Útdráttur
Markmiðið með reglugerðinni er að setja kröfur um upplýsingaöryggi til fyrirtækja sem hanna og framleiða loftför, sem og til þeirra sem reka flugvelli og fyrirtækja sem stjórna hlaðþjónustu. Öryggisáhætta sem þessum aðilum getur stafað hætta af kann að koma til vegna tilviljanakenndra atburða en einnig vegna ásetnings um að valda tjóni. Því er verið að breyta kröfum til stjórnkerfa þannig að þau taki einnig á upplýsingaöryggi. Um er að ræða kröfur um aðgerðir til þess að verja kerfi í flugi gegn áhættu tengdri upplýsingaöryggi og stuðla þannig að auknu flugöryggi. Jákvæð áhrif. Takmarkaður kostnaður vegna þessarar gerðar. Kostnaður mun falla til vegna tengdrar gerðar.
Nánari efnisumfjöllun
Markmið sem að er stefnt: Markmiðið með reglugerðinni er að setja kröfur um upplýsingaöryggi til fyrirtækja sem hanna og framleiða loftför, sem og til þeirra sem reka flugvelli og fyrirtækja sem stjórna hlaðþjónustu. Öryggisáhætta sem þessum aðilum getur stafað hætta af kann að koma til vegna tilviljanakenndra atburða en einnig vegna ásetnings um að valda tjóni.Bent er á að þótt mörg fyrirtæki noti staðla um upplýsingaöryggi eins og ISO27001 sé það ekki nægjanlegt í flugi. Ráðstafanir til þess að koma í veg fyrir atvik af völdum brests á upplýsingaöryggi þurfa að eiga við um alla geira flugs. Þær þurfa einnig að ná til tenginga milli kerfa þar sem fluggeirinn samanstendur að miklu leyti af samþættum kerfum.Af þessum sökum þarf að breyta kröfum til stjórnkerfa þannig að þau taki einnig á upplýsingaöryggi. Um er að ræða kröfur um aðgerðir til þess að verja kerfi í flugi gegn áhættu tengdri upplýsingaöryggi og stuðla þannig að auknu flugöryggi.Efnisútdráttur: Í reglugerðinni eru settar fram kröfur til eftirtalinna fyrirtækja:- framleiðslu- og hönnunarfyrirtækja skv. reglugerð (ESB) nr. 748/2012. Undantekning er gerð þegar um er að ræða hönnun lítilla loftfara skv. nánari skilgreiningu, svokallaðra ELA2-loftfara.- rekstraraðila flugvalla og þá sem stjórna hlaðþjónustu skv. reglugerð (ESB) No 139/2014.Kröfur eru gerðar um að innleidd verði kerfi til að stjórna upplýsingaöryggi hjá framangreindum aðilum, e. information security management system. Ítarlegri kröfur er síðan að finna í viðauka við reglugerðina.Í 5. gr. er kveðið á um að lögbært eftirlitsstjórnvald skuli vera það stjórnvald sem fer með eftirlit í málum tengdum framangreindum aðilum. Þó er hægt að tilnefna sérstakan óháðan aðila til þess að fara með eftirlitið. Hafi sérstakur óháður aðili verið tilnefndur ber að tryggja samhæfingu á milli lögbærra stjórnvalda og hans til þess að tryggja rétta framkvæmd reglugerðarinnarTil þess að koma í veg fyrir að kröfur séu tvíteknar eru hvorki gerðar kröfur um að reglugerðin gildi um fyrirtæki sem falla undir gildissvið reglugerðar nr. (ESB) 2015/1998 um flugvernd né fyrirtæki sem falla undir gildissvið tilskipunar (ESB) 2016/1148 – NIS tilskipunar. Á því eru þó þær undantekningar að eftir sem áður verður gerð krafa til fyrirtækja sem uppfylla kröfur reglugerðar (ESB) 2015/1998 að uppfylla kröfur IS.D.OR.230 í viðauka við reglugerð þessa, þ.e. um tilkynningar e. Information security external reporting scheme.Umsögn: helstu breytingar, mati á umfangi, og áhrif hér á landi: Á Íslandi eru í dag starfandi 3 hönnunarfyrirtæki en þau falla undir eftirlit EASA. Ekkert framleiðslufyrirtæki er starfandi á Íslandi. Engin fyrirtæki sem stjórna hlaðþjónustu eru starfandi í dag.Á grundvelli laga um öryggi net- og upplýsingakerfa mikilvægra innviða nr. 78/2019, en með þeim er innleidd NIS tilskipunin, ESB 2016/1148, hefur Samgöngustofa skilgreint Isavia o. hf. og Isavia innanlands sem þjónustuveitendur mikilvægra innviða. Með vísan til þess sem að framan greinir ætti að vera nægjanlegt að Isavia ohf. og Isavia innanlands sýni fram á fyrirtækin hlíti tilskipun (ESB) 2016/1148. Nú þegar er skylda á Isavia ohf. og Isavia innanlands að uppfylla þær kröfur sem þar eru gerðar.Lagastoð fyrir innleiðingu gerðar: 20. gr., 72. gr. og 152. gr. laga um loftferðir nr. 80/2022. Gera þarf nýja reglugerð til innleiðingar.Mat eða tilgreining á kostnaði hins opinbera, sveitarfélaga og atvinnulífs og almennings, ef einhver er: Líkt og segir að framan eru þau 3 hönnunarfyrirtæki sem eru starfandi í dag vottuð og undir eftirliti EASA og því enginn kostnaður sem leggst á Samgöngustofu hvað þetta varðar.Að því er varðar kröfur á Isavia o. hf. og Isavia innanlands er líkt og fram er komið nægjanlegt að Isavia ohf. og Isavia innanlands sýni fram á að hlíta tilskipun (ESB) 2016/1148 sem þegar er skylda samkvæmt lögum nr. 78/2019 á Isavia að uppfylla þær kröfur.Engin fyrirtæki eru starfandi í dag sem stjórna hlaðþjónustu.Samgöngustofa hefur í áhrifamati á „Commission implementing Regulation (EU) of xxx laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, No 965/2012, No 1178/2011, 2015/340, 2017/373 and 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, No 1321/2014, No 965/2012, No 1178/2011, 2015/340, 2017/373, No 139/2014 and 2021/664 and amending Commission Regulations (EU) No 1178/2011, No 748/2012, No 965/2012, No 139/2014, No 1321/2014, 2015/340, 2017/373 and 2021/664“metið þann heildarkostnað sem stofnunin telur að leggist á við innleiðingu á eftirliti með upplýsingaöryggiskröfum í flugi. Inn í það kostnaðarmat var einnig tekið eftirlit með Isavia ohf. og Isavia innanlands.Ekki er því reiknað með viðbótarkostnaði með innleiðingu á þeirri gerð sem hér um ræðir.Tilgreining á hagsmunaaðilum: Isavia ohf, og Isavia innanlands.Horizontal issues: sektir, aðrar refsingar, stofnanir, lönd utan EES: Nei.Þörf fyrir EFTA-komment – aðlaganir sem þegar eru í gildi vegna undanfarandi gerða: Nei.