2.2.2023 |
BG |
Официален вестник на Европейския съюз |
L 31/1 |
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2023/203 НА КОМИСИЯТА
от 27 октомври 2022 година
за определяне на правила за прилагането на Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета по отношение на изискванията за управление на рисковете за информационната сигурност с потенциално въздействие върху авиационната безопасност за организациите, обхванати от регламенти (ЕС) № 1321/2014, (ЕС) № 965/2012, (ЕС) № 1178/2011, (ЕС) 2015/340 на Комисията, регламенти за изпълнение (ЕС) 2017/373 и (ЕС) 2021/664 на Комисията, и за компетентните органи, обхванати от регламенти (ЕС) № 748/2012, (ЕС) № 1321/2014, (ЕС) № 965/2012, (ЕС) № 1178/2011, (ЕС) 2015/340 и (ЕС) № 139/2014 на Комисията, регламенти за изпълнение (ЕС) 2017/373 и (ЕС) 2021/664 на Комисията, и за изменение на регламенти (ЕС) № 1178/2011, (ЕС) № 748/2012, (ЕС) № 965/2012, (ЕС) № 139/2014, (ЕС) № 1321/2014, (ЕС) 2015/340 на Комисията и регламенти за изпълнение (ЕС) 2017/373 и (ЕС) 2021/664 на Комисията
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета от 4 юли 2018 г. относно общи правила в областта на гражданското въздухоплаване и за създаването на Агенция за авиационна безопасност на Европейския съюз и за изменение на регламенти (ЕО) № 2111/2005, (ЕО) № 1008/2008, (ЕС) № 996/2010, (ЕС) № 376/2014 и на директиви 2014/30/ЕС и 2014/53/ЕС на Европейския парламент и на Съвета, и за отмяна на регламенти (ЕО) № 552/2004 и (ЕО) № 216/2008 на Европейския парламент и на Съвета и Регламент (ЕИО) № 3922/91 на Съвета (1), и по-специално член 17, параграф 1, буква б), член 27, параграф 1, буква а), член 31, параграф 1, буква б), член 43, параграф 1), буква б), член 53, параграф 1, буква а) и член 62, параграф 15, буква в) от него,
като има предвид, че:
(1) |
В съответствие със съществените изисквания, определени в приложение II, точка 3.1, буква б) към Регламент (ЕС) 2018/1139, организациите за управление на поддържането на летателната годност и организациите за техническо обслужване трябва да въведат и поддържат система за управление с цел управление на рисковете за безопасността. |
(2) |
Също така в съответствие със съществените изисквания, определени в приложение IV, точка 3.3, буква б) и точка 5, буква б) към Регламент (ЕС) 2018/1139, организациите за обучение на пилоти, организациите за обучение на кабинен екипаж, авиомедицинските центрове за летателен състав и операторите на летателни тренажори трябва да въведат и поддържат система за управление на рисковете за безопасността. |
(3) |
Освен това в съответствие със съществените изисквания, определени в приложение V, точка 8.1, буква в) към Регламент (ЕС) 2018/1139, операторите на въздухоплавателни средства трябва да въведат и поддържат система за управление с цел управление на рисковете за безопасността. |
(4) |
Също така в съответствие със съществените изисквания, определени в приложение VIII, точка 5.1, буква в) и точка 5.4, буква б) към Регламент (ЕС) 2018/1139, доставчиците на услуги по управление на въздушното движение и аеронавигационно обслужване, доставчиците на обслужване за U-space и единствените доставчици на общо информационно обслужване, както и организациите за обучение и авиомедицинските центрове за ръководители на полети трябва да въведат и поддържат система за управление на рисковете за безопасността. |
(5) |
Тези рискове за безопасността могат да произтичат от различни източници, като например недостатъци при проектирането и техническото обслужване, аспекти, свързани с възможностите на човека, заплахи за околната среда и за информационната сигурност. Поради това системите за управление, въведени от Агенцията за авиационна безопасност на Европейския съюз („Агенцията“) и националните компетентни органи и организациите, посочени в съображенията по-горе, следва да отчитат не само рисковете за безопасността, произтичащи от случайни събития, но и рисковете за безопасността, произтичащи от заплахи за информационната сигурност, при които съществуващите недостатъци могат да бъдат използвани от злонамерени лица. Тези рискове за информационната сигурност постоянно нарастват в гражданското въздухоплаване, тъй като настоящите информационни системи стават все по-взаимосвързани и все по-често са мишена на злонамерени лица. |
(6) |
Рисковете, свързани с тези информационни системи, не се ограничават до възможни атаки срещу киберпространството, а обхващат и заплахи, които могат да засегнат процесите и процедурите, както и възможностите на човека. |
(7) |
