Delegert kommisjonsforordning (EU) 2025/22 av 19. desember 2024 om endring av delegert forordning (EU) 2022/1645 med hensyn til krav til informasjonssikkerhet for organisasjoner som leverer bakketjenester
Styring av risiko knyttet til informasjonssikkerhet for luftfart: endringsbestemmelser
Commission Delegated Regulation (EU) 2025/22 of 19 December 2024 amending Delegated Regulation (EU) 2022/1645 as regards requirements on information security for organisations providing ground handling services
EØS-notat offentliggjort 21.8.2025
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 19.12.2024
- Kommisjonsforordning publisert i EU-tidende 7.3.2025
Bakgrunn
(fra departementets EØS-notat, sist oppdatert 6.8.2025)
Sammendrag av innhold
Forordning (EU) 2025/22 endrer forordning (EU) 2022/1645 om informasjonssikkerhet, med å ta inn regler som forenkler disse reglene for organisasjoner som leverer bakketjenester på lufthavner.
Organisasjoner som er underlagt forordning (EU) 2022/1645, som organisasjoner som leverer bakketjenester, opererer under et deklarasjonsregime. Dette innebærer at deres sikkerhetstyringssystem ikke trenger å godkjennes av deres kompetente myndigheter. Det samme regimet bør tillate disse organisasjonene å anvende reglene om informasjonssikkerhetstyringsystem (ISMS) i (EU) 2022/1645 uten å være pålagt at dette skal godkjennes av den kompetente myndigheten. Endringen i forordning (EU) 2025/22 gjennomfører derfor dette for disse deklarerende organisasjonene. I steden skal ISMS tilhørende bakketjeneste-leverandører bli gjenstand for senere tilsyn fra den kompetente myndigheten. Disse reglene skal gjelde fra 16. oktober 2025.
Forordning (EU) 2025/22 inneholder også en mindre endring i forordning (EU) 2022/1645 artikkel 2 og artikkel 5. Blant annet at bakketjeneste-leverandører skal behandle en del aktuelle opplysninger fra tredjeparter, og formidle relevante data til flyoperatører. Disse reglene skal gjelde fra 27. mars 2031.
Merknader
Hjemmel i EF-traktaten
Forordningen er hjemlet i forordning (EU) 2018/1139 artikkel 39, som igjen er hjemlet i TFEU artikkel 100.
Rettslige konsekvenser
Sivil luftfart er omfattet av EØS-avtalens virkeområde. Dette gjelder dermed også forordning (EU) 2025/22, som vil bli EØS-gjennomført i en ny forskrift om bakketjenester.
Økonomiske og administrative konsekvenser
Forordning (EU) 2025/22 gjelder organisasjoner som leverer bakketjenester på lufthavn. Reglene unntar disse organisasjonenes ISMS fra myndighetgodkjenning, og innebærer dermed en forenkling i tråd med de øvrige reglene om at slike organisasjoner skal drive etter en deklarering til den kompetente myndigheten. Reglene om behandling av informasjon fra tredjeparter og om formidling av informasjon til flyoperatører, er små, men vil medføre behov for å etablere korresopnderende prosedyrer for å sikre etterlevelse. Samlet sett ventes imidlertid ikke reglene i forordning (EU) 2025/22 å medføre vesentlige økonomiske eller administrative konsekvenser.
Sakkyndige instansers merknader
Saken har ikke vært behandlet i spesialutvalget for transport hvor berørte departementer er representert.
Saken var på høring i Norge fram til 1. september 2022.
Vurdering
Luftfartstilsynet anser forordning (EU) 2025/22 som EØS-relevant og akseptabel.
Status
Forordning (EU) 2025/22 er utarbeidet på grunnlag av et forslag fra det europeiske luftfartsbyrået EASA. EASA har hatt saken på høring blant medlemsstatene, og konsultert aktuelle markedsaktører gjennom workshops og EASAs faste konsultasjongrupper (EASA Adisory Bodies) hvor mydighetene og ulike markedsaktører er representert. Saken er deretter behandlet i EASA Komiteeen og EUs ekspertgruppe for flysikkerhet, før forordning (EU) 2025/22 ble vedtatt den 19. desember 2024.