Wyobraź sobie sytuację: haker przejmuje kontrolę nad systemem nawigacyjnym samolotu w trakcie lotu. Brzmi jak scenariusz filmu science-fiction? W 2017 roku zespół z amerykańskiego Department of Homeland Security przeprowadził kontrolowany test bezpieczeństwa na uziemionym Boeingu 757, wykazując możliwość zdalnego dostępu do systemów pokładowych. To nie była fikcja — była to demonstracja, która ujawniła przerażającą prawdę: nasze samoloty są podatne na cyberataki.
Wraz ze wzrostem cyfryzacji operacji lotniczych zagrożenia cybernetyczne przestały być abstrakcyjnym pojęciem. Stały się realnym ryzykiem, które może kosztować życie ludzi, reputację firmy i miliony euro w stratach. Unia Europejska odpowiedziała na to wyzwanie, tworząc Part-IS – kompleksowy system zarządzania bezpieczeństwem informacji dedykowany lotnictwu cywilnemu.
Part-IS to połączenie dwóch kluczowych rozporządzeń unijnych: delegowanego (UE) 2022/1645 oraz wykonawczego (UE) 2023/203. To nie jest kolejny biurokratyczny wymóg do zaznaczenia na liście. To pierwszy obowiązkowy, zharmonizowany framework w UE, który integruje cyberbezpieczeństwo z tradycyjnym bezpieczeństwem operacyjnym lotów.
Wcześniej organizacje lotnicze prowadziły dwa oddzielne światy: System Zarządzania Bezpieczeństwem (SMS) dbał o bezpieczeństwo lotów, a dział IT zajmował się ochroną danych. W czym zatem problem? „Cyberatak na system informatyczny może bezpośrednio zagrozić bezpieczeństwu operacyjnemu lotów. Part-IS łączy te dwa obszary w jeden spójny System Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS), który ocenia każde zagrożenie pod kątem jego wpływu na bezpieczeństwo operacyjne” – mówi Patrycja Żbikowska, kierownik działu szkoleń Bureau Veritas Polska
Termin wdrożenia zbliża się nieuchronnie — i jest to punkt krytyczny: Termin wdrożenia PART IS jest istotny dla producentów i projektantów, którzy mają obowiązek wdrożyć system zarządzania bezpieczeństwem informacji (ISMS) do 16 października 2025 roku. Dla pozostałych podmiotów, takich jak operatorzy lotnisk i przewoźnicy, termin ten przypada na 22 lutego 2026 roku.
Cyberatak na systemy przewoźnika obnażył słabości w ochronie danych pasażerów. Brak wieloskładnikowego uwierzytelniania i odpowiedniego szyfrowania kosztował firmę nie tylko gigantyczne kary finansowe, ale przede wszystkim — utratę zaufania klientów. Gdyby British Airways wdrożyło wymogi Part-IS, w tym wieloskładnikowe uwierzytelnianie i monitoring ruchu sieciowego, mogłoby zmniejszyć ryzyko lub szybciej wykryć i zawrzeć atak.
Atak ransomware wstrzymał produkcję i dystrybucję krytycznych rozwiązań nawigacyjnych dla lotnictwa ogólnego. Przestój trwał tygodnie, ponieważ firma nie posiadała skutecznego planu przywracania danych. Part-IS wymaga regularnych testów odtwarzania systemów i procedur reagowania na incydenty, co pozwala skrócić czas przywrócenia działania w porównaniu z organizacjami bez takich planów.
Choć był to kontrolowany test, pokazał on, że luki w łańcuchu dostaw oprogramowania mogą prowadzić do katastrofy. Zgodnie z Part-IS wprowadza się obowiązek oceny ryzyka wszystkich dostawców i partnerów, co oznacza, że każdy element systemu musi przejść weryfikację bezpieczeństwa zanim trafi do samolotu.
Nieautoryzowane części lotnicze i zmodyfikowane oprogramowanie pokładowe to cichy zabójca bezpieczeństwa. Wdrożenie Part-IS narzuca obowiązek monitorowania integralności każdego krytycznego zasobu informacyjnego, co pozwala wykryć próby wprowadzenia fałszywych komponentów na długo przed ich instalacją w samolocie.
