(fra departementets EØS-notat, sist oppdatert 8.6.2026)

Sammendrag av innhold

Europaparlaments- og Rådsforordning (EF) nr. 300/2008 etablerer felles bestemmelser om sikkerhet i sivil luftfart. EU har vedtatt endringer i forordning (EF) nr. 300/2008 om sivil luftfartssikkerhet, med formål å oppdatere vedlegg II som omhandler nasjonale kvalitetskontrollprogrammer og krav til rapportering av securityhendelser. Endringene reflekterer utviklingen i internasjonale standarder og ICAOs nye krav. Forordning (EF) nr. 300/2008 endres, og vedlegg II erstattes med et nytt vedlegg II.

På grunn av den kontinuerlige utviklingen av internasjonale standarder, praksis, metodologier og verktøy for å overvåke etterlevelse av securityregler siden vedlegg II i forordningen ble vedtatt i 2010, har det blitt nødvendig å endre og oppdatere de eksisterende spesifiserte kravene i vedlegget. Totalt sett er hovedvekten av bestemmelser om kvalitetskontroll tilsvarende som før, men det er nå gjort visse justeringer. Blant annet gjelder det noen nye definisjoner, nye forpliktelser i form av frekvens for testing, utvidede testregimer og nye bestemmelser som knytter kvalitetskontroll sammen med krav til rapportering av securityhendelser. Se nærmere omtale under pkt. "andre opplysninger".

Sentralt i ny rettsakt er at fra 1. januar 2028 skal medlemsstatene ha på plass et system for rapportering, klassifisering, behandling, lagring, beskyttelse, analyse og aggregering av informasjon om securityhendelser, anslag mot sikkerheten i luftfarten og forberedende handlinger knyttet til disse.

Fra 1. januar 2028 skal operatører og enheter som er ansvarlige for gjennomføringen av det nasjonale sikkerhetsprogrammet for sivil luftfart, rapportere informasjon om securityhendelser i luftfarten til Luftfartstilsynet. 

Endringene trer i kraft tyvende dag etter publisering i Official Journal, det vil si 23. februar 2026. 

Merknader
Rettslige konsekvenser

Den nye rettsakten er gitt med hjemmel i forordning (EF) 300/2008, som igjen har hjemmel i TFEU artikkel 100. 

Selve rettsakten vil bli gjennomført i norsk rett ved en endring av forskrift 1. mars 2011 nr. 214 om forebyggelse av anslag mot sikkerheten i luftfarten mv. (securityforskriften), og tilhører gruppe 2. Ettersom rettsakten endrer forordning (EF) 300/2008 er det Samferdselsdepartementet som må vedta forskriftsendringen. 

Rettsakten medfører behov for endringer i nasjonalt regelverk. Det er nødvendig med lovhjemmel for krav til rapportering av securityhendelser og dertil bestemmelser om konfidensialitet om opplysninger i rapporten. 

Luftfartsloven § 12-10 gjennomfører i dag flere EU-forordninger som stiller krav til rapportering av hendelser innen luftfarten. De delene av punkt 19 i vedlegg II til endringsforordning (EU) 2026/247 som gjelder behandling, lagring og bruk av rapporter, har en nær og naturlig sammenheng med eksisterende regler om rapporteringssystemer. Det anses derfor hensiktsmessig at plikten til å rapportere securityhendelser tas inn som nytt ledd i § 12-10. Samt at kravene i forordningen som gjelder rapportering gjennomføres som norsk rett i nevnte bestemmelse.

Videre stiller punkt 19 krav om at medlemsstatene skal etablere regler som ivaretar at opplysningene i securityrapportene benyttes til det formålet det er ment for, at opplysningene fra rapport og identiteten til rapportøren og personer omtalt i rapportene er underlagt taushetsplikt, innenfor rammen av nasjonal rett. Slike krav er langt på vei sammenfallende med det som i dag følger av luftfartsloven § 12-11, som regulerer taushetsplikt. Ettersom bestemmelsene anses å være nærliggende og det gjelder taushetsplikt om opplysninger i rapport, foreslås derfor et nytt ledd i § 12-11.

