32025R0022

Dieses Dokument ist ein Auszug aus dem EUR-Lex-Portal.

EUROPA
EUR-Lex-Startseite
Delegierte Verordnung - EU - 2025/22 - DE - EUR-Lex

Hilfe

Suchtipps

Brauchen Sie weitere Suchoptionen? Nutzen Sie die Erweiterte Suche

Dokument 32025R0022

Hilfe

Delegierte Verordnung (EU) 2025/22 der Kommission vom 19. Dezember 2024 zur Änderung der Delegierten Verordnung (EU) 2022/1645 hinsichtlich der Anforderungen an die Informationssicherheit für Organisationen, die Bodenabfertigungsdienste erbringen

C/2024/8928

ABl. L, 2025/22, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/22/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Rechtlicher Status des Dokuments In Kraft

ELI: http://data.europa.eu/eli/reg_del/2025/22/oj

HTML

PDF– rechtsverbindliches Amtsblatt

Elektronische Signatur

So überprüfen Sie die Echtheit des Amtsblatts

Amtsblatt
der Europäischen Union

Reihe L

2025/22

7.3.2025

DELEGIERTE VERORDNUNG (EU) 2025/22 DER KOMMISSION

vom 19. Dezember 2024

zur Änderung der Delegierten Verordnung (EU) 2022/1645 hinsichtlich der Anforderungen an die Informationssicherheit für Organisationen, die Bodenabfertigungsdienste erbringen

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 552/2004 und (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates (1), insbesondere auf Artikel 39 Absatz 1 Buchstabe e,

in Erwägung nachstehender Gründe:

(1)

In der Verordnung (EU) 2018/1139 sind die grundlegenden Anforderungen an die sichere Erbringung von Bodenabfertigungsdiensten und an Organisationen, die diese Dienste erbringen, sowie die Anforderungen an die Aufsicht durch die zuständigen Behörden über diese Organisationen und die Bodenabfertigungsdienste, die auf Flugplätzen der Union im Anwendungsbereich der genannten Verordnung erbracht werden, festgelegt.

(2)

Gemäß den grundlegenden Anforderungen in Anhang VII Nummer 4.2.1 der Verordnung (EU) 2018/1139 und der Delegierten Verordnung (EU) 2025/20 der Kommission (2) müssen für die sichere Erbringung von Bodenabfertigungsdiensten zuständige Organisationen für das Management von Sicherheitsrisiken ein Managementsystem einführen und aufrechterhalten. Solche Sicherheitsrisiken können sich auch aus Bedrohungen der Informationssicherheit ergeben. Risiken dieser Art sollten von Organisationen, die Bodenabfertigungsdienste erbringen, angemessen bewältigt werden. Daher sollte der Anwendungsbereich der Delegierten Verordnung (EU) 2022/1645 der Kommission (3) auf Organisationen, die Bodenabfertigungsdienste erbringen, ausgeweitet werden.

(3)

Organisationen, die der Delegierten Verordnung (EU) 2022/1645 unterliegen, wie Bodenabfertigungsorganisationen und Organisationen, die Vorfeldkontrolldienste erbringen, sind auf der Grundlage einer Erklärung tätig. Dies bedeutet, dass ihr Managementsystem oder eine seiner Komponenten nicht von den zuständigen Behörden genehmigt werden muss. Die gleiche Regelung sollte diese Organisationen in die Lage versetzen, die Bestimmungen über die Informationssicherheit anzuwenden, ohne dass ihr Handbuch zum Informationssicherheitsmanagement oder der Prozess für das Änderungsmanagement von der zuständigen Behörde genehmigt werden muss. Die Anforderungen in Bezug auf diese Elemente sollten geändert werden, um dieser Ausnahme für Erklärungen abgebende Organisationen Rechnung zu tragen.

