Informasjon om endringsforordning (EU) 2025/2293 som endrer Part-IS forordning (EU) 2023/203
Forordning (EU) 2025/2293 gjør endringer i forordning (EU) 2023/203 (Part-IS), og gjelder særlig kravene som kommer til anvendelse for organisasjoner som er underlagt deklarasjonsordningen. Den sentrale materielle endringen er at tidligere krav om myndighetsgodkjenning av slike organisasjoner tas ut av regelverket.
Endringen må ses i lys av grunnsystematikken i EASA-regelverket, hvor det skilles mellom godkjente (approved) og deklarerte (declared) organisasjoner.
Mens godkjente organisasjoner er underlagt et krav om forhåndsgodkjenning fra tilsynsmyndigheten, bygger deklarasjonsordningen på at organisasjonen selv erklærer etterlevelse av gjeldende krav, og deretter underlegges risikobasert tilsyn.
Ved innføringen av Part-IS gjennom forordning (EU) 2023/203 oppsto det en viss inkonsistens ved at også deklarerte organisasjoner ble underlagt elementer av godkjenningsregime. Forordning (EU) 2025/2293 retter opp dette ved å fjerne kravet om godkjenning for disse aktørene.
I praktisk forstand innebærer dette at deklarerte organisasjoner ikke lenger skal gjennom en formell godkjenningsprosess for å oppfylle kravene i Part-IS. I stedet skal de etablere og opprettholde et styringssystem for informasjonssikkerhet i samsvar med regelverket, og kunne dokumentere etterlevelse overfor tilsynsmyndigheten ved forespørsel eller i forbindelse med tilsyn. Som eksempel vil en mindre luftfartsorganisasjon som opererer på grunnlag av deklarasjon (for eksempel visse typer operatører eller tjenesteytere) ikke lenger måtte avvente myndighetsgodkjenning av sitt informasjonssikkerhetsopplegg før aktivitet kan igangsettes. Organisasjonen må imidlertid fortsatt gjennomføre risikovurderinger, etablere nødvendige sikkerhetstiltak og håndtere hendelser i tråd med Part-IS, og må kunne påvise dette ved tilsyn.
For Luftfartstilsynet innebærer endringen en tydeligere dreining mot etterfølgende kontroll og risikobasert oppfølging, fremfor forhåndsgodkjenning. Dette er i tråd med etablert praksis på andre områder i luftfartsregelverket og bidrar til en mer konsistent og proporsjonal regulering.
I tillegg til denne endringen inneholder forordning (EU) 2025/2293 enkelte tekniske korrigeringer, herunder retting av feil henvisninger i annet luftfartsregelverk som ble endret i forbindelse med innføringen av Part-IS.
Forordning (EU) 2025/2293 forventes innlemmet i EØS-avtalen i juni 2026. Luftfartstilsynet besørger ordinær EØS-gjennomføring med oppdatering av forskrift om informasjonssikkerhet i sivil luftfart § 1 som er gjennomføringsbestemmelsene for EU-rettsakter om Part-IS.