Økonomiske og administrative konsekvenser
Luftfartstilsynet har foreløpig identifisert at forslaget kan ha administrative konsekvenser i form av norske myndigheter må oppdatere prosedyrer og sjekklister for å påse at aktørene følger nye krav til håndtering av cybersecurity-trusselen. Norske aktører må oppdatere sikkerhets- og opplæringsprogrammer for å være rustet mot cybersecurity-trusselen.

Sakkyndige instansers merknader
Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel.

Rettsakten sendes på nasjonal høring desember 2019.

Vurdering
Nytt regelverk utfyller forordning (EF) nr. 300/2008 som allerede er gjennomført i norsk rett gjennom EØS-avtalen.

Luftfartstilsynet finner at rettsakten er EØS-relevant og akseptabel. Det anses ikke å være behov for tilpasningstekst.

Andre opplysninger
Formålet med endringsforordningen er å støtte medlemslandene i å sikre full overholdelse av endringene til ICAOs annex 17 og nyinnførte standarder under 3.1.4 og 4.9.1 og som gjelder fra 16. november 2018.

I tillegg skal det sikres samsvar med det som fremgår av EASAs regelverksforslag som nylig er publisert som NPA 2019-7. Kommisjonen har i sitt forberedende arbeid hatt anledning til å sammenlikne og koordinere innholdet i gjennomføringsforordningen med EASAs NPA.

Nærmere detaljer om forslaget til rettsakt

Etter kapittel 1 punkt 1.0.6 skal myndigheten etablere og gjennomføre prosedyrer for å dele relevant informasjon for å bistå andre nasjonale myndigheter, flyselskapsleverandører, flyplassoperatører, luftfartsselskaper og andre berørte enheter for å drive effektive risiskovurderinger knyttet til deres virksomhet.

I tillegg vil det til kapittel 1 bli tatt inn et nytt punkt 1.7 som handler om identifikasjon av og beskyttelse mot trusler mot cybersecurity for kritiske informasjons- og kommunikasjonsteknologisystemer i sivil luftfart. Det er i punkt 1.7.1 stilt krav om at myndigheten skal sørge for at operatører, luftfartsselskaper og enheter som er definert i nasjonalt sikkerhetsprogram for sivil luftfart identifiserer og beskytter deres kritiske informasjons- og kommunikasjonsteknologi og data som brukes til sivil luftfart. I punkt 1.7.2 skal flyplassoperatører, luftfartsselskaper og enheter som beskrevet i 1.7.1 i sine sikkerhetsprogram eller relevant dokument som er kryssreferert i sikkerhetsprogrammet identifisere de kritiske informasjons- og kommunikasjonsteknologisystemene og dataene som brukes i sivil luftfart. Sikkerhetsprogrammet eller annet relevant dokument skal spesifisere tiltakene for å sikre beskyttelse mot, deteksjon av, respons på og gjenoppretting fra cyberangrep som kan påvirke sikkerheten til sivil luftfart. Punkt 1.7.3 bestemmer at de detaljerte tiltakene for å beskytte slike systemer og data fra ulovlig forstyrrelse skal identifiseres, utvikles og implementeres i samsvar med en risikovurdering utført av operatøren, luftfartsselskapet eller enheten etter behov. Punkt 1.7.4 bestemmer at dersom en bestemt myndighet er kompetent for tiltak knyttet til cybertrusler i hver enkelt medlemsstat, kan denne myndigheten utpekes som kompetent for koordinering og/eller overvåkning av de cyberrelaterte bestemmelsen i forordningen. I punkt 1.7.5 skal det dersom flyselskaper, operatører, og enheter som definert i nasjonalt sikkerhetsprogram for sivil luftfart er underlagt særskilte krav til sikkerhet for cybersecurity som følger av annen EU-lovgivning eller nasjonal lovgivning, skal aktuell myndighet samordne med andre relevante kompetetente myndigheter for å sikre samordnede eller kompatible overvåkingsregimer.

Punkt 11.1.2 er endret med hensyn krav om bakgrunnssjekk. Det heter i pkt. 11.1.2 at myndigheten som fastsatt i pkt. 1.7.4 kan kreve at personer som har ansvar for kritiske informasjons- og teknologisystemer og data som brukes til sivil luftfart skal bestå kravene til bakgrunnssjekk. Det kan fastsettes nasjonalt om disse skal bestå kravene til enten standard eller utvidet bakgrunnssjekk. Dersom slike ansvarshavende fra tidligere av har vært underlagt kontroll før ansettelse, må kravene til bakgrunnssjekk være bestått innen 30. juni 2020. Fra 31. desember 2020, skal følgende personell ha bestått kravene til enten utvidet eller standard bakgrunnssjekk:

a) personer som er rekruttert for å implementere eller være ansvarlig for gjennomføring av screening, tilgangskontroll eller andre sikkerhetstiltak andre steder enn et sikkerhetsbegrenset område.

b) personer som har uavbrutt tilgang til luftfrakt og post, luftfartsselskapers post og luftfartsselskapsmateriell, forsyninger og leveranser til luftfartøy som de nødvendige sikkerhetstiltakene pålegger.

c) personer som har administratorrettigheter eller uovervåket tilgang til kritiske informasjons- og kommunikasjonsteknologisystemer og data som brukes til sivil luftfart i samsvar med det nasjonale sikkerhetsprogrammet og som ellers definert i risikovurderingen i samsvar med punkt 1.7.3.

