Gjennomføringstiltak for felles standarder for luftfartssikkerhet: endringsbestemmelser om cybersikkerhet
Kommisjonens gjennomføringsforordning (EU) 2019/1583 av 25. september 2019 om endring av gjennomføringsforordning (EU) 2015/1998 om fastsettelse av detaljerte tiltak for gjennomføring av de felles grunnleggende standardene for luftfartssikkerhet med hensyn til cybersikkerhetstiltak
Commission Implementing Regulation (EU) 2019/1583 of 25 September 2019 amending Implementing Regulation (EU) 2015/1998 laying down detailed measures for the implementation of the common basic standards on aviation security, as regards cybersecurity measures
Norsk forskrift kunngjort 26.3.2020
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 25.2.2020)
Sammendrag av innhold
Europaparlaments- og Rådsforordning (EF) nr. 300/2008 etablerer felles bestemmelser om sikkerhet i sivil luftfart. På securityområdet er de detaljerte tiltakene for gjennomføring av felles grunnleggende standarder for luftfartssikkerhet fastsatt i forordning (EU) 2015/1998 og i beslutning C(2015)8005.
Med jevne mellomrom er det behov for endring og klargjøring av securityregelverket. Kommisjonen foreslår derfor å endre forordning (EU) 2015/1998. Endringene omfatter cybersecurity. Kommisjonen har presentert forslag til endringer, og forslaget ble diskutert på AVSEC-møtet mars 2019 og medlemslandene ble gitt anledning til å komme med skriftlige innspill i etterkant av møtet. Rettsakten ble stemt over og vedtatt i AVSEC-møtet i juni 2019. Ikrafttredelse er satt til 31. desember 2020.
Det er gjort endringer i forordningens kapittel 1 om airport security og kapittel 11 om recruitement and training. For nærmere detaljer, se under Andre opplysninger.
Merknader
Rettslige konsekvenser
Ny rettsakt er gitt med hjemmel i forordning 300/2008, som igjen har hjemmel i TFEU artikkel 100.
Rettsakten vil bli gjennomført i norsk rett ved en endring av forskrift 1. mars 2011 nr. 214 om forebyggelse av anslag mot sikkerheten i luftfarten mv. (securityforskriften), og tilhører gruppe 2.
Økonomiske og administrative konsekvenser
Luftfartstilsynet har foreløpig identifisert at forslaget kan ha administrative konsekvenser i form av norske myndigheter må oppdatere prosedyrer og sjekklister for å påse at aktørene følger nye krav til håndtering av cybersecurity-trusselen. Norske aktører må oppdatere sikkerhets- og opplæringsprogrammer for å være rustet mot cybersecurity-trusselen.
Sakkyndige instansers merknader
Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel.
Rettsakten har vært på nasjonal høring. Luftfartstilsynet mottok 10 høringssvar innen frist og hvorav ingen av disse inneholdt merknader som påkrevde oppfølgning.
Vurdering
Nytt regelverk utfyller forordning (EF) nr. 300/2008 som allerede er gjennomført i norsk rett gjennom EØS-avtalen.
Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel. Det anses ikke å være behov for tilpasningstekst.
Andre opplysninger
Formålet med endringsforordningen er å støtte medlemslandene i å sikre full overholdelse av endringene til ICAOs annex 17 og nyinnførte standarder under 3.1.4 og 4.9.1 og som gjelder fra 16. november 2018.
I tillegg skal det sikres samsvar med det som fremgår av EASAs regelverksforslag som nylig er publisert som NPA 2019-7. Kommisjonen har i sitt forberedende arbeid hatt anledning til å sammenlikne og koordinere innholdet i gjennomføringsforordningen med EASAs NPA.
Nærmere detaljer om forslaget til rettsakt
Etter kapittel 1 punkt 1.0.6 skal myndigheten etablere og gjennomføre prosedyrer for å dele relevant informasjon for å bistå andre nasjonale myndigheter, flyselskapsleverandører, flyplassoperatører, luftfartsselskaper og andre berørte enheter for å drive effektive risiskovurderinger knyttet til deres virksomhet.
