Styring av risiko knyttet til informasjonssikkerhet for luftfart

Tittel

(Under forberedelse) Kommisjonsforordning om introduksjon av organisasjonsmessige krav til styring av risiko knyttet til informasjonssikkerhet knyttet til auronautiske informasjonssystemer brukt i sivil luftfart

(In preparation) Commission Regulation on the introduction of organisation requirements for the management of information security risks related to aeronautical information systems used in civil aviation

Siste nytt

EØS-notat offentliggjort 9.2.2021

Behandlende organ


 
 

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 8.2.2021)

Sammendrag av innhold
Det overordnede formålet er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot cyber angrep og mulige konsekvenser av slike angrep.

Bakgrunnen for det pågående arbeidet er en erkjennelse av at dagens regelverk på luftfartsområdet, med alle dets barrierer mot en ulykke, ikke i tilstrekkelig grad ivaretar behovet for beskyttelse mot at eksisterende digitale svakheter utnyttes av personer med onde hensikter. Risikoen for slike hendelser har økt i tråd med den raskt utviklende digitaliseringen og sammenkoblingen av systemene i luftfarten. Stadig flere systemer er koblet mellom hverandre og til flyene.

Formålet med regelverket er å stille krav til organisasjoner i luftfarten om å håndtere risiko, herunder identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep, samt gjenopprette drift etter angrep som kan påvirke sikkerheten i luftfarten. Dette skal oppnås gjennom et regelverk som skal gjelde for nær sagt alle områder innen luftfarten, eksempelvis produktkontroll, luftdyktighet, luftfartsoperasjoner, bemanning, lufttrafikktjeneste og flyplasser.

Foreløpig blir disse forordningene berørt:

Forordningene (EU) nr. 748/2012 (inititell luftdyktighet), nr. 1321/2014 (kontinuerlig luftdyktighet), nr. 1035/2011 (lufttrafikktjeneste), 2017/373 (lufttrafikktjeneste), 2015/340 (flygeledere), nr. 139/2014 (landingsplasser), nr. 1178/2011 (sertifikat til flygende personell), nr. 965/2012 (luftfartsoperasjoner).

EU har som målsetting at regelverket skal dekke kravene i NIS-direktivet, slik at når reglene trer i kraft, vil rettssubjektene som også omfattes av NIS-direktivet oppfylle kravene der ved å følge de nye reglene for luftfarten. For Norges del innebærer dette at NIS-direktivet de facto blir innført for de fleste aktørene innen luftfart.

Merknader

Rettslige konsekvenser
Rettsakten vil mest sannsynlig kunne bli gjennomført ved en forskrift. Det tas forbehold for den situasjonen at rettsakten griper slik inn på justissektoren sitt domene at lovendring blir nødvendig. Foreløpig ser det ikke ut til å bli en realitet. De rettslige konsekvensene vil først kunne vurderes når forslaget har kommet noe lengre.

Økonomiske og administrative konsekvenser
På dette stadiet er det for tidlig å si noe sikkert om de økonomiske og administrative konsekvensene av forslaget. For det offentlige er den foreløpige vurderingen at regelverket vil innebære noe økte kostnader. Om økte kostnader kan dekkes innenfor gjeldende budsjettrammer, vil være noe avhengig av evnen til å utnytte eksisterende ressurser og kompetanse på tvers i etater på ulile områder.

For næringslivet er det antatt at de største aktørene allerede har akseptable system på plass for håndtering av cyber security risiko og at det ikke vil være særlige kostnader som følge av det nye regelverket. Det kan være at mindre aktører er de som forholdsmessig sett må gjøre de største investeringene. De økonomiske konsekvensene for næringslivet er per nå ikke kartlagt.

Det antas å være en rettsakt som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet.

Sakkyndige instansers merknader
Luftfartstilsynet vil vurdere forsøaget når det er kommet noe lengre i prosessen.

Vurdering
Foreløpig norsk posisjon er at regelverket må være tilstrekkelig fleksibelt til at hver enkelt stat kan håndtere implementeringen innenfor nasjonale rettslige rammer.

Forslaget slik det lyder nå antas å være akseptabelt for Norge, men dette vil måtte vurderes mer endelig når Opinion er publisert.

Status
NPA 2019-07 ble publisert 27. mai 2019. Høringen ble avsluttet i september samme år. I henhold til EASA (EUs luftfartsbyrå) sitt arbeidsprogram skal det komme en opinion i første kvartal 2021, mens en forordning skal være klar i første kvartal 2022.

Det er etablert et nordisk samarbeid innenfor cyber security for luftfarten, som blant annet skal ivareta nordiske interesser i utviklingen av regelverket. Luftfartstilsynet deltar i samarbeidet. Denne arenaen gir Norge mulighet til å få støtte fra andre EU- og EØS land for våre synspunkter.

Nøkkelinformasjon

EU



eu-flagg
Dokument (forberedende)
Dato
27.05.2019

Norge



norge-flagg
Ansvarlig departement
Samferdselsdepartementet