РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2019/1583 НА КОМИСИЯТА

от 25 септември 2019 година

за изменение на Регламент за изпълнение (ЕС) 2015/1998 за установяване на подробни мерки за прилагането на общите основни стандарти за сигурност във въздухоплаването по отношение на мерките за киберсигурност

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕО) № 300/2008 на Европейския парламент и на Съвета от 11 март 2008 г. относно общите правила в областта на сигурността на гражданското въздухоплаване и за отмяна на Регламент (ЕО) № 2320/2002 (1), и по-специално член 1 и член 4, параграф 3 от него,

като има предвид, че:

(1)	Една от основните цели на Регламент (ЕО) № 300/2008 е предоставянето на основа за общо тълкуване на приложение 17 (приложението за сигурността) от Конвенцията за международно гражданско въздухоплаване (2) от 7 декември 1944 г., 10-то изд., 2017 г., която всички държави — членки на ЕС, са подписали.

(2)	Средствата за постигане на целите са: а) определяне на общи правила и общи основни стандарти за сигурност на въздухоплаването и б) механизми за контрол на спазването им.

(3)

Целта за изменение на законодателството за прилагане е да се подкрепят държавите членки в усилията им да гарантират пълно съответствие с последното изменение (изменение 16) на приложение 17 към Конвенцията за международно гражданско въздухоплаване, с което бяха въведени нови стандарти в точка 3.1.4 във връзка с националната организация и компетентния орган и в точка 4.9.1 във връзка с превантивните мерки за киберсигурност.

(4)

С транспонирането на тези стандарти в законодателството в областта на сигурността на въздухоплаването за прилагане в целия ЕС ще се гарантира, че компетентните органи въвеждат и прилагат процедури за обмен, ако е целесъобразно и по практичен и своевременен начин, на важна информация, за да подпомагат други национални органи и агенции, летищни оператори, въздушни превозвачи и други засегнати субекти, при провеждането на ефективни оценки на риска за сигурността, свързани с техните дейности, и по този начин подпомагат тези субекти при провеждането на ефективни оценки на риска за сигурността, свързани, наред с други области, с киберсигурността, и прилагат мерки за справяне с киберзаплахи.

(5)

С Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (3) относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (Директивата за МИС) се установяват мерки с цел постигане на високо общо ниво на сигурност на мрежите и информационните системи в Съюза, така че да се подобри функционирането на вътрешния пазар. Мерките, произтичащи от Директивата за МИС, и настоящият регламент следва да бъдат координирани на национално равнище, за да се избегнат пропуски и дублиране на задължения.

(6)	Поради това Регламент за изпълнение (ЕС) 2015/1998 на Комисията (4) следва да бъде съответно изменен.

(7)	Мерките, предвидени в настоящия регламент, са в съответствие със становището на Комитета по сигурността в гражданското въздухоплаване, създаден в съответствие с член 19, параграф 1 от Регламент (ЕО) № 300/2008,

ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:

Член 1

Приложението към Регламент за изпълнение (ЕС) 2015/1998 се изменя в съответствие с приложението към настоящия регламент.

Член 2

Настоящият регламент влиза в сила на 31 декември 2020 г.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 25 септември 2019 година.

За Комисията

Председател

Jean-Claude JUNCKER

(1) ОВ L 97, 9.4.2008 г., стр. 72.

(2) https://icao.int/publications/pages/doc7300.aspx.

(3) Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1).

(4) Регламент за изпълнение (ЕС) 2015/1998 на Комисията от 5 ноември 2015 година за установяване на подробни мерки за прилагането на общите основни стандарти за сигурност във въздухоплаването (ОВ L 299, 14.11.2015 г., стр. 1).

ПРИЛОЖЕНИЕ

Приложението към Регламент за изпълнение (ЕС) 2015/1998 се изменя, както следва:

Добавя се следната точка 1.0.6:

„1.0.6.

