Mitkä ovat EU:n uudet lentoliikenteen EAR-tietoturvasäännöt?
Sisällysluettelo:
Viimeaikaiset tarkistukset EU:n laajuisiin ilmailualan kyberturvallisuusmääräyksiin voivat edistää IT-alan standardien, kuten ISO 27001, käyttöönottoa.
Ensimmäinen Helppokäyttöiset säännöt (EAR) tietoturvalle (osa IS) Euroopan unionin lentoturvallisuusvirasto (EASA) asetti "vaatimukset lentoturvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaan". Aiemmat kyberturvallisuussäännöt rajoittuivat OEM-valmistajiin – toisin kuin EAR (osa IS), joita sovelletaan koko ilmailualalla. Lokakuun 2025 ja helmikuun 2026 määräajat koskevat erityyppisiä organisaatioita, kuten EU:n tukilaissa on määritelty.
Näitä ovat huolto-organisaatiot, lentokelpoisuuden hallinnan tarjoajat, lentotoiminnan harjoittajat, ilmailulääketieteen keskukset, lennonjohtajien koulutusorganisaatiot ja lentosimulaatiolaitteiden käyttäjät. Listalla on myös lentokenttiä, viestintäinfrastruktuurin tarjoajia, navigointiinfrastruktuuriorganisaatioita, lentotorneja ja valvontalaitteita.
Säännöt on suunniteltu varmistamaan, että tietoturvariskejä hallitaan tehokkaasti ilmailualalla, joka on tärkeä tekijä yleisen turvallisuuden kannalta. Yhdenmukaistamisesta Yhdysvaltojen ilmailustandardien kanssa on jo sovittu, ja Easy Access Rules (Part IS) -sääntöihin suunnitellaan säännöllisiä päivityksiä, mikä tekee niistä määräyksiä, jotka kehittyvät ajan myötä.
Tunnista, suojaa, vastaa ja palauta
Tietoturvan hallintajärjestelmän (ISMS) käyttö on avainasemassa ilmailualan organisaatioille, joiden on noudatettava sääntöjä. Muita tärkeitä komponentteja ovat turvallisuusseuranta, auditoinnit ja toimenpiteet, jotka ohjaavat organisaatioita kohti kyberturvallisuutta. He ovat:
⦁ ISMS:n perustaminen ja käyttö
⦁ Toteuttaa ja ylläpitää tietoturvapolitiikkaa
⦁ Tunnista, tarkista ja korjaa tietoturvariskit
⦁ Uhkien havaitseminen ilmailun turvallisuuteen liittyvissä tapahtumissa
⦁ Ryhdy korjaaviin toimiin toimivaltaisen viranomaisen ilmoittamien havaintojen korjaamiseksi
⦁ Turvallisuusraportointi
⦁ Vaatimustenmukaisuuden valvonta
⦁ Ota käyttöön jatkuva parannusprosessi
Ken Munro on toimitusjohtaja Pen Test Partnersissa, Yhdistyneessä kuningaskunnassa sijaitsevassa penetraatiotestausyrityksessä, jolla on asiakkaita ilmailualalla. Hän kertoo ISMS.onlinelle, että ISO 27001 -standardin käyttöönotto auttaa ilmailualan organisaatioita noudattamaan uusia EU:n laajuisia säännöksiä.
"EAR (Part IS) noudattaa todellakin olemassa olevia standardeja, kuten ISO 27001, melko tarkasti, joten organisaatioiden, joilla on olemassa olevat vaatimustenmukaisuuskehykset, pitäisi löytää kartoitus melko yksinkertaista", hän selittää.
Kuitenkin kyberturvallisuuden parhaiden käytäntöjen erilaiset omaksumistasot eri puolella voivat osoittautua haasteeksi joillekin.
”Kokemuksemme ilmailualalta kokonaisuutena osoitti hyvin vaihtelevaa turvakypsyysastetta. Osa tästä on ymmärrettävää: odotammeko pienen alueellisen lentoaseman olevan yhtä kypsä kuin suurella keskuslentokentällä? Haasteena tässä on se, että matkustaja ja hänen matkatavaransa tarkastetaan lähtöselvityksessä, ei vaihdossa, mikä voi paljastaa jatkolennot”, Munro selittää.
”Samalla tavalla odotammeko suuren lentoyhtiön olevan yhtä kypsä kuin pienellä alueellisella lentoyhtiöllä? Heillä on samanlaiset lentoturvallisuusjärjestelmät, mutta samanasteinen kyberturvallisuusjärjestelmä on epätodennäköisempää.
Siksi on haaste löytää keino vahvistaa näitä heikkoja lenkkejä koko ilmailualan ketjussa.
Turbulenssi edessä?
Munron mukaan uudet säännöt antavat joitain esimerkkejä soveltuvuudesta niiden soveltamisalan suhteen, vaikka ne ovat "vähän yksityiskohtia" verrattuna muihin järjestelmiin, kuten CAA ASSURE.