Økonomiske og administrative konsekvenser

Kravene vil få administrative konsekvenser for Luftfartstilsynet fordi de må etablere nye prosedyrer for testing av securitytiltak i henhold til nye kvalitetskontrolltiltak, etablere rapporteringsskjema som aktørene kan bruke ved rapportering av securityhendelser, oppdatere sjekklister for tilsyn, opplæring av personell i luftfartsmyndigheten som skal bruke nye testprosedyrer og motta og evaluere rapporterte securityhendelser. Endringene - og spesielt det som gjelder securityrapportering, har Luftfartstilsynet estimert til å omfatte ett årsverk som må tilføres myndigheten.

EU-kommisjonen har igangsatt et arbeid for å avklare om ECCAIRS kan anvendes med tilpasset funksjonalitet for rapportering av securityhendelser slik systemet er innrettet for rapportering av safetyhendelser i tråd med forordning (EU) 376/2014. Det er lagt til grunn at EUkommisjonen arbeider med at ECCAIRS 2 vil kunne videreutvikles til også å omfatte securityrapportering og ikke kun safetyhendelser. Det fremstår som lite hensiktsmessig å etablere separate nasjonale løsninger på et område hvor det legges opp til felles europeisk rapportering og datadeling fordi et formål i seg selv er sikker deling av informasjon om securityhendelser innad i EU/EØS-området. Norge må i så fall tilpasse seg en felles europeisk løsning, og at det ikke vil være nødvendig å utvikle et eget, nasjonalt system for rapportering av securityhendelser.

Kravene vil ha økonomiske og administrative konsekvenser for Luftfartstilsynet som nasjonal fagmyndighet for security i luftfarten. For de endringer som gjelder rapportering av securityhendelser vil det gjelde i forbindelse med utvikling av nye skjema for rapportering og øvrig kvalitetskontroll, drift og oppfølgning av rapporteringssystemet og potensielle kostnader tilknyttet tekniske tilpasninger i ECCAIRS eller om det må etableres nytt system enten på EU-nivå eller nasjonalt nivå. Hva angår drift er det ventet at endringene medfører økning i ressurser i form av tilstrekkelig antall personer som kan motta rapporter, analyse av disse og riktig håndtering internt i Luftfartstilsynet. Dette omfatter blant annet etablering av løsninger for mottak, registrering og lagring av rapporter, samt utvikling av arbeidsprosesser for behandling, analyse og oppfølging av hendelser. Videre vil det være behov for tydelig ansvars- og rollefordeling internt i Luftfartstilsynet og i samhandlingen med eksterne aktører, samt utvikling av retningslinjer for informasjonsforvaltning, herunder konfidensialitet og databeskyttelse.

Kravene til rapportering vil også medføre økt ressursbehov knyttet til håndtering av et større antall rapporter, herunder mottak, analyse og oppfølging av rapporterte securityhendelser. Omfanget av kommende rapportering er foreløpig usikkert og vanskelig å tallfeste. I dag mottar Luftfartstilsynet rapporter som gjelder de rapporteringspliktige tilfellene om security som definert i forordning (EU) 2015/1018. I perioden 2023-2025 har antallet vært henholdsvis 687, 742 og 794 rapporter. Til sammenligning mottar Luftfartstilsynet i dag om lag 35 000 rapporter årlig innen safetyområdet. Det er uklart om Luftfartstilsynet kan forvente et tilsvarende omfang av rapporter for securityhendelser, men antakeligvis vil antallet vil ha et slikt omfang at det vil kreve økte ressurser.

Luftfartstilsynet må påregne at innføringsfasen vil være særlig ressurskrevende, knyttet til etablering av systemer, utvikling av rutiner og oppbygging av kompetanse. Over tid forventes det at arbeidsbelastningen i større grad vil stabilisere seg. Basert på foreløpige vurderinger legger Luftfartstilsynet til grunn et behov for om lag ett årsverk knyttet til oppfølging av rapporteringsordningen.

