Ai sensi del Regolamento (UE) n. 2023/203 della Commissione del 27 ottobre 2022, un ISMS (Information Security Management System, Sistema di Gestione della Sicurezza delle Informazioni) è un sistema strutturato e formalizzato adottato da un’organizzazione per gestire i rischi legati alla sicurezza delle informazioni che potrebbero avere un impatto sulla sicurezza aerea (safety).
Il Regolamento (UE) 2023/203, che integra il Regolamento (UE) 2018/1139, stabilisce requisiti specifici per la gestione dei rischi per la sicurezza delle informazioni nel settore dell’aviazione.
In questo contesto, l’ISMS è progettato per:
- Identificare i rischi per la sicurezza delle informazioni, inclusi quelli derivanti da minacce informatiche (cybersecurity) o altre vulnerabilità.
- Valutare tali rischi in termini di probabilità e impatto sulla sicurezza aerea.
- Mitigare i rischi attraverso misure tecniche, organizzative e procedurali appropriate.
- Monitorare e migliorare continuamente la gestione della sicurezza delle informazioni, garantendo conformità ai requisiti normativi.
Basato su 12 requisiti, l’ISMS si applica alle organizzazioni disciplinate da vari regolamenti europei:
- Operatore COA;
- Operatore Parte ORO (SPO, NCC e NCO*;
- CAMO*;
- AMO*;
- ATO;
- Operatore FSTD.*
- NOTA: * le eccezioni vengono destritte nei ns corsi.
Il regolamento sottolinea l’importanza di un approccio sistematico alla gestione della sicurezza delle informazioni, richiedendo che le organizzazioni implementino un ISMS.
Un ISMS puo’ essere conforme agli standard internazionali (es. ISO/IEC 27001, come riferimento per le migliori pratiche) ma in campo aeronautico deve includere la safety. Lo stesso deve essere integrato nei processi di gestione del rischio complessivo.
Inoltre, l’ISMS deve essere supportato da politiche, procedure e documentazione adeguate, con requisiti specifici per la formazione del personale e la gestione degli incidenti di sicurezza.
Entrata in vigore e applicazione: Il Regolamento (UE) 2023/203 è entrato in vigore il 22 febbraio 2023, con i requisiti applicabili a partire dal 22 febbraio 2026.
In sintesi, l’ISMS, nel contesto del Regolamento (UE) 2023/203, è uno strumento essenziale per garantire che le informazioni critiche per la sicurezza aerea siano protette in modo sistematico e conforme, contribuendo alla resilienza delle operazioni aeronautiche contro minacce informatiche e altri rischi.