Hopp til innhold
Du er her:
  1. Luftfartstilsynet
  2. Aktører
  3. Informasjonssikkerhet
  4. Om informasjonssikkerhet

Om informasjonssikkerhet

Informasjonssikkerhet (cybersecurity) i luftfarten handler om å ivareta konfidensialitet, integritet og tilgjengelighet til informasjon, samt at sporbarhet er ivaretatt der dette er stilt krav til.

Informasjonssikkerhet er viktig på alle samfunnsområder og særlig innenfor luftfart som er et system av systemer som er digitalisert på alle områder eksempelvis flynavigasjon og vedlikehold.

Hendelser kan påvirke flysikkerhet (safety) og for å ivareta informasjonssikkerhet skal sertifiserte organisasjoner innen luftfart implementere styringssystemer for informasjonssikkerhet (ISMS) i henhold til EU-forordningen Part-IS.

Regelverket er gjennomført i norsk rett gjennom forskrift om informasjonssikkerhet i sivil luftfart. 

Bakgrunn

Luftfarten er helt avhengig av informasjon og data i digitale systemer innenfor så godt som alle luftfartsdomener. Det er derfor viktig at informasjonssikkerhet for safety i sivil luftfart er ivaretatt. Informasjon må være korrekt (ha integritet), mulig å nå (tilgjengelig) og kun for de som skal ha den (konfidensialitet).  Det er dessverre stadig hendelser der informasjon kommer på avveie, blir endret, ødelagt eller gjort utilgjengelig.

For å sikre at  flysikkerheten ikke blir svekket av slike hendelser er det nå stilt krav til de fleste sertifiserte organisasjoner om at et styringssystem for informasjonssikkerhet skal implementeres.

Hvilke organisasjoner gjelder kravene for?

Organisasjonene skal ha et styringssystem for informasjonssikkerhet som angitt i forskrift om informasjonssikkerhet i sivil luftfart og som gjennomfører forordningene (EU) 2022/1645 og (EU) 2023/203. EASA har også publisert Part-IS kravene, herunder Easy Access Rules (EAR) på sine nettsider sammen med veiledningsmateriale.

I henhold til punkt e) i IS.D.OR.200 / IS.I.OR.200 kan organisasjoner søke om unntak fra å innføre mesteparten av Part-IS. Dette kan være aktuelt dersom organisasjonen kan vise at dens virksomhet, anlegg og ressurser, samt tjenestene den driver, leverer, mottar og opprettholder, ikke utgjør noen informasjonssikkerhetsrisiko. Dette med tanke på potensiell påvirkning på flysikkerheten, og da verken for organisasjonen selv eller for andre.

Hva dere må gjøre:

  • Etablere systemer for håndtering av informasjonssikkerhet i samsvar med punkt IS.D.OR.200 / IS.I.OR.200 (ISMS - Styringssystem for informasjonssikkerhet).
  • Utarbeide en håndbok for håndtering av informasjonssikkerhet (ISMM) i samsvar med punkt IS.D.OR.250 / IS.I.OR.250 Håndbok for håndtering av informasjonssikkerhet (ISMM).
  • ISMM skal sendes inn til Luftfartstilsynet for godkjenning.
  • Dere må oppdatere prosedyrene deres for endringshåndtering for å etterleve punkt IS.D.OR.255 / IS.I.OR.255 - endringer i styringssystemet for informasjonssikkerhet.

Viktig å huske:

  • ISMS kan integreres i deres eksisterende styringssystemer som SMS for å sikre konsistens og effektivitet, i henhold til IS.D.OR.200 / IS.I.OR.200 (d) og tilhørende veiledningsmateriale.
  • Organisasjonen kan, i henhold til IS.D.OR.250 / IS.I.OR.250 (d), integrere ISMM med andre styringshåndbøker eller manualer, forutsatt at det finnes klare kryssreferanser som viser hvilke deler som tilsvarer kravene i IS.D.OR.250 / IS.I.OR.250.

Spørsmål om Part-IS

Se EASAs nettside med spørsmål og svar om Part-IS, inkludert unntak for visse organisasjoner med antatt lav risiko knyttet til informasjonssikkerhet (f.eks. ELA2).

Spørsmål vedrørende implementering av Part-IS kan sendes til postmottak@caa.no - oppgi ‘Part-IS’ som en del av emnefeltet.

Informasjon om regelverket er formidlet direkte til organisasjoner som er omfattet (gi oss beskjed dersom dette ikke er mottatt).

Frister for innsending av dokumentasjon

  • 1. oktober 2025: Organisasjoner underlagt (EU) 2022/1645 (Aerodrome, Part-21 subpart G, Apron management services)
  • 1. februar 2026 Øvrige organisasjoner som er underlagt (EU) 2023/203.
  • Ground handling og enkelte organisasjoner som opererer under en deklarering forventes å bli omfattet på et senere tidspunkt.

Mer informasjon 

Her er noen lenker til relevante dokumenter og veiledninger: