Opinion 03/2021 Cybersecurity, RMT.0720

Styring av risiko knyttet til informasjonssikkerhet i luftfarten

Management of information security risks

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 23.04.2019

Spesialutvalg: Transport

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Samferdselsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XIII. Transport

Kapittel i EØS-avtalen: VI. Sivil luftfart

Status

Det ble publisert et første forslag (NPA) i juni 2019. Det var forventet å foreligge et utkast fra EASA som skulle sendes Kommisjonen i løpet av tredje kvartal 2020, og vedtakelse av dette regelverket skulle etter planen skje i fjerde kvartal 2021. Kapasitetsufordringer i EASA har medført at tidsplanen ble forskjøvet - og utkastet ble først publisert 11. juni 2021 (Opinion 03/2021) med vedtakelse første kvartal 2022. Det tas nå sikte på at regelverket endelig vedtas av Kommisjonen tredje kvartal 2022.

Det er etablert et nordisk samarbeid innenfor cyber security for luftfarten, som blant annet skal ivareta nordiske interesser i utviklingen av regelverket. Luftfartstilsynet deltar i samarbeidet. Denne arenaen gir Norge mulighet til å få støtte fra andre EU- og EØS land for våre synspunkter.

Sammendrag av innhold

EU har på luftfartsområdet igangsatt et arbeid innen digital sikkerhet/informasjonssikkerhet (cybersecurity) og forslag til mandat for prosjektet Cybersecurity risks ble publisert januar 2019. Formålet er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot angrep mot informasjonssikkerheten og mulige konsekvenser av slike angrep. Bakgrunnen er en erkjennelse av at dagens regelverk, ikke i tilstrekkelig grad ivaretar behovet innenfor luftfarten for beskyttelse mot at eksisterende digitale svakheter utnyttes av personer med onde hensikter. Risikoen for slike hendelser har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. Stadig flere systemer er koblet mellom hverandre og til flyene. 

Det må stilles krav til organisasjoner i luftfarten om å håndtere risiko, herunder identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep, samt gjenopprette drift etter angrep som kan påvirke sikkerheten i luftfarten. Dette skal oppnås gjennom et regelverk som skal gjelde for nær sagt alle områder innen luftfarten, eksempelvis produktkontroll, luftdyktighet, luftfartsoperasjoner, bemanning og lufttrafikktjenesten.

EASA la 11. juni 2021 frem sitt utkast til regelverksforslag (Opinion 03/21), og foreslår to nye forordningen (en gjennomføringsforordning og en delegert forordning) som innfører krav til styringssystem for informasjonssikkerhet (ISMS) for tilsynsmyndigheter og aktører i alle deler av luftfarten. I tillegg foreslås endringer i en rekke eksisterende forordninger.

Foreløpig blir disse forordningene berørt:

  • Forordning (EU) nr. 748/2012 (initiell luftdyktighet)
  • Forordning (EU) nr. 1321/2014 (kontinuerlig luftdyktighet)
  • Forordning (EU) nr. 2017/373 (lufttrafikktjeneste)
  • Forordning (EU) nr. 2015/340 (flygeledere)
  • Forordning (EU) nr. 139/2014 (landingsplasser)
  • Forordning (EU) nr. 1178/2011 (sertifikat til flygende personell)
  • Forordning (EU) nr. 965/2012 (luftfartsoperasjoner)
  • Forordning (EU) nr. 2021/664 (U-space)

EU har som målsetting at regelverket skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører, som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten. For Norges del innebærer dette at NIS-direktivet de facto blir innført for de fleste aktører innen luftfart.

Merknader
Rettslige konsekvenser

Rettsakten vil mest sannsynlig kunne bli gjennomført ved en eller flere forskrifter. Det tas forbehold for den situasjonen at rettsakten griper slik inn på justissektoren sitt domene at lovendring blir nødvendig. Foreløpig ser det ikke ut til å bli en realitet. Mer detaljert om de rettslige konsekvensene vil først kunne vurderes når arbeidet med forslaget har kommet noe lengre. 

Økonomiske og administrative konsekvenser

Det er enda for tidlig å si noe sikkert om de økonomiske og administrative konsekvensene av forslaget. For det offentlige er den foreløpige vurderingen at regelverket vil innebære noe økte kostnader. Om økte kostnader kan dekkes innenfor gjeldende budsjettrammer, vil være noe avhengig av evnen til å utnytte eksisterende ressurser og kompetanse på tvers i etater på ulile områder. 

For næringslivet er det antatt at de største aktørene allerede har akseptable system på plass for håndtering av risiko knyttet til informasjonssikkerhet, og at det ikke vil være særlige kostnader som følge av det nye regelverket. Det antas at for mindre aktører er det de som forholdsmessig sett må gjøre de største investeringene. De økonomiske konsekvensene for næringslivet er per nå ikke kartlagt. 

Det antas å være en rettsakt som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet.

Sakkyndige instansers merknader

Vurdering av forslaget pågår og Luftfartstilsynet kan si noe sikkert når vurderingen er kommet noe lengre i prosessen. 

Vurdering

Det er viktig at EASA lykkes med å implementere kravene fra NIS-direktivet på en slik måte at aktørene ikke opplever dobbeltregulering. I forlengelsen av dette må man være oppmerksom på risikoen for dobbeltregulering for de aktørene som er omfattet av sikkerhetsloven. Norsk posisjon i dette arbeidet er også at regelverket må være tilstrekkelig fleksibelt til at hver enkelt stat kan håndtere implementeringen på en praktisk og enkel måte innenfor nasjonale rettslige rammer.

Forslaget som er publisert i Opinion 03/2021 samsvarer i stor grad med innholdet i NPA fra 2019. Det er verdt å merke seg at Opinion 03/2021 foreslår bestemmelser i forordning (EU) 2021/664 (U-space). Bestemmelsene som endrer (EU) 2021/664 var ikke omtalt i NPA.

Foreløpig vurdering av forslaget slik det lyder nå antas å være akseptabelt for Norge, men dette er en pågående vurdering og Luftfartstilsynet vil si noe mer sikkert når vurderingen er kommet lengre i prosessen.  

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Forordning
KOM-nr.:
Basis rettsaktnr.: 2018/1139

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker