🏠 Forside § Lover 📜 Forskrifter 💼 Bransjeforskrifter 📰 Lovtidend 🏛 Stortingsvoteringer Domstoler 🇪🇺 EU/EØS 📄 Siste endringer 📚 Rettsomrader 📊 Statistikk 🔍 Avansert sok Hjelp
Hjem / Horinger / Horing / Horingssvar
Regjeringen Med merknad
Til horingen: Høring - forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsfors...

NHO Luftfart

Departement: Beredskapsdepartementet
Dato: 09.12.2024 Svartype: Med merknad NHO Luftfart viser til høring fra Justis- og beredskapsdepartementet om forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften). Digitalsikkerhetsloven vil, i sammen med forslaget til digitalsikkerhetsforskriften, gjennomføre NIS1-direktivet (EU) 2016/1148 av 6. juli 2016 og gjennomføringsforordning (EU) 2018/151 av 30. januar 2018 i norsk rett. Departementet skriver følgende om hva som foreslås forskriftsfestet: " Forslag til forskrift om digital sikkerhet presiserer virkeområdet for tilbydere av samfunnsviktige tjenester, og det foreslås at det i særlige tilfeller kan fattes enkeltvedtak om at loven også skal gjelde andre tilbydere av samfunnsviktige tjenester… Tilbyder av samfunnsviktig tjeneste pålegges en plikt til å melde inn til tilsynsmyndigheten kontaktinformasjon, tjeneste og samfunnssektor, hvilke andre land tjenesten tilbys fra og berørt geografisk område, samt endringer i det nevnte… Det foreslås å forskriftsfeste at tilbyder av samfunnsviktig tjeneste skal etablere og vedlikeholde et styringssystem for digital sikkerhet, som beskriver virksomhetens sikkerhetsarbeid, og at dette skal være en del av virksomhetens styringssystem. Styringssystemet for digital sikkerhet vil omfatte både digitale, fysiske og personelle sikkerhetstiltak. Risikostyring skal inngå som en del av styringssystemet og skal sikre at virksomheten oppfyller lovpålagte krav. Styringssystemet skal dokumenteres og jevnlig kontrolleres med sikte på revisjon …" Tilbydere av samfunnsviktige tjenester er definert i digitalsikkerhetsloven § 6. Alle vilkårene må være oppfylt for at noe skal anses som tilbydere av en samfunnsviktig tjeneste. Vilkårene er som følger: " virksomheten må levere en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter, den må være avhengig av nettverk og informasjonssystemer for å levere tjenesten, og kan få tjenesteleveransen betydelig forstyrret av en hendelse ". På luftfartsområdet, foreslår departementet at det i forskriftens §1, første ledd nr. 4, nr. 5 og nr. 6 angis at følgende tilbydere skal regnes som samfunnsviktige: flysikringstjenesten kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn flyselskaper som driver kommersiell transport med AOC i Norge.NHO Luftfart har ingen kommentarer til det materielle innholdet i forslaget til nytt regelverk. Vi ønsker imidlertid å knytte noen kommentarer til den foreslåtte utformingen av forskriftens §1, første ledd nr. 5 og nr. 6. Fra vår side, skulle vi gjerne sett at den foreslåtte ordlyden tydeliggjøres. NHO Luftfart har ingen kommentarer til det materielle innholdet i forslaget til nytt regelverk. Vi ønsker imidlertid å knytte noen kommentarer til den foreslåtte utformingen av forskriftens §1, første ledd nr. 5 og nr. 6. Fra vår side, skulle vi gjerne sett at den foreslåtte ordlyden tydeliggjøres. I forslag til §1, første ledd nr. 5, skriver departementet at kravene gjelder for kommersielle lufthavner og tjenesteleverandører innenfor sikkerhetsbegrenset område på en kommersiell lufthavn. Departementet begrunner forslaget med at forstyrrelser på informasjons- og nettverksinfrastruktur hos de som leverer tjenester på sikkerhetsbegrenset område på lufthavnen kan ha betydning for driften av selve lufthavnen, og at disse således også bør omfattes av loven. Slik ordlyden nå er utformet, er det uklart for oss hva slags type virksomheter som rent faktisk vil bli omfattet. Vi har forståelse for at man i forskriften ikke kan ha en uttømmende liste over hvilke tjenester som er vurdert som samfunnsviktige ift. det man her ønsker å regulere, men vi skulle allikevel sett at man i høringsnotatet omtalte dette nærmere. Vil et slikt krav f.eks. omfatte ground handling, security og PRM-tjenesten ved en lufthavn? Disse tjenesteleverandørene benytter til dels flyselskapenes nettverks- og informasjonssystemer, dels drifter de egne systemer. Hva med teknisk vedlikehold som har hangarer med tilgang til rød sone, frakt- og varelevering, catering mm. Hvor er det naturlig at grensen går? Alle disse vil, i varierende grad, være avhengig av å benytte informasjonssystemer. I forslag til §1, første ledd punkt 6, skriver departementet at kravene gjelder for flyselskap som driver kommersiell transport med AOC i Norge. Samtidig står det i høringsnotatet at norsk kommersiell lufttransport består av " …fly- og helikopterselskaper med godkjenning fra Luftfartstilsynet (AOC/Air Operator's Certificate) ". Ordlyden bør, etter vår vurdering, formuleres på en slik måte at det klart fremgår at også helikopterselskapene er omfattet - dersom dette er departementets hensikt. Kravet skal gjelde for operatører med norsk AOC. Vi mener at det kan stilles spørsmål ved om dette blir en for snever avgrensning. Med en slik avgrensning, betyr dette at f.eks. DAT, som opererer flere av FOT-rutene i Norge, ikke blir omfattet av dette kravet – selv om de kan være omfattet av tilsvarende krav gjennom implementering av NIS1-direktivet i Danmark (der de har sin AOC). Dette