Introdução:
A Parte-IS, adotada através do Regulamento Delegado (EU) 2022/1645 e pelo Regulamento de Execução (EU) 2023/203, exige que alguns intervenientes da aviação civil que estão sujeitos à implementação de sistemas de gestão (incluindo de segurança operacional) e expostos a incidentes de segurança da informação, incluindo as autoridades competentes em cada estado-membro da União Europeia (em Portugal, a ANAC), implementem medidas robustas de segurança da informação.
Em particular, o objeto está estabelecido no art.º 1.º dos regulamentos supracitados, sendo que esta visa, “(…) identificar e gerir os riscos de segurança da informação com potencial impacto na segurança da aviação que possam afetar os sistemas de tecnologias da informação e comunicação e os dados utilizados para fins da aviação civil, de detetar incidentes de segurança da informação e de identificar os que são considerados incidentes de segurança da informação com potencial impacto na segurança da aviação, além de dar resposta a esses incidentes de segurança da aviação e de recuperar dos mesmos.”
Na sua fundação, a Parte-IS determina ainda a criação de um Sistema de Gestão de Segurança da Informação (SGSI, acrónimo na língua Inglesa “ISMS”), que poderá basear-se na norma ISO/IEC 27001, dada a semelhança de muitos dos processos requeridos, pese embora, a conformidade com a norma ISSO/IEC 27001 não garanta o cumprimento absoluto com a Parte-IS.
O SGSI visa permitir uma abordagem sistemática e proativa à gestão dos riscos de segurança da informação, contemplando a identificação, proteção, resposta e recuperação perante incidentes que afetem a integridade ou a disponibilidade dos sistemas.
O SGSI deve incluir a definição clara de responsabilidades, avaliação de riscos, adoção de medidas de mitigação adequadas, formação dos colaboradores e monitorização da conformidade, tal como já é requerido pelo sistema de gestão de segurança ou sistemas de gestão de segurança operacional, podendo assim ser integrado nos sistemas de gestão existentes nas organizações ou implementado em paralelo.
Impacto da parte IS:
A aplicação da Parte-IS terá um impacto positivo no reforço da segurança na aviação civil, embora implique investimentos relevantes em tecnologia e recursos humanos especializados. As organizações e as autoridades de aviação serão obrigadas a priorizar continuamente a segurança da informação, ajustando os seus sistemas e processos às crescentes exigências da segurança digital.
Regulamentação e material de orientação à implementação do SGSI:
As organizações às quais se aplica a Parte-IS devem consultar os seguintes endereços e documentos em suporte à função de análise da conformidade:
1) Página eletrónica da EASA dedicada à Parte-IS https://www.easa.europa.eu/en/regulations/information-security, que contém os seguintes documentos:
a) O Regulamento Delegado (UE) 2022/1645 da Comissão de 14 de julho e o Regulamento de Execução (UE) 2023/203 da Comissão de 27 de outubro, na versão mais atual;
Nota: A fonte oficial mais atualizada dos regulamentos na Língua Portuguesa e a respetiva versão consolidada a utilizar está disponível na seguinte página eletrónica: https://eur-lex.europa.eu/homepage.html?locale=pt.
b) As regras de acesso fácil mais atualizadas (Easy Access Rules: Information Security (Regulations (EU) 2023/203 and 2022/1645) e;
c) Os meios de conformidade aplicáveis e linhas de orientação (AMC & GM);
2) Documento da EASA com as linhas de orientação para a implementação: TE - Report
3) Oficio Circular ANAC refª S03318-202502
A ANAC sugere, adicionalmente, às organizações que utilizem o material de promoção e orientação publicado pela EASA bem como procedam ao acompanhamento da informação partilhada em fóruns específicos da Parte-IS, por exemplo o da EASA cybersecurity comunity (https://www.easa.europa.eu/community/cybersecurity).
Aplicabilidade:
A Parte-IS entrará em vigor em duas fases, e não requer uma certificação paralela, sendo essencialmente mais uma componente do sistema de gestão existente nas organizações ou até um sistema de gestão de âmbito mais alargado (que inclui a gestão da segurança da informação).
A partir de 16 de outubro de 2025, por força do Regulamento Delegado (UE) 2022/1645 da Comissão de 14 de julho de 2022, a Parte-IS será aplicada aos seguintes regulados:
Operadores de aeródromos e prestadores de serviços de controlo de placa de estacionamento sujeitos ao anexo III «Parte Requisitos aplicáveis às organizações (parte ADR.OR)» do Regulamento (UE) n.º. 139/2014;
Organizações entidades de produção abrangidas pelo anexo I (parte 21), secção A, subpartes G, do Regulamento (UE) n.º. 748/2012.
A partir de 22 de fevereiro de 2026, por força do Regulamento de Execução (UE) 2023/203 da Comissão de 27 de outubro, a Parte-IS será aplicada aos seguintes regulados:
- Operadores aéreos abrangidos pelo anexo III (parte ORO) do Regulamento (UE) n.º 965/2012;
- Organizações de manutenção abrangidas pelo anexo II (parte 145), secção A, do Regulamento (UE) n.º. 1321/2014;
- Organizações de gestão da aeronavegabilidade permanente (CAMO) abrangidas pelo anexo V-C (parte CAMO), secção A, do Regulamento (UE) n.º. 1321/2014;
- Organizações de formação certificadas abrangidas pelo anexo VII (parte ORA) do Regulamento (UE) n.º. 1178/2011 (ATO);
- Centros de medicina aeronáutica da tripulação de voo (AMEC) abrangidos pelo anexo VII (parte ORA) do Regulamento (UE) n.º. 1178/2011 (MED) e Anexo III (Parte ATCO.OR) do regulamento (UE) 2015/340;
- Operadores de dispositivos de treino de simulação de voo (FSTD) abrangidos pelo anexo VII (parte ORA) do Regulamento (UE) n.º. 1178/2011;
- Organizações de formação de controladores de tráfego aéreo (ATCO TO) e centros de medicina aeronáutica de ATCO abrangidos pelo anexo III (parte ATCO.OR) do Regulamento (UE) 2015/340;
- Organizações abrangidas pelo anexo III (Parte-ATM/ANS.OR) do Regulamento de Execução (UE) 2017/373, ou seja, aos Prestadores de serviços de navegação aérea (ATM/ANS), com as devidas exceções (p. ex. AFIS);
- Prestadores de serviços no Espaço aéreo U (PSE-U, «USSP») e prestadores únicos de serviços de informação comum («s-CISp»), abrangidos pelo Regulamento de Execução (UE) 2021/664;
- Autoridades competentes para efetuar a supervisão, incluindo a ANAC e a própria EASA.
Apesar do referido acima, tal não dispensa a consulta dos regulamentos aplicáveis na sua redação atual.