Rozporządzenie wykonawcze Komisji (UE) 2022/203, znane jako PART-IS, miało odpowiedzieć na realne zjawisko: coraz większą zależność bezpieczeństwa lotniczego od informacji i systemów cyfrowych. Coraz więcej decyzji operacyjnych opiera się na danych, a błędna, nieaktualna lub niedostępna informacja może – przynajmniej w teorii – przełożyć się na zdarzenie lotnicze. Z tym trudno polemizować, szczególnie jeżeli uwzględnimy obecną sytuację geopolityczną.
Problem zaczyna się jednak w momencie, gdy ten sam model regulacyjny próbuje się zastosować do całego lotnictwa, bez względu na skalę działalności i rzeczywisty poziom ryzyka.
Kogo i od kiedy obowiązuje PART-IS
Na początek warto uporządkować terminy stosowania przepisów. Od 16 października 2025 r. PART-IS obowiązuje już m.in. organizacje produkujące statki powietrzne oraz certyfikowane lotniska. To obszary, w których zarządzanie ryzykiem bezpieczeństwa informacji od dawna funkcjonuje w praktyce i nikt rozsądny nie kwestionuje jego sensu. Natomiast pozostałe podmioty działające w lotnictwie, w tym ATO oraz operatorzy lotniczy otrzymały dodatkowy czas – dla nich PART-IS zacznie obowiązywać dopiero 22 lutego 2026 r.
Rozporządzenie obejmuje m.in. operatorów lotniczych podlegających części ORO, organizacje szkoleniowe ATO, CAMO, Part-145 oraz instytucje ANS. Jednocześnie przepisy wyłączają z obowiązywania całe grupy działalności uznane za niskiego ryzyka. PART-IS nie stosuje się do operatorów eksploatujących wyłącznie statki powietrzne ELA2, ani do operacji wykonywanych wyłącznie jednosilnikowymi samolotami lub śmigłowcami o maksymalnie pięciu miejscach pasażerskich, innymi niż skomplikowane, wykonującymi loty VFR w dzień z lądowaniem i startem w tym samym miejscu. Podobnie w przypadku ATO – organizacje prowadzące wyłącznie szkolenie teoretyczne albo wyłącznie szkolenie na statkach powietrznych ELA2 pozostają poza zakresem PART-IS. Co ważne w przypadku ATO wyłączenie obejmuje tylko kategorię ELA2 – już jeden silnik, VFR DAY, A-A i mniej niż 5PAX nic nie daje. A że w kategorii ELA2 nie ma śmigłowców, to każdy ośrodek szkolący chociażby do PPL(H) łapie się pod PART-IS.
Uwaga – mamy słowo „wyłącznie”, zatem jeżeli posiadacie flotę 10 samolotów ELA2 i jeden samolot, który nie mieści się w tej kategorii (np. Cessna Caravan, PAC750XL, Pilatus PC-12), to już przepisy Was obowiązują. Spokojnie, są jeszcze możliwości odstępstw, ale o tym w dalszej części artykułu.
Pierwsze absurdy PART-IS
Te wyłączenia są pozornie logiczne a w rzeczywistości nie mają sensu. Ten sam Robinson R-44, ta sama technika i często ten sam pilot. W ATO – PART-IS. W lotach widokowych albo SPO – PART-IS już nie. To rozróżnienie wynika wprost z przepisów – art. 2 ust. 1 lit. c) i d) rozporządzenia. PART-IS nie obowiązuje dlatego, że ktoś ocenił ryzyko jako niskie, tylko dlatego, że dana działalność została z góry wyłączona z zakresu rozporządzenia. Ryzyko informacyjne nie ma tu znaczenia – liczy się etykieta operacji.
Kolejnym źródłem zamieszania jest terminologia dotycząca podmiotów objętych regulacją. W polskiej wersji przepisów mowa jest o „przewoźnikach lotniczych”, podczas gdy w wersji angielskiej używa się pojęcia „operator”. A to nie są pojęcia tożsame. „Przewoźnik” wykonuje operacje związane z zarobkowym przewozem pasażerów, towarów lub poczty, natomiast „operator” obejmuje przewoźników oraz operatorów wykonujących operacje specjalistyczne (SPO i SPO HR).
Powstaje więc bardzo konkretne pytanie: co z operatorami SPO, którzy w anglojęzycznej wersji rozporządzenia zostali objęci PART-IS a w polskim tłumaczeniu już nie?
O co w ogóle chodzi w PART-IS?
PART-IS ma służyć zarządzaniu ryzykiem bezpieczeństwa informacji, czyli ryzykiem wynikającym z tego, że informacja używana w procesach operacyjnych może być błędna, nieaktualna albo niedostępna i przez to wpłynąć na bezpieczeństwo lotnicze. Tyle że w przypadku małych ATO albo operatorów wykonujących lokalne loty widokowe pojawia się bardzo proste pytanie: kto właściwie miałby ingerować w ich dane i po co? Jaką realną korzyść miałby ktoś, kto zmanipuluje procedurę szkoleniową w ATO albo zakłóci prostą dokumentację operatora latającego VFR w dzień? A może ruscy hakerzy będą zmieniali dane w planówkach lotów w aeroklubach? Trudno wskazać realistyczny scenariusz zagrożenia, który uzasadniałby rozbudowane systemy zarządzania ryzykiem informacyjnym.
