Volando alto: Explicación de las normas de la Parte IS de la Agencia Europea de Seguridad Aérea

Volando alto: Explicación de las normas de la Parte IS de la Agencia Europea de Seguridad Aérea (EASA)

By Kate O'Flaherty • 19 de marzo de 2026 • 6 minutos de lectura

La nueva normativa Part-IS de la Agencia Europea de Seguridad Aérea (EASA) ya está en vigor, ampliando las obligaciones en materia de ciberseguridad en todo el sector de la aviación civil. ¿Qué implican estos nuevos requisitos en la práctica?

Por Kate O'Flaherty

Los ciberataques a la aviación están aumentando. Entre 2024 y 2025, hubo un 600% spike En los ataques contra el sector, se registraron 27 incidentes importantes durante ese período, según datos de Thales.

El año pasado se produjeron numerosos incidentes de alto perfil, incluido el ataque de ransomware en Collins Aeroespacial que dejaron fuera de servicio los sistemas de facturación en todos los aeropuertos europeos. Air France y KLM también se vieron afectadas. violado en 2025, a través de una plataforma de terceros utilizada por su grupo matriz. Mientras tanto, un ataque a un proveedor de una aerolínea australiana Qantas Se vieron expuestos los datos de seis millones de clientes.

A medida que aumentan este tipo de ataques, las amenazas al sector de la aviación se vuelven más complejas y sofisticadas. Además de comprometer las operaciones de vuelo, los ciberataques ahora también tienen objetivos estratégicos.

Según Thales, esto incluye el ciberespionaje industrial, el acceso a tecnologías sensibles como la aviónica y los sistemas de comunicación, la interrupción de las cadenas de suministro y la "captura de datos de alto valor, como itinerarios de viajes diplomáticos y envíos de mercancías confidenciales".

Es teniendo en cuenta esta creciente amenaza que el nuevo Parte IS de la Agencia Europea de Seguridad Aérea Han entrado en vigor normas que amplían las obligaciones en materia de ciberseguridad en todo el sector de la aviación civil.

¿Qué significan, entonces, los nuevos requisitos en la práctica?

Objetivo atractivo

Los sistemas interconectados necesarios para los viajes internacionales son precisamente lo que convierte a la aviación en un objetivo atractivo para los ciberdelincuentes y los actores estatales, afirma Danny Jenkins, director ejecutivo de ThreatLocker. «Las brechas en los sistemas de reservas, facturación o embarque podrían causar interrupciones generalizadas, y las interrupciones en la aviación se convierten rápidamente en daños económicos más amplios», advierte.

Por lo tanto, Part-IS formaliza lo que el panorama de amenazas ha estado dejando claro desde hace tiempo. «La ciberseguridad ya no es una función técnica administrativa», explica Matt Conlon, director ejecutivo y cofundador de Cytidel. «Es una disciplina de seguridad y requiere la misma gobernanza estructurada, evaluación de riesgos y supervisión continua que la aviación siempre ha aplicado a otros riesgos operacionales».

La normativa Part-IS exige a las empresas que demuestren que cuentan con controles y que estos funcionan. Las normas establecen una evaluación de riesgos estructurada, una gobernanza y rendición de cuentas definidas, la implementación y el seguimiento de controles proporcionales, la notificación de incidentes y la mejora continua.

“Debe ajustarse al marco regulatorio general de la aviación y estar sujeto a supervisión regulatoria, lo que significa que las organizaciones deben demostrar no solo que existen controles, sino que funcionan en la práctica”, explica Lawrence Baker, consultor de seguridad técnica para el sector aeroespacial en NCC Group. IO.

Gestión de la seguridad de la información formal

Los expertos afirman que este cambio normativo pone de manifiesto cómo las regulaciones cibernéticas específicas de cada sector favorecen cada vez más los enfoques basados en sistemas de gestión alineados con estándares reconocidos.

La Parte IS exige un procedimiento formal Sistema de gestión de seguridad de la información (SGSI). “Y como todos los estándares modernos de sistemas de gestión, este depende de procesos documentados, una clara rendición de cuentas y la mejora continua”, explica Baker.

Estos principios ya están incorporados en todo el marco regulatorio de la aviación, incluidas regulaciones como Parte 21, Parcialmente CAMO y Parte 145Según Baker, estas normas son familiares para las autoridades de aeronavegabilidad que realizan auditorías y labores de supervisión.

Según Baker, el cumplimiento de la Parte IS exige que las organizaciones demuestren lo siguiente:

Trazabilidad de las decisiones
Responsabilidades definidas
Monitoreo del desempeño
Mejora continua de los controles

Part-IS también está “diseñado deliberadamente” para que el cumplimiento no sea algo que se “logre una vez y se archive”, según Conlon de Cytidel. “La rendición de cuentas es explícita”, afirma. “Esto significa que las estructuras de gobernanza deben definir claramente quién toma las decisiones sobre riesgos, quién es responsable de la supervisión y cómo funciona el escalamiento”.

La documentación es la base de la evidencia, afirma Conlon. “Las evaluaciones de riesgos, los planes de tratamiento, los procedimientos de gestión de incidentes y el manual del SGSI deben demostrar, en conjunto, que el sistema es coherente y funciona en la práctica, no solo en el papel”.