Значителен брой организации вече използват международни стандарти, като например ISO 27001, за да обезпечат сигурността на цифровата информация и цифровите данни. Възможно е обаче тези стандарти да не отговарят напълно на всички особености на гражданското въздухоплаване. Следователно е целесъобразно да се определят изисквания за управление на рисковете за информационната сигурност, които биха могли да имат потенциално въздействие върху авиационната безопасност. |
(8) |
От съществено значение е тези изисквания да обхващат всички области на въздухоплаването и техните връзки, тъй като въздухоплаването представлява система от силно взаимосвързани системи. Поради това те следва да се прилагат за всички организации и компетентни органи, обхванати от регламенти (ЕС) № 748/2012 (2), (ЕС) № 1321/2014 (3), (ЕС) № 965/2012 (4), (ЕС) № 1178/2011 (5), (ЕС) 2015/340 (6), (ЕС) № 139/2014 (7) на Комисията и Регламент за изпълнение (ЕС) 2021/664 на Комисията (8), както и за тези, от които вече се изисква да имат система за управление в съответствие със съществуващото законодателство на Съюза в областта на авиационната безопасност. Независимо от това някои организации следва да бъдат изключени от обхвата на настоящия регламент, за да се осигури съответна пропорционалност на по-ниските рискове за информационната сигурност, които те представляват за авиационната система. |
(9) |
Изискванията, определени в настоящия регламент, следва да се прилагат последователно във всички области на въздухоплаването, като същевременно оказват минимално въздействие върху законодателството на Съюза в областта на авиационната безопасност, което вече е приложимо в тези области. |
(10) |
Изискванията, определени в настоящия регламент, не следва да засягат изискванията за информационна сигурност и киберсигурност, определени в точка 1.7 от приложението към Регламент за изпълнение (ЕС) 2015/1998 на Комисията (9) и в член 14 от Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (10). |
(11) |
Изискванията за сигурност, определени в членове 33—43 от дял V „Сигурност на програмата“ от Регламент (ЕС) 2021/696 на Европейския парламент и на Съвета (11) се считат за еквивалентни на изискванията, определени в настоящия регламент, освен по отношение на точка IS.I.OR.230 от приложение II към настоящия регламент, която следва да бъде спазена. |
(12) |
За да се осигури правна сигурност, тълкуването на термина „информационна сигурност“ съгласно определението му в настоящия регламент, което отразява общата му употреба в гражданското въздухоплаване в световен мащаб, следва да се счита за съвместимо с тълкуването на термина „сигурност на мрежите и информационните системи“ съгласно определението в член 4, точка 2 от Директива (ЕС) 2016/1148. Определението за информационна сигурност, използвано за целите на настоящия регламент, не следва да се тълкува като различаващо се от определението за сигурност на мрежите и информационните системи, установено в Директива (ЕС) 2016/1148. |
(13) |
За да се избегне дублиране на правните изисквания, когато организациите, обхванати от настоящия регламент, вече са предмет на изисквания за сигурност, произтичащи от актове на Съюза, посочени в съображения (10) и 11, които по своето действие са равностойни на разпоредбите, установени в настоящия регламент, спазването на тези изисквания за сигурност следва да се счита за съответствие с изискванията, установени в настоящия регламент. |
(14) |
Организациите, обхванати от настоящия регламент, които вече са предмет на изискванията за сигурност, произтичащи от Регламент за изпълнение (ЕС) 2015/1998 или Регламент (ЕС) 2021/696, или и от двата регламента, следва също да отговарят на изискванията на приложение II (част IS.I.OR.230 „Схема за външно докладване във връзка с информационната сигурност“) към настоящия регламент, тъй като и двата регламента не съдържат разпоредби по отношение на външното докладване на инциденти, свързани с информационната сигурност. |
(15) |
С оглед на изчерпателността регламенти (ЕС) № 1178/2011, (ЕС) № 748/2012, (ЕС) № 965/2012, (ЕС) № 139/2014, (ЕС) № 1321/2014, (ЕС) 2015/340 и регламенти за изпълнение (ЕС) 2017/373 (12) и (ЕС) 2021/664 следва да бъдат изменени, за да се въведат изискванията за системите за управление на информационната сигурност, предвидени в настоящия регламент, заедно с посочените в него системи за управление, и да се определят изискванията на компетентните органи по отношение на надзора над организациите, прилагащи горепосочените изисквания за управление на информационната сигурност. |
(16) |
С цел да се предостави на организациите достатъчно време, за да осигурят спазването на новите правила и процедури, настоящият регламент следва да започне да се прилага 3 години след влизането му в сила, с изключение на доставчика на аеронавигационно обслужване на Европейската геостационарна служба за навигационно покритие (EGNOS), определен в Регламент за изпълнение (ЕС) 2017/373, когато поради продължаващата акредитация на системата и услугите на EGNOS по отношение на сигурността в съответствие с Регламент (ЕС) 2021/696, той следва да започне да се прилага от 1 януари 2026 г. |
(17) |
Изискванията, определени в настоящия регламент, се основават на Становище № 03/2021 (13), издадено от Агенцията в съответствие с член 75, параграф 2, букви б) и в) и член 76, параграф 1 от Регламент (ЕС) 2018/1139. |
(18) |
Изискванията, определени в настоящия регламент, са в съответствие със становището на комитета за прилагане на общите правила за безопасност в областта на гражданското въздухоплаване, създаден с член 127 от Регламент (ЕС) 2018/1139, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
Член 1
Предмет
С настоящия регламент се определят изискванията, на които трябва да отговарят организациите и компетентните органи, за да:
а) |
идентифицират и управляват рисковете за информационната сигурност с потенциално въздействие върху авиационната безопасност, които биха могли да засегнат системите на информационните и комуникационните технологии и данни, използвани за целите на гражданското въздухоплаване; |
б) |
откриват събития, свързани с информационната сигурност, и да идентифицират тези, които се считат за инциденти, свързани с информационната сигурност, с потенциално въздействие върху авиационната безопасност; |
в) |
реагират на тези инциденти, свързани с информационната сигурност, и да се възстановяват от тях. |
Член 2
Приложно поле
1. Настоящият регламент се прилага по отношение на следните организации:
а) |
организации за техническо обслужване, които са предмет на раздел А от приложение II (част 145) към Регламент (ЕС) № 1321/2014, с изключение на тези, които участват единствено в техническото обслужване на въздухоплавателни средства в съответствие с приложение Vб (част ML) към Регламент (ЕС) № 1321/2014; |
б) |
организации за управление на поддържането на летателната годност (CAMO), които са предмет на раздел А от приложение Vв (част CAMO) към Регламент (ЕС) № 1321/2014, с изключение на тези, които участват единствено в управлението на поддържането на летателната годност на въздухоплавателни средства в съответствие с приложение Vб (част ML) към Регламент (ЕС) № 1321/2014; |
в) |
оператори на въздухоплавателни средства, които са предмет на приложение III (част ORO) към Регламент (ЕС) № 965/2012, с изключение на тези, които участват единствено в експлоатацията на някое от следните въздухоплавателни средства:
|
г) |
одобрени организации за обучение (ATO), които са предмет на приложение VII (част ORA) към Регламент (ЕС) № 1178/2011, с изключение на тези, които участват единствено в дейности по обучение за въздухоплавателни средства ELA2 съгласно определението в член 1, параграф 2, буква й) от Регламент (ЕС) № 748/2012 или участват единствено в теоретично обучение; |
д) |
авиомедицински центрове за екипажи на въздухоплавателни средства, които са предмет на приложение VII (част ORA) към Регламент (ЕС) № 1178/2011; |
е) |
оператори на летателни тренажори (FSTD), които са предмет на приложение VII (част ORA) към Регламент (ЕС) № 1178/2011, с изключение на тези, които участват единствено в експлоатацията на FSTD за въздухоплавателни средства ELA2 съгласно определението в член 1, параграф 2, буква й) от Регламент (ЕС) № 748/2012; |
ж) |
организации за обучение на ръководители на полети (ATCO TO) и авиомедицински центрове на ATCO, които са предмет на приложение III (част ATCO.OR) към Регламент (ЕС) 2015/340; |
з) |
организации, които са предмет на приложение III (част ATM/ANS.OR) към Регламент за изпълнение (ЕС) 2017/373, с изключение на следните доставчици на услуги:
|
и) |
доставчици на обслужване за U-space и единствени доставчици на общо информационно обслужване съгласно Регламент (ЕС) 2021/664. |
2. Настоящият регламент се прилага за компетентните органи, включително Агенцията за авиационна безопасност на Европейския съюз („Агенцията“), посочени в член 6 от настоящия регламент и в член 5 от Делегиран регламент (ЕС) 2022/1645 на Комисията (14).
3. Настоящият регламент се прилага и за компетентния орган, отговорен за издаването, продължаването, смяната, временното прекратяване или анулирането на лицензи за техническо обслужване на въздухоплавателни средства в съответствие с приложение III (част 66) към Регламент (ЕС) № 1321/2014.
4. Настоящият регламент не засяга изискванията за информационна сигурност и киберсигурност, определени в точка 1.7 от приложението към Регламент за изпълнение (ЕС) 2015/1998 и в член 14 от Директива (ЕС) 2016/1148.