(4)

Unter diese Verordnung fallende Organisationen, die bereits den Sicherheitsanforderungen der Durchführungsverordnung (EU) 2015/1998 der Kommission (4) unterliegen, sollten auch die Anforderungen von Anhang I (Teil IS.D.OR.230 „Informationssicherheitssystem für externe Meldungen“) der Delegierten Verordnung (EU) 2022/1645 erfüllen, da die Durchführungsverordnung (EU) 2015/1998 keine Bestimmungen über die externe Meldung von Störungen der Informationssicherheit enthält.

(5)	Die in dieser Verordnung festgelegten Anforderungen beruhen auf der Stellungnahme Nr. 01/2024 (5), die von der Agentur gemäß Artikel 75 Absatz 2 Buchstaben b und c sowie Artikel 76 Absatz 1 der Verordnung (EU) 2018/1139 abgegeben wurde.

(6)

Wie nach Artikel 128 Absatz 4 der Verordnung (EU) 2018/1139 vorgeschrieben, hat die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (6) enthaltenen Grundsätzen konsultiert.

(7)	Damit die Organisationen ausreichend Zeit haben, um die Einhaltung der mit dieser Verordnung eingeführten neuen Vorschriften und Verfahren sicherzustellen, sollte diese Verordnung erst nach einem Zeitraum von sechs Jahren ab ihrem Inkrafttreten Anwendung finden —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die Delegierte Verordnung (EU) 2022/1645 der Kommission wird wie folgt geändert:

In Artikel 2 Absatz 1 wird folgender Buchstabe c angefügt:

„c)

Bodenabfertigungsorganisationen, die der Delegierten Verordnung (EU) 2025/20 der Kommission (*1) unterliegen und die

i)	zur Erbringung der jeweiligen Dienste von Dritten bereitgestellte Daten sammeln, speichern, analysieren oder anderweitig verarbeiten müssen oder

ii)	den Luftfahrzeugbetreibern unmittelbar Daten zur Verfügung stellen, die für betriebliche Zwecke verwendet werden.

(*1) Delegierte Verordnung (EU) 2025/20 der Kommission vom 19. Dezember 2024 zur Ergänzung der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates durch die Festlegung von Anforderungen an die sichere Erbringung von Bodenabfertigungsdiensten und an Organisationen, die diese Dienste erbringen (ABl. L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).“ "

In Artikel 5 Absatz 1 wird folgender Buchstabe c angefügt:

„c)	in Bezug auf die in Artikel 2 Buchstabe c genannten Organisationen die gemäß dem Anhang (Teil-ARGH) der Durchführungsverordnung (EU) 2025/23 der Kommission (*2) benannte zuständige Behörde.

(*2) Durchführungsverordnung (EU) 2025/23 der Kommission vom 19. Dezember 2024 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates im Hinblick auf die Anforderungen an die Aufsicht über die Bodenabfertigungsdienste und an Organisationen, die diese Dienste erbringen (ABl. L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).“ "

Artikel 2

Der Anhang der Delegierten Verordnung (EU) 2022/1645 wird gemäß dem Anhang der vorliegenden Verordnung geändert.

Artikel 3

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Artikel 1 findet ab dem 27 März 2031 Anwendung.

(3) Artikel 2 gilt ab dem 16. Oktober 2025.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 19. Dezember 2024

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN

(1) ABl. L 212 vom 22.8.2018, S. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2) Delegierte Verordnung (EU) 2025/20 der Kommission vom 19. Dezember 2024 zur Ergänzung der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates durch die Festlegung von Anforderungen an die sichere Erbringung von Bodenabfertigungsdiensten und an Organisationen, die diese Dienste erbringen (ABl. L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3) Delegierte Verordnung (EU) 2022/1645 der Kommission vom 14. Juli 2022 zur Festlegung von Vorschriften für die Anwendung der Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates im Hinblick auf die Anforderungen an das Management von Informationssicherheitsrisiken mit potenziellen Auswirkungen auf die Flugsicherheit für Organisationen, die unter die Verordnungen (EU) Nr. 748/2012 und (EU) Nr. 139/2014 der Kommission fallen, und zur Änderung der Verordnungen (EU) Nr. 748/2012 und (EU) Nr. 139/2014 der Kommission (ABl. L 248 vom 26.9.2022, S. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4) Durchführungsverordnung (EU) 2015/1998 der Kommission vom 5. November 2015 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit (ABl. L 299 vom 14.11.2015, S. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5) https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6) ABl. L 123 vom 12.5.2016, S. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

