Høring – Opinion 03/2021 – Management of Information Security Risks
EASA publiserte 11. juni 2021 Opinion 03/2021 med tittel Management of information security risks. Heretter omtalt som Opinion 03/2021.
EU har på luftfartsområdet igangsatt et arbeid innen digital sikkerhet/informasjonssikkerhet (cyber security) og forslag til mandat for prosjektet Cyber security risks ble publisert januar 2019.
Formålet er å skape et regulatorisk system som på en effektiv måte vil bidra til å beskytte luftfarten mot angrep mot informasjonssikkerheten og mulige konsekvenser av slike angrep. Bakgrunnen er en erkjennelse av at dagens regelverk, ikke i tilstrekkelig grad ivaretar behovet innenfor luftfarten for beskyttelse mot at eksisterende digitale svakheter utnyttes av personer med onde hensikter. Risikoen for slike hendelser har økt i tråd med digitaliseringen og sammenkoblingen av systemene i luftfarten. Stadig flere systemer er koblet mellom hverandre og til flyene.
De stilles krav til både myndigheter og organisasjoner i luftfarten. Kravene handler om å håndtere risiko, identifisere sårbarheter, beskytte seg mot angrep, avdekke og håndtere angrep, samt gjenopprette drift etter angrep som kan påvirke sikkerheten i luftfarten. Dette skal oppnås gjennom et regelverk som skal gjelde for nær sagt alle områder innen luftfarten, eksempelvis produktkontroll, luftdyktighet, luftfartsoperasjoner, bemanning og lufttrafikktjenesten.
Opinion 03/21 har forslag om to nye forordninger som innfører krav til styringssystem for informasjonssikkerhet (ISMS) for tilsynsmyndigheter og aktører i alle deler av luftfarten. I tillegg foreslås endringer i en rekke eksisterende forordninger.
Foreløpig er det identifisert at disse forordningene blir berørt:
- Forordning (EU) nr. 748/2012 (initiell luftdyktighet)
- Forordning (EU) nr. 1321/2014 (kontinuerlig luftdyktighet)
- Forordning (EU) nr. 2017/373 (lufttrafikktjeneste)
- Forordning (EU) nr. 2015/340 (flygeledere)
- Forordning (EU) nr. 139/2014 (landingsplasser)
- Forordning (EU) nr. 1178/2011 (sertifikat til flygende personell)
- Forordning (EU) nr. 965/2012 (luftfartsoperasjoner)
- Forordning (EU) nr. 2021/664 (U-space)
Luftfartstilsynet understreker at regelverksforslaget i Opinion 03/2021 er gjenstand for ytterligere behandling i EASA-komiteen og at denne høringen har til formål å dele informasjon i tidlig fase. Det er mulig å påvirke innholdet i Opinion 03/2021 i komitemøter i 2022. Ytterligere nasjonalt regelverksarbeid kommer senere og etter hvert som behandling i EASA-komiteen skrider frem. Planlagt vedtakelse for nye krav er tredje kvartal 2022 med virkning ett år etter vedtakelse.
Vi ber høringsinstansene om å gi sine innspill på bakgrunn av det ovennevnte.
Frist for tilbakemeldinger i denne høringsrunden settes til 1. februar 2022.
Innspill til høringen kan sendes til Luftfartstilsynet på e-post postmottak@caa.no, og merkes saksnummer 21/21928.
Spørsmål av faglig karakter kan rettes til seniorrådgiver cyber security Sjur Hartveit (sjh@caa.no). Spørsmål knyttet til den rettslige prosessen kan rettes til juridisk seniorrådgiver Sissel Walla Strandås (sst@caa.no).
Publisert: 17.11.2021