Kommisjonsforordning 2022/1645. Krav til informasjonssikkerhet for organisasjoner med godkjenning etter 748/2012 og 139/2014.
Kommisjonens delegerte forordning (EU) 2022/1645 som gjelder krav til styring av informasjonssikkerhet og hindre brudd på informasjonssikkerheten som kan påvirke flysikkerheten for organisasjoner med godkjenning etter forordning (EU) 748/2012 og forordning (EU) 139/2014.
Commission Delegated Regulation (EU) 2022/1645 of 14 July 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 748/2012 and (EU) No 139/2014 and amending Commission Regulations (EU) No 748/2012 and (EU) No 139/2014
EØS-notat | 26.05.2023 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 20.10.2022
Spesialutvalg: Transport
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Samferdselsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XIII. Transport
Kapittel i EØS-avtalen: VI. Sivil luftfart
Status
Regelverket er utarbeidet av EASA. EASA har konsultert medlemsstater og aktuelle representanter fra luftfartsindustrien da regelverket var på forslagsstadiet. Regelverket har vært behandlet i EU-kommisjonen og er endelig vedtatt. Rettsakten ble publisert i OJ 16. oktober 2022. Det er gitt 3 års utsatt iverksetting av kravene i regelverket.
Sammendrag av innhold
Formålet med rettsakten er å innføre regler om tiltak for å bedre informasjonssikkerheten i sivil luftfart. Reglene er et resultat av EUs arbeid med informasjonssikkerhet og digital sikkerhet i sivil luftfart. Rettsakten her gis som delegert rettsakt og legger til og endrer krav i forordning (EU) 748/2012 og forordning (EU) 139/2014. Det kommer nye krav til å identifisere kritiske IKT-systemer og data, og sørge for beskyttelse av disse (digitale systemer). Det kommer en implementeringsforordning med tilsvarende bestemmelser som gjelder for alle organisasjoner og myndigheter innen sivil luftfart, og det er laget EØS-notat for denne. Kortnavn på EØS-notatet: Krav til informasjonssikkerhet for organisasjoner og myndigheter innen sivil luftfart.
Formålet med regelverket er å beskytte luftfarten mot angrep mot informasjonssikkerheten og avverge konsekvenser av slike angrep. Til nå har ikke sivil luftfart vært underlagt regelverkskrav som skal sørge for at eksisterende digitale svakheter ikke utnyttes av personer med onde hensikter. Regelverket tar også sikte på å avverge konsekvenser av digitale svakheter som følge av funksjonsfeil som ikke stammer av villede handlinger. Regelverket stiller eksempelvis krav til å ha på plass risikovurderinger for enhver påvirkning som digitale systemer kan bli utsatt for. Det er en kjensgjerning at risikoen for hendelser som påvirker informasjonssikkerheten har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten.
De nye reglene i denne rettsakten krever at luftfartsorganisasjoner som innehar godkjenning gitt i medhold av forordning (EU) 748/2012 og forordning (EU) 139/2014 skal ha på plass systemer, rammeverk og tiltak som setter organisasjonen i stand til å håndtere risiko, herunder identifisere sårbarheter i sine systemer, beskytte seg mot angrep mot informasjonssikkerheten, avdekke disse og håndtere dem. Det gjelder like fullt for systemsvikt som følge av funksjonsfeil i digitale systemer. Regelverket stiller krav til at organisasjonene må være i stand til å gjenopprette drift etter angrep eller funksjonsfeil som kan påvirke sikkerheten i luftfarten.
EU har hatt som målsetting at de nye reglene om informasjonssikkerhet skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten. For Norges del innebærer dette at NIS-direktivet de facto etterhvert blir innført for de fleste aktører innen luftfart.
Merknader
De nye reglene er hjemlet i forordning (EU) 2018/1139 (ny EASA basisforordning), som igjen er hjemlet i TFEU artikkel 100.
Rettslige konsekvenser
Rettsakten legger til og endrer eksisterende krav i forordning (EU) 748/2012 og forordning (EU) 139/2014. Begge forordningene er gjennomført i norsk rett gjennom henholdsvis forskrift 4. mars 2013 nr. 252 (sertifiseringsforskriften) og 25. august 2015 nr. 1000 (sertifisering av flyplasser mv.). Rettsakten vil mest sannsynlig kunne bli gjennomført gjennom de nevnte forskrifter. Luftfartstilsynet vurderer som et alternativ om det er mer hensiktsmessig at alle nye krav tas inn i en egen forskrift som gjennomfører alle nye krav til informasjonssikkerhet i sivil luftfart og hvorvidt ny forskrift kan benyttes til å gjennomføre endringer i eksisterende gjennomføringsforskrifter.
Delegert forordning (EU) 2022/1645 antas å være en rettsakt som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet. Men merk at de detaljerte rettslige konsekvensene er en del av det totale analysearbeidet som ikke er endelig avklart.
Økonomiske og administrative konsekvenser
Rettsakten her tilfører nye og endrer eksisterende krav for luftfartsorganisasjoner som har godkjenning etter forordning (EU) 748/2012 og forordning (EU) 139/2014. Rettsakten stiller ingen krav til myndigheter som fører tilsyn med organisasjonene. Initiell analyse av rettsakten har avdekket at det er ventet at de største luftfartsorganisasjonene allerede har på plass akseptable systemer for håndtering av risiko knyttet til informasjonssikkerhet og digitale systemer. Det er videre antatt at for disse organisasjonene vil det ikke være høye og uventede kostnader som følge av nye kravene. Derimot antar vi at det er de mindre luftfartsorganisasjonene som forholdsmessig sett må gjøre de største investeringene som følge av nye krav. De økonomiske konsekvensene luftfartsorganisasjonene er fremdeles under vurdering og ikke endelig klarlagt.
Sakkyndige instansers merknader
Vurdering av forordningen pågår forsatt da denne forordningen har så tett sammenheng med ny forordning 2023/203 at de må vurderes i sammenheng.
Vurdering
Regelverket i sivil luftfart har tidligere ikke inneholdt bestemmelser som regulerer beskyttelse og ivaretakelse av informasjonssikkerhet. Vedtatt rettsakt spesifiserer hvordan luftfartsorganisasjonene systematisk skal arbeide med å sikre at hendelser som truer informasjonssikkerheten ikke påvirker flysikkerheten. Nye bestemmelser betyr økt fokus på at luftfartsorganisasjonenes digitale systemer. Det fordrer at organisasjonene ser helhetlig på sine systemer, der alt fra system for billettbestilling til styring av luftfart henger sammen. Enhver påvirkning av luftfartsorganisasjonenes digitale systemer kan påvirke sikkerheten i sivil luftfart. Etter Luftfartstilsynets vurdering vil rettsakten utgjøre et positivt bidrag til flysikkerheten.
Det er også viktig at EASA lykkes med å implementere kravene fra NIS-direktivet på en slik måte at aktørene ikke opplever dobbeltregulering. I forlengelsen av dette må man være oppmerksom på risikoen for dobbeltregulering for de aktørene som er omfattet av sikkerhetsloven. Norsk posisjon i dette arbeidet er også at regelverket må være tilstrekkelig fleksibelt til at hver enkelt stat kan håndtere implementeringen på en praktisk og enkel måte innenfor nasjonale rettslige rammer.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | 2022/1645 |
| Basis rettsaktnr.: | 2018/1139 |
| Celexnr.: | 32022R1645 |
EFTA-prosessen
| Dato mottatt standardskjema: | 13.10.2022 |
| Frist returnering standardskjema: | 22.11.2022 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |