Vedr. forslag til forskrift til digitalsikkerhetsloven
Til § 1. Tilbydere av samfunnsviktige tjenester
Bestemmelsen i § 1 nr. 5 angir ‘kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn’ som omfattet av forslaget til forskrift.
Luftfartstilsynet vil påpeke at noen tjenesteleverandører innenfor sikkerhetsbegrenset område (SRA) yter ikke tjenester som anses kritiske for opprettholdelse av luftfarten som samfunnsviktig tjeneste, f.eks leverandører til mat, catering og andre liknende tjenester. De nevnte antas i liten grad å ha digitale systemer som har innflytelse på leveranse av samfunnsviktig tjeneste. Det kan derfor være hensiktsmessig å finne liknende formulering som i NIS2 direktivet Annex I: ‘…and entities operating ancillary installations contained within airports’ (…og foretak som driver tilhørende anlegg i lufthavner).
Til § 5 Innmelding av tilbyder av samfunnsviktig tjeneste
Luftfartstilsynet har i dag full oversikt over samfunnsviktige tjenestetilbydere innenfor flysikring, flyselskaper med AOC, og kommersielle lufthavner, men ikke nødvendigvis alle tjenesteleverandører. Luftfartstilsynet ser foreslått løsning som praktisk og er enig i forslaget til innmelding av tilbyder av samfunnsviktig tjeneste til både Nasjonal Sikkerhetsmyndighet og tilsynsmyndigheten.
Til § 6. Styringssystem for sikkerhet
Forslaget i § 6 innebærer et styringssystem for sikkerhet som omfatter digital sikkerhet. Luftfarten er allerede omfattet av krav til ulike styringssystemer, eksempelvis Safety Management Systems (SMS), sikkerhetsprogram (AVSEC) og kommende regelverk Part-IS som eksplisitt stiller krav om et styringssystem for informasjon (ISMS) i kontekst ‘aviation safety’. Det oppfattes som uklart om §6 krav til et styringssystem omfatter mer enn digitalsikkerhetslovens formål om digital sikkerhet i nettverks- og informasjonssystemer. Vi foreslår derfor at §6 bør presiseres nærmere, eksempelvis hvorvidt et styringssystem for informasjonssikkerhet (ISMS) kan/ ikke kan være dekkende, ellet at det lages et manøvreringsrom for hvordan dette kan være organisert i form av planlagte, systematiske og dokumenterte tiltak.
Alle krav angitt til styringssystem for sikkerhet som beskrevet i digitalsikkerhetsforskriftens §6 er dekket av Part-IS i kontekst ‘aviation safety’. (IS.I.OR.200 og IS.D.OR.200) Part-IS stiller i en del tilfeller strengere krav, eksempelvis dokumentasjonskrav overfor kompetent myndighet (LT) som også skal godkjenne Information Security Management Manual som er kravstilt i IS.I.OR.250 og IS.D.OR.250 og endringer i denne (IS.I.OR.255 og IS.D.OR.255)
For å etterleve digitalsikkerhetsforskriftens krav om årlig gjennomgang av styringssystemet vil Part-IS sitt krav om en kalenderbasert gjennomgang basert på risiko (IS.I.OR.260 og IS.D.OR.260) i praksis måtte tolkes som ‘årlig’. I tillegg til at styringssystem skal være godkjent av ‘accountable manager (AM)’ i selskap, må det også påses at virksomhetens leder har godkjent dette og gjennomgått for å være i tråd med §6.
Til §7 Risikovurdering
Part-IS, sammen med AVSEC regelverket, vil i all hovedsak dekke alle krav til risikovurdering i digitalsikkerhetsforskriften. På mange områder er Part-IS regelverket langt mere detaljert, samtidig synes omfanget av risikovurdering i digitalsikkerhetsforskriften noe bredere siden også inkluderer fysisk sikkerhet og personell. [1] Mesteparten av dette vil imidlertid være dekket av AVSEC regelverket så det antas et svært lite ‘gap’ i forhold til det som er foreslått i forskrift.
Til §8 Risikohåndtering
Jfr. kommentar til §7 så anses Part-IS og AVSEC å være dekkende på risikohåndtering.
Til § 9. Organisatoriske sikkerhetstiltak
Også på dette området anses Part-IS og AVSEC samlet sett å dekke kravene. I tillegg stiller Part-IS krav omfattende dokumentasjonskrav og at manual for ISMS, ‘Information Security Management Manual’ (ISMM) skal innsendes og godkjennes av tilsynsmyndigheten. [1] Organisasjonens endringsprosedyrer er også gjenstand for godkjenning.
Til §10 Teknologiske sikkerhetstiltak.
Teknologisk utvikling skjer raskt, og mimimumskravene bør gjennomgås og utformes slik at prinsippene står seg over tid. Det bør derfor utvises forsiktighet i konkret utforming av disse.
Til §16. Nasjonalt responsmiljø og sektorvise responsmiljøer
I andre ledd heter det ‘Ansvarlig departement kan utpeke responsmiljøer som kan bistå tilbyder med å håndtere hendelser innenfor energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Nasjonal sikkerhetsmyndighet skal orienteres om utpekingen.’ Det synes her uklart om hvorvidt samtlige sektorer skal være dekket av et responsmiljø som oppfyller krav som følger av vedlegg I til direktivet eller relevante krav som følger i eller i medhold av digitalsikkerhetsloven. Vi ber om tydeliggjøring av ansvaret for responsmiljø, eksempelvis at Nasjonal sikkerhetsmyndighet er ansvarlig for responsmiljø for de sektorer der ansvarlig departement ikke har utpekt responsmiljø etter digitalsikkerhetsloven.
Til § 17. Varslingsplikt
Digitalsikkerhetsloven §8 og foreslått §17 i forskriften anses hovedsakelig som dekket av Part-IS og AVSEC regelverket [2] . Part-IS (EU) 2023/203 har også krav om at innrapporterte hendelser til tilsynsmyndigheten også skal meldes til nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer etter §19 i forskriftsforslaget:
‘ Submission of relevant information to NIS competent authorities
Competent authorities under this Regulation shall inform, without undue delay, the single point of contact designated in accordance with Article 8 of Directive (EU) 2016/1148 of any relevant information included in notifications submitted pursuant to point IS.I.OR.230 of Annex II to this Regulation and point IS.D.OR.230 of Annex I to Delegated Regulation (EU) 2022/1645 by operators of essential services identified in accordance with Article 5 of Directive (EU) 2016/1148.’
Til §20. Tilsyn med tilbydere som omfattes av loven
For de som blir utpekt som tilsynsmyndighet i henhold til denne forskriften, så må det tilføres ressurser som gjør at man er i stand til å ivareta denne forpliktelsen. Pr. i dag finnes ikke denne kapasiteten tilgjenglig hos Luftfartstilsynet.
Oppsummert så vil digitalsikkerhetsloven med forskrift sammen med Part-IS og AVSEC sektorlovgivning sørge for at luftfarten er godt dekket innenfor området informasjonssikkerhet/cybersecurity. Det er noe bekymring knyttet til ressurser både til CSIRT og tilsyn med loven, og vi imøteser også klargjøring fra NIS Coordination Group på hvordan de ulike regelverk skal virke sammen innenfor luftfartsområdet.
[1] Se Part-IS IS.I/D.OR.245,250 og 255
[2] I Part-IS er det satt krav om umiddelbar varsling til tilsynsmyndigheten når hendelsen blir kjent og deretter skriftlig rapport innen 72t, jfr. Part-IS IS.I/D.OR.230
Bestemmelsen i § 1 nr. 5 angir ‘kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn’ som omfattet av forslaget til forskrift.
Luftfartstilsynet vil påpeke at noen tjenesteleverandører innenfor sikkerhetsbegrenset område (SRA) yter ikke tjenester som anses kritiske for opprettholdelse av luftfarten som samfunnsviktig tjeneste, f.eks leverandører til mat, catering og andre liknende tjenester. De nevnte antas i liten grad å ha digitale systemer som har innflytelse på leveranse av samfunnsviktig tjeneste. Det kan derfor være hensiktsmessig å finne liknende formulering som i NIS2 direktivet Annex I: ‘…and entities operating ancillary installations contained within airports’ (…og foretak som driver tilhørende anlegg i lufthavner).
Til § 5 Innmelding av tilbyder av samfunnsviktig tjeneste
Luftfartstilsynet har i dag full oversikt over samfunnsviktige tjenestetilbydere innenfor flysikring, flyselskaper med AOC, og kommersielle lufthavner, men ikke nødvendigvis alle tjenesteleverandører. Luftfartstilsynet ser foreslått løsning som praktisk og er enig i forslaget til innmelding av tilbyder av samfunnsviktig tjeneste til både Nasjonal Sikkerhetsmyndighet og tilsynsmyndigheten.
Til § 6. Styringssystem for sikkerhet
Forslaget i § 6 innebærer et styringssystem for sikkerhet som omfatter digital sikkerhet. Luftfarten er allerede omfattet av krav til ulike styringssystemer, eksempelvis Safety Management Systems (SMS), sikkerhetsprogram (AVSEC) og kommende regelverk Part-IS som eksplisitt stiller krav om et styringssystem for informasjon (ISMS) i kontekst ‘aviation safety’. Det oppfattes som uklart om §6 krav til et styringssystem omfatter mer enn digitalsikkerhetslovens formål om digital sikkerhet i nettverks- og informasjonssystemer. Vi foreslår derfor at §6 bør presiseres nærmere, eksempelvis hvorvidt et styringssystem for informasjonssikkerhet (ISMS) kan/ ikke kan være dekkende, ellet at det lages et manøvreringsrom for hvordan dette kan være organisert i form av planlagte, systematiske og dokumenterte tiltak.
Alle krav angitt til styringssystem for sikkerhet som beskrevet i digitalsikkerhetsforskriftens §6 er dekket av Part-IS i kontekst ‘aviation safety’. (IS.I.OR.200 og IS.D.OR.200) Part-IS stiller i en del tilfeller strengere krav, eksempelvis dokumentasjonskrav overfor kompetent myndighet (LT) som også skal godkjenne Information Security Management Manual som er kravstilt i IS.I.OR.250 og IS.D.OR.250 og endringer i denne (IS.I.OR.255 og IS.D.OR.255)
For å etterleve digitalsikkerhetsforskriftens krav om årlig gjennomgang av styringssystemet vil Part-IS sitt krav om en kalenderbasert gjennomgang basert på risiko (IS.I.OR.260 og IS.D.OR.260) i praksis måtte tolkes som ‘årlig’. I tillegg til at styringssystem skal være godkjent av ‘accountable manager (AM)’ i selskap, må det også påses at virksomhetens leder har godkjent dette og gjennomgått for å være i tråd med §6.
Til §7 Risikovurdering
Part-IS, sammen med AVSEC regelverket, vil i all hovedsak dekke alle krav til risikovurdering i digitalsikkerhetsforskriften. På mange områder er Part-IS regelverket langt mere detaljert, samtidig synes omfanget av risikovurdering i digitalsikkerhetsforskriften noe bredere siden også inkluderer fysisk sikkerhet og personell. [1] Mesteparten av dette vil imidlertid være dekket av AVSEC regelverket så det antas et svært lite ‘gap’ i forhold til det som er foreslått i forskrift.
Til §8 Risikohåndtering
Jfr. kommentar til §7 så anses Part-IS og AVSEC å være dekkende på risikohåndtering.
Til § 9. Organisatoriske sikkerhetstiltak
Også på dette området anses Part-IS og AVSEC samlet sett å dekke kravene. I tillegg stiller Part-IS krav omfattende dokumentasjonskrav og at manual for ISMS, ‘Information Security Management Manual’ (ISMM) skal innsendes og godkjennes av tilsynsmyndigheten. [1] Organisasjonens endringsprosedyrer er også gjenstand for godkjenning.
Til §10 Teknologiske sikkerhetstiltak.
Teknologisk utvikling skjer raskt, og mimimumskravene bør gjennomgås og utformes slik at prinsippene står seg over tid. Det bør derfor utvises forsiktighet i konkret utforming av disse.
Til §16. Nasjonalt responsmiljø og sektorvise responsmiljøer
I andre ledd heter det ‘Ansvarlig departement kan utpeke responsmiljøer som kan bistå tilbyder med å håndtere hendelser innenfor energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Nasjonal sikkerhetsmyndighet skal orienteres om utpekingen.’ Det synes her uklart om hvorvidt samtlige sektorer skal være dekket av et responsmiljø som oppfyller krav som følger av vedlegg I til direktivet eller relevante krav som følger i eller i medhold av digitalsikkerhetsloven. Vi ber om tydeliggjøring av ansvaret for responsmiljø, eksempelvis at Nasjonal sikkerhetsmyndighet er ansvarlig for responsmiljø for de sektorer der ansvarlig departement ikke har utpekt responsmiljø etter digitalsikkerhetsloven.
Til § 17. Varslingsplikt
Digitalsikkerhetsloven §8 og foreslått §17 i forskriften anses hovedsakelig som dekket av Part-IS og AVSEC regelverket [2] . Part-IS (EU) 2023/203 har også krav om at innrapporterte hendelser til tilsynsmyndigheten også skal meldes til nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer etter §19 i forskriftsforslaget:
‘ Submission of relevant information to NIS competent authorities
Competent authorities under this Regulation shall inform, without undue delay, the single point of contact designated in accordance with Article 8 of Directive (EU) 2016/1148 of any relevant information included in notifications submitted pursuant to point IS.I.OR.230 of Annex II to this Regulation and point IS.D.OR.230 of Annex I to Delegated Regulation (EU) 2022/1645 by operators of essential services identified in accordance with Article 5 of Directive (EU) 2016/1148.’
Til §20. Tilsyn med tilbydere som omfattes av loven
For de som blir utpekt som tilsynsmyndighet i henhold til denne forskriften, så må det tilføres ressurser som gjør at man er i stand til å ivareta denne forpliktelsen. Pr. i dag finnes ikke denne kapasiteten tilgjenglig hos Luftfartstilsynet.
Oppsummert så vil digitalsikkerhetsloven med forskrift sammen med Part-IS og AVSEC sektorlovgivning sørge for at luftfarten er godt dekket innenfor området informasjonssikkerhet/cybersecurity. Det er noe bekymring knyttet til ressurser både til CSIRT og tilsyn med loven, og vi imøteser også klargjøring fra NIS Coordination Group på hvordan de ulike regelverk skal virke sammen innenfor luftfartsområdet.
[1] Se Part-IS IS.I/D.OR.245,250 og 255
[2] I Part-IS er det satt krav om umiddelbar varsling til tilsynsmyndigheten når hendelsen blir kjent og deretter skriftlig rapport innen 72t, jfr. Part-IS IS.I/D.OR.230