Digital sikkerhet i luftfarten: Nytt regelverk setter nye standarder
Cybertrusler som direkte kan påvirke flysikkerheten, er økende. Sissel Walla Strandås og Sjur Hartveit i Luftfartstilsynet skriver i denne kronikken regelverkene som utformes for å møte disse truslene.
Luftfarten er i stadig endring og aktørene tar i større grad i bruk ny digital teknologi for å oppnå fordeler som kostnadsreduksjon, effektivisering, sikkerhet og reduserte utslipp. I dag består luftfartssystemet av både nye og gamle digitale systemer med ulik teknologi som må fungere sammen for å opprettholde et akseptabelt nivå på flysikkerheten. Men et voksende trusselbilde gjør det stadig viktigere for samfunnet å sikre kritisk infrastruktur.
For det finnes en bakside med digitaliseringen: komplekse systemer har mange angrepsflater med tilhørende sårbarheter. Selv om de fleste cyberangrep hittil har hatt fokus på personvern og økonomi, er det nå økende trusler som direkte kan påvirke flysikkerheten. For eksempel har vi sett leverandørkjedeangrep mot distribusjon av aeronautisk informasjon som oppdateres i såkalte AIRAC-sykluser og gjennom NOTAM informasjonsmeldinger til Electronic Flightbags (EFB).
For å svare på truslene har FN-organet ICAO har laget en cybersecurity-strategi bestående av syv pilarer. Én av pilarene er å utvikle regelverk, og EASA, det europeiske byrået for flysikkerhet, har nå ferdigstilt to forordninger[1] som utvider det eksisterende regelverket for luftfarten. Regelverket kalles «Part-IS» og vil bli gjennomført i norsk rett på lik linje med øvrig regelverk på luftfartsområdet. Formålet er å beskytte luftfartssystemet mot digitale trusler ved å avdekke og håndtere risiko knyttet til informasjonssikkerhet. Regelverket Part-IS vil på noen områder sammenfalle med innholdet i det som vil følge av NIS-direktivet[2] i Norge på området luftfart.
Regelverket Part-IS inneholder bestemmelser for identifisering og håndtering av risiko knyttet til informasjonssikkerhet, krav om å oppdage avvik fra normalsituasjonen og vurdering om avvik kan utvikle seg til hendelser som kan påvirke flysikkerheten. Det stiller også krav til å håndtere og gjenopprette nødvendige systemer slik at flysikkerheten til enhver tid kan opprettholdes. Kravene gjelder for de fleste områdene innen luftfart, inkludert flyselskap, vedlikeholdsorganisasjoner, lufthavner, flynavigasjon og tilhørende myndigheter. Noen områder er unntatt, som for eksempel svært lette fly (ELA2) og droner i åpen og spesifikk kategori.
Regelverket Part-IS krever ikke bare styringssystemer for informasjonssikkerhet (ISMS), ofte basert på ISO27001, men kravstiller også nødvendig kompetanse og rapportering av hendelser og sårbarheter til Luftfartstilsynet. Selv om regelverket ikke trer i kraft før 2025/2026, er det viktig å starte arbeidet med å oppfylle kravene nå på grunn av det økende trusselbildet. Luftfartstilsynet er i ferd med å etablere et enklere senter for informasjonsdeling (ISAC) for luftfarten. Dette gjøres i samarbeid med ulike CERT-aktører, både i og utenfor Norge. Part-IS har som mål å skape en helhetlig tilnærming til cybersikkerhet i luftfarten, og det krever samarbeid mellom aktører og myndigheter for å oppnå dette.
[1]. Forordning EU 2022/1645 og EU 2023/203 – trer effektivt i kraft henholdsvis 16.10.2025 og 22.02.2026.
[2]. EU direktiv 2022/255, som erstatter direktiv EU 2016/1148, er foreløpig ikke gjennomført i Norge. Se også Stortingsmelding 9 (2022-2023) ‘Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet’ kap. 3.1.4 Forslag om ny lov om digital sikkerhet.