CAA ASSURE (Cyber Audit) -järjestelmä on kolmannen osapuolen auditointimalli, jonka Ison-Britannian siviili-ilmailuviranomainen (CAA) on kehittänyt yhteistyössä CRESTin kanssa.
"Tämä [yksityiskohtien puute EAR:ssa] näyttää olevan hieman ristiriidassa CAA ASSURE -järjestelmän kanssa, joka ponnistelee merkittävästi kriittisten järjestelmien tunnistamiseksi lentoyhtiöillä ja lentokentillä", Munro selittää. ”Tämä on auttanut operaattoreita keskittymään järjestelmiin, jotka voivat vaikuttaa lentoturvallisuuteen tai estää lentojen lähettämisen. Kummallakin voi olla merkittäviä turvallisuusvaikutuksia."
Munro päättää: ”Liiteessä 1 yritetään antaa esimerkkejä mahdollisista hyökkäyksistä, mutta tämä vaikuttaa melko satunnaiselta valinnalta ja jättää huomiotta monet tärkeät alueet. Riskinä tässä on, että organisaatiot keskittyvät annettuihin esimerkkeihin muiden alueiden kustannuksella.
Ulkopuolisena asiantuntijana sääntelyn kehittämiseen johtaneessa prosessissa toimi kaupallinen lentäjä ja ilmailun kyberturvallisuuden asiantuntija Hugo Teso. Viestissä LinkedInissä hän sanoo, että säännökset menevät pidemmälle kuin "vain ISMS:n vaatiminen" soveltamisalaan kuuluville organisaatioille.
278-sivuinen tukidokumentti, jossa esitetään EAR-osa IS ja niiden laajuus, asettaa ISMS:n keskeiseksi osaksi, mutta ei suinkaan ainoaksi askeleeksi vaatimustenmukaisuuden saavuttamisessa.
Valmistautuminen lentoonlähtöön
ISO 27001 on kuitenkin hyvä paikka aloittaa, muiden asiantuntijoiden mukaan.
"Kun ilmailu- ja avaruusalan yritykset valmistautuvat tuleviin EU:n ilmailun kyberturvallisuusmääräyksiin EASA EAR Part-IS, yksi ensimmäisistä askeleista, jotka ne voivat ottaa, on luoda ISO 27001 -standardin mukainen ISMS", väittää Sam Peters, ISMS.online Chief Product Officer.
"Työskentelemällä proaktiivisesti ISO 27001 -standardin noudattamiseksi nyt, ilmailu- ja avaruusalan organisaatiot voivat saada etumatkaa EASA:n vaatimusten täyttämisessä ja osoittaa sääntelyviranomaisille, että he ottavat kyberturvallisuuden vakavasti."
Peters jatkaa toimintasuunnitelmaa vaatimustenmukaisuuden johtajille ja ilmailualan kyberturvallisuudesta vastaaville.
"Ensimmäinen vaihe olisi määritellä ISMS:n laajuus perustuen yhtiön lentopalveluihin ja omaisuuteen, jotka kuuluvat EASA:n valvontaan", hän sanoo.
”Kattava riskiarviointi voi sitten tunnistaa kyberhaavoittuvuuksia ja kartoittaa asianmukaiset hallintakeinot ISO 27001 -standardin perusteella, mikä vahvistaa puolustusta kriittisillä alueilla. Asiat, kuten kulunvalvontakäytännöt, toimittajien hallinta, tapaturmien reagointisuunnitelmat ja henkilöstön turvallisuuskoulutus, tulisi asettaa etusijalle."
EAR-osan IS-vaatimuksista huolimatta ISO 27001 -standardin saaminen tuo liiketaloudellisia etuja ilmailualan toimittajille.
”ISO 27001:n omaksumisen lisäetu on, että se ottaa tietoturvaan kokonaisvaltaisen, prosessipohjaisen lähestymistavan. Tämä tekee ISMS:stä vakaan liiketoimintaa edistävän liikkeen, jonka avulla ilmailu- ja avaruusalan yritykset voivat tunnistaa tehottomuuksia, vähentää riskejä ja tehdä tietoihin perustuvia investointipäätöksiä koko organisaatiossa”, hän päättää.
"Kun EASA EAR Part-IS -vaatimustenmukaisuuden määräaika lähestyy, vakiintuneiden ISO 27001 -kehysten noudattaminen auttaa ilmailu- ja avaruusalan organisaatioita osoittamaan EASA:n tarkastajille, että ne ovat ottaneet käyttöön kehittyneen ISMS:n, joka on räätälöity ilmailualan ainutlaatuisiin kyberriskeihin. Näiden ennakoivien toimien toteuttaminen tänään tekee vaatimustenmukaisuudesta sujuvampaa huomenna."