Член 3
Определения
За целите на настоящия регламент се прилагат следните определения:
(1) |
„информационна сигурност“ означава запазването на поверителността, целостта, автентичността и наличността на мрежите и информационните системи; |
(2) |
„събитие, свързано с информационната сигурност“ означава установено събитие, свързано със система, услуга или мрежа, което показва възможно нарушение на политиката за информационна сигурност или отказ на контрола на информационната сигурност, или неизвестна преди това ситуация, която може да е от значение за информационната сигурност; |
(3) |
„инцидент“ означава всяко събитие, което има действително неблагоприятно въздействие върху сигурността на мрежите и информационните системи съгласно определението в член 4, точка 7 от Директива (ЕС) 2016/1148; |
(4) |
„риск за информационната сигурност“ означава риск за организационните операции на гражданското въздухоплаване, активи, физически лица и други организации, дължащ се на потенциала на събитие, свързано с информационната сигурност. Рисковете за информационната сигурност са свързани с вероятността при дадена заплаха да има възползване от уязвимостта на даден информационен актив или група от информационни активи; |
(5) |
„заплаха“ означава потенциално нарушение на информационната сигурност, което съществува, когато е налице субект, обстоятелство, действие или събитие, които биха могли да причинят вреда; |
(6) |
„уязвимост“ означава недостатък или слабост в актив или система, процедури, проект, изпълнение или мерки за информационна сигурност, с които може да се злоупотреби и които водят до нарушаване на политиката за информационна сигурност. |
Член 4
Изисквания към организациите и компетентните органи
1. Организациите, посочени в член 2, параграф 1, отговарят на изискванията на приложение II (част IS.I.OR) към настоящия регламент.
2. Компетентните органи, посочени в член 2, параграфи 2 и 3, отговарят на изискванията на приложение I (част IS.AR) към настоящия регламент.
Член 5
Изисквания, произтичащи от друго законодателство на Съюза
1. Ако организация, посочена в член 2, параграф 1, отговаря на изискванията за сигурност, определени в съответствие с член 14 от Директива (ЕС) 2016/1148, които са равностойни на изискванията, определени в настоящия регламент, спазването на тези изисквания за сигурност се счита за съответствие с изискванията, определени в настоящия регламент.
2. Ако организация, посочена в член 2, параграф 1, е оператор или субект, посочен в националните програми за сигурност на гражданското въздухоплаване на държавите членки, определени в съответствие с член 10 от Регламент (ЕО) № 300/2008 на Европейския парламент и на Съвета (15), изискванията за киберсигурност, съдържащи се в точка 1.7 от приложението към Регламент за изпълнение (ЕС) 2015/1998, се считат за равностойни на изискванията, определени в настоящия регламент, с изключение на точка IS.I.OR.230 от приложение II към настоящия регламент, която трябва да бъде спазена.
3. Ако организацията, посочена в член 2, параграф 1, е доставчик на аеронавигационно обслужване на Европейската геостационарна служба за навигационно покритие (EGNOS), посочена в Регламент (ЕС) 2021/696, изискванията за сигурност, съдържащи се в членове 33—43 от дял V от посочения регламент, се считат за равностойни на изискванията, определени в настоящия регламент, с изключение на точка IS.I.OR.230 от приложение II към настоящия регламент, която трябва да бъде спазена.
4. Комисията, след консултация с Агенцията и групата за сътрудничество, посочена в член 11 от Директива (ЕС) 2016/1148, може да издаде насоки за оценка дали изискванията, определени в настоящия регламент и в Директива (ЕС) 2016/1148, са равностойни.
Член 6
Компетентен орган
1. Без да се засягат задачите, възложени на Съвета за акредитация на сигурността, посочен в член 36 от Регламент (ЕС) 2021/696, органът, отговарящ за сертифицирането и контрола за спазването на настоящия регламент, е:
а) |
по отношение на организациите, посочени в член 2, параграф 1, буква а) — компетентният орган, определен в съответствие с приложение II (част 145) към Регламент (ЕС) № 1321/2014; |
б) |
по отношение на организациите, посочени в член 2, параграф 1, буква б) — компетентният орган, определен в съответствие с приложение Vв (част CAMO) към Регламент (ЕС) № 1321/2014; |
в) |
по отношение на организациите, посочени в член 2, параграф 1, буква в) — компетентният орган, определен в съответствие с приложение III (част ORO) към Регламент (ЕС) № 965/2012; |
г) |
по отношение на организациите, посочени в член 2, параграф 1, букви г)—е) — компетентният орган, определен в съответствие с приложение VII (част ORА) към Регламент (ЕС) № 1178/2011; |
д) |
по отношение на организациите, посочени в член 2, параграф 1, буква ж) — компетентният орган, определен в съответствие с член 6, параграф 2 от Регламент (ЕС) 2015/340; |
е) |
по отношение на организациите, посочени в член 2, параграф 1, буква з) — компетентният орган, определен в съответствие с член 4, параграф 1 от Регламент за изпълнение (ЕС) 2017/373; |
ж) |
по отношение на организациите, посочени в член 2, параграф 1, буква и) — компетентният орган, определен в съответствие с член 14, параграф 1 или 2, според случая, от Регламент за изпълнение (ЕС) 2021/664. |
2. За целите на настоящия регламент държавите членки могат да определят независим и автономен субект, който да изпълнява възложената роля и отговорности на компетентните органи, посочени в параграф 1. В този случай се определят мерки за координация между този субект и компетентните органи, както е посочено в параграф 1, за да се осигури ефективен контрол върху всички изисквания, които трябва да бъдат изпълнени от организацията.
