Kommisjonens gjennomføringsforordning (EU) 2023/203 av 27. oktober 2022 om fastsettelse av regler for anvendelse av europaparlaments- og rådsforordning (EU) 2018/1139 med hensyn til styring av informasjonssikkerhet og hindre brudd på informasjonssikkerheten som kan påvirke flysikkerheten i sivil luftfart for organisasjoner omfattet av kommisjonsforordning (EU) nr. 1321/2014, nr. 965/2012, nr. 1178/2011, 2015/340, og Kommisjonens gjennomføringsforordning 2017/373 og 2021/664, og for vedkommende myndigheter omfattet av kommisjonsforordning (EU) nr. 748/2012, nr. 1321/2014, nr. 965/2012, nr. 1178/2011, 2015/340, 2017/373, nr. 139/2014 og 2021/664, og endring av kommisjonsforordning (EU) nr. 1178/2011, nr. 748/2012, nr. 965/2012, nr. 139/2014, nr. 1321/2014, 2015/340 og Kommisjonens gjennomføringsforordning 2017/373 og (EU) 2021/664
EASA-forordningen 2018: gjennomføringsbestemmelser om krav til informasjonssikkerhet for organisasjoner og myndigheter
Kommisjonsforordning publisert i EU-tidende 2.2.2023
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 5.12.2024)
Sammendrag av innhold
Denne forordningen er en del av regelverket som kalles Part-IS. Formålet med forordningen er å innføre regler om tiltak som skal bedre informasjonssikkerheten i sivil luftfart. Luftfartsaktører må sørge for at kritisk informasjon og systemer er beskyttet mot cybertrusler og andre sikkerhetsrisikoer. Reglene er et resultat av EUs arbeid med informasjonssikkerhet og digital sikkerhet i sivil luftfart. Forordningen her legger til og endrer krav til organisasjoner som har godkjenning etter forordningene (EU) 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373 og 2021/664. Forordningen inneholder også krav til myndigheter som fører tilsyn med organisasjoner som har godkjenning etter forordning (EU) 748/2012, 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373, 139/2014 og 2021/664.
Luftfartsaktører skal identifisere sine kritiske IKT-systemer og data, og sørge for at det er tiltak som beskytter disse. Til Part-IS gjelder også en delegert forordning med tilsvarende bestemmelser som gjelder for organisasjoner med godkjenning etter forordning (EU) 748/2012 og forordning (EU) 139/2014. Se eget EØS-notat for denne forordningen; forordning (EU) 2022/1645.
Formålet med regelverket er å beskytte luftfarten mot angrep mot informasjonssikkerheten og avverge konsekvenser av slike angrep. Inntil regelverket trer i kraft har ikke sivil luftfart vært underlagt regelverkskrav som skal sørge for at eksisterende digitale svakheter ikke utnyttes for å redusere sikkerheten i sivil luftfart. Regelverket tar også sikte på å avverge konsekvenser av digitale svakheter som følge av funksjonsfeil som ikke stammer fra villede handlinger. Regelverket stiller blant annet krav til at luftfartsaktører skal ha på plass risikovurderinger for påvirkning som digitale systemer kan bli utsatt for. Det er en kjensgjerning at risikoen for hendelser som påvirker informasjonssikkerheten har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten.
De nye reglene krever at luftfartsorganisasjoner som innehar godkjenning gitt i medhold av forordninger som nevnt innledningsvis, implementerer tilstrekkelige tiltak for å beskytte informasjon og data mot uautorisert tilgang, endring eller ødeleggelse. Luftfartsaktørene skal ha på plass systemer, rammeverk og tiltak som setter organisasjonen i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem. Det gjelder like fullt for systemsvikt som følge av funksjonsfeil i digitale systemer, som angrep mot digitale systemer som er villede handlinger. Regelverket stiller krav til at organisasjonene må være i stand til å gjenopprette drift etter angrep eller funksjonsfeil som kan påvirke sikkerheten i luftfarten.
Tilsvarende krav gjelder også for luftfartsmyndigheten som fører tilsyn med nevnte organisasjoner. Sagt annerledes, Luftfartstilsynet må også ha på plass systemer, rammeverk og tiltak som setter myndigheten i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem.