Det er hensiktsmessig å bygge videre på eksisterende nasjonale systemer og organisering, kombinert med tilpasning til en felles europeisk løsning. Dette vil bidra til en kostnadseffektiv implementering og sikre harmonisering med europeiske krav. Selv om det vil være behov for enkelte tilpasninger, herunder utvikling av rutiner, systemer og kompetanse, vurderes dette som en naturlig og hensiktsmessig videreutvikling av dagens sikkerhetsarbeid. På lengre sikt forventes ordningen å bidra til bedre risikoforståelse, mer målrettet ressursbruk og styrket evne til å forebygge og håndtere tilsiktede, sikkerhetstruende handlinger.

Det vil forekomme økonomiske og administrative konsekvenser for virksomheter som omfattes av rapporteringsplikten. Luftfartstilsynet vurderer at i første rekke gjelder det lufthavnoperatører, luftfartsselskaper og sikkerhetsgodkjente fraktleverandører med screeningfunksjon. Per i dag omfatter det 47 lufthavner, 5 luftfartsselskaper og om lag 110 sikkerhetsgodkjente fraktleverandører, hvorav ca. 22 gjennomfører screening. I tillegg vil også andre aktører med ansvar for gjennomføringen etter nasjonalt sikkerhetsprogram omfattes, herunder sikkerhetsgodkjente leverandører av forsyning til flygning og lufthavn (per i dag 16), kjent avsender (KC, per i dag 190), kjente leverandører (KL, per i dag 45), myndighetsgodkjente transportører (anslått ca. 50-100), lufthavner og operatører som er underlagt alternative sikkerhetstiltak (om lag 120 enheter) og sertifiserte instruktører.

Virksomhetene må etablere eller tilpasse systemer for intern rapportering av securityhendelser, herunder rutiner for identifisering, vurdering og klassifisering av hendelser. Det må videre utpekes en funksjon eller person med ansvar for å følge opp rapporteringen og sørge for at opplysninger videreformidles til Luftfartstilsynet i tråd med regelverket. Departementet legger til grunn at dette i mange tilfeller vil kunne ivaretas innenfor eksisterende funksjoner, herunder virksomhetenes ansvarlige for security.

Når det gjelder selve rapporteringsløsningen, legges det til grunn at det i størst mulig grad vil være hensiktsmessig å bygge videre på eksisterende systemer. I dag benytter de fleste lufthavner og luftfartsselskaper etablerte løsninger for rapportering av safetyhendelser, som videreformidler opplysninger til Luftfartstilsynet og deretter til den felles europeiske databasen (ECCAIRS 2) i tråd med forordning (EU) 376/2014. Det pågår et arbeid i EU med sikte på å avklare hvordan rapportering av securityhendelser skal integreres i eller samordnes med eksisterende systemer (ECCAIRS 2). Det er lagt til grunn at det vil være både kostnadseffektivt og hensiktsmessig å anvende eksisterende løsninger, med nødvendige tilpasninger, fremfor å etablere separate rapporteringssystemer.

For virksomheter som allerede har etablert systemer og rutiner for rapportering av safetyhendelser, antas det at de administrative konsekvensene i hovedsak vil knytte seg til en utvidelse av rapporteringsgrunnlaget. Forslaget innebærer at flere typer hendelser enn i dag skal rapporteres, sammenlignet med dagens begrensede rapportering av enkelte securityrelaterte hendelser. Sannsynligvis vil det i begrenset grad medføre vesentlig økt rapporteringsbyrde, ettersom rapporteringen i stor grad kan skje innenfor eksisterende organisatoriske og tekniske rammer.

For øvrige aktører, som i mindre grad har etablert tilsvarende systemer, kan det være behov for å etablere nye rutiner for intern rapportering og oppfølging. Dette kan medføre etableringskostnader, særlig i form av interne ressurser knyttet til utvikling av rutiner, opplæring og organisering av oppfølgingen.

For de største luftfartsaktørene ventes det at de økonomiske og administrative konsekvensene være moderate, og i hovedsak knyttet til nødvendige tilpasninger av eksisterende systemer og rutiner.

For luftfartsaktører som driver med eller har forsyning til flygning og lufthavn, kjente leverandører (KL), kjent avsender (KC), myndighetsgodkjente transportører, lufthavner og operatører som er underlagt alternative sikkerhetstiltak og sertifiserte instruktører vil konsekvensene kunne være noe annerledes enn for større virksomheter. Disse aktørene kan i varierende grad allerede ha etablert interne systemer og rutiner for rapportering, men systemene kan være mindre omfattende og i større grad tilpasset virksomhetens størrelse og risikobilde.

For aktører som allerede har etablert internrapporteringssystemer, vil det kunne være behov for å videreutvikle disse for å håndtere et bredere spekter av hendelser og en økt mengde rapporter. Dette kan blant annet gjelde funksjonalitet for registrering, oppfølging og kvalitetssikring av rapporter om securityhendelser. Videre vil det være behov for å sikre at systemene er tilstrekkelig tilgangsstyrt, slik at opplysninger kun er tilgjengelige for personer med et tjenstlig behov og ansvar for securityarbeidet. Dette kan innebære organisatoriske og tekniske tilpasninger, herunder tydeligere rolle- og ansvarsavklaringer.

For de aktører som i mindre grad har etablerte systemer, vil det kunne være nødvendig å etablere nye rutiner for intern rapportering og oppfølging. Kravene til rapportering og håndtering av opplysninger må praktiseres forholdsmessig, sett i lys av virksomhetenes størrelse, organisering og risikobilde. For mindre aktører kan det bety at løsninger for rapportering og videreformidling av relevante hendelser til Luftfartstilsynet, tilgangsstyring og oppfølging kan utformes på en forholdsvis enklere måte enn hos større virksomheter, forutsatt at de grunnleggende kravene til konfidensialitet og forsvarlig håndtering av opplysningene oppfylles.

Sakkyndige instansers merknader

Luftfartstilsynet finner rettsakten EØS-relevant og akseptabel.

Rettsaketen har ikke vært behandlet i Spesialutvalget for transport. 

Vurdering

Nytt regelverk som utfyller forordning (EF) nr. 300/2008 som allerede er gjennomført i norsk rett gjennom EØS-avtalen.

Luftfartstilsynet finner rettsakten EØS-relevant og akseptabel. Se punkt om rettslige konsekvenser.

Andre opplysninger

To nye standarder er lagt til i ICAO-konvensjonen Annex 17 som krever at statene innfører prosesser for rapportering av hendelser knyttet til ulovlige handlinger og forberedende handlinger, og etablerer et konfidensielt rapporteringssystem for securityhendelser. I henhold til artikkel 11(2) tredje ledd i forordning (EF) nr. 300/2008 skal nasjonale kvalitetskontrollprogrammer muliggjøre rask oppdagelse og korrigering av mangler. 

Endringene som kommer som følge av rettsakten forsterker Luftfartstilsynets rolle som tilsynsmyndighet, systemeier for nasjonalt kvalitetskontrollprogram og koordinerende myndighet for rapportering av securityhendelser. 

Nærmere om krav til rapportering av securityhendelser
Rettsakten er EUs tiltak for å harmonisere og forenkle rapportering fra operatører og andre aktører ved å etablere et felles rammeverk for innsamling, deling og analyse av data om securityhendelser som etableres for å støtte regelverksetterlevelse og forenkle rapportering. Hver medlemsstat skal etablere et system som dekker rapportering, klassifisering, lagring og beskyttelse av data og krav til oppfølgning og tiltak fra relevant myndighet. Alle operatører skal etablere internt system for rapportering av securityhendelser og sørge for at alt personell kan bruke systemet.

Rettsakten skal erstatte dagens (blant EU og EØS-landenes) fragmenterte nasjonale ordninger som gjelder informasjonsdeling om sådanne hendelser. Det har vært en svakhet at informasjon om securityhendelser har blitt gjort kjent for relevante myndigheter lenge etter at hendelsen fant sted. EU-kommisjonen har gjennom rettsakten møtt utfordringen med fragmentert informasjonsflyt, og EU-kommisjonen har selv erklært at de skal ha informasjonen raskere sammenliknet med hvordan det har vært til nå.