I tillegg vil det til kapittel 1 bli tatt inn et nytt punkt 1.7 som handler om identifikasjon av og beskyttelse mot trusler mot cybersecurity for kritiske informasjons- og kommunikasjonsteknologisystemer i sivil luftfart. Det er i punkt 1.7.1 stilt krav om at myndigheten skal sørge for at operatører, luftfartsselskaper og enheter som er definert i nasjonalt sikkerhetsprogram for sivil luftfart identifiserer og beskytter deres kritiske informasjons- og kommunikasjonsteknologi og data som brukes til sivil luftfart. I punkt 1.7.2 skal flyplassoperatører, luftfartsselskaper og enheter som beskrevet i 1.7.1 i sine sikkerhetsprogram eller relevant dokument som er kryssreferert i sikkerhetsprogrammet identifisere de kritiske informasjons- og kommunikasjonsteknologisystemene og dataene som brukes i sivil luftfart. Sikkerhetsprogrammet eller annet relevant dokument skal spesifisere tiltakene for å sikre beskyttelse mot, deteksjon av, respons på og gjenoppretting fra cyberangrep som kan påvirke sikkerheten til sivil luftfart. Punkt 1.7.3 bestemmer at de detaljerte tiltakene for å beskytte slike systemer og data fra ulovlig forstyrrelse skal identifiseres, utvikles og implementeres i samsvar med en risikovurdering utført av operatøren, luftfartsselskapet eller enheten etter behov. Punkt 1.7.4 bestemmer at dersom en bestemt myndighet er kompetent for tiltak knyttet til cybertrusler i hver enkelt medlemsstat, kan denne myndigheten utpekes som kompetent for koordinering og/eller overvåkning av de cyberrelaterte bestemmelsen i forordningen. I punkt 1.7.5 skal det dersom flyselskaper, operatører, og enheter som definert i nasjonalt sikkerhetsprogram for sivil luftfart er underlagt særskilte krav til sikkerhet for cybersecurity som følger av annen EU-lovgivning eller nasjonal lovgivning, skal aktuell myndighet samordne med andre relevante kompetetente myndigheter for å sikre samordnede eller kompatible overvåkingsregimer.
Punkt 11.1.2 er endret med hensyn krav om bakgrunnssjekk. Det heter i pkt. 11.1.2 at myndigheten som fastsatt i pkt. 1.7.4 kan kreve at personer som har ansvar for kritiske informasjons- og teknologisystemer og data som brukes til sivil luftfart skal bestå kravene til bakgrunnssjekk. Det kan fastsettes nasjonalt om disse skal bestå kravene til enten standard eller utvidet bakgrunnssjekk. Dersom slike ansvarshavende fra tidligere av har vært underlagt kontroll før ansettelse, må kravene til bakgrunnssjekk være bestått innen 30. juni 2020. Fra 31. desember 2020, skal følgende personell ha bestått kravene til enten utvidet eller standard bakgrunnssjekk:
a) personer som er rekruttert for å implementere eller være ansvarlig for gjennomføring av screening, tilgangskontroll eller andre sikkerhetstiltak andre steder enn et sikkerhetsbegrenset område.
b) personer som har uavbrutt tilgang til luftfrakt og post, luftfartsselskapers post og luftfartsselskapsmateriell, forsyninger og leveranser til luftfartøy som de nødvendige sikkerhetstiltakene pålegger.
c) personer som har administratorrettigheter eller uovervåket tilgang til kritiske informasjons- og kommunikasjonsteknologisystemer og data som brukes til sivil luftfart i samsvar med det nasjonale sikkerhetsprogrammet og som ellers definert i risikovurderingen i samsvar med punkt 1.7.3.
Med mindre annet er angitt i forordningen skal det fastsettes nasjonalt av egnet myndighet i henhold til gjeldende nasjonale regler om en utvidet eller standard bakgrunnssjekk skal fullføres for de nevnte personellgrupper.
Det er lagt til et nytt punkt 11.2.8 i kapittel 11 om opplæring. I punkt 11.2.8.1 skal personer som gjennomfører tiltak som fastsatt i punkt 1.7.2 ha ferdigheter og kvalifikasjoner som kreves for å kunne utføre sine utpekte oppgaver effektivt. De skal gjøres oppmerksom på relevante risikoer mot cybersecurity basert på "need to know". I punkt 11.2.8.2 skal personer som har tilgang til data eller systemer få passende og spesifikk jobbrelatert opplæring i samsvar med deres rolle og ansvar, herunder bli gjort kjent med relevante risikoer der deres stillingsfunksjon krever dette. Vedkommende myndighet eller annet som fastsatt i punkt 1.7.4 skal spesifisere eller godkjenne innholdet i kurset.
Om forholdet til EASAs NPA 2019-7
Kravene som foreslås i EASA NPA 2019-7 gjelder for organisasjoner som allerede har EASA-godkjenning, og gjelder for de organisasjoner som for tiden har krav til et styringssystem i de eksisterende EASA-implementeringsregler. Noen av disse organisasjonene kan også falle inn under virkeområdet til 300/2008. I gjennomføringsforordningen er det tatt høyde for at dersom organisasjonene overholder sikkererhetsregelverket som følger av forordning 2018/1139 ("EASA-regelverket"), er de i samsvar med securityreglene fastsatt av Kommisjonen. Noen organisasjoner som ikke ligger under EASA, kan være underlagt implementeringen av NIS-direktivet og kan siden ha blitt identifisert som operatører av viktige tjenester. Dersom disse organisasjonene overholder det som følger av NIS-direktivet, vil de også være i samsvar med securityreglene som fastsettes av Kommisjonen. De organsisasjoner som ikke er dekket av EASA-reglene eller NIS-direktivet, men som er underlagt 300/2008, må overholde de nå foreslåtte securitybestemmelser i ny gjennomføringsforordning.
EASA-forslaget har i tillegg innført et koordineringskrav mellom de ulike myndighetene i hver enkelt medlemsland for å sikre sammenheng mellom regulatoriske og tilsynsbehov med de andre regelverkene (NIS-direktiv og forordning (EU) 2015/1998). Dte vil sikre en omfattense tilnærming hvor alle aspekter relatert til safety og security er riktig vurdert.
Kommisjonsforordningen er sammenhengende med de tiltakene som EASA-oppdragene som dekker "alle luftfartsdomener med betydning for sikkerhet". NPA 2019-7 refererer til ny ICAO standard 4.9.1 som en global standard som nå vil bli tatt inn i Kommisjonens forslag til gjennomføringsforordning. Det kan dermed antas at informasjonssikkerhetsstyringssystem utviklet av en organisasjon for å oppfylle kravene i EASAs nye regelverk, kan brukes helt eller delvis for å overholde nye krav i forordning (EU) 2015/1998. Og omvendt kan det være mulig at visse elementer i organisasjonsstyringssystemet som måtte ha blitt utviklet for å overholde forordning (EU) 2015/1998, kunne brukes for å være i samsvar med EASAs regelverk om cybersecurity. Dette er eksplisitt anerkjent i EASA NPA 2019-7.
Kommisjonens gjennomføringsforordning inneholder klare klausuler som utleder operatører og enheter fra de dobbelte forpliktelser som følge av ulike lovbestemmelser om cybersecurity (både nasjonalt, europeisk og globalt) med sikte på å unngå duplikasjoner, men fortsatt beholde målet om å løse eventuelle gjenværende hull i regelverkene. Kommisjonens rettsakt inneholder passende samordning med andre eksisterende myndigheter eller enheter som har tilsynsansvar. Videre inneholder rettsakten viktige aspekter knyttet til såkalt "cyberhygiene" gjennom bestemmelser om bevissthet og opplæring. Medlemsstatene vil ha nødvendig fleksibilitet når det gjelder å definere de nødvendige elementer i opplæringspolitikken når de identifserer berørt personell basert på risikoprofil.
Status
Rettsakten faller inn under EFTAs hurtigprosedyre. Lutfartstilsynet vil gjennomføre endringene i norsk rett da de faller innenfor Luftfartstilsynets delegerte forskriftskompetanse, jf. securityforskriften § 4 andre ledd.
Sammendrag av innhold
Europaparlaments- og Rådsforordning (EF) nr. 300/2008 etablerer felles bestemmelser om sikkerhet i sivil luftfart. På securityområdet er de detaljerte tiltakene for gjennomføring av felles grunnleggende standarder for luftfartssikkerhet fastsatt i forordning (EU) 2015/1998 og i beslutning C(2015)8005.
Med jevne mellomrom er det behov for endring og klargjøring av securityregelverket. Kommisjonen foreslår derfor å endre forordning (EU) 2015/1998. Endringene omfatter cybersecurity. Kommisjonen har presentert forslag til endringer, og forslaget ble diskutert på AVSEC-møtet mars 2019 og medlemslandene ble gitt anledning til å komme med skriftlige innspill i etterkant av møtet. Rettsakten ble stemt over og vedtatt i AVSEC-møtet i juni 2019. Ikrafttredelse er satt til 31. desember 2020.
Det er gjort endringer i forordningens kapittel 1 om airport security og kapittel 11 om recruitement and training. For nærmere detaljer, se under Andre opplysninger.
Merknader
Rettslige konsekvenser
Ny rettsakt er gitt med hjemmel i forordning 300/2008, som igjen har hjemmel i TFEU artikkel 100.
Rettsakten vil bli gjennomført i norsk rett ved en endring av forskrift 1. mars 2011 nr. 214 om forebyggelse av anslag mot sikkerheten i luftfarten mv. (securityforskriften), og tilhører gruppe 2.
Økonomiske og administrative konsekvenser
Luftfartstilsynet har foreløpig identifisert at forslaget kan ha administrative konsekvenser i form av norske myndigheter må oppdatere prosedyrer og sjekklister for å påse at aktørene følger nye krav til håndtering av cybersecurity-trusselen. Norske aktører må oppdatere sikkerhets- og opplæringsprogrammer for å være rustet mot cybersecurity-trusselen.
Sakkyndige instansers merknader
Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel.
Rettsakten har vært på nasjonal høring. Luftfartstilsynet mottok 10 høringssvar innen frist og hvorav ingen av disse inneholdt merknader som påkrevde oppfølgning.
Vurdering
Nytt regelverk utfyller forordning (EF) nr. 300/2008 som allerede er gjennomført i norsk rett gjennom EØS-avtalen.
Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel. Det anses ikke å være behov for tilpasningstekst.
Andre opplysninger
Formålet med endringsforordningen er å støtte medlemslandene i å sikre full overholdelse av endringene til ICAOs annex 17 og nyinnførte standarder under 3.1.4 og 4.9.1 og som gjelder fra 16. november 2018.
I tillegg skal det sikres samsvar med det som fremgår av EASAs regelverksforslag som nylig er publisert som NPA 2019-7. Kommisjonen har i sitt forberedende arbeid hatt anledning til å sammenlikne og koordinere innholdet i gjennomføringsforordningen med EASAs NPA.
Nærmere detaljer om forslaget til rettsakt
Etter kapittel 1 punkt 1.0.6 skal myndigheten etablere og gjennomføre prosedyrer for å dele relevant informasjon for å bistå andre nasjonale myndigheter, flyselskapsleverandører, flyplassoperatører, luftfartsselskaper og andre berørte enheter for å drive effektive risiskovurderinger knyttet til deres virksomhet.
