificare, gestire e mitigare i rischi di sicurezza delle informazioni che possono influire sulla sicurezza dell'aviazione. Integra i regolamenti di sicurezza esistenti dell'EASA, integrando la cybersecurity nello stesso ciclo di miglioramento continuo delle operazioni di volo, della manutenzione e della gestione della sicurezza.

Il Part-IS può essere considerato come un "Sistema di gestione della sicurezza per la sicurezza delle informazioni", un approccio strutturato che comprende la politica, la gestione del rischio, la competenza, il reporting e il miglioramento continuo.

Image in image block

Requisiti di base di PART-IS

Nella sua essenza, PART-IS richiede alle Aziende di stabilire e mantenere un ISMS che sia:

  • Basato sul rischio e orientato alle prestazioni: identifica le attività, valuta le minacce e gestisce i rischi in modo proporzionato.
  • Operativamente integrato: Allineato con i processi SMS, di qualità e di conformità.
  • Orientato alle competenze: Definire i ruoli, formare il personale e creare una cultura della sicurezza.
  • Pronto per gli incidenti: Rilevare, classificare, rispondere e recuperare in modo efficace.

Le aziende già allineate alla norma ISO/IEC 27001 possono sfruttare i framework esistenti, ma devono comunque affrontare i requisiti specifici dell'aviazione, come l'analisi dell'impatto sulla sicurezza e la segnalazione degli incidenti, oltre all'allineamento generale con i processi di sicurezza.

Rapporto con NIS2

Molte entità aeronautiche rientrano anche nell'ambito del NIS2. Tuttavia, la Parte I non sostituisce la Conformità NIS2. Sebbene l'allineamento sia possibile, le aziende dovrebbero pianificare un'implementazione complementare piuttosto che dare per scontata l'equivalenza.

Image in image block

Sfide di implementazione

Definire l'ambito dell'ISMS attraverso interfacce complesse

Gli ecosistemi dell'aviazione coinvolgono più parti interessate, come operatori, OEM, ANSP e fornitori. Utilizzi le mappe dei servizi operativi, non solo gli organigrammi, per definire l'ambito.

Unire le culture IT, OT e di sicurezza

I team di cybersecurity si concentrano su riservatezza, integrità e disponibilità (CIA), mentre i team di sicurezza danno priorità ai controlli e alle barriere contro i rischi. Il Part-IS richiede un approccio unificato.

Rilevamento e recupero degli incidenti tenendo conto della sicurezza

Oltre alla raccolta dei log, le aziende devono rilevare gli eventi che potrebbero degenerare in incidenti di sicurezza e recuperare senza compromettere la sicurezza operativa.

Gestire gli obblighi multiregolamentari

Armonizzare i controlli tra Part-IS, NIS2 e ISO 27001 per evitare duplicazioni e affaticamento da audit.

Come Bureau Veritas aggiunge valore

Con decenni di esperienza nel settore dell'aviazione e una profonda conoscenza della cybersecurity, Bureau Veritas aiuta le aziende a raggiungere una conformità credibile e pronta per gli audit, mantenendo al contempo l'efficienza operativa.

I nostri servizi includono:

01

Valutazione dell'applicabilità e delle lacune

Identificare se la Parte IIS si applica alla sua azienda e dove le pratiche attuali sono insufficienti.

02

Progettazione dell'ISMS e integrazione con gli SMS

Sviluppi un sistema di gestione della sicurezza delle informazioni che si integri perfettamente con i suoi sistemi di sicurezza e di qualità esistenti.

03

Sviluppo delle competenze e formazione

Doti i suoi team delle conoscenze e delle competenze necessarie per soddisfare e mantenere i requisiti della Parte I.

04

Assicurazione indipendente e revisioni di preparazione

Convalida la sua conformità con revisioni di esperti che la preparano agli audit e alla supervisione normativa.

Vantaggi dei team multidisciplinari

Il Part-IS richiede la collaborazione tra il CISO, il responsabile della sicurezza, la conformità, l'aeronavigabilità continua e le operazioni. Quando questi team lavorano insieme, è possibile ottenere

  • Migliore identificazione dei pericoli: gli scenari di minaccia informatica diventano parte del registro dei pericoli operativi (ad esempio OFP corrotto, dati di navigazione FMS falsificati, AODB compromesso).
  • Un controllo delle modifiche più intelligente: Le valutazioni di sicurezza per le modifiche IT/OT includono modalità di guasto informatico e i trattamenti del rischio informatico considerano le mitigazioni operative (procedure, sgravi MEL, coordinamento ATC).
  • Risposta agli incidenti più rapida e sicura: I Playbook collegano le azioni SIEM/SOC con il reporting e il coordinamento della sicurezza (ad esempio NOTAM/ATC, restrizioni di dispacciamento, restrizioni di movimentazione a terra), riducendo sia l'MTTR che la sicurezza.

Esempi di incidenti

  • Schede di carico manipolate: un attacco di phishing compromette i dati di pianificazione dei voli, innescando protocolli di verifica e recupero.
  • Interruzione del sistema dell'aerodromo: una compromissione dell'AODB interrompe l'assegnazione dei posti, richiedendo un contenimento tecnico e procedure di sicurezza manuali.
  • Allarme sull'integrità dei dati di navigazione: dati di sorveglianza anomali richiedono una separazione procedurale mentre i team informatici indagano.

CONTATTAMI

Desidera saperne di più sui nostri servizi PART-IS? Compili il modulo e la contatteremo entro un giorno lavorativo.

USP

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.