Europaudvalget 2024-25
EUU Alm.del Bilag 206
Offentligt
2965567_0001.png
KOMITÉNOTAT
13. januar 2025
2024-1642
Europa-Kommissionens delegerede forord-
ning om ændring af Kommissionens forord-
ning (EU) 2022/1645 for så vidt angår infor-
mationssikkerhedskrav til organisationer, der
leverer groundhandlingtjenester
Nyt notat
KOM-nr. C(2024) 8928
1.
Resumé
Europa-Kommissionen har vedtaget en delegeret forordning, der
ændrer Kommissionens forordning (EU) 2022/1645 om krav til
styring af informationssikkerhedsrisici med potentiel indvirkning
på luftfartssikkerheden. Ændringen medfører, at anvendelsesom-
rådet for Kommissionens forordning (EU) 2022/1645 fremadret-
tet også vil omfatte organisationer, der leverer groundhandling-
tjenester.
Forslaget medfører, at groundhandling-virksomhederne skal in-
kludere styring af informationssikkerhedsrisici i deres ledelsessy-
stem på lige fod med andre luftfartsaktører. Reglerne forventes
at medføre en byrde for groundhandling-tjenesteyderne i Dan-
mark. Den delegerede forordning vurderes at medføre et forbed-
ret sikkerhedsniveau i Danmark.
Den delegerede forordning er den 19. december 2024sendt til
medlemslandene med frist for eventuelle indsigelser den 24. ja-
nuar 2025.
Regeringen kan støtte forslaget, og at Rådet ikke gør indsigelse
mod udstedelsen af den delegerede retsakt, og vil otte dage fra
oversendelsen af nærværende notat lægge dette til grund.
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0002.png
Side 2/9
2. Baggrund
Den delegerede forordning er vedtaget af Kommissionen med
hjemmel i Europa-Parlamentets og Rådets forordning (EU)
2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og opret-
telse af Det Europæiske Unions Luftfartssikkerhedsagentur og om
ændring af Europa-Parlamentets og Rådets forordning (EF) nr.
2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr.
376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophæ-
velse af Europa-Parlamentets og Rådets forordning (EF) nr.
552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr.
3922/91, med hjemmel i artikel 39, stk. 1, litra e i denne forord-
ning.
Den delegerede forordning træder kun i kraft, hvis hverken Eu-
ropa-Parlamentet eller Rådet har gjort indsigelse inden for en frist
på to måneder. Fristen forlænges med to måneder på Europa-Par-
lamentets eller Rådets initiativ. Europa-Parlamentet træffer beslut-
ning om indsigelse med absolut flertal. Rådet træffer beslutning
om indsigelse med kvalificeret flertal.
I henhold til artikel 1, stk. 1 i forordningen finder den anvendelse
på groundhandling-organisationer, der er omfattet af Kommissio-
nens delegerede forordning vedrørende fastsættelsen af krav til
sikker levering af groundhandlingtjenester og til de organisationer,
der leverer dem, og som:
i)
for at kunne levere de respektive tjenester skal ind-
samle, gemme, analysere eller på anden måde behandle
data fra tredjeparter, eller
giver data direkte til luftfartøjsoperatører, der anven-
der dem til operationelle formål.
ii)
Forslaget er udarbejdet af det europæiske luftfartsikkerhedsagen-
tur, EASA. Kravene i forordning (EU) 2022/1645 bygger i høj grad
på eksisterende internationale standarder for informationssikker-
hed, særligt ISO 27001-standarden.
3. Formål og indhold
Formålet med den delegerede forordning er at udvide anvendelses-
området for forordning (EU) 2022/1645 om informationssikker-
hedskrav, så denne også omfatter organisationer, der leverer
groundhandlingtjenester.
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0003.png
Side 3/9
Det fremgår af præambelbetragtning nr. 3 i forordning (EU)
2022/1645, at Kommissionen finder det nødvendigt at fastsætte
krav til styring af informationssikkerhedsrisici for at sikre, at ledel-
sessystemerne for selskaber i luftfartsbranchen opererer effektivt.
Yderligere fremgår det af præambelbetragtning nr. 8 i samme for-
ordning, at kravene i denne bør anvendes konsekvent på alle luft-
fartsområder.
Kommissionen ønsker med forordningen at opnå en forbedring af
flyvesikkerheden i bred forstand, da styring af informationssikker-
hed er nødvendig for at sikre velfungerende ledelsessystemer. Et
informationssikkerhedsbrud ved et groundhandling-selskab kan
føre til fejl i leveringen af groundhandling-ydelser, eksempelvis
tankning eller de-icing af et fly, eller det kan føre til systemiske fejl
i selskabets ledelsessystem eksempelvis selskabets kompetencesty-
ringssystem eller system til vedligehold af udstyr.
