L’European Union Aviation Safety Agency ha pubblicato una Opinion “Management of Information Security Risks”, volta a salvaguardare l’intero sistema dell’aviazione civile dai potenziali effetti sulla sicurezza causati da attacchi informatici.
Poiché i sistemi informativi diventano sempre più interconnessi e sono sempre più oggetto di atti dolosi (diretti o indiretti), i rischi di tali attacchi, eventi e incidenti nell’aviazione civile sono in costante aumento. Le nuove regole proposte renderanno il sistema aereo più resiliente a questi information security events.
“Tali attacchi in genere prendono di mira l’anello più debole della catena”, ha affermato Patrick Ky, EASA Executive Director. “Dobbiamo adottare una visione olistica per proteggerci da situazioni in cui un anello debole può compromettere l’intero aviation system. Questa Opinion è una pietra miliare importante nella mitigazione di questi rischi emergenti e crescenti”.
L’Opinion definisce le modalità per identificare e gestire gli information security risks che potrebbero influire su communication technology systems and data utilizzati per l’aviazione civile, e quindi avere un impatto sull’aviation safety. In particolare, propone l’introduzione di un information security management system (ISMS) per le autorità competenti – inclusa EASA – e per le organizzazioni in tutti i settori dell’aviazione e richiede loro di segnalare incidenti e vulnerabilità relativi all’information security.
Questo ISMS integrerà i sistemi di gestione esistenti che queste organizzazioni e autorità hanno già in atto.
A indicazione della sua ampiezza, l’ambito delle organizzazioni oggetto dell’Opinion è elencato come segue: production and design organisations, air operators, maintenance organisations, continuing airworthiness management organisations (CAMO), training organisations, aero-medical centres, operators of flight simulation training devices (FSTD), air traffic management/air navigation services (ATM/ANS) providers, U-space service providers and single common information service providers, aerodrome operators and apron management service providers.
Le disposizioni proposte includono high-level, performance-based requirements e saranno supportate da acceptable means of compliance (AMC), guidance material (GM) e industry standards.
Le misure proposte dovrebbero contribuire alla creazione di un quadro normativo uniforme e coerente in cui le interfacce tra security e safety siano adeguatamente coperte e in cui sia prestata particolare attenzione ad evitare lacune, scappatoie e duplicazioni con altri information security and cybersecurity requirements, come quelli contenuti nel Commission Implementing Regulation (EU) 2015/1998 e nei requisiti nazionali derivanti dalla Directive (EU) 2016/1148 (NIS Directive).
L’Opinion è stata sviluppata in stretto coordinamento, consultazione e discussione con la European Strategic Coordination Platform (ESCP). Ora entrerà nel processo di adozione della European Commission.
(Ufficio Stampa EASA)
