Aviación Digital, Sp.- La digitalización de la gestión del tráfico aéreo ha convertido a los sistemas de navegación aérea en una superficie de ataque crítica, donde un incidente de ciberseguridad puede escalar rápidamente a un problema de seguridad operacional. En este contexto, la Agencia Estatal de Seguridad Aérea (AESA) está desplegando su estrategia para aplicar la normativa europea de ciberseguridad Part‑IS en el ámbito de la navegación aérea, alineada con el marco regulatorio de la Agencia de la Unión Europea para la Seguridad Aérea (EASA). La clave ya no es solo proteger la TI corporativa, sino asegurar que cada flujo de información relevante para la seguridad del vuelo sea resiliente frente a ciberamenazas.
Marco regulatorio Part‑IS y su alcance
La normativa de ciberseguridad Part‑IS se articula principalmente a través del Reglamento Delegado (UE) 2022/1645 y del Reglamento de Ejecución (UE) 2023/203, que establecen requisitos específicos de gestión de riesgos de la información con impacto en la seguridad de la aviación civil. Este marco extiende la lógica de la seguridad operacional al terreno de la seguridad de la información, exigiendo que cualquier riesgo cibernético que pueda afectar a la seguridad aérea sea identificado, gestionado y mitigado de forma sistemática.seguridadaerea+2
En la práctica, Part‑IS es aplicable a autoridades competentes y a un amplio espectro de organizaciones: proveedores de servicios de navegación aérea (ANSP), operadores de aeródromos, aerolíneas, organizaciones de diseño y producción, centros de operaciones, MRO y otras entidades cuya actividad dependa de sistemas y datos críticos para la seguridad. Esta amplitud de alcance obliga a romper silos tradicionales entre departamentos de seguridad operacional, TI, operaciones y cumplimiento normativo.compliancecms+2
La estrategia de AESA: guías y acompañamiento
AESA ha publicado guías específicas para orientar a las organizaciones españolas en la implantación de la normativa Part‑IS, con foco particular en el ámbito de la navegación aérea. Estas guías desglosan el marco europeo, explican los elementos que debe contener el sistema de gestión de la seguridad de la información (MGSI/ca‑ISMS) y clarifican la interacción con otros marcos como la Directiva NIS/NIS2 y la normativa de seguridad física.
La aproximación de la autoridad española busca facilitar una aplicación proporcional al impacto en la seguridad operacional, de modo que los requisitos de gobernanza, personal, procesos y tecnologías se ajusten al perfil de riesgo de cada organización. Este enfoque proporcional es clave para que proveedores de servicios de distinta escala —desde grandes ANSP hasta aeródromos regionales— puedan priorizar inversiones y capacidades sin perder alineamiento con el estándar europeo.
Requisitos nucleares: del ca‑ISMS a la respuesta a incidentes
El corazón de Part‑IS es la implantación de un sistema de gestión de la seguridad de la información específico para aviación (Civil Aviation Information Security Management System, ca‑ISMS), integrado con los sistemas de gestión de la seguridad operacional y de calidad ya existentes. Este ca‑ISMS debe contemplar políticas de seguridad, análisis y tratamiento de riesgos, control de accesos, gestión de cambios, continuidad de negocio y mejora continua, entre otros elementos.
Además, las organizaciones deben ser capaces de detectar eventos de seguridad de la información, responder de forma coordinada y recuperarse garantizando niveles aceptables de seguridad operacional. Esto implica definir canales internos de notificación, procedimientos de reporte a la autoridad, ejercicios periódicos de simulación de incidentes y mecanismos de aprendizaje organizativo que conecten los incidentes de ciberseguridad con el sistema de reporte de sucesos de seguridad aérea.
Impacto operativo en navegación aérea y ATM
En el entorno de la navegación aérea, Part‑IS introduce una visión de extremo a extremo sobre los sistemas que soportan la prestación de servicios ATM/ANS: desde la planificación estratégica hasta la gestión táctica de vuelos. Sistemas de comunicaciones, vigilancia, procesamiento de datos de vuelo, redes de coordinación y soluciones de interoperabilidad pasan a ser considerados activos críticos cuya seguridad de la información está íntimamente ligada a la seguridad operacional.
Para los ANSP y gestores de aeropuertos, esto se traduce en la necesidad de revisar arquitectura de redes, segmentación, controles de acceso, gestión de proveedores y dependencias con terceros, incluyendo proveedores de datos meteorológicos, de planes de vuelo o de sistemas de apoyo a la toma de decisiones. Cada integración, API o enlace de datos debe evaluarse no solo por su disponibilidad y rendimiento, sino por su potencial de convertirse en vector de ataque con impacto operacional.
Convergencia con NIS2 y otros marcos de ciberresiliencia
El despliegue de Part‑IS se produce en paralelo a la implementación de la Directiva NIS2 en la Unión Europea, que eleva los requisitos de ciberseguridad para sectores críticos, incluida la aviación. EASA trabaja con la Comisión Europea para que el cumplimiento de Part‑IS contribuya a la acreditación frente a NIS2, evitando duplicidades y generando sinergias en la gestión de riesgos y en los mecanismos de supervisión.
Para las organizaciones aeronáuticas, esta convergencia supone la oportunidad de diseñar una arquitectura de cumplimiento integrada, donde el ca‑ISMS y los controles de Part‑IS se alineen con los requisitos horizontales de NIS2, así como con estándares internacionales como ISO/IEC 27001. Esta alineación estratégica puede reducir costes de cumplimiento, mejorar la eficiencia de auditorías y reforzar la narrativa de ciberresiliencia ante reguladores, clientes y socios industriales.
Gobernanza, cultura y retos de implementación
Más allá de lo tecnológico, Part‑IS coloca la gobernanza de la seguridad de la información en el centro de la toma de decisiones estratégicas en las organizaciones de aviación. Se exige una asignación clara de responsabilidades, estructuras de liderazgo, planificación de disponibilidad de personal y mecanismos de aprobación formal del sistema de gestión por parte de la autoridad competente.
El cambio cultural es uno de los retos más significativos: pilotos, controladores, ingenieros, personal de mantenimiento y equipos de operaciones deben entender que un incidente de ciberseguridad puede ser tan crítico para la seguridad del vuelo como una avería técnica o un error humano. Integrar la formación y concienciación en ciberseguridad en los programas de safety, así como incorporar escenarios cibernéticos en simuladores y ejercicios de emergencia, será esencial para que Part‑IS no se perciba como un mero requisito documental.
Perspectiva de industria: tiempo, recursos y priorización
Desde la óptica de la industria, los plazos de aplicación de Part‑IS (con hitos clave a partir de finales de 2025 y febrero de 2026) presionan a las organizaciones que todavía se encuentran en fases iniciales de madurez en ciberseguridad. La asignación de recursos económicos y humanos especializados, la integración de soluciones técnicas y la coordinación con proveedores y socios tecnológicos son factores críticos para evitar implementaciones superficiales o fragmentadas.
AESA, en su rol de autoridad, se encuentra en un delicado equilibrio entre la exigencia regulatoria y el acompañamiento al sector, especialmente a los actores de menor tamaño con menos capacidad interna de ciberseguridad. El éxito del despliegue de Part‑IS en España dependerá en buena medida de la capacidad para priorizar riesgos, compartir buenas prácticas y aprovechar experiencias de otros Estados miembros y de EASA para acelerar curvas de aprendizaje.