I tillegg vil det til kapittel 1 bli tatt inn et nytt punkt 1.7 som handler om identifikasjon av og beskyttelse mot trusler mot cybersecurity for kritiske informasjons- og kommunikasjonsteknologisystemer i sivil luftfart. Det er i punkt 1.7.1 stilt krav om at myndigheten skal sørge for at operatører, luftfartsselskaper og enheter som er definert i nasjonalt sikkerhetsprogram for sivil luftfart identifiserer og beskytter deres kritiske informasjons- og kommunikasjonsteknologi og data som brukes til sivil luftfart. I punkt 1.7.2 skal flyplassoperatører, luftfartsselskaper og enheter som beskrevet i 1.7.1 i sine sikkerhetsprogram eller relevant dokument som er kryssreferert i sikkerhetsprogrammet identifisere de kritiske informasjons- og kommunikasjonsteknologisystemene og dataene som brukes i sivil luftfart. Sikkerhetsprogrammet eller annet relevant dokument skal spesifisere tiltakene for å sikre beskyttelse mot, deteksjon av, respons på og gjenoppretting fra cyberangrep som kan påvirke sikkerheten til sivil luftfart. Punkt 1.7.3 bestemmer at de detaljerte tiltakene for å beskytte slike systemer og data fra ulovlig forstyrrelse skal identifiseres, utvikles og implementeres i samsvar med en risikovurdering utført av operatøren, luftfartsselskapet eller enheten etter behov. Punkt 1.7.4 bestemmer at dersom en bestemt myndighet er kompetent for tiltak knyttet til cybertrusler i hver enkelt medlemsstat, kan denne myndigheten utpekes som kompetent for koordinering og/eller overvåkning av de cyberrelaterte bestemmelsen i forordningen. I punkt 1.7.5 skal det dersom flyselskaper, operatører, og enheter som definert i nasjonalt sikkerhetsprogram for sivil luftfart er underlagt særskilte krav til sikkerhet for cybersecurity som følger av annen EU-lovgivning eller nasjonal lovgivning, skal aktuell myndighet samordne med andre relevante kompetetente myndigheter for å sikre samordnede eller kompatible overvåkingsregimer.
Punkt 11.1.2 er endret med hensyn krav om bakgrunnssjekk. Det heter i pkt. 11.1.2 at myndigheten som fastsatt i pkt. 1.7.4 kan kreve at personer som har ansvar for kritiske informasjons- og teknologisystemer og data som brukes til sivil luftfart skal bestå kravene til bakgrunnssjekk. Det kan fastsettes nasjonalt om disse skal bestå kravene til enten standard eller utvidet bakgrunnssjekk. Dersom slike ansvarshavende fra tidligere av har vært underlagt kontroll før ansettelse, må kravene til bakgrunnssjekk være bestått innen 30. juni 2020. Fra 31. desember 2020, skal følgende personell ha bestått kravene til enten utvidet eller standard bakgrunnssjekk:
a) personer som er rekruttert for å implementere eller være ansvarlig for gjennomføring av screening, tilgangskontroll eller andre sikkerhetstiltak andre steder enn et sikkerhetsbegrenset område.
b) personer som har uavbrutt tilgang til luftfrakt og post, luftfartsselskapers post og luftfartsselskapsmateriell, forsyninger og leveranser til luftfartøy som de nødvendige sikkerhetstiltakene pålegger.
c) personer som har administratorrettigheter eller uovervåket tilgang til kritiske informasjons- og kommunikasjonsteknologisystemer og data som brukes til sivil luftfart i samsvar med det nasjonale sikkerhetsprogrammet og som ellers definert i risikovurderingen i samsvar med punkt 1.7.3.
Med mindre annet er angitt i forordningen skal det fastsettes nasjonalt av egnet myndighet i henhold til gjeldende nasjonale regler om en utvidet eller standard bakgrunnssjekk skal fullføres for de nevnte personellgrupper.