To najważniejsza wartość. Incydent cybernetyczny, który prowadzi do katastrofy lotniczej, niszczy nie tylko życie ludzkie, ale również istnienie całej organizacji. Part-IS daje Ci narzędzia do przewidywania i neutralizowania zagrożeń zanim staną się tragedią.
Brzmi paradoksalnie? Wdrożenie Part-IS wymaga inwestycji w szkolenia, systemy monitorowania i audyty. Jednak koszt jednego poważnego incydentu przewyższa te wydatki wielokrotnie. British Airways zapłaciła 20 milionów funtów kary, nie licząc strat wizerunkowych. Garmin stracił tygodnie przychodów. Inwestycja w profilaktykę to zawsze tańsza opcja niż płacenie za konsekwencje.
Pasażerowie coraz częściej pytają o bezpieczeństwo swoich danych. Partnerzy biznesowi wymagają certyfikacji i gwarancji. Posiadanie wdrożonego Part-IS to widoczny dowód, że Twoja organizacja traktuje bezpieczeństwo poważnie. To przewaga konkurencyjna na rynku, gdzie zaufanie jest walutą.
Organy nadzoru lotniczego, w tym EASA i krajowe urzędy, będą egzekwować wymogi Part-IS. Brak zgodności może skutkować zawieszeniem certyfikatów, grzywnami i ograniczeniami operacyjnymi. Co więcej, Part-IS jest kompatybilny z dyrektywą NIS2, co oznacza, że spełniając jeden zestaw wymogów, zabezpieczasz się przed wieloma regulatorami jednocześnie.
Najcenniejsza wartość w długim terminie. Organizacja z wdrożonym Part-IS posiada procedury wykrywania zagrożeń w czasie rzeczywistym, zespół gotowy do natychmiastowej reakcji i plan przywracania systemów po ataku. To oznacza, że nawet jeśli incydent wystąpi, Twoja firma wraca do normalnego funkcjonowania szybko, minimalizując straty i zachowując ciągłość operacji.
Wdrożenie Part-IS nie musi być koszmarem biurokratycznym. Kluczem jest zrozumienie, że to nie tylko dokumentacja, ale przede wszystkim zmiana kultury organizacyjnej i praktycznych procesów. Specjalistyczne szkolenie ISMS dla lotnictwa cywilnego przekłada suche paragrafy rozporządzeń na konkretne, praktyczne działania.
Uczestnicy szkolenia otrzymują gotowe narzędzia: szablony oceny ryzyka, checklisty reagowania na incydenty, wzory polityk bezpieczeństwa i przykłady dokumentacji zgodnej z wymogami audytowymi. Co ważniejsze, uczą się myśleć jak zespół bezpieczeństwa informacji, który widzi zagrożenia zanim staną się problemami.
Szkolenie obejmuje praktyczne scenariusze: co zrobić, gdy wykryjesz podejrzaną aktywność w systemie awioniki? Jak ustalić, czy incydent wymaga zgłoszenia do organu nadzoru w ciągu 72 godzin? Jak zintegrować ocenę ryzyka cybernetycznego z istniejącym Systemem Zarządzania Bezpieczeństwem? To nie teoria, to umiejętności, które chronią Twoją organizację od pierwszego dnia po szkoleniu.
Part-IS to nie opcja, to obowiązek prawny i biznesowa konieczność. Organizacje, które wdrożą system wcześniej, zyskają przewagę: będą lepiej przygotowane na zagrożenia, unikną pośpiechu przed terminem ostatecznym i zbudują reputację liderów w zakresie bezpieczeństwa.
Każdy dzień zwłoki to dzień, w którym Twoje systemy pozostają podatne na ataki. Każdy incydent u konkurencji to przypomnienie, że następny może dotknąć Ciebie. Inwestycja w Part-IS to inwestycja w przyszłość Twojej organizacji, bezpieczeństwo pasażerów i spokój Twojego zespołu.
Cyberbezpieczeństwo w lotnictwie przestało być kwestią technologii. Stało się fundamentem zaufania, które pozwala samolotom wznosić się w powietrze każdego dnia. Part-IS daje Ci narzędzia, by to zaufanie chronić.
Zapraszamy na szkolenie:
ISMS – System Zarządzania Bezpieczeństwem Informacji w lotnictwie – Przepisy EASA Part IS
31 października, 2025