EU har som målsetting at regelverket skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører, som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten.
Merknader
Rettslige konsekvenser
Rettsakten legger til og endrer eksisterende krav i forordning EU) 748/2012, 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373, 139/2014 og 2021/664. Forordningene er gjennomført i norsk rett gjennom henholdsvis forskrift 4. mars 2013 nr. 252 (sertifiseringsforskriften), 25. august 2015 nr. 1000 (sertifisering av flyplasser mv.), 7. mai 2015 nr. 488 (vedlikeholdsforskriften), 7. august 2013 nr. 956 (forskrift om luftfartsoperasjoner), 1. januar 2016 nr. 1365 (sertifisering av besetningsmedlemmer), 1. august 2018 nr. 710 (utdanning og sertifisering av flygeledere) og 1. januar 2004 nr. 1345 (etablering, organisering og drift av lufttrafikktjeneste). Rettsakten vil mest sannsynlig kunne bli gjennomført gjennom de nevnte forskrifter. Luftfartstilsynet vurderer som et alternativ om det er mer hensiktsmessig at alle nye krav tas inn i en egen forskrift som gjennomfører alle nye krav til informasjonssikkerhet i sivil luftfart og hvorvidt ny forskrift kan benyttes til å gjennomføre endringer i eksisterende gjennomføringsforskrifter.
Forordning (EU) 2021/664 (U-Space) er ikke tatt inn i nasjonal lovgivning.
Økonomiske og administrative konsekvenser
Rettsakten her tilfører nye og endrer eksisterende krav for luftfartsorganisasjoner som har godkjenning etter forordninger som nevnt innledningsvis. Rettsakten stiller krav til myndigheter som fører tilsyn med organisasjonene.
Det er et pågående arbeid fra Luftfartstilsynet å få tilstrekkelig identifisert økonomiske og administrative konsekvenser som følger av regelverket. Luftfartstilsynets vurdering er at regelverket vil, for myndighetens del, innebære behov for økt kompetansetilførsel. Regelverket stiller krav til at Luftfartstilsynet skal gjennomføre tilsyn av organisasjoner med godkjenning i luftfartsregelverket. Våre inspektører må tilføres ny og tildels ukjent kompetanse for å sikre at staten kan etterleve de nye tilsynskravene. Luftfartstilsynet må også innføre ISMS (information security management system) på lik linje som organisasjonene pålegges dette. Det er ventet at det vil kreve tilpasning i våre eksisterende systemer. Luftfartstilsynet har igangsatt tiltak for å heve kompetansen for våre inspektører. Luftfartstilsynets behov for tilpasninger etter implementering av nye krav ventes å måtte dekkes innenfor gjeldende budsjettrammer. Luftfartstilsynet må utnytte eksisterende ressurser og kompetanse på tvers i etaten på ulike områder.
Initiell analyse av forordningen har avdekket at det er ventet at de største luftfartsorganisasjonene allerede har på plass akseptable systemer for håndtering av risiko knyttet til informasjonssikkerhet og digitale systemer. Det er videre antatt at for disse organisasjonene vil det ikke være høye og uventede kostnader som følge av nye kravene. Derimot antar Luftfartstilsynet at det er de mindre luftfartsorganisasjonene som forholdsmessig sett må gjøre de største investeringene som følge av nye krav. De økonomiske og administrative konsekvensene for luftfartsorganisasjonene er fremdeles under vurdering og ikke endelig klarlagt.
Sakkyndige instansers merknader
Analyse av vedtatt regelverk pågår. Luftfartstilsynet vil komme tilbake til mer detaljert analyse av konsekvensene av regelverket i løpet av første kvartal 2025 i forbindelse med forberedelse av forskrift som sørger for gjennomføring av Part-IS i norsk rett.