3. Агенцията си сътрудничи в пълно съответствие с приложимите правила за пазене на тайна, защита на личните данни и защита на класифицираната информация с Агенцията на Европейския съюз за космическата програма (EUSPA) и със Съвета за акредитация на сигурността, посочен в член 36 от Регламент (ЕС) 2021/696, за да се осигури ефективен контрол върху изискванията, приложими към доставчика на аеронавигационно обслужване на EGNOS.
Член 7
Предоставяне на относима информация на компетентните органи за мрежите и информационните системи (МИС)
Съгласно настоящия регламент компетентните органи информират без неоправдано забавяне единното звено за контакт, определено в съответствие с член 8 от Директива (ЕС) 2016/1148, за всякаква относима информация, включена в уведомленията, подадени съгласно точка IS.I.OR.230 от приложение II към настоящия регламент и точка IS.D.OR.230 от приложение I към Делегиран регламент (ЕС) 2022/1645 от операторите на основни услуги, определени в съответствие с член 5 от Директива (ЕС) 2016/1148.
Член 8
Изменение на Регламент (ЕС) № 1178/2011
Приложения VI (част АRА) и VII (част ОRА) към Регламент (ЕС) № 1178/2011 се изменят в съответствие с приложение III към настоящия регламент.
Член 9
Изменение на Регламент (ЕС) № 748/2012
Приложение I (част 21) към Регламент (ЕС) № 748/2012 се изменя в съответствие с приложение IV към настоящия регламент.
Член 10
Изменение на Регламент (ЕС) № 965/2012
Приложения II (част ARO) и III (част ORO) към Регламент (ЕС) № 965/2012 се изменят в съответствие с приложение V към настоящия регламент.
Член 11
Изменение на Регламент (ЕС) № 139/2014
Приложение II (част ADR.AR) към Регламент (ЕС) № 139/2014 се изменя в съответствие с приложение VI към настоящия регламент.
Член 12
Изменение на Регламент (ЕС) № 1321/2014
Приложения II (част 145), III (част 66) и Vв (част CAMO) към Регламент (ЕС) № 1321/2014 се изменят в съответствие с приложение VII към настоящия регламент.
Член 13
Изменение на Регламент (ЕС) 2015/340
Приложения II (част ATCO.AR) и III (част ATCO.OR) към Регламент (ЕС) 2015/340 се изменят в съответствие с приложение VIII към настоящия регламент.
Член 14
Изменение на Регламент за изпълнение (ЕС) 2017/373
Приложения II (част ATM/ANS.AR) и III (част ATM/ANS.OR) към Регламент за изпълнение (ЕС) 2017/373 се изменят в съответствие с приложение IX към настоящия регламент.
Член 15
Изменение на Регламент за изпълнение (ЕС) 2021/664
Регламент за изпълнение (ЕС) 2021/664 се изменя, както следва:
(1) |
в член 15, параграф 1, буква е) се заменя със следното:
|
(2) |
в член 18 се добавя следната буква л):
|
Член 16
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Той се прилага от 22 февруари 2026 г.
По отношение на доставчика на аеронавигационно обслужване EGNOS, за който се прилага Регламент за изпълнение (ЕС) 2017/373, той се прилага от 1 януари 2026 г.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 27 октомври 2022 година.
За Комисията
Председател
Ursula VON DER LEYEN
(1) ОВ L 212, 22.8.2018 г., стр. 1.
(2) Регламент (ЕС) № 748/2012 на Комисията от 3 август 2012 г. за определяне на правила за прилагане на сертифициране за летателна годност и за опазване на околната среда на въздухоплавателни средства и свързани с тях продукти, части и оборудване, както и за сертифициране на проектантски и производствени организации (ОВ L 224, 21.8.2012 г., стр. 1).
(3) Регламент (ЕС) № 1321/2014 на Комисията от 26 ноември 2014 г. относно поддържането на летателната годност на въздухоплавателните средства и авиационните продукти, части и устройства и относно одобряването на организациите и персонала, изпълняващи тези задачи (ОВ L 362, 17.12.2014 г., стр. 1).
(4) Регламент (ЕС) № 965/2012 на Комисията от 5 октомври 2012 г. за определяне на технически изисквания и административни процедури във връзка с въздушните операции в съответствие с Регламент (ЕО) № 216/2008 на Европейския парламент и на Съвета (ОВ L 296, 25.10.2012 г., стр. 1).
(5) Регламент (ЕС) № 1178/2011 на Комисията от 3 ноември 2011 г. за определяне на технически изисквания и административни процедури във връзка с екипажите на въздухоплавателни средства в гражданското въздухоплаване в съответствие с Регламент (ЕО) № 216/2008 на Европейския парламент и на Съвета (ОВ L 311, 25.11.2011 г., стр. 1).
