Krav til informasjonssikkerhet for organisasjoner og myndigheter innen sivil luftfart
Kommisjonens gjennomføringsforordning (EU) 2023/203 av 27. oktober 2022 som gjelder krav til styring av informasjonssikkerhet og hindre brudd på informasjonssikkerheten som kan påvirke flysikkerheten i sivil luftfart.
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
EØS-notat | 26.05.2023 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 23.04.2019
Spesialutvalg: Transport
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Samferdselsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XIII. Transport
Kapittel i EØS-avtalen: VI. Sivil luftfart
Status
Regelverket er vedtatt og ble publisert i OJ 1. februar 2023 med ikrafttredelsesdato 22. februar 2026.
Sammendrag av innhold
Formålet med rettsakten er å innføre regler om tiltak for å bedre informasjonssikkerheten i sivil luftfart. Reglene er et resultat av EUs arbeid med informasjonssikkerhet og digital sikkerhet i sivil luftfart. Rettsakten her legger til og endrer krav til organisasjoner som har godkjenning etter forordningene (EU) 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373 og 2021/664. Implementeringsforordningen inneholder også krav til myndigheter som fører tilsyn med organisasjoner som har godkjenning etter forordning (EU) 748/2012, 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373, 139/2014 og 2021/664.
Rettsakten stiller krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse (digitale systemer). Det er publisert en delegert forordning med tilsvarende bestemmelser som gjelder for organisasjoner med godkjenning etter forordning (EU) 748/2012 og forordning (EU) 139/2014. Se eget EØS-notat for denne forordningen; forordning (EU) 2022/1645.
Formålet med regelverket er å beskytte luftfarten mot angrep mot informasjonssikkerheten og avverge konsekvenser av slike angrep. Til nå har ikke sivil luftfart vært underlagt regelverkskrav som skal sørge for at eksisterende digitale svakheter ikke utnyttes av personer med onde hensikter. Regelverket tar også sikte på å avverge konsekvenser av digitale svakheter som følge av funksjonsfeil som ikke stammer fra villede handlinger. Regelverket stiller eksempelvis krav til å ha på plass risikovurderinger for enhver påvirkning som digitale systemer kan bli utsatt for. Det er en kjensgjerning at risikoen for hendelser som påvirker informasjonssikkerheten har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten.
De nye reglene i denne rettsakten krever at luftfartsorganisasjoner som innehar godkjenning gitt i medhold av forordninger som nevnt innledningsvis, skal ha på plass systemer, rammeverk og tiltak som setter organisasjonen i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem. Det gjelder like fullt for systemsvikt som følge av funksjonsfeil i digitale systemer, som angrep mot digitale systemer som er villede handlinger. Regelverket stiller krav til at organisasjonene må være i stand til å gjenopprette drift etter angrep eller funksjonsfeil som kan påvirke sikkerheten i luftfarten.
Tilsvarende krav gjelder også for luftfartsmyndigheten som fører tilsyn med nevnte organisasjoner. Sagt annerledes, Luftfartstilsynet må også ha på plass systemer, rammeverk og tiltak som setter myndigheten i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem.
EU har som målsetting at regelverket skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører, som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten.
Merknader
Rettslige konsekvenser
Rettsakten legger til og endrer eksisterende krav i forordning EU) 748/2012, 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373, 139/2014 og 2021/664. Forordningene er gjennomført i norsk rett gjennom henholdsvis forskrift 4. mars 2013 nr. 252 (sertifiseringsforskriften), 25. august 2015 nr. 1000 (sertifisering av flyplasser mv.), 7. mai 2015 nr. 488 (vedlikeholdsforskriften), 7. august 2013 nr. 956 (forskrift om luftfartsoperasjoner), 1. januar 2016 nr. 1365 (sertifisering av besetningsmedlemmer), 1. august 2018 nr. 710 (utdanning og sertifisering av flygeledere) og 1. januar 2004 nr. 1345 (etablering, organisering og drift av lufttrafikktjeneste). Rettsakten vil mest sannsynlig kunne bli gjennomført gjennom de nevnte forskrifter. Luftfartstilsynet vurderer som et alternativ om det er mer hensiktsmessig at alle nye krav tas inn i en egen forskrift som gjennomfører alle nye krav til informasjonssikkerhet i sivil luftfart og hvorvidt ny forskrift kan benyttes til å gjennomføre endringer i eksisterende gjennomføringsforskrifter.
Forordning (EU) 2021/664 (U-Space) er ikke tatt inn i nasjonal lovgivning.
Økonomiske og administrative konsekvenser
Rettsakten her tilfører nye og endrer eksisterende krav for luftfartsorganisasjoner som har godkjenning etter forordninger som nevnt innledningsvis. Rettsakten stiller krav til myndigheter som fører tilsyn med organisasjonene.
Luftfartstilsynet arbeider med å identifisere økonomiske og administrative konsekvenser av forslaget hva gjelder både organisasjoner og myndigheter. Tilsynets foreløpige vurdering er at regelverket vil, for myndighetens del, innebære nye og et til per nå uavklart omfang av økte kostnader. Hvorvidt de økte kostnader kan dekkes innenfor gjeldende budsjettrammer, vil være noe avhengig av evnen til å utnytte eksisterende ressurser og kompetanse på tvers i etater på ulike områder.