forutsetter imidlertid at danske myndigheter har definert luftfart som samfunnsviktig på lik linje som i Norge. Det samme vil gjelde for andre utenlandske operatører som opererer regelmessig i Norge - slik som utenlandske selskaper som har anbudet på postflyginger. Departementet benytter begrepet "kommersiell transport". Etter vår vurdering bør departementet bruke det begrepet som er formelt "riktig" på luftfartsområdet. Dette slik at det er blir klart hvilken type operasjoner/tjenester som er omfattet av de nye forskriftskravene. Kommersiell lufttransport (CAT – commercial air transport), som vel ligger tettest opp til definisjonen som benyttes i digitalsikkerhetsforskriften, er definert på følgende måte i artikkel 3 i forordning (EU) nr. 2018/1139: " Commercial air transport’ means an aircraft operation to transport passengers, cargo or mail for remuneration or other valuable consideration ." Et annet begrep som benyttes for å beskrive luftfartsoperasjoner, og som vi forstår er et videre begrep enn CAT-definisjonen, er "commercial operation". Dette er definert på følgende måte i artikkel 2 i forordning (EU) 965/2012: " Commercial operation' means any operation of an aircraft, in return for remuneration or other valuable consideration, which is available to the public or, when not made available to the public, which is performed under a contract between an operator and a customer, where the latter has no control over the operator. " Vi antar at det kanskje er den siste definisjonen man ønsker at skal komme til anvendelse også ift. virkeområdet for digitalsikkerhetsforskriften på luftfartsområdet? Ved å benytte denne definisjonen sikrer man at det er klart at også operatører som gjennomfører SPO-flyginger, troppetransport mm. omfattes av kravene i digitalsikkerhetsforskriften. Vi anbefaler at departementet sender en forespørsel til Luftfartstilsynet mht. om vår forståelse av dette er rett. Departementet skriver videre i sitt høringsnotat at " dersom det stilles krav om sikkerhet og varsling i annen lov eller forskrift som minst tilsvarer kravene etter digitalsikkerhetsloven, skal kravene etter denne andre loven eller forskriften benyttes, se § 5. Anvendelse av § 5 vil ikke direkte unnta de aktuelle virksomhetene fra lovens virkeområde. Identifiseringsprosessen skal fortsatt gjennomføres, og virksomhetene vil underlegges direktivet og loven. Konsekvensene av å bli underlagt vil imidlertid i praksis være begrenset, gitt at regelverket virksomheten er underlagt har tilsvarende eller strengere sikkerhets- og varslingskrav ". På luftfartsområdet har EU vedtatt et eget regelverk om informasjonssikkerhet, Part IS [1] . Regelverket skal, slik vi forstår det, tre i kraft i disse dager. Regelverket er tatt inn i EØS-avtalen. EASA Part IS er en del av regelverket til EUs flysikkerhetsbyrå, EASA, som fokuserer på informasjonssikkerhet innen luftfart. Dette regelverket er utformet for å beskytte luftfartsdata og systemer mot cybertrusler og sikre at informasjonshåndtering i luftfartssektoren oppfyller høye sikkerhetsstandarder. Følgende står i EØS-posisjonsnotatet til dette regelverket: " EU har hatt som målsetting at de nye reglene om informasjonssikkerhet skal dekke kravene i NIS-direktivet. Hensikten er at når reglene trer i kraft, vil aktører som også omfattes av NIS-direktivet, oppfylle kravene der ved å følge de nye reglene for luftfarten. For Norges del innebærer dette at NIS-direktivet de facto etter hvert blir innført for de fleste aktører innen luftfart ." Kravene gjelder for de fleste områdene innen luftfart. Følgende står i EØS-notatet om det aktuelle regelverket: "Rettsakten her legger til og endrer krav til organisasjoner som har godkjenning etter forordningene (EU) 1321/2014, 965/2012, 1178/2011, 2015/340, 2017/373 og 2021/664." Basert på denne opplistingen, antar vi at ground handling pr. nå ikke er omfattet av de kravene som følger av Part IS. De vil imidlertid også bli omfattet av dette regelverket når EASAs forslag til regelverk på ground handling-området trer i kraft i EU – med en overgangsperiode i etterkant [2] . Det vil være uheldig dersom ground handling pålegges nasjonale krav etter digitalsikkerhetsforskriften som gjør at de må utvikle systemer og prosedyrer for etterlevelse av dette regelverket frem til de blir en del av Part IS. Den planlagte overgangsordningen må kunne benyttes til å tilpasse seg de nye kravene som kommer fra EU, inkludert hva gjelder informasjonssikkerhet. Vi legger til grunn at det har vært dialog mellom Luftfartstilsynet og departementet om hvordan dette sektorregelverket fra EASA samsvarer med NIS1-direktivet. Vi ønsker å understreke viktigheten av at våre medlemsbedrifter ikke ilegges doble krav med forpliktelser på dette området. Etter NHO Luftfarts vurdering, er det ikke naturlig, at man evt. lar digitalsikkerhetsforskriften få et videre virkeområde ift. hva man definerer som en samfunnsviktig tjeneste enn det som følger av Part IS. Vi ber om at våre innspill tas med i den videre prosessen. [1] Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 med endringsforordninger. [2] EASA har foreslått det første EU-omfattende regelverket for ground handling, som forventes å bli publisert sent i 2024 eller tidlig i 2025. Vedlegg JD - forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften).pdf Justis- og beredskapsdepartementet Til høringen Til toppen