(6) Регламент (ЕС) 2015/340 на Комисията от 20 февруари 2015 г. за определяне на технически изисквания и административни процедури във връзка със свидетелствата за правоспособност и други свидетелства и сертификати на ръководители на полети съгласно Регламент (ЕО) № 216/2008 на Европейския парламент и на Съвета, за изменение на Регламент за изпълнение (ЕС) № 923/2012 на Комисията и за отмяна на Регламент (ЕС) № 805/2011 на Комисията (ОВ L 63, 6.3.2015 г., стр. 1).
(7) Регламент (ЕС) № 139/2014 на Комисията от 12 февруари 2014 година за определяне на изискванията и административните процедури във връзка с летищата в съответствие с Регламент (ЕО) № 216/2008 на Европейския парламент и на Съвета (OB L 44, 14.2.2014 г., стр. 1).
(8) Регламент за изпълнение (ЕС) 2021/664 на Комисията от 22 април 2021 г. относно регулаторната рамка за U-space (ОВ L 139, 23.4.2021 г, стр. 161).
(9) Регламент за изпълнение (ЕС) 2015/1998 на Комисията от 5 ноември 2015 г. за установяване на подробни мерки за прилагането на общите основни стандарти за сигурност във въздухоплаването (ОВ L 299, 14.11.2015 г., стр. 1).
(10) Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1).
(11) Регламент (ЕС) 2021/696 на Европейския парламент и на Съвета от 28 април 2021 г. за създаване на космическа програма на Съюза и Агенция на Европейския съюз за космическата програма и за отмяна на регламенти (ЕС) № 912/2010, (ЕС) № 1285/2013 и (ЕС) № 377/2014 и на Решение № 541/2014/ЕС (OB L 170, 12.5.2021 г., стр. 69).
(12) Регламент за изпълнение (ЕС) 2017/373 на Комисията от 1 март 2017 г. за определяне на общи изисквания за доставчиците на услуги и надзора при управлението на въздушното движение/аеронавигационното обслужване и други мрежови функции за управление на въздушното движение, за отмяна на Регламент (ЕО) № 482/2008 и на регламенти за изпълнение (ЕС) № 1034/2011, (ЕС) № 1035/2011 и (ЕС) 2016/1377, както и за изменение на Регламент (ЕС) № 677/2011 (ОВ L 62, 8.3.2017 г., стр. 1).
(13) https://www.easa.europa.eu/document-library/opinions
(14) Делегиран регламент (ЕС) 2022/1645 на Комисията от 14 юли 2022 година за определяне на правила за прилагането на Регламент (ЕС) 2018/1139 на Европейския парламент и на Съвета по отношение на изискванията за управление на рисковете за информационната сигурност с потенциално въздействие върху авиационната безопасност за организациите, обхванати от регламенти (ЕС) № 748/2012 и (ЕС) № 139/2014 на Комисията, и за изменение на регламенти (ЕС) № 748/2012 и (ЕС) № 139/2014 на Комисията (OB L 248, 26.9.2022 г., стр. 18).
(15) Регламент (ЕО) № 300/2008 на Европейския парламент и на Съвета от 11 март 2008 г. относно общите правила в областта на сигурността на гражданското въздухоплаване и за отмяна на Регламент (ЕО) № 2320/2002 (ОВ L 97, 9.4.2008 г., стр. 72).
ПРИЛОЖЕНИЕ I
ИНФОРМАЦИОННА СИГУРНОСТ — ИЗИСКВАНИЯ КЪМ ОРГАНА
[ЧАСТ IS.AR]
IS.AR.100 |
Обхват |
IS.AR.200 |
Система за управление на информационната сигурност (ISMS) |
IS.AR.205 |
Оценка на риска за информационната сигурност |
IS.AR.210 |
Третиране на риска за информационната сигурност |
IS.AR.215 |
Инциденти, свързани с информационната сигурност — откриване, реагиране и възстановяване |
IS.AR.220 |
Възлагане на дейности по управление на информационната сигурност на подизпълнители |
IS.AR.225 |
Изисквания към персонала |
IS.AR.230 |
Водене на документация |
IS.AR.235 |
Постоянно подобряване |
IS.AR.100 Обхват
В настоящата част се определят изискванията за управление, на които трябва да отговарят компетентните органи, посочени в член 2, параграф 2 от настоящия регламент.
Изискванията, на които трябва да отговарят тези компетентни органи за изпълнението на своите дейности по сертифициране, надзор и правоприлагане, се съдържат в регламентите, посочени в член 2, параграф 1 от настоящия регламент и в член 2 от Делегиран регламент (ЕС) 2022/1645.
IS.AR.200 Система за управление на информационната сигурност (ISMS)
а) |
За постигане на целите, посочени в член 1, компетентният орган създава, въвежда и поддържа система за управление на информационната сигурност (ISMS), която гарантира, че компетентният орган:
|
б) |
За да спазва системно изискванията, посочени в член 1, компетентният орган осъществява процес на постоянно подобряване в съответствие с точка IS.AR.235. |
в) |
Компетентният орган документира всички ключови процеси, процедури, роли и отговорности, необходими за спазване на точка IS.AR.200, буква а), и установява процес за изменение на тази документация. |
г) |
Процесите, процедурите, ролите и отговорностите, установени от компетентния орган с цел спазване на точка IS.AR.200, буква а), съответстват на естеството и сложността на неговите дейности въз основа на оценка на рисковете за информационната сигурност, присъщи на тези дейности, и могат да бъдат интегрирани в други съществуващи системи за управление, които вече са въведени от компетентния орган. |
IS.AR.205 Оценка на риска за информационната сигурност
а) |
Компетентният орган установява всички елементи на собствената си организация, които биха могли да бъдат изложени на рискове за информационната сигурност. Това включва:
|
б) |
Компетентният орган установява връзките, които собствената му организация има с други организации и които биха могли да доведат до взаимно излагане на рискове за информационната сигурност. |
в) |
По отношение на елементите и връзките, посочени в букви а) и б), компетентният орган установява рисковете за информационната сигурност, които може да имат потенциално въздействие върху авиационната безопасност. За всеки установен риск компетентният орган:
При предварително определената класификация, посочена в точка 1, се взема предвид потенциалът за възникване на сценария за заплаха и сериозността на последиците от него за безопасността. Посредством тази класификация и като се вземе предвид дали компетентният орган има структуриран и възпроизводим процес на управление на риска за операциите, компетентният орган е в състояние да установи дали рискът е приемлив, или трябва да бъде третиран в съответствие с точка IS.AR.210. За да се улесни взаимната съпоставимост на оценките на риска, при определянето на нивото на риска съгласно подточка 1 се взема предвид информацията от значение, получена в координация с организациите, посочени в буква б). |
г) |
Компетентният орган преразглежда и актуализира оценката на риска, извършена в съответствие с букви а), б) и в), във всеки от следните случаи:
|
IS.AR.210 Третиране на риска за информационната сигурност
а) |
Компетентният орган разработва мерки за справяне с неприемливите рискове, установени в съответствие с точка IS.AR.205, прилага ги своевременно и проверява дали те продължават да са ефективни. Тези мерки дават възможност на компетентния орган:
Тези мерки не трябва да въвеждат нови потенциални неприемливи рискове за авиационната безопасност. |
б) |
Лицето, посочено в точка IS.AR.225, буква а), и другият засегнат персонал на компетентния орган се информират за резултатите от оценката на риска, извършена в съответствие с точка IS.AR.205, съответните сценарии за заплаха и мерките, които трябва да бъдат изпълнени. Компетентният орган също така информира организациите, с които си взаимодейства в съответствие с точка IS.AR.205, буква б), за всеки риск, който е общ за компетентния орган и организацията. |
IS.AR.215 Инциденти, свързани с информационната сигурност — откриване, реагиране и възстановяване
а) |
Въз основа на резултатите от оценката на риска, извършена в съответствие с точка IS.AR.205, и на резултата от третирането на риска, извършено в съответствие с точка IS.AR.210, компетентният орган прилага мерки за откриване на събития, които показват потенциалното възникване на неприемливи рискове и които може да окажат потенциално въздействие върху авиационната безопасност. Тези мерки за откриване дават възможност на компетентния орган:
|
б) |
Компетентният орган прилага мерки за реагиране на всяко събитие, определено в съответствие с буква а), което би могло да се развие или се е развило в инцидент, свързан с информационната сигурност. Тези мерки за реагиране дават възможност на компетентния орган:
|
в) |
Компетентният орган прилага мерки, насочени към възстановяване от инциденти, свързани с информационната сигурност, включително спешни мерки, ако е необходимо. Тези мерки за възстановяване дават възможност на компетентния орган:
|
IS.AR.220 Възлагане на дейности по управление на информационната сигурност на подизпълнители
Компетентният орган гарантира, че когато възлага на други организации която и да е част от дейностите, посочени в точка IS.AR.200, дейностите, за които е сключен договор, отговарят на изискванията на настоящия регламент, а организацията подизпълнител работи под негов надзор. Компетентният орган гарантира, че рисковете, свързани с дейностите, възложени на подизпълнители, се управляват по подходящ начин.
IS.AR.225 Изисквания към персонала
Компетентният орган:
а) |
разполага с лице, което има правомощия да създава и поддържа организационните структури, политики, процеси и процедури, необходими за прилагането на настоящия регламент. Това лице:
|
б) |
разполага с процедура, чрез която да се гарантира, че е налице достатъчно персонал за извършване на дейностите, обхванати от настоящото приложение; |
в) |
разполага с процедура, чрез която да се гарантира, че персоналът, посочен в буква б), притежава необходимата компетентност за изпълнение на своите задачи; |
г) |
разполага с процедура, чрез която да се гарантира, че персоналът е запознат с отговорностите, свързани с възложените роли и задачи; |
д) |
гарантира, че самоличността и надеждността на персонала, който има достъп до информационните системи и данните, за които се прилагат изискванията на настоящия регламент, са установени по подходящ начин. |
IS.AR.230 Водене на документация
а) |
Компетентният орган съхранява документация за своите дейности по управление на информационната сигурност.