Fejl i leveringen af groundhandling-ydelser kan eksempelvis føre til
skader på luftfartøjer, hvilket er en af de hyppigste og væsentligste
økonomiske risici, som luftfartsselskaber er udsat for.
De foreslåede reglers indhold
Den delegerede forordning medfører, at groundhandling-selskaber
fra 2031 skal udvide deres ledelsessystemer til også at omfatte sty-
ring af informationssikkerhedsrisici, på lige fod med andre aktører
i luftfartsbranchen.
Forordning (EU) 2022/1645 indeholder detaljerede krav om etab-
lering af et informationssikkerhedsstyringssystem. Disse krav
fremgår i bilaget til forordningen (Del-IS.D.OR). Til styring af in-
formationssikkerhedsrisici anvendes samme redskaber som selska-
berne anvender til styring af andre flyvesikkerhedsrelaterede risici,
herunder risikovurderinger, hændelsesindberetninger, kvalitetssy-
stemer og dokumentation af arbejdsprocedurer.
Langt størstedelen af de ovenstående elementer er allerede en del
af groundhandling-selskabernes ledelsessystemer, som derfor blot
skal udvides til at sikre, at organisationerne også har procedurer og
styrende processer for arbejdet med informationssikkerhed.
Den delegerede forordning vil træde i kraft tyve dage efter offent-
liggørelse i EU-Tidende. Der vil være en overgangsperiode på seks
år, før forordningen vil finde anvendelse.
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0004.png
Side 4/9
4. Europa-Parlamentets udtalelser
Europa-Parlamentet vil få forelagt den delegerede forordning. Eu-
ropa-Parlamentet har ikke udtalt sig om sagen på nuværende tids-
punkt.
5. Nærhedsprincippet
Formålet med de foreslåede regler er at bidrage til opretholdelsen
af det høje sikkerhedsniveau i den europæiske luftfart.
I kraft af luftfartens internationale karakter og tradition for inter-
national regulering, herunder eksisterende europæisk regulering af
ledelsessystemer i luftfartsbranchen, vurderes det nødvendigt, at
reguleringen af groundhandling-selskabernes styring af informati-
onssikkerhedsrisici sker på et fælleseuropæisk plan.
På denne baggrund er det regeringens vurdering, at nærhedsprin-
cippet er overholdt.
6. Gældende dansk ret
Der findes ingen nationale regler om informationssikkerhedskrav
for groundhandling-tjenesteydere. Levering af groundhandling-tje-
nester er på nuværende tidspunkt indirekte reguleret gennem for-
ordning (EU) 965/2012
1
, som blandt andet stiller krav til levering
af kontraherede serviceydelser til luftfartsselskaber, herunder leve-
ring af groundhandling-tjenester.
En række af de danske groundhandling-selskaber er allerede om-
fattet af informationssikkerhedskravene i pkt. 1.7 i bilaget til gen-
nemførelsesforordning (EU) 2015/1998. Forordning (EU)
2022/1645 indeholder i artikel 4 en anerkendelse af ækvivalens
med disse eksisterende informationssikkerhedsregler. På baggrund
af dette vil de groundhandling-selskaber, som allerede efterlever
informationssikkerhedskravene i forordning (EU) 2015/1998, ikke
skulle efterleve størstedelen af kravene i forordning (EU)
2022/1645. Disse selskaber vil derfor ikke skulle foretage markante
ændringer af deres ledelsessystem og vil derved undgå unødven-
digt at skulle efterleve krav fra to forskellige regelsæt.
Forordning (EU) Nr. 965/2012 af 5. oktober 2012 om fastsættelse af
tekniske krav og administrative procedurer for flyveoperationer i hen-
hold til Europa-Parlamentets og Rådets forordning (EF) nr. 216/2008.
1
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0005.png
Side 5/9
På den baggrund har forslaget ikke betydning for gældende dansk
lovgivning.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Danmark er jf. forordning (EU) 2018/1139 af 4. juli 2018 forpligtet
til at sikre efterlevelse af kravene til levering af groundhandling-
ydelser på de nationale IMC-flyvepladser
2
, som omfatter Stauning,
Kolding og H.C. Andersen Lufthavne. Da den delegerede retsakt
ikke vil finde direkte anvendelse på disse flyvepladser, vil det være
nødvendigt at udstede en bekendtgørelse i form af en Bestemmelse
for Luftart (BL) for at implementere kravene i dansk ret.
Udstedelsen af BL’en vil have hjemmel i Luftfartslovens § 1a
3
.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Det vurderes, at forslaget har begrænsede statsfinansielle konse-
kvenser forbundet med udarbejdelse af nationale regler.