La mejora continua es donde el modelo de supervisión de la EASA «demuestra su verdadera eficacia», añade Conlon. Esto implica que los reguladores evalúen si su sistema está madurando. «El seguimiento constante del cumplimiento, las auditorías internas, las revisiones de la dirección y la formación son lo que distingue a las organizaciones que simplemente tienen políticas de aquellas que pueden demostrar que esas políticas funcionan».

Tendencias regulatorias más amplias en CNI

La Parte-IS refleja la expansión más amplia de la regulación de la ciberseguridad en toda la infraestructura nacional crítica (CNI) a medida que se intensifican las amenazas cibernéticas. De manera similar a marcos como el Sistemas de Información de Red 2 (NIS2) regulaciones para la resiliencia y Reglamento General de Protección de Datos Según Baker, de NCC Group, en lo que respecta a la protección de datos, los requisitos de ciberseguridad para la aviación se están incorporando a la estructura regulatoria existente específica del sector.

“Al igual que en otros sectores de infraestructura crítica, el enfoque se ha adaptado al modelo de supervisión de seguridad y al entorno operativo ya establecidos en la aviación, integrando la ciberresiliencia en un ecosistema regulatorio maduro, en lugar de crear un régimen independiente”, explica. IO.

El patrón es “consistente en todos los sectores de infraestructura crítica en Europa en este momento”, dice Conlon de Cytidel. “El Ley de resiliencia operativa digital La Ley DORA está en vigor para los servicios financieros desde enero de 2025. La Norma NIS2 amplía las obligaciones de ciberseguridad en toda la infraestructura crítica, y se espera que el cumplimiento se produzca en octubre de 2026. La Parte IS incorpora la aviación al mismo marco de expectativas.

El denominador común es que los reguladores han pasado de preguntar "¿tiene usted una política de seguridad?" a "¿puede demostrar que funciona de forma continua?", explica Conlon.

La gestión estructurada de riesgos, la rendición de cuentas a nivel directivo, la visibilidad de la cadena de suministro y la notificación de incidentes son ahora fundamentales. «La terminología difiere entre DORA, NIS2 y Part-IS, pero las expectativas están convergiendo», según Conlon.

Pero esto significa que hay una ventaja práctica para las organizaciones que operan en múltiples marcos. Part-IS se alinea estrechamente con ISO / IEC 27001 y comparte similitudes estructurales con DORA y NIS2, afirma Conlon.

Por lo tanto, las organizaciones que desarrollen un marco de gestión de seguridad coherente y lo apliquen a todas las obligaciones estarán en una posición mucho más sólida que aquellas que traten cada regulación como un proyecto de cumplimiento independiente, aconseja.

Prioridades para los CISO y líderes de cumplimiento en el sector de la aviación

Resulta evidente que integrar la seguridad de la información, la resiliencia y la gestión de riesgos dentro de un marco estructurado respalda la capacidad de defensa regulatoria y la confianza operativa a largo plazo, independientemente de las numerosas regulaciones en constante evolución en todos los sectores y regiones geográficas.

Con la Parte IS, los responsables de seguridad de la información (CISO) y los líderes de cumplimiento normativo del sector de la aviación deben priorizar que sus procesos documentados funcionen eficazmente en la práctica y "puedan resistir el escrutinio regulatorio", aconseja Baker, de NCC Group.

Según explica, deben estar atentos a las amenazas en constante evolución, a las expectativas regulatorias y a las competencias de la fuerza laboral, adaptando su enfoque en consecuencia.

Como parte de esto, los CISO deberían integrar la inteligencia sobre amenazas en su proceso de evaluación de riesgos, afirma Conlon de Cytidel. «La Parte IS exige una evaluación de riesgos proporcional al impacto en la seguridad, pero muchas organizaciones aún evalúan el riesgo basándose en puntuaciones de gravedad teóricas. Comprender qué vulnerabilidades se están utilizando realmente como armas contra la aviación, qué actores de amenazas están activos y qué patrones siguen sus campañas debería determinar cómo se establecen las prioridades».

La visibilidad de la cadena de suministro es clave, añade Conlon. «Algunos de los incidentes cibernéticos más impactantes en la aviación en los últimos años se produjeron a través de proveedores. El ataque de ransomware a Collins Aerospace interrumpió el proceso de facturación en los aeropuertos europeos en 2025. Air France y KLM sufrieron brechas de seguridad a través de una plataforma de atención al cliente de terceros. Si desconoce cómo la exposición de sus proveedores críticos afecta a su propio perfil de riesgo, esa es la primera brecha que debe subsanarse».

Al mismo tiempo, es fundamental diseñar un sistema que garantice el cumplimiento continuo, aconseja Conlon. «Los reguladores volverán a exigir pruebas de que su sistema funciona correctamente y es eficaz, no solo de que existía cuando se implementó. Esto implica una monitorización constante, un conocimiento en tiempo real de las amenazas emergentes relevantes para su sector y la capacidad de demostrar que su programa de seguridad se adapta a medida que el entorno cambia».