Vurdering
Regelverket i sivil luftfart har tidligere ikke inneholdt bestemmelser som regulerer beskyttelse og ivaretakelse av informasjonssikkerhet. Regelverket spesifiserer hvordan luftfartsorganisasjonene og luftfartsmyndighetene systematisk skal arbeide med å sikre at hendelser som truer informasjonssikkerheten ikke påvirker flysikkerheten. Nye bestemmelser betyr økt fokus på at luftfartsorganisasjonenes og luftfartsmyndighetenes digitale systemer. Det fordrer at organisasjoner ser helhetlig på sine systemer, der alt fra system for billettbestilling til styring av luftfart og kontroll av luftrom henger sammen. De digitale systemer hos myndigheten må være sikret slik at funksjonsfeil eller villet handling påvirker informasjonsflyten til luftfartorganisasjonene på en slik måte at det er en trussel mot flysikkerheten. Enhver påvirkning av luftfartsorganisasjonenes og luftfartsmyndighetens digitale systemer kan påvirke sikkerheten i sivil luftfart. Etter Luftfartstilsynets vurdering vil rettsakten utgjøre et positivt bidrag til flysikkerheten.
Andre opplysninger
Formålet med regelverket er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot angrep mot informasjonssikkerheten og mulige konsekvenser av slike angrep samt gjenoppretting og trygghet dersom funksjonsfeil oppstår. Regelverket skal sikre beskyttelse mot at eksisterende digitale systemer og dets svakheter ikke utnyttes. Risikoen for slike hendelser har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. Luftfartens digitale systemer er mer sårbare enn før nettopp fordi det er flere av dem. Økt antall digitale systemer sørger også for økt risiko for angrep mot digitale systemer i den hensikt å påvirke flysikkerheten, men også at systemene kan oppleve "nedetid" som følge av funksjonsfeil og derav sette flysikkerheten på spill.
Regelverket inneholder krav til både myndigheter og organisasjoner om å håndtere risiko, identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep og funksjonsfeil. Det er også krav om å gjenopprette drift etter angrep og funksjonsfeil som kan påvirke sikkerheten i luftfarten. Regelverket skal gjelde for nær sagt alle områder innenfor luftfarten. For eksempel produktkontroll, luftdyktighet, luftfartsoperasjoner, bemanning og flysikringstjenesten.
Det kommer nye krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse. Både organisasjoner og myndigheter skal settes i stand til å oppdage angrep mot informasjonssikkerheten, respondere dersom slikt angrep finner sted og å gjenopprette IKT-systemer og data. Tilsvarende gjelder dersom funksjonsfeil er årsaken til brudd på informasjonssikkerheten. Luftfartsaktørene skal ha en klar ledelsesstruktur som er ansvarlig for informasjonssikkerheten. Organisasjonene må peke ut en ansvarlig som kan rapportere til øverste ledelse om tilstanden i informasjonssikkerheten. Det er krav til at organisasjonene har implementert passende tekniske og organisatoriske tiltak for å beskytte informasjon og systemer. Tiltakene skal overvåkes og evalueres jevnlig for å sikre at det fungerer effektivt og oppdatert i tråd med endringer i trusselbildet. Ansatte i luftfartsorganisasjoner og myndigheter skal ha opplæring om informasjonssikkerhet for å sikre bevisstgjøring om risikofaktorer og trusler.
Part-IS styrker informasjonssikkerheten i luftfarten og bidrar til å beskytte både organisasjoner og passasjerer mot de potensielle risikoene som kan oppstå som følge av digitalisering og teknologiske utfordringer. Part-IS gjelder for beskyttelse av safety i sivil luftfart. Innenfor området security i luftfarten trådte det i 2022 i kraft nye krav til informasjonssikkerhet. Gjennom endringsforordning 2019/1583 til forordning 2015/1998 fikk organisasjoner med godkjenning etter forordning 300/2008 (security) krav til informasjonssikkerhet. Krav i forordning 2015/1998 sammenfaller i stor grad med innholdet i forordning (EU) 2023/203 med unntak om krav til at selskapene har på plass et eget ISMS. Luftfartstilsynet har igangsatt nødvendige prosesser og fører tilsyn med organisasjonene som har godkjenning etter forordning 300/2008.
Innholder informasjon unntatt offentlighet, jf. offl. § 14
Status
Regelverket er vedtatt og ble publisert i OJ 1. februar 2023 med ikrafttredelsesdato 22. februar 2026.
Luftfartstilsynet vil etablere forskriftsbestemmelser som sørger for at regelverket gjennomføres i norsk rett i forbindelse med EØS-behandling av saken. Det er Samferdselsdepartementet som må vedta norsk forskrift.