LUFTFART

Digital sikkerhet i luftfarten: Nytt regelverk setter nye standarder

Cybertrusler som direkte kan påvirke flysikkerheten, er økende. Sissel Walla Strandås og Sjur Hartveit i Luftfartstilsynet skriver i denne kronikken regelverkene som utformes for å møte disse truslene.

Kronikkforfatterne: Juridisk rådgiver Sissel Walla Strandås og seniorrådgiver cyber security Sjur Hartveit, begge i Luftfartstilsynet.
Kronikkforfatterne: Juridisk rådgiver Sissel Walla Strandås og seniorrådgiver cyber security Sjur Hartveit, begge i Luftfartstilsynet. Foto: Luftfartstilsynet
Av Sissel Walla Strandås og Sjur Hartveit i Luftfartstilsynet
21. feb. 2023 - 14:00

Luftfarten er i stadig endring og aktørene tar i større grad i bruk ny digital teknologi for å oppnå fordeler som kostnadsreduksjon, effektivisering, sikkerhet og reduserte utslipp. I dag består luftfartssystemet av både nye og gamle digitale systemer med ulik teknologi som må fungere sammen for å opprettholde et akseptabelt nivå på flysikkerheten. Men et voksende trusselbilde gjør det stadig viktigere for samfunnet å sikre kritisk infrastruktur.

For det finnes en bakside med digitaliseringen: komplekse systemer har mange angrepsflater med tilhørende sårbarheter. Selv om de fleste cyberangrep hittil har hatt fokus på personvern og økonomi, er det nå økende trusler som direkte kan påvirke flysikkerheten. For eksempel har vi sett leverandørkjedeangrep mot distribusjon av aeronautisk informasjon som oppdateres i såkalte AIRAC-sykluser og gjennom NOTAM informasjonsmeldinger til Electronic Flightbags (EFB).

For å svare på truslene har FN-organet ICAO har laget en cybersecurity-strategi bestående av syv pilarer.  Én av pilarene er å utvikle regelverk, og EASA, det europeiske byrået for flysikkerhet, har nå ferdigstilt to forordninger[1] som utvider det eksisterende regelverket for luftfarten. Regelverket kalles «Part-IS» og vil bli gjennomført i norsk rett på lik linje med øvrig regelverk på luftfartsområdet. Formålet er å beskytte luftfartssystemet mot digitale trusler ved å avdekke og håndtere risiko knyttet til informasjonssikkerhet. Regelverket Part-IS vil på noen områder sammenfalle med innholdet i det som vil følge av NIS-direktivet[2] i Norge på området luftfart.

Regelverket Part-IS inneholder bestemmelser for identifisering og håndtering av risiko knyttet til informasjonssikkerhet, krav om å oppdage avvik fra normalsituasjonen og vurdering om avvik kan utvikle seg til hendelser som kan påvirke flysikkerheten. Det stiller også krav til å håndtere og gjenopprette nødvendige systemer slik at flysikkerheten til enhver tid kan opprettholdes. Kravene gjelder for de fleste områdene innen luftfart, inkludert flyselskap, vedlikeholdsorganisasjoner, lufthavner, flynavigasjon og tilhørende myndigheter. Noen områder er unntatt, som for eksempel svært lette fly (ELA2) og droner i åpen og spesifikk kategori.

Regelverket Part-IS krever ikke bare styringssystemer for informasjonssikkerhet (ISMS), ofte basert på ISO27001, men kravstiller også nødvendig kompetanse og rapportering av hendelser og sårbarheter til Luftfartstilsynet. Selv om regelverket ikke trer i kraft før 2025/2026, er det viktig å starte arbeidet med å oppfylle kravene nå på grunn av det økende trusselbildet. Luftfartstilsynet er i ferd med å etablere et enklere senter for informasjonsdeling (ISAC) for luftfarten. Dette gjøres i samarbeid med ulike CERT-aktører, både i og utenfor Norge. Part-IS har som mål å skape en helhetlig tilnærming til cybersikkerhet i luftfarten, og det krever samarbeid mellom aktører og myndigheter for å oppnå dette.

[1]. Forordning EU 2022/1645 og EU 2023/203 – trer effektivt i kraft henholdsvis 16.10.2025 og 22.02.2026.

[2]. EU direktiv 2022/255, som erstatter direktiv EU 2016/1148, er foreløpig ikke gjennomført i Norge. Se også Stortingsmelding 9 (2022-2023) ‘Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet’ kap.  3.1.4 Forslag om ny lov om digital sikkerhet.

Advokat Hanna Beyer Olaussen, advokat/partner Kristian Foss og Advokatfullmektig Tara Årøe i Bull & Co Advokatfirma anbefaler i denne kronikken norske virksomheter å vurdere allerede nå om de er omfattet av den norske digitalsikkerhetsloven, selv om det fortsatt er uklart når loven trer i kraft,
Les også

Norsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.