Operatører og ansvarlige enheter skal rapportere hendelser innen fastsatte frister ut fra alvorlighetsgrad. Innen 24 timer ved alvorlig og umiddelbar påvirkning på sikkerheten, innen 72 timer ved alvorlig, men ikke umiddelbar påvirkning på sikkerheten, månedlig for øvrige hendelser. Medlemsstatene må etablere interne rapporteringssystemer med utpekte ansvarlige personer, etablere saksbehandlingsrutiner, opplæring, benytte standardiserte skjemaer, felles klassifisering (vedlegg V i rettsakten inneholder felles klassifisering) og prosedyre for ekstern og intern informasjonsdeling. Rapportering skal skje på harmonisert måte via en standardisert mal, basert på ICAOs veiledningsmateriale gitt i juni 2022. EU-kommisjonen arbeider med å avklare om ECCAIRS2 kan, med visse tilpasninger, anvendes for rapportering av securityhendelser.

Rettsakten innfører nye krav til konfidensialitet. Det medfører at det må etableres egne nasjonale regler om beskyttelse mot at informasjonen brukes til annet enn securityformål. Informasjon fra rapport og identiteten til den som rapporterer og de som omtales i rapporten skal beskyttes, med forbehold om krav som kan følge av nasjonal lovgivning om strafferettslige, disiplinære eller administrative reaksjoner. Det innebærer regulering av taushetsplikt og hvilken informasjon som kan deles videre og når. 

Rapportering etter denne rettsakten berører ikke eksisterende rapporteringsplikter etter forordning (EU) nr. 376/2014. Informasjon i rapportene skal behandles konfidensielt og kun brukes til luftfartssikkerhetsformål (security). Det legges til rette for deling av relevant informasjon med Kommisjonen, medlemsstater, nasjonale myndigheter (need to know-basis), industrien og internasjonale partnere. Medlemsstatene skal årlig rapportere til Kommisjonen med statistikk og analyser av mottatte rapporter. Detaljer om hva den årlige rapporten som skal sendes kommisjonen på gjennomførte kvalitetskontrolltiltak skal inneholde følger av forordningen.

For luftfartsaktørene vil rapportering av securityhendelser neppe innebære noe vesentlig nytt da rapportering av safetyhendelser er såpass nærliggende og er innarbeidet i bransjen. Likevel er rapportering av securityhendelser med rettsakten her en utvidelse ettersom det nå følger flere hendelser om security som skal rapporteres sammenliknet med hvordan det er i dag. Det krever at luftfartsaktørene bedriver opplæring og kompetanseutvikling blant sine ansatte om hva de skal rapportere og hvordan. Innenfor safety er rapportering av feil og unnlatelser basert på en tankegang om at det er lov å gjøre feil så lenge en ikke overskrider grovt uaktsomt - og grensen for forsett. Securityregelverket er tuftet på og har som formål å bekjempe villede handlinger slik at securityhendelser ofte kan være basert på en vilje eller ønske om å ramme luftfarten. Med andre ord, rapportering av securityhendelser kan vel så handle om å rapportere om uønsket atferd og ikke nødvendigvis tanken om at det er lov å gjøre feil. Rettsakten legger opp til at medlemsstatene skal etablere egne regler for å sikre hvordan opplysningene i rapporten skal eller bør beskyttes, herunder regler om taushet om opplysninger i rapporten og om rapportør og den/de omtalt i rapporten. Utfordringen her er å lage bestemmelser som ivaretar både hensynet til konfidensialitet, og hensynet til at i securityen må intensjonen/hensikten og de bakenforliggende årsakene til feilen vurderes annerledes enn for safetyområdet. 

