Informasjonssikkerhet: nytt regelverk for luftfarten i 2025 og 2026

Regelverket omfatter forordningene (EU) 2022/1645 og (EU) 2023/203 og vil bli EØS-gjennomført på lik linje med øvrige forskrifter på luftfartsområdet.

Kravene gjelder for de fleste områdene innen luftfart, herunder flyselskap, vedlikeholdsorganisasjoner, lufthavner, flynavigasjon og tilhørende myndigheter. De nye kravene vil inngå i eksisterende godkjenninger og regelverk.  

Luftfartstilsynet minner alle organisasjoner og aktører som omfattes av Part-IS om at fristen for å sende inn nødvendig dokumentasjon (Information Security Management Manual med videre) eller eventuell søknad om unntak fra kravene i «Part-IS» nærmer seg (se datoer under).

Sikre luftfarten mot digitale trusler

– Hensikten med regelverket er å beskytte flysikkerhet i luftfarten mot digitale trusler. Selskapene og aktørene må gjennomføre systematiske aktiviteter for å håndtere risikoen, sier Sjur Hartveit, seniorrådgiver for cyber security i Luftfartstilsynet.

– Det å overholde kravene i «Part-IS» er avgjørende for å sikre beskyttelse av luftfartssektoren mot digitale trusler som kan ha påvirkning på flysikkerheten. Vi i Luftfartstilsynet vil føre tilsyn med styringssystemer for informasjonssikkerhet (ISMS) hos de aktuelle aktørene, forklarer Hartveit.

Krav til Part-IS dokumentasjon

Regelverket stiller krav til dokumentasjon som må sendes inn til Luftfartstilsynet for godkjenning.

• Information security management manual (ISMM - se krav i IS.I/D.OR.250) Dette er et dokument/manual som beskriver ISMS og hvordan Part-IS gjennomføres i organisasjonen og knytter sammen områder som informasjonssikkerhet, safety og security. Policy, ressurser og roller må være beskrevet, samt hvordan risikovurderinger for informasjonssikkerhet skal gjøres.
• Prosedyre for endringshåndtering (se krav I IS.I/D.OR.255).

Videre må det være beskrevet tiltak for å kunne detektere hendelser, respondere og gjenopprette systemer og prosesser med tilhørende krav om både intern og ekstern rapportering herunder grenseflater mot andre organisasjoner.

Implementering av et modent styringssystem for informasjonssikkerhet (ISMS) er en prosess som vil ta tid. Derfor er det gitt ut en veiledning fra EASA om hvilket nivå det forventes at organisasjonene er på når regelverket trer i kraft og hvordan dette kan implementeres proporsjonalt i forhold til kompleksitet i organisasjonene.

Part-IS Oversight Approach Guidelines | EASA Community

Søknad om fritak

Dersom organisasjon ikke anses å ha informasjonssikkerhetstrusler som kan påvirke flysikkerheten vil det etter en forhåndskonferanse med Luftfartstilsynet og søknad med dokumentert risikovurdering jfr. IS.I/D.OR.200(e) kunne innvilges unntak fra regelverket.

Et unntak vil være tidsavgrenset og vil kunne falle bort dersom endringer medfører forhøyet risiko.

Veileder for fritakssøknader er utarbeidet av Part-IS Implementation Taskforce (EASA og luftfartsmyndigheter) og kan leses her.

Viktige datoer

• Høsten 2025: Luftfartstilsynet begynner godkjenning av endringsprosedyrer og ISMM’er samt behandling av søknader om unntak.
• 1. oktober 2025: frist for innsendelse av dokumentasjon eller søknad om unntak for flyplass, Part-21 (subpart G) og Apron Management Service Providers etter (EU) 2022/1645.
• 16. oktober 2025: Ikrafttredelse (EU) 2022/1645.
• 1. februar 2026: Frist for innsending av dokumentasjon eller unntak for øvrige selskaper etter (EU) 2023/203.
• 22. februar 2026: Ikrafttredelse (EU) 2023/203 for resterende selskaper samt Luftfartstilsynet.

Denne siden vil bli oppdatert fortløpende.