BAKGRUNN (fra departementets EØS-notat, sist oppdatert 5.12.2024)
 

Sammendrag av innhold

Denne forordningen er en del av regelverket som kalles Part-IS. Formålet med forordningen er å innføre regler om tiltak som skal bedre informasjonssikkerheten i sivil luftfart. Luftfartsaktører må sørge for at kritisk informasjon og systemer er beskyttet mot cybertrusler og andre sikkerhetsrisikoer. Reglene er et resultat av EUs arbeid med informasjonssikkerhet og digital sikkerhet i sivil luftfart. Forordningen her gis som delegert rettsakt og legger til og endrer krav i forordning (EU) 748/2012 og forordning (EU) 139/2014. Det handler om krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse (digitale systemer). Til Part-IS gjelder også implementeringsforordning (EU) 2023/203 med tilsvarende bestemmelser som gjelder for alle organisasjoner og myndigheter innen sivil luftfart, og det er laget EØS-notat for denne. Kortnavn på EØS-notatet: Krav til informasjonssikkerhet for organisasjoner og myndigheter innen sivil luftfart.

Formålet med regelverket er å beskytte luftfarten mot angrep mot informasjonssikkerheten og avverge konsekvenser av slike angrep. Inntil regelverket trer i kraft har ikke sivil luftfart vært underlagt regelverkskrav som skal sørge for at eksisterende digitale svakheter ikke utnyttes for å redusere sikkerheten i sivil luftfart. Regelverket tar også sikte på å avverge konsekvenser av digitale svakheter som følge av funksjonsfeil som ikke stammer fra villede handlinger. Regelverket stiller blant annet krav til at luftfartsaktører skal ha på plass risikovurderinger for påvirkning som digitale systemer kan bli utsatt for. Det er en kjensgjerning at risikoen for hendelser som påvirker informasjonssikkerheten har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. 

De nye reglene i denne rettsakten krever at luftfartsorganisasjoner som innehar godkjenning gitt i medhold av forordning (EU) 748/2012 og forordning (EU) 139/2014 implementerer tilstrekkelige tiltak for å beskytte informasjon og data mot uautorisert tilgang, endring eller ødeleggelse. Luftfartsaktørene skal ha på plass systemer, rammeverk og tiltak som setter organisasjonen i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem. Det gjelder like fullt for systemsvikt som følge av funksjonsfeil i digitale systemer, som angrep mot digitale systemer som er villede handlinger. Regelverket stiller krav til at organisasjonene må være i stand til å gjenopprette drift etter angrep eller funksjonsfeil som kan påvirke sikkerheten i luftfarten.

Tilsvarende krav gjelder også for luftfartsmyndigheten som fører tilsyn med nevnte organisasjoner, men tilsynskravene følger av forordning (EU) 2023/203. Sagt annerledes, Luftfartstilsynet må også ha på plass systemer, rammeverk og tiltak som setter myndigheten i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem.

EU har som målsetting at regelverket skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører, som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten.

Merknader

De nye reglene er hjemlet i forordning (EU) 2018/1139 (EASA basisforordning), som igjen er hjemlet i TFEU artikkel 100.

Rettslige konsekvenser

Rettsakten legger til og endrer eksisterende krav i forordning (EU) 748/2012 og forordning (EU) 139/2014. Begge forordningene er gjennomført i norsk rett gjennom henholdsvis forskrift 4. mars 2013 nr. 252 (sertifiseringsforskriften) og 25. august 2015 nr. 1000 (sertifisering av flyplasser mv.). Rettsakten vil mest sannsynlig kunne bli gjennomført gjennom de nevnte forskrifter. Luftfartstilsynet vurderer som et alternativ om det er mer hensiktsmessig at alle nye krav tas inn i en egen forskrift som gjennomfører alle nye krav til informasjonssikkerhet i sivil luftfart og hvorvidt ny forskrift kan benyttes til å gjennomføre endringer i eksisterende gjennomføringsforskrifter. 

Delegert forordning (EU) 2022/1645 antas å være en rettsakt som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet. 