Det er lagt til et nytt punkt 11.2.8 i kapittel 11 om opplæring. I punkt 11.2.8.1 skal personer som gjennomfører tiltak som fastsatt i punkt 1.7.2 ha ferdigheter og kvalifikasjoner som kreves for å kunne utføre sine utpekte oppgaver effektivt. De skal gjøres oppmerksom på relevante risikoer mot cybersecurity basert på "need to know". I punkt 11.2.8.2 skal personer som har tilgang til data eller systemer få passende og spesifikk jobbrelatert opplæring i samsvar med deres rolle og ansvar, herunder bli gjort kjent med relevante risikoer der deres stillingsfunksjon krever dette. Vedkommende myndighet eller annet som fastsatt i punkt 1.7.4 skal spesifisere eller godkjenne innholdet i kurset.
Om forholdet til EASAs NPA 2019-7
Kravene som foreslås i EASA NPA 2019-7 gjelder for organisasjoner som allerede har EASA-godkjenning, og gjelder for de organisasjoner som for tiden har krav til et styringssystem i de eksisterende EASA-implementeringsregler. Noen av disse organisasjonene kan også falle inn under virkeområdet til 300/2008. I gjennomføringsforordningen er det tatt høyde for at dersom organisasjonene overholder sikkererhetsregelverket som følger av forordning 2018/1139 ("EASA-regelverket"), er de i samsvar med securityreglene fastsatt av Kommisjonen. Noen organisasjoner som ikke ligger under EASA, kan være underlagt implementeringen av NIS-direktivet og kan siden ha blitt identifisert som operatører av viktige tjenester. Dersom disse organisasjonene overholder det som følger av NIS-direktivet, vil de også være i samsvar med securityreglene som fastsettes av Kommisjonen. De organsisasjoner som ikke er dekket av EASA-reglene eller NIS-direktivet, men som er underlagt 300/2008, må overholde de nå foreslåtte securitybestemmelser i ny gjennomføringsforordning.
EASA-forslaget har i tillegg innført et koordineringskrav mellom de ulike myndighetene i hver enkelt medlemsland for å sikre sammenheng mellom regulatoriske og tilsynsbehov med de andre regelverkene (NIS-direktiv og forordning (EU) 2015/1998). Dte vil sikre en omfattense tilnærming hvor alle aspekter relatert til safety og security er riktig vurdert.
Kommisjonsforordningen er sammenhengende med de tiltakene som EASA-oppdragene som dekker "alle luftfartsdomener med betydning for sikkerhet". NPA 2019-7 refererer til ny ICAO standard 4.9.1 som en global standard som nå vil bli tatt inn i Kommisjonens forslag til gjennomføringsforordning. Det kan dermed antas at informasjonssikkerhetsstyringssystem utviklet av en organisasjon for å oppfylle kravene i EASAs nye regelverk, kan brukes helt eller delvis for å overholde nye krav i forordning (EU) 2015/1998. Og omvendt kan det være mulig at visse elementer i organisasjonsstyringssystemet som måtte ha blitt utviklet for å overholde forordning (EU) 2015/1998, kunne brukes for å være i samsvar med EASAs regelverk om cybersecurity. Dette er eksplisitt anerkjent i EASA NPA 2019-7.
Kommisjonens gjennomføringsforordning inneholder klare klausuler som utleder operatører og enheter fra de dobbelte forpliktelser som følge av ulike lovbestemmelser om cybersecurity (både nasjonalt, europeisk og globalt) med sikte på å unngå duplikasjoner, men fortsatt beholde målet om å løse eventuelle gjenværende hull i regelverkene. Kommisjonens rettsakt inneholder passende samordning med andre eksisterende myndigheter eller enheter som har tilsynsansvar. Videre inneholder rettsakten viktige aspekter knyttet til såkalt "cyberhygiene" gjennom bestemmelser om bevissthet og opplæring. Medlemsstatene vil ha nødvendig fleksibilitet når det gjelder å definere de nødvendige elementer i opplæringspolitikken når de identifserer berørt personell basert på risikoprofil.
Status
Rettsakten faller inn under EFTAs hurtigprosedyre. Lutfartstilsynet vil gjennomføre endringene i norsk rett da de faller innenfor Luftfartstilsynets delegerte forskriftskompetanse, jf. securityforskriften § 4 andre ledd.