ANHANG

Der Anhang der Delegierten Verordnung (EU) 2022/1645 wird wie folgt geändert:

Punkt IS.D.OR.200 Buchstabe a Nummer 5 wird wie folgt geändert:

„5.

Festlegung und Umsetzung nach Punkt IS.D.OR.220 der zur Erkennung von Informationssicherheitsereignissen notwendigen Maßnahmen, Identifizierung solcher Ereignisse, die als Störungen mit potenziellen Auswirkungen auf die Flugsicherheit gelten, sowie Reaktion auf diese Störungen der Informationssicherheit und Wiederherstellung;“.

In Punkt IS.D.OR.250 erhalten die Buchstaben b und c folgende Fassung:

„b)

Die Erstausgabe des ISMM muss von der zuständigen Behörde genehmigt werden, die auch ein Exemplar dieses Handbuchs aufbewahrt. Erklärungen abgebende Organisationen benötigen keine Genehmigung.“ Das ISMM muss erforderlichenfalls geändert werden, damit die Beschreibung des ISMS der Organisation aktuell bleibt. Der zuständigen Behörde muss ein Exemplar aller Änderungen des ISMM vorgelegt werden.

Änderungen des ISMM müssen nach einem von der Organisation festgelegten Verfahren verwaltet werden. Änderungen, die nicht in den Anwendungsbereich dieses Verfahrens fallen, sowie Änderungen im Zusammenhang mit den Änderungen nach Punkt IS.D.OR.255 Buchstabe b müssen von der zuständigen Behörde genehmigt werden. Erklärungen abgebende Organisationen benötigen keine Genehmigung.“

Punkt IS.D.OR.255 erhält folgende Fassung:

„IS.D.OR.255 Änderungen des Informationssicherheitsmanagementsystems

a)	Änderungen des ISMS können nach einem von der Organisation entwickelten Verfahren verwaltet und der zuständigen Behörde mitgeteilt werden. Dieses Verfahren muss von der zuständigen Behörde genehmigt werden, es sei denn, es handelt sich um Erklärungen abgebenden Organisationen.

Für Änderungen des ISMS, die nicht unter das in Buchstabe a genannte Verfahren fallen, muss die Organisation eine von der zuständigen Behörde zu erteilende Genehmigung beantragen und erhalten, was jedoch nicht für Erklärungen abgebende Organisationen gilt, die keine Genehmigung benötigen.

In Bezug auf diese Änderungen gilt Folgendes:

1.	Der Antrag muss vor solchen Änderungen gestellt werden, damit die zuständige Behörde die fortgesetzte Einhaltung dieser Verordnung überprüfen und erforderlichenfalls die Organisationszulassung und den damit zusammenhängenden Genehmigungsumfang ändern kann.

2.	Die Organisation muss der zuständigen Behörde alle Informationen zur Verfügung stellen, die diese zur Bewertung der Änderung anfordert.

3.	Die Änderung darf erst nach Eingang einer förmlichen Genehmigung durch die zuständige Behörde umgesetzt werden, was jedoch nicht für Erklärungen unterliegenden Organisationen gilt, die die Änderung unverzüglich vornehmen können.

4.	Während der Umsetzung solcher Änderungen unterliegt die Weiterführung des Betriebs der Organisation den von der zuständigen Behörde festgelegten Bedingungen.“

ELI: http://data.europa.eu/eli/reg_del/2025/22/oj

ISSN 1977-0642 (electronic edition)

nach oben

Wählen Sie die experimentellen Funktionen, die Sie testen möchten.