Med mindre annet er angitt i forordningen skal det fastsettes nasjonalt av egnet myndighet i henhold til gjeldende nasjonale regler om en utvidet eller standard bakgrunnssjekk skal fullføres for de nevnte personellgrupper.

Det er lagt til et nytt punkt 11.2.8 i kapittel 11 om opplæring. I punkt 11.2.8.1 skal personer som gjennomfører tiltak som fastsatt i punkt 1.7.2 ha ferdigheter og kvalifikasjoner som kreves for å kunne utføre sine utpekte oppgaver effektivt. De skal gjøres oppmerksom på relevante risikoer mot cybersecurity basert på "need to know". I punkt 11.2.8.2 skal personer som har tilgang til data eller systemer få passende og spesifikk jobbrelatert opplæring i samsvar med deres rolle og ansvar, herunder bli gjort kjent med relevante risikoer der deres stillingsfunksjon krever dette. Vedkommende myndighet eller annet som fastsatt i åunkt 1.7.4 skal spesifisere eller godkjenne innholdet i kurset.

Om forholdet til EASAs NPA 2019-7

Kravene som foreslås i EASA NPA 2019-7 gjelder for organisasjoner som allerede har EASA-godkjenning, og gjelder for de organisasjoner som for tiden har krav til et styringssystem i de eksisterende EASA-implementeringsregler. Noen av disse organisasjonene kan også falle inn under virkeområdet til 300/2008. I gjennomføringsforordningen er det tatt høyde for at dersom organisasjonene overholder sikkererhetsregelverket som følger av forordning 2018/1139 ("EASA-regelverket"), er de i samsvar med securityreglene fastsatt av Kommisjonen. Noen organisasjoner som ikke ligger under EASA, kan være underlagt implementeringen av NIS-direktivet og kan siden ha blitt identifisert som operatører av viktige tjenester. Dersom disse organisasjonene overholder det som følger av NIS-direktivet, vil de også være i samsvar med securityreglene som fastsettes av Kommisjonen. De organsisasjoner som ikke er dekket av EASA-reglene eller NIS-direktivet, men som er underlagt 300/2008, må overholde de nå foreslåtte securitybestemmelser i ny gjennomføringsforordning.

EASA-forslaget har i tillegg innført et koordineringskrav mellom de ulike myndighetene i hver enkelt medlemsland for å sikre sammenheng mellom regulatoriske og tilsynsbehov med de andre regelverkene (NIS-direktiv og forordning (EU) 2015/1998). Dte vil sikre en omfattense tilnærming hvor alle aspekter relatert til safety og security er riktig vurdert.

Kommisjonsforordningen er sammenhengende med de tiltakene som EASA-oppdragene som dekker "alle luftfartsdomener med betydning for sikkerhet". NPA 2019-7 refererer til ny ICAO standard 4.9.1 som en global standard som nå vil bli tatt inn i Kommisjonens forslag til gjennomføringsforordning. Det kan dermed antas at informasjonssikkerhetsstyringssystem utviklet av en organisasjon for å oppfylle kravene i EASAs nye regelverk, kan brukes helt eller delvis for å overholde nye krav i forordning (EU) 2015/1998. Og omvendt kan det være mulig at visse elementer i organisasjonsstyringssystemet som måtte ha blitt utviklet for å overholde forordning (EU) 2015/1998, kunne brukes for å være i samsvar med EASAs regelverk om cybersecurity. Dette er eksplisitt anerkjent i EASA NPA 2019-7.

Kommisjonens gjennomføringsforordning inneholder klare klausuler som utleder operatører og enheter fra de dobbelte forpliktelser som følge av ulike lovbestemmelser om cybersecurity (både nasjonalt, europeisk og globalt) med sikte på å unngå duplikasjoner, men fortsatt beholde målet om å løse eventuelle gjenværende hull i regelverkene. Kommisjonens rettsakt inneholder passende samordning med andre eksisterende myndigheter eller enheter som har tilsynsansvar. Videre inneholder rettsakten viktige aspekter knyttet til såkalt "cyberhygiene" gjennom bestemmelser om bevissthet og opplæring. Medlemsstatene vil ha nødvendig fleksibilitet når det gjelder å definere de nødvendige elementer i opplæringspolitikken når de identifserer berørt personell basert på risikoprofil.

Status
Rettsakten faller inn under EFTAs hurtigprosedyre. Lutfartstilsynet vil gjennomføre endringene i norsk rett da de faller innenfor Luftfartstilsynets delegerte forskriftskompetanse, jf. securityforskriften § 4 andre ledd.