Økonomiske og administrative konsekvenser

Rettsakten her tilfører nye og endrer eksisterende krav for luftfartsorganisasjoner som har godkjenning etter forordning (EU) 748/2012 og forordning (EU) 139/2014. Rettsakten stiller ingen krav til myndigheter som fører tilsyn med organisasjonene. Initiell analyse av rettsakten har avdekket at det er ventet at de største luftfartsorganisasjonene allerede har på plass akseptable systemer for håndtering av risiko knyttet til informasjonssikkerhet og digitale systemer. Det er videre antatt at for disse organisasjonene vil det ikke være høye og uventede kostnader som følge av nye kravene. Derimot antar vi at det er de mindre luftfartsorganisasjonene som forholdsmessig sett må gjøre de største investeringene som følge av nye krav. De økonomiske og administrative konsekvensene luftfartsorganisasjonene er fremdeles under vurdering.

Sakkyndige instansers merknader

Vurdering av forordningen pågår forsatt da denne forordningen har så tett sammenheng med ny forordning 2023/203 at de må vurderes i sammenheng.

Vurdering

Regelverket i sivil luftfart har tidligere ikke inneholdt bestemmelser som regulerer beskyttelse og ivaretakelse av informasjonssikkerhet. Vedtatt rettsakt spesifiserer hvordan luftfartsorganisasjonene systematisk skal arbeide med å sikre at hendelser som truer informasjonssikkerheten ikke påvirker flysikkerheten. Nye bestemmelser betyr økt fokus på at luftfartsorganisasjonenes digitale systemer.  Det fordrer at organisasjonene ser helhetlig på sine systemer, der alt fra system for billettbestilling til styring av luftfart henger sammen. Enhver påvirkning av luftfartsorganisasjonenes digitale systemer kan  påvirke sikkerheten i sivil luftfart. Etter Luftfartstilsynets vurdering vil rettsakten utgjøre et positivt bidrag til flysikkerheten. 

Det er også viktig at EASA lykkes med å implementere kravene fra NIS-direktivet på en slik måte at aktørene ikke opplever dobbeltregulering. I forlengelsen av dette må man være oppmerksom på risikoen for dobbeltregulering for de aktørene som er omfattet av sikkerhetsloven. Norsk posisjon i dette arbeidet er også at regelverket må være tilstrekkelig fleksibelt til at hver enkelt stat kan håndtere implementeringen på en praktisk og enkel måte innenfor nasjonale rettslige rammer.

Andre opplysninger

Formålet med regelverket er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot angrep mot informasjonssikkerheten og mulige konsekvenser av slike angrep samt gjenoppretting og trygghet dersom funksjonsfeil oppstår. Regelverket skal sikre beskyttelse mot at eksisterende digitale systemer og dets svakheter ikke utnyttes. Risikoen for slike hendelser har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. Luftfartens digitale systemer er mer sårbare enn før nettopp fordi det er flere av dem. Økt antall digitale systemer sørger også for økt risiko for angrep mot digitale systemer i den hensikt å påvirke flysikkerheten, men også at systemene kan oppleve "nedetid" som følge av funksjonsfeil og derav sette flysikkerheten på spill.

Regelverket inneholder krav til organisasjoner om å håndtere risiko, identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep og funksjonsfeil. Det er også krav om å gjenopprette drift etter angrep og funksjonsfeil som kan påvirke sikkerheten i luftfarten. 

Det kommer nye krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse. Organisasjoner skal settes i stand til å oppdage angrep mot informasjonssikkerheten, respondere dersom slikt angrep finner sted og å gjenopprette IKT-systemer og data. Tilsvarende gjelder dersom funksjonsfeil er årsaken til brudd på informasjonssikkerheten. Luftfartsaktørene skal ha en klar ledelsesstruktur som er ansvarlig for informasjonssikkerheten. Organisasjonene må peke ut en ansvarlig som kan rapportere til øverste ledelse om tilstanden i informasjonssikkerheten. Det er krav til at organisasjonene har implementert passende tekniske og organisatoriske tiltak for å beskytte informasjon og systemer. Tiltakene skal overvåkes og evalueres jevnlig for å sikre at det fungerer effektivt og oppdatert i tråd med endringer i trusselbildet. Ansatte skal ha opplæring om informasjonssikkerhet for å sikre bevisstgjøring om risikofaktorer og trusler. 

Status

Regelverket er utarbeidet av EASA. EASA har konsultert medlemsstater og aktuelle representanter fra luftfartsindustrien da regelverket var på forslagsstadiet. Regelverket har vært behandlet i EU-kommisjonen og er endelig vedtatt. Rettsakten ble publisert i OJ 16. oktober 2022. Det er gitt 3 års utsatt iverksetting av kravene i regelverket.