Duże organizacje lotnicze funkcjonują w zupełnie innym świecie. Linie lotnicze, ANSP, producenci statków powietrznych czy duzi operatorzy flotowi od dawna chronią swoje dane, bo muszą. Mają złożone systemy, wrażliwe informacje operacyjne i realne zagrożenia – zarówno techniczne, jak i celowe. PART-IS w ich przypadku niewiele zmienia. Raczej porządkuje i formalizuje coś, co i tak już istnieje. Bezpieczeństwo informacji jest tam elementem codziennego zarządzania, a nie nowym obowiązkiem narzuconym przez przepisy.
W małych organizacjach sytuacja wygląda zupełnie inaczej. Źródłem prawdy są często papierowe instrukcje, aktualizowane rzadko i w prosty sposób. Informacja nie krąży pomiędzy systemami i nie wpływa „po cichu” na przebieg operacji. Mimo to PART-IS generuje popyt na „wdrożenia”, które w praktyce oznaczają angażowanie czasu albo wyspecjalizowanych firm konsultingowych. Problem polega na tym, że takie wdrożenia są bardzo drogie, a przy bliższym spojrzeniu nie do końca wiadomo, co te firmy miałyby realnie robić poza produkcją kolejnych procedur, analiz i schematów. Dla małego ATO czy operatora koszt takiej usługi bywa niewspółmierny do skali działalności, a efekt dla bezpieczeństwa – co najwyżej symboliczny. Uwzględniając, że PART-IS nie może wchodzić w rolę compliance monitoringu – nie ma uzasadnienia dla stosowania PART-IS w małej organizacji. Dobry CMM w zupełności wystarczy żeby pilnować dokumentacji.
Odstępstwa – szansa na normalność
Na szczęście PART-IS przewiduje możliwość stosowania odstępstw. I w praktyce to właśnie odstępstwa okazują się jedynym sensownym rozwiązaniem dla wielu organizacji. Dla swoich klientów składam wnioski o odstępstwa od wymagań PART-IS, ponieważ w ich konkretnych przypadkach jest to jedyny racjonalny sposób pogodzenia przepisów z rzeczywistością operacyjną. Zamiast tworzyć sztuczne ryzyka i pisać bezsensowne podręczniki, lepiej formalnie wykazać niski poziom ryzyka i dostosować wymagania do faktycznej skali działalności.
Niestety samo napisanie wniosku o odstępstwo wymaga zrozumienia przepisów i wykonania oceny ryzyka, co niestety nie jest proste.
W tym miejscu warto uczciwie docenić Urząd Lotnictwa Cywilnego. Niezależnie od wszystkich zastrzeżeń wobec samej regulacji, pracownicy ULC przygotowali i udostępnili już sporo materiałów dotyczących PART-IS. Poszczególne departamenty urzędu rozsyłają informacje i wskazówki, które pomagają organizacjom zrozumieć nowe wymagania oraz przygotować wnioski o odstępstwa.
Trzeba jednak jasno zaznaczyć, że na obecnym etapie mamy do czynienia przede wszystkim z działaniami informacyjnymi. Materiały te pomagają zorientować się w oczekiwaniach i możliwych ścieżkach postępowania, ale praktyka podejmowania decyzji w konkretnych sprawach dopiero się ukształtuje. Dopiero pierwsze rzeczywiste postępowania pokażą, jak urząd będzie podchodził do wniosków o odstępstwa w realnych, konkretnych sprawach.
Czy ma to w ogóle sens?
Na koniec trzeba to powiedzieć wprost. PART-IS w obecnym kształcie to absurdalne przepisy. Nie dlatego, że bezpieczeństwo informacji nie ma znaczenia, lecz dlatego, że oderwano je od realiów małych organizacji lotniczych. Regulacja została napisana z myślą o dużych, złożonych podmiotach z rzeczywiście wrażliwymi danymi i realnymi zagrożeniami, a następnie rozciągnięta na aerokluby, ATO i małych operatorów, u których takie zagrożenia są abstrakcyjne.
W praktyce PART-IS nie rozwiązuje rzeczywistego problemu w małych organizacjach (bo go nie ma), generuje wysokie koszty wdrożeń o wątpliwym sensie operacyjnym, tworzy chaos interpretacyjny zamiast jasnych reguł i zmusza organizacje do działań formalnych zamiast skupienia się na realnym bezpieczeństwie. Jeżeli jedynym racjonalnym sposobem stosowania przepisów jest masowe składanie wniosków o odstępstwa, to oznacza to, że problem nie leży po stronie organizacji, lecz po stronie samej regulacji.
Bezpieczeństwo lotnicze nie poprawia się przez dokładanie kolejnych warstw papieru. Poprawia się wtedy, gdy wymagania są proste, proporcjonalne i dopasowane do tego, co naprawdę może pójść nie tak. PART-IS – przynajmniej w odniesieniu do małych organizacji – tych warunków po prostu nie spełnia.
LATAJ LEGALNIE 