Samfundsøkonomiske konsekvenser
Forslaget forventes at medføre øgede udgifter i groundhandling-
branchen på kort sigt. De øgede udgifter kan medføre et begrænset
prispres overfor luftfartsselskaberne, der køber tjenester hos
groundhandling-tjenesteyderne. Merudgiften forventes dog at få
en marginal effekt på billetpriserne.
Den primære samfundsøkonomiske påvirkning forventes at være
positiv forudsat, at forordningen bidrager til opretholdelsen af ef-
fektive ledelsessystemer i groundhandling-selskaberne og en be-
grænsning af selskabernes sårbarhed overfor informationssikker-
hedsrisici. Effektive ledelsessystemer i groundhandling-selska-
berne forventes at bidrage til færre skader på luftfartøjer, hvilket
IMC refererer til
”instrument
meterological conditions”
og IMC-fly-
vepladser er således flyvepladser, der har tilknyttede instrumentflyve-
procedurer. I Danmark er Stauning Lufthavn, Kolding Lufthavn og
H.C. Andersen Lufthavn omfattet af forordning (EU) 2018/1139, men
reguleret efter nationale regler, eftersom disse lufthavne er undtaget
fra at følge europæiske regler.
3
Bekendtgørelse af Lov om Luftfart nr. 118 af 31/01/2024
2
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0006.png
Side 6/9
over tid vil medvirke til færre aflysninger og reducerede omkost-
ninger for luftfartsselskaberne.
Erhvervsøkonomiske konsekvenser
Det vurderes, at reglerne vil få begrænsede erhvervsøkonomiske
konsekvenser for de omfattede groundhandling-tjenesteydere. De
erhvervsøkonomiske konsekvenser vurderes dog ikke at være væ-
sentlige, da styringen af informationssikkerhedsrisici vil kunne in-
tegreres i groundhandling-selskabernes eksisterende ledelsessyste-
mer til styring af flyvesikkerhedsrelaterede risici.
I praksis betyder reglerne, at groundhandling-tjenesteyderne skal
udvide deres ledelsessystem til også at omfatte informationssikker-
hedselementer. Det vil ikke være nødvendigt for selskaberne at etab-
lere nye systemer, men de vil eksempelvis skulle udvide deres risi-
kovurderinger til også at inkludere informationssikkerhedsrisici og
deres træning af medarbejdere til også at omfatte viden om infor-
mationssikkerhed.
Anerkendelsen af ækvivalens mellem kravene i forordning (EU)
2022/1645 og forordning (EU) 2015/1198 betyder, at implemente-
ringsbyrden reduceres markant for de selskaber, som allerede er
omfattet af informationssikkerhedskravene i (EU) 2015/1998. Yder-
ligere betyder implementeringsperioden på seks år, at de omfattede
selskaber vil have god tid til at imødekomme de nye krav og vil have
mulighed for at fordele omkostningerne over en længere årrække.
Det er regeringens vurdering, at de omfattede groundhandling-sel-
skaber vil være godt rustet til at implementere informationssikker-
hedskravene, da de allerede vil skulle operere med risikostyring i
deres ledelsessystem, jf. kravene i Kommissionens forordning ved-
rørende safety-regler for groundhandling-tjenesteydere.
4
På baggrund af forudgående dialog med branchen forventer rege-
ringen, at større selskaber alt andet lige vil være bedre rustet til at
administrere de nye krav til styring af informationssikkerhedsri-
sici. Mindre selskaber, der ikke har lige så stor erfaring med risiko-
styring og ledelsessystemer, forventes at måtte afsætte proportio-
nelt flere ressourcer til implementering af reglerne, men her vil
reglerne samtidig udgøre den største positive effekt på
Europa-Kommissionens forslag til delegeret forordning (KOM-nr.
C(2024) 8926) vedrørende udstedelse af safetyregler for groundhand-
ling-tjenesteydere på flyvepladser omfattet af forordning (EU)
2018/1139.
4
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0007.png
Side 7/9
flyvesikkerhedsniveauet. Det forventes, at de primære omstillings-
omkostninger vil være til opdatering af selskabernes håndbog samt
træning af medarbejdere.
Omstillingsomkostningerne vurderes at være begrænsede, da efter-
levelse af kravene kan gøres ved udvidelse af allerede eksisterende
ledelsessystemer. Størrelsesordenen for de samlede omstillingsom-
kostninger forbundet med informationssikkerhedskravene forven-
tes således ikke at overstige et lavt ét-cifret millionbeløb på tværs af
hele branchen. Informationssikkerhed er allerede for de fleste ak-
tører et fokusområde for at sikre stabil drift og serviceniveau over-
for deres kunder (flyselskaber mv.).