Initiell analyse av rettsakten har avdekket at det er ventet at de største luftfartsorganisasjonene allerede har på plass akseptable systemer for håndtering av risiko knyttet til informasjonssikkerhet og digitale systemer. Det er videre antatt at for disse organisasjonene vil det ikke være høye og uventede kostnader som følge av nye kravene. Derimot antar Luftfartstilsynet at det er de mindre luftfartsorganisasjonene som forholdsmessig sett må gjøre de største investeringene som følge av nye krav. De økonomiske konsekvensene for luftfartsorganisasjonene er fremdeles under vurdering og ikke endelig klarlagt.
Sakkyndige instansers merknader
Analyse av vedtatt regelverk pågår. Luftfartstilsynet vil kunne fastslå mer sikkert konsekvensene av regelverket når prosessen er kommet noe lengre og vi har fått innsikt i arbeidet med etablering av AMC/GM (soft law).
Vurdering
Regelverket i sivil luftfart har tidligere ikke inneholdt bestemmelser som regulerer beskyttelse og ivaretakelse av informasjonssikkerhet. Regelverket spesifiserer hvordan luftfartsorganisasjonene og luftfartsmyndighetene systematisk skal arbeide med å sikre at hendelser som truer informasjonssikkerheten ikke påvirker flysikkerheten. Nye bestemmelser betyr økt fokus på at luftfartsorganisasjonenes og luftfartsmyndighetenes digitale systemer. Det fordrer at organisasjoner ser helhetlig på sine systemer, der alt fra system for billettbestilling til styring av luftfart og kontroll av luftrom henger sammen. De digitale systemer hos myndigheten må være sikret slik at funksjonsfeil eller villet handling påvirker informasjonsflyten til luftfartorganisasjonene på en slik måte at det er en trussel mot flysikkerheten. Enhver påvirkning av luftfartsorganisasjonenes og luftfartsmyndighetens digitale systemer kan påvirke sikkerheten i sivil luftfart. Etter Luftfartstilsynets vurdering vil rettsakten utgjøre et positivt bidrag til flysikkerheten.
Andre opplysninger
Formålet med regelverket er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot angrep mot informasjonssikkerheten og mulige konsekvenser av slike angrep samt gjenoppretting og trygghet dersom funksjonsfeil oppstår. Regelverket skal sikre beskyttelse mot at eksisterende digitale systemer og dets svakheter ikke utnyttes av aktører med onde hensikter. Risikoen for slike hendelser har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. Luftfartens digitale systemer er mer sårbare enn før nettopp fordi det er flere av dem. Økt antall digitale systemer sørger også for økt risiko for angrep mot digitale systemer i den hensikt å påvirke flysikkerheten, men også at systemene kan oppleve "nedetid" som følge av funksjonsfeil og derav sette flysikkerheten på spill.
Regelverket inneholder krav til både myndigheter og organisasjoner om å håndtere risiko, identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep og funksjonsfeil. Det er også krav om å gjenopprette drift etter angrep og funksjonsfeil som kan påvirke sikkerheten i luftfarten. Regelverket skal gjelde for nær sagt alle områder innenfor luftfarten. For eksempel produktkontroll, luftdyktighet, luftfartsoperasjoner, bemanning og flysikringstjenesten.
Det kommer nye krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse. Både organisasjoner og myndigheter skal settes i stand til å oppdage angrep mot informasjonssikkerheten, respondere dersom slikt angrep finner sted og å gjenopprette IKT-systemer og data. Tilsvarende gjelder dersom funksjonsfeil er årsaken til brudd på informasjonssikkerheten.
Innenfor området security i luftfarten trådte det i 2022 i kraft nye krav til informasjonssikkerhet. Gjennom endringsforordning 2019/1583 til forordning 2015/1998 vil enheter med godkjenning etter forordning 300/2008 (security) få krav til informasjonssikkerhet. Nye krav i forordning 2015/1998 sammenfaller med innholdet i forordning (EU) 2023/203. Luftfartstilsynet har igangsatt nødvendige prosesser og fører tilsyn med organisasjonene som har godkjenning etter forordning 300/2008.
Innholder informasjon unntatt offentlighet, jf. offl. § 14
Nøkkelinformasjon
Institusjon: | Kommisjonen |
Type rettsakt: | Forordning |
KOM-nr.: | |
Rettsaktnr.: | 2023/203 |
Basis rettsaktnr.: | 2018/1139 |
Celexnr.: | 32023R0203 |
EFTA-prosessen
Dato mottatt standardskjema: | 19.07.2022 |
Frist returnering standardskjema: | 08.11.2022 |
Dato returnert standardskjema: | |
EØS-relevant: | Ja |
Akseptabelt: | Ja |
Tekniske tilpasningstekster: | Nei |
Materielle tilpasningstekster: | Nei |
Art. 103-forbehold: | Ja |
Norsk regelverk
Endring av norsk regelverk: | Ja |
Høringsstart: | |
Høringsfrist: | |
Frist for gjennomføring: |