Компетентният орган установява и изпълнява процедури за обмен, ако е целесъобразно и по практичен и своевременен начин, на важна информация, за да подпомага други национални органи и агенции, летищни оператори, въздушни превозвачи и други засегнати субекти, при провеждането на ефективни оценки на риска за сигурността, свързани с техните дейности.“;

Добавя се следната точка 1.7:

„1.7. ИДЕНТИФИЦИРАНЕ И ЗАЩИТА ОТ КИБЕРЗАПЛАХИ НА ИНФОРМАЦИОННИ И КОМУНИКАЦИОННИ ТЕХНОЛОГИЧНИ СИСТЕМИ И ДАННИ ОТ КРИТИЧНО ЗНАЧЕНИЕ В ГРАЖДАНСКОТО ВЪЗДУХОПЛАВАНЕ

1.7.1.

Компетентният орган гарантира, че летищните оператори, въздушните превозвачи и субектите, определени в националната програма за сигурност на гражданското въздухоплаване, идентифицират и защитават своите информационни и комуникационни технологични системи и данни от критично значение от кибератаки, които могат да засегнат сигурността на гражданското въздухоплаване.

1.7.2.

Летищните оператори, въздушните превозвачи и субектите идентифицират в програмата си за сигурност или във всеки друг относим документ, на който се прави позоваване в програмата за сигурност, информационните и комуникационни технологични системи и данни от критично значение, описани в точка 1.7.1.

В програмата за сигурност или във всеки друг относим документ, на който се прави позоваване в програмата за сигурност, се описват подробно мерките за осигуряване на защита, разкриване, реагиране и възстановяване от кибератаки, както е описано в точка 1.7.1.

1.7.3.

Набелязват се, разработват се и се прилагат подробни мерки за защита на такива системи и данни срещу незаконна намеса, в съответствие с оценка на риска, извършена от летищния оператор, въздушния превозвач или субекта, по целесъобразност.

1.7.4.

Когато определен орган или агенция е компетентен(на) по отношение на мерки, свързани с киберзаплахи в рамките на една държава членка, този орган или агенция може да бъде определен(а) като компетентен(на) за координирането и/или контрола на разпоредбите в настоящия регламент, свързани с киберпространството.

1.7.5.

Когато летищните оператори, въздушните превозвачи и субектите, определени в националната програма за сигурност на гражданското въздухоплаване, са обект на различни изисквания за киберсигурност, произтичащи от друго законодателство на ЕС или национално законодателство, компетентният орган може да замени съответствието с изискванията на настоящия регламент със съответствие с елементите, съдържащи се в другото законодателство на ЕС или национално законодателство. Компетентният орган осъществява координация с всички други имащи отношение компетентни органи, за да се осигурят координирани или съвместими режими на надзор.“;

Точка 11.1.2 се заменя със следното:

„11.1.2.

Следният персонал трябва да е преминал успешно задълбочена или стандартна цялостна проверка:

а)	лицата, наети да осъществяват или да отговарят за осъществяването на проверки, контрол на достъпа или друг вид контрол за сигурност в зони, различни от зоните с ограничен достъп;

б)	лицата с достъп без придружител до въздушни товари и поща, поща и материали на въздушния превозвач, стоки, предназначени за полета, и стоки, предназначени за летището, които са били подложени на необходимия контрол за сигурност;

в)

лицата с права на администратор или неконтролиран и неограничен достъп до информационни и комуникационни технологични системи и данни от критично значение, използвани за целите на сигурността на гражданското въздухоплаване, както е описано в точка 1.7.1, в съответствие с националната програма за сигурност на въздухоплаването, или които са били идентифицирани по друг начин в оценката на риска в съответствие с точка 1.7.3.

Освен ако е предвидено друго в настоящия регламент, дали да се извърши задълбочена или стандартна цялостна проверка се определя от компетентния орган в съответствие с приложимите национални правила.“;

Добавя се следната точка 11.2.8:

„11.2.8. Обучение на лица, които изпълняват роля и имат отговорност, свързани с киберзаплахите

11.2.8.1.

Лицата, прилагащи мерките, определени в точка 1.7.2, трябва да притежават уменията и способностите, необходими за ефективно изпълнение на определените им задачи. Те трябва да са запознати със съответните рискове в киберпространството въз основа на принципа „необходимост да се знае“.

11.2.8.2.

Лицата, които разполагат с достъп до данни или системи, получават подходящо и специализирано обучение, свързано с работата, съответстващо на тяхната роля и отговорности, включително като бъдат осведомени за съответните рискове, когато тяхната длъжност изисква това. Компетентният орган или органът или агенцията, както е определено в точка 1.7.4, определят или одобряват съдържанието на курса.“