Øvrige konsekvenser
Det forventes, at forordningen vil medføre en forbedring af flyve-
sikkerheden i bred forstand, da styring af informationssikkerheds-
risici er nødvendig for at sikre velfungerende ledelsessystemer. Et
informationssikkerhedsbrud ved et groundhandling-selskab kan
føre til fejl i leveringen af groundhandling-tjenester, eksempelvis
tankning eller de-icing af et fly, eller det kan føre til systemiske fejl
i selskabets ledelsessystem, eksempelvis selskabets kompetencesty-
ring eller system til vedligehold af udstyr.
Fejl i leveringen af groundhandling-tjenester kan eksempelvis føre
til skader på luftfartøjer, hvilket er en af de hyppigste og væsentlig-
ste økonomiske risici, som luftfartsselskaber er udsat for. Regerin-
gen forventer derfor en forbedring i flyvesikkerhedsniveauet i Dan-
mark og en positiv effekt på regulariteten i lufttrafikken grundet
færre uheld på jorden.
8. Høring
Forslaget er sendt i høring i EU-specialudvalget for Transport fra
den 20. december 2024 til den 9. januar 2025.
Der er modtaget indholdsmæssige høringssvar fra Brancheforenin-
gen for Dansk Luftfart.
Brancheforeningen for Dansk Luftfart
Vi har ikke specifikke bemærkninger til indholdet af det frem-
sendte. Det tages til efterretning, idet vi er så langt fremme i pro-
cessen.
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0008.png
Side 8/9
Vi vil dog gerne tilknytte en generel kommentar til rationalet bag
udvikling af en ground handling forordning med tilhørende retsak-
ter. Dette blot for eksemplets skyld i forhold til den verserende dis-
kussion om overregulering.
Den helt principielle ændring er, at det sikkerhedsmæssige ansvar,
der hidtil har været placeret hos det luftfartsselskab, der modtager
den konkrete GH-ydelse, fremover skal bæres af GH-operatøren
selv. Det betyder selvsagt en ny bureaukratisk byrde på GH-opera-
tørerne, mens luftfartsselskabet fortsat må opretholde et vist kon-
trolsystem i forhold til sin GH-leverandør. Samlet set en øget bu-
reaukratisk byrde. Såfremt sikkerhedsniveauet ift GH-ydelser var
lidende, ville rationalet være til stede. Men som det også fremgår af
materialet, er det ikke tilfældet. Derfor fremstår hele ændringen
som et godt eksempel på EU-regulering, der potentielt kan ses som
unødvendig regulering. Eller med andre ord regulering for regule-
ringens skyld. Hvis der fremadrettet skal gøres noget reelt ved
”overregulering” med tilhørende byrder, bør lovgivere og regelud-
viklere blive meget bedre til at stille de grundlæggende spørgsmål
om regeldannelsens nødvendighed og bureaukratiske effekter in-
den regeludviklingen sættes i gang.
9. Generelle forventninger til andre landes hold-
ninger
På baggrund af drøftelser i EASA-komitéen, Ekspertgruppen og
EASA-arbejdsgrupper er det vurderingen, at der er en overvejende
positiv holdning til forordningen fra langt størstedelen af de øvrige
medlemsstater.
10.
Regeringens generelle holdning
Regeringen støtter forslaget om de nye krav til styring af informati-
onssikkerhedsrisici for groundhandling-tjenesteydere, da ground-
handling branchen som helhed udgør en væsentlig risiko for fejl og
skader på luftfartøjer.
Der er tale om et område, der bidrager væsentligt til antallet af ska-
der og forsinkelser i luftfarten, med store økonomiske tab for luft-
fartsselskaberne. Reglerne har til hensigt at sikre velfungerende le-
delsessystemer i groundhandling-selskaberne med henblik på, at
reducere antallet af skader og fejl i forbindelse med levering af
groundhandling-tjenester og bidrage til opretholdelsen af et højt
sikkerhedsniveau i luftfarten.
 EUU, Alm.del - 2024-25 - Bilag 206: Notat om delegeret retsakt om informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester
2965567_0009.png
Side 9/9
Samtidig vurderes de erhvervsøkonomiske konsekvenser at være
acceptable for den enkelte virksomhed, da omkostningerne er delt
på en række aktører og kan spredes over en længere årrække. Yder-
ligere tager forordningen højde for overlap med eksisterende infor-
mationssikkerhedsregler for groundhandling-selskaber, så selska-
berne ikke unødvendigt pålægges krav fra to forskellige regelsæt.
Regeringen kan støtte forslaget, og at Rådet ikke gør indsigelse
mod udstedelsen af den delegerede forordning, og vil otte dage fra
oversendelsen af nærværende notat lægge dette til grund.
11.
Tidligere forelæggelser for Folketingets
Europaudvalg
Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.