Ilmailun koulutusorganisaatioiden hallintojärjestelmien hyödynnettävyys tietoturva-asetuksen vaatimuksia täyttäessä

Abstract

Teknologian kehitys, digitalisaation hyödyntäminen ja järjestelmien yhteenliitettävyys lisää ilmailujärjestelmään kohdistuvia kyberturvallisuusuhkia, joita on kyettävä hallitsemaan. Euroopan komissio julkaisi syyskuussa 2022 ja helmikuussa 2023 laaja-alaisesti ilmailun eri toimijoita koskevat tietoturva-asetukset; (EU) 2022/1645 ja (EU) 2023/203, jotka velvoittavat organisaatioita suojautumaan tietoturvariskeiltä. (EU) 2023/203 asetusta sovelletaan ilmailun koulutusorganisaatioihin, ja niiden on implementoitava tietoturva-asetuksen vaatimukset viimeistään helmikuussa 2026. Kyseinen asetus tuo koulutusorganisaatioille täysin uusia tietoturvan ylläpitämiseen liittyviä vaatimuksia.

Tässä tutkimuksessa syvennytään laadullisen sisällönanalyysin kautta arvioimaan voivatko koulutusorganisaatiot hyödyntää jo käytössä olevaa hallintojärjestelmää implementoidessaan tietoturva-asetusta ja perustaessaan sen edellyttämää tietoturvallisuuden hallintajärjestelmää. Analyysin perusteella voidaan todeta, että tietoturvallisuuden hallintajärjestelmän rakenne noudattaa pitkälti ilmailun koulutusorganisaatioilla käytössä olevan hallintojärjestelmän rakennetta ja että vaatimuksissa on paljon samankaltaisuutta. On kuitenkin todettava, että nykyisen hallintojärjestelmän ja tietoturva-asetuksessa esitettyjen vaatimusten samankaltaisuudesta huolimatta hallintojärjestelmien välillä on myös joitakin huomattavia eroja.

Tutkimuksen johtopäätös on, että koulutusorganisaatiot voivat hyödyntää merkittävissä määrin jo olemassa olevan hallintojärjestelmän prosesseja ja menetelmiä. Tietoturvallisuuden hallintojärjestelmä kuitenkin edellyttää täysin uudenlaisia toimintoja, joten täyttääkseen tietoturva-asetuksen vaatimukset, on ilmailun koulutusorganisaatioiden laadittava myös täysin uusia prosesseja ja menettelyitä.

The development of technology, the utilisation of digitalisation and the intercon-nectivity of systems are increasing cyber security threats to the aviation system, and these must be managed. In September 2022 and February 2023, the European Commission published information security regulations that affect a wide range of aviation organisations; (EU) 2022/1645 and (EU) 2023/203. These regulations require aviation organisations to protect themselves from information security risks. Regulation (EU) 2023/203 applies to aviation training organisations, and they must implement the requirements by February 2026. This regulation brings completely new requirements related to maintaining information security to training organisations.

Through a qualitative content analysis, an assessment was made to evaluate whether aviation training organisations can utilize the management system al-ready in use when implementing the Information Security Regulation and when establishing the information security management system required by it. Based on the analysis, it can be stated that the structure of the information security man-agement system largely follows the structure of the management system used by aviation training organisations and that there is a lot of similarity in the require-ments. However, despite the similarity of the current management system and the requirements set forth in Information Security Regulation, there are also some considerable differences between these two systems.

The study concludes that aviation training organisations can make significant use of the processes and methods of the already existing management system. However, the information security management system requires completely new functions. This means that in order to meet the requirements of the Information Security Regulation, aviation training organizations must also create completely new processes and procedures.