EASA Part-IS: le scadenze sono passate.
Per le organizzazioni nel perimetro Part-IS, la conformità entra nella fase delle evidenze operative.
Il quadro EASA Part-IS ha previsto due date di applicazione:
- 16 ottobre 2025 per le organizzazioni comprese nel Regolamento delegato (UE) 2022/1645;
- 22 febbraio 2026 per le organizzazioni e le autorità competenti comprese nel Regolamento di esecuzione (UE) 2023/203.
Entro la data applicabile, le organizzazioni dovevano disporre di un sistema di gestione dei rischi di information security capace di proteggere la safety dell'aviazione civile. Ora inizia la fase più impegnativa: dimostrare che il sistema è concretamente operativo.
Secondo l'approccio di oversight EASA, l'ISMS deve risultare presente, adeguato e progressivamente capace di produrre evidenze sul proprio funzionamento.

Per le autorità competenti, in Italia ENAC per i soggetti di propria competenza, la verifica può quindi concentrarsi su alcuni elementi fondamentali.
Governance e responsabilità
- L'accountable manager deve poter dimostrare come vengono assunte, approvate e riesaminate le decisioni relative all'information security.
- Ruoli, deleghe, risorse e flussi di escalation devono risultare definiti e coerenti con l'organizzazione.
Valutazione dinamica del rischio
- Il risk assessment deve riflettere lo stato attuale dei sistemi e delle attività.
- Cambiamenti operativi, nuovi fornitori, evoluzione delle minacce e modifiche tecnologiche devono generare una rivalutazione dei rischi e l'aggiornamento del risk register.
Gestione e testing degli incidenti
- Procedure e piani devono essere esercitati periodicamente.
- Le evidenze dei test devono documentare tempi di risposta, decisioni assunte, criticità emerse e azioni correttive avviate.
Integrazione tra ISMS e SMS
- I rischi di information security capaci di incidere sulla safety richiedono un collegamento strutturato tra ISMS e Safety Management System.
- Responsabilità, flussi informativi, indicatori e processi di gestione degli incidenti devono risultare coerenti nei punti di intersezione tra cybersecurity e sicurezza operativa.
Formazione e consapevolezza
- Il personale deve conoscere le proprie responsabilità e sapere come comportarsi in caso di evento.
- Percorsi formativi, partecipazione, verifiche dell'apprendimento e aggiornamenti periodici devono produrre evidenze verificabili.
EASA valuta sistemi presenti, adeguati e operativi, sostenuti attraverso supervisione, testing e miglioramento continuo.
Molte organizzazioni hanno concentrato il proprio lavoro sulla predisposizione dell'impianto documentale. La fase attuale richiede di verificarne la tenuta nel tempo e la capacità di superare un'attività di oversight.
Questo è il momento di individuare eventuali gap, consolidare le evidenze e rafforzare l'integrazione tra governance della safety e gestione del rischio cyber.
Magis & Partners affianca operatori aerei, aeroporti e organizzazioni aeronautiche nella preparazione alle verifiche EASA Part-IS e nel rafforzamento della governance integrata tra SMS e ISMS.
👉 Contattaci per scoprire la nostra metodologia di Part-IS readiness assessment.
#EASA #PartIS #AviationSecurity #CyberSecurity #Safety #ISMS #SMS #RiskManagement #Governance #ENAC










