Back

Information Security Management System

Il Regolamento Delegato (UE) 2022/1645 e il Regolamento Attuativo (UE) 2023/203 richiedono l’istituzione all’interno di tutte le organizzazioni aeronautiche di un Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni).

Tale Sistema di Gestione, che si aggiunge all’interno delle organizzazioni aeronautiche (cioè, è un altro sistema di gestione oltre quello già esistente), segue temporalmente l’introduzione dei principi del Safety Management System nel dominio dell’aeronavigabilità e ad esso si ricollega concettualmente e, giocoforza, cronologicamente in relazione alla sua attuazione.

L’uso, ormai generalizzato, di tecnologie informatiche e della comunicazione via web, ha evidenziato come, proprio facendo uso dei concetti dell’SMS, la trasformazione in corso della gestione e della comunicazione delle informazioni possa introdurre nuovi pericoli per la sicurezza aerea.

E proprio alla identificazione dei pericoli per la sicurezza delle informazioni, alla valutazione ed eventuale mitigazione dei rischi associati, ai pericoli identificati, è rivolto l’ISMS, con una differenza sostanziale rispetto all’SMS.

Mentre l’introduzione dei principi dell’SMS, nelle varie organizzazioni approvate, è rivolto alla gestione dei rischi per la sicurezza aerea, l’ISMS è rivolto alla determinazione delle misure di mitigazione necessarie a ridurre i rischi per la sicurezza delle informazioni che potrebbero avere impatto sulla sicurezza aerea: tradotto nella pratica i rischi per la sicurezza delle informazioni non ci interessano tanto per le eventuali conseguenze degli stessi, quanto per come questi potrebbero impattare le misure in essere (barriere) per mitigare i rischi per la sicurezza aerea.

Possiamo, cioè, dire che la sicurezza delle informazioni ci interessa perché eventuali “minacce” alla “sicurezza delle informazioni” possono ridurre l’efficacia delle barriere per la “sicurezza aerea”, aumentando il rischio di eventi a questa legati.

In relazione a questo nuovo scenario normativo, Daidalos Aviation Safety ha organizzato una serie di workshop, di cui due sessioni si sono tenute nei giorni scorsi, rivolti a tutte le imprese nel dominio dell’aeronavigabilità, volti ad inquadrare correttamente il problema, a definire il coinvolgimento delle varie funzioni all’interno dell’Azienda, elencando e chiarendo le attività da porre in essere, e le relative responsabilità, nelle varie organizzazioni, ai fini del soddisfacimento del requisito normativo.

Si evidenzia che l’entrata in vigore dei regolamenti è sfalsata tra la Parte 21, ottobre 2025, e le Parti CAMO e 145, febbraio 2026, ma essendo i due regolamenti (IS.D.OR e IS.I.OR, ove “D” sta per “Delegated” e “I” sta per “Implementing”) identici nei requisiti e nelle relative AMC&GM, la rispondenza al primo comporterà, in presenza di più approvazioni nel dominio dell’aeronavigabilità, anche la rispondenza al secondo, semplificando le attività dell’organizzazione.

Le due sessioni già tenute hanno visto l’apprezzamento delle aziende partecipanti (un velivolista, al mattino, e diversi OEM, nel pomeriggio).

L’occasione, infatti, è stata utilissima per le Aziende partecipanti, per comprendere correttamente cosa bisogna fare, chi lo deve fare e come bisogna farlo ed il Workshop ha funzionato da strumento di corretto inquadramento delle attività e degli associati “stakeholder” all’interno dell’organizzazione, aiutando inoltre a comprendere l’inopportunità di partire con un corso “classico” in assenza di un quadro più chiaro su una norma complessa.

Il workshop è inoltre servito per comprendere l’effettiva applicabilità di questo nuovo sistema di gestione, in quanto i regolamenti stessi, sia per le organizzazioni approvate nell’ambito dell’aeronavigabilità iniziale sia per quelle approvate nell’ambito dell’aeronavigabilità continua, prevedono la possibilità di deroghe che, comunque, vanno gestite con gli strumenti previsti nei regolamenti.

Per tutte le Aziende hanno partecipato i responsabili delle funzioni di Compliance Monitoring, di Safety Management e di Information Technology: il lavoro da fare richiede una forte sinergia tra queste funzioni, con un baricentro, delle attività previste, posizionato sicuramente sull’IT aziendale, ma con processi e procedure da mettere in piedi che non possono prescindere dalle altre due funzioni, almeno in termini di conoscenze e competenze.

Le prossime sessioni si terranno il 6 giugno ed il 9 luglio, entrambi al mattino, dalle 9.00 alle 13.00 con le modalità di iscrizione/partecipazione appresso indicate:

• inviare e-mail di iscrizione, con oggetto “Corso ISMS” a e.deodati@daidalos.cloud entro il 27 maggio p.v. (per coloro che hanno già comunicato l’interesse per il 6 giugno non è necessario);

• costo per partecipante:

o 500,00 euro/pax + IVA fino a tre partecipanti,

o 1500,00 euro + IVA oltre 3 pax della stessa Azienda;

• il numero massimo di partecipanti per azienda è 5;

• il numero massimo di partecipanti per sessione è 20;

• se perviene una richiesta di iscrizione alla sessione del 6 giugno oltre i 20, prenotati con criterio di precedenza temporale, il richiedente riceverà, entro due giorni dal termine dell’iscrizione, un’e-mail con la quale sarà avvisato dell’impossibilità della partecipazione alla sessione stessa e la possibilità di iscriversi a quella successiva che si terrà il 9 luglio 2025.

• confermato il numero dei partecipanti per la sessione, sarà inviata un’e-mail di conferma a fronte della quale dovrà essere effettuato un bonifico, per l’importo relativo al numero di partecipanti della propria Azienda su c/c Banca Sella intestato a Daidalos S.r.l.s. IBAN IT66U0321103200052702657560 con causale “Workshop ISMS”, entro il 30 maggio p.v. (entro il 30 giugno per i partecipanti della sessione del 9 luglio) ed inviare copia di cortesia del bonifico via e-mail ad amministrazione@daidalos.cloud con le seguenti informazioni:

o Nome Azienda

o Numero di partecipanti per Azienda e nominativi dei partecipanti

o Rappresentante dell’Azienda (con relativa e-mail)

o Estremi per la fatturazione (P.IVA e Codice Univoco dell’Azienda)

Cordiali saluti

Ing. Enrico Deodati

ABOUT INSTRUCTOR

Enrico Deodati
Enrico Deodati

Salve, sono Enrico Deodati e sono un ingegnere aeronautico con oltre trenta anni di esperienza nel settore dell’aviazione, prima nell’Ente Nazionale Aviazione Civile e poi con aziende private di primaria importanza.

You may also like

Inutilità della certificazione AS 9100 ai fini della sicurezza dell’aviazione civile
1 Febbraio, 2025

L’introduzione del Safety Management System nella normative cogente ai fini del mantenimento e del miglioramento della sicurezza aerea ha messo in luce tutti i limiti dello schema di certificazione 9100, peraltro percepiti dalla stragrande maggioranza delle Aziende del settore. I …

Inattualità del CIT secondo Regolamento tecnico dell’ENAC per i manutentori di componenti aeronautici.
14 Gennaio, 2024

Nell’esperienza di consulenza presso aziende aeronautiche di manutenzione su componenti ho avuto modo di rilevare l’inattualità, potremmo parlare di “obsolescenza normativa”,  delle regole relative al rilascio dei CIT per personale che riammette in servizio, con emissione di EASA Form 1, …

Auguri di Buone Feste
17 Dicembre, 2023

Si sta chiudendo il 2023 e approfitto dell’anniversario del primo volo dei Fratelli Wright, spesso richiamato anche nei corsi, per tirare le somme di quest’anno. Daidalos Aviation Safety chiude con un bilancio straordinario l’anno appena trascorso: sono stati erogati corsi …

@ 2021 Daidalos Aviations Safety | Powered by ORA Comunica