Nærmere om krav til kvalitetskontroll
Rettsakten innfører oppdaterte kvalitetskontrolltiltak. På grunn av tidligere erfaringer med regelverket  i 300/2008 vedlegg II og utviklingen i global metodologi og terminologi er det behov for mindre justeringer, inkludert definisjoner og inspeksjonsfrekvenser. Det er i rettsakten åpnet for bruk av flere typer tester og som kan gjøres ut fra en risikobasert prioritering. Den nye rettsakten innebærer en viss videreutvikling og presisering av kravene til kvalitetskontroll, særlig ved en mer systematisert og risikobasert tilnærming til tilsynsaktivitetene, tydeligere krav til frekvens og omfang for kontroller, samt utvidede bestemmelser om testregimer og oppfølging av avvik. Kravene til metodikk, kompetanse hos kontrollpersonell og oppfølging av funn fremstår også mer detaljerte og harmoniserte. Endringene må i hovedsak anses som en styrking og videreføring av eksisterende regelverk, snarere enn en grunnleggende materiell omlegging av kontrolltiltakene etter forordning (EF) nr. 300/2008.

Det er tilføyd nye definisjoner (overt test, relevant authorities, reporter, security incident og security occurrence). I nasjonalt kvalitetskontrollprogram må det fremgå at det etableres obligatorisk rapportering av securityhendelser og forberedelser til det, og et frivillig rapporteringssystem. 

I pkt. 7.7 i anneks II følger nytt frekvenskrav for flyplasser med under 2 mill. passasjerer. Frekvensen fastsettes av myndigheten basert på en risikovurdering. Dette gir mer fleksibilitet og tydeligere risikobasert regulering. I del 8 av annekset utvides testregimet i form av bestemmelser til hvordan prioritere tester i årlig planlegging, det er adgang til å fastsette testfrekvens basert på risikovurderinger og mulighet til å bruke overt test som erstatning/tillegg. I delen som gjelder "correction of defincies" som pålegger hvordan avvik skal oppfølges er det nå fastsatt ktav til at dersom Luftfartstilsynet gir klassifiseringen "compliant, but improvement desirable" (i samsvar, men ønske om forbedring), skal svakhetene likevel korrigeres. 

Totalt sett representerer endringene for det som i anneks II gjelder for kvalitetskontroll en regulatorisk forbedring for hva gjelder hendelsesrapportering (ved å koble krav til kvalitetskontroll tett sammen med de nye kravene om hendelsesrapportering), risikobasert tilsyn og utvidelse av testregimet. Det betyr at dagens praksis må dokumenteres bedre, virdereutvikles, selv om det ikke er tale om vesentlige endringer fra det som har vært gjeldende etter EF 300/2008.

for lufthavnoperatørene ventes det at rettsakten vil bety økte krav til intern kvalitetskontroll da de skal dokumentere at intern kvalitetskontroll fungerer, følges opp og etterleves i praksis. Sannsynligvis er dette allerede godt ivaretatt blant de største lufthavnene, slik at de vil merke regelverksendringen om kvalitetskontroll i mindre grad sammenliknet med de små lufthavnene. 

Nærmere om ikrafttredelse
Det kreves en forberedelsesperiode før ikrafttredelse av bestemmelser om rapportering av securityhendelser for å sikre effektiv implementering og ikrafttredelse er satt til 1. januar 2028. For de øvrige endringene som gis ikrafttredelse straks i EU, er det er viktig at endringene blir gjeldende så nært samtidig som mulig i Norge som i EU. Siden rettsakten beskriver oppdaterte kvalitetskontrolltiltak for å sikre at kvaliteten på securitytilstanden innenfor One Stop Security er lik i hele EU/EØS-området, er det spesielt viktig at rettsakten gis så samtidig ikrafttredelse som mulig som med resten av EU/EØS. Det forventes at disse kvalitetskontrolltiltakene tas i bruk med en gang de blir vedtatt og gjort gjeldende i EU. Hvis gjennomføring av nye krav forsinkes, kan det ha konsekvens for myndighetens evne til å oppdatere kvalitetskontrolltiltakene på lik linje som ellers i EU/EØS.

Status

Rettsakten var underlagt votering i AVSEC-møte september 2025 hvor resultatet var positivt. Saken har vært igjennom ordinær regelverksprosess i EU.

Rettsakten ble publisert i Official Journal (OJ) 2. februar 2026. Med unntak om bestemmelsene om rapportering av securityhendelser som trer i kraft 1. januar 2028, har rettsakten ikrafttredelse i EU tyvende dag etter publisering i OJ, 23. februar 2026. 

Rettsakten faller inn under EFTAs standardprosedyre.