|
б) |
Компетентният орган съхранява документация за квалификацията и опита на собствения си персонал, участващ в дейности по управление на информационната сигурност.
|
в) |
Форматът на документацията се уточнява в процедурите на компетентния орган. |
г) |
Записите се съхраняват по начин, който гарантира защита от повреда, промяна и кражба, като информацията се идентифицира, когато е необходимо, в съответствие с нейното ниво на класификация за сигурност. Компетентният орган гарантира, че записите се съхраняват, като се използват средства за гарантиране на целостта, автентичността и разрешения достъп. |
IS.AR.235 Постоянно подобряване
а) |
Компетентният орган оценява, като използва подходящи показатели за изпълнението, ефективността и зрелостта на собствената си ISMS. Оценката се извършва въз основа на график, предварително определен от компетентния орган, или след инцидент, свързан с информационната сигурност. |
б) |
Ако в резултат на оценката, извършена в съответствие с буква а), бъдат открити недостатъци, компетентният орган предприема необходимите мерки за подобряване, за да гарантира, че ISMS продължава да отговаря на приложимите изисквания, и поддържа рисковете за информационната сигурност на приемливо равнище. Освен това компетентният орган извършва повторна оценка на елементите на ISMS, засегнати от приетите мерки. |
ПРИЛОЖЕНИЕ II
ИНФОРМАЦИОННА СИГУРНОСТ — ИЗИСКВАНИЯ КЪМ ОРГАНИЗАЦИЯТА
[ЧАСТ IS.I.OR]
IS.I.OR.100 |
Обхват |
IS.I.OR.200 |
Система за управление на информационната сигурност (ISMS) |
IS.I.OR.205 |
Оценка на риска за информационната сигурност |
IS.I.OR.210 |
Третиране на риска за информационната сигурност |
IS.I.OR.215 |
Схема за вътрешно докладване във връзка с информационната сигурност |
IS.I.OR.220 |
Инциденти, свързани с информационната сигурност — откриване, реагиране и възстановяване |
IS.I.OR.225 |
Реагиране на констатациите, съобщени от компетентния орган |
IS.I.OR.230 |
Схема за външно докладване във връзка с информационната сигурност |
IS.I.OR.235 |
Възлагане на дейности по управление на информационната сигурност на подизпълнители |
IS.I.OR.240 |
Изисквания към персонала |
IS.I.OR.245 |
Водене на документация |
IS.I.OR.250 |
Ръководство за управление на информационната сигурност (ISMM) |
IS.I.OR.255 |
Промени в системата за управление на информационната сигурност |
IS.I.OR.260 |
Постоянно подобряване |
IS.I.OR.100 Обхват
В настоящата част се определят изискванията, на които трябва да отговарят организациите, посочени в член 2, параграф 1 от настоящия регламент.
IS.I.OR.200 Система за управление на информационната сигурност (ISMS)
а) |
За постигане на целите, посочени в член 1, организацията създава, въвежда и поддържа система за управление на информационната сигурност (ISMS), която гарантира, че организацията:
|
б) |
За да спазва системно изискванията, посочени в член 1, организацията осъществява процес на постоянно подобряване в съответствие с точка IS.I.OR.260. |
в) |
Организацията документира в съответствие с точка IS.I.OR.250 всички ключови процеси, процедури, роли и отговорности, необходими за спазване на точка IS.I.OR.200, буква а), и установява процес за изменение на тази документация. Промените в тези процеси, процедури, роли и отговорности се управляват в съответствие с точка IS.I.OR.255. |
г) |
Процесите, процедурите, ролите и отговорностите, установени от организацията с цел спазване на точка IS.I.OR.200, буква а), съответстват на естеството и сложността на нейните дейности въз основа на оценка на рисковете за информационната сигурност, присъщи на тези дейности, и могат да бъдат интегрирани в други съществуващи системи за управление, които вече са въведени от организацията. |
д) |
Без да се засяга задължението за спазване на изискванията за докладване, определени в Регламент (ЕС) № 376/2014, и изискванията, определени в точка IS.I.OR.200, буква а), подточка 13, организацията може да бъде одобрена от компетентния орган да не прилага изискванията, посочени в букви а)—г), и свързаните с тях изисквания, съдържащи се в точки IS.I.OR.205—IS.I.OR.260, ако тя докаже по удовлетворителен за този орган начин, че нейните дейности, съоръжения и ресурси, както и услугите, които експлоатира, предоставя, получава и поддържа, не пораждат рискове за информационната сигурност с потенциално въздействие върху авиационната безопасност нито на самата нея, нито на други организации. Одобрението се основава на документирана оценка на риска за информационната сигурност, извършена от организацията или от трета страна в съответствие с точка IS.I.OR.205 и разгледана и одобрена от нейния компетентен орган. Поддържането на валидността на това одобрение се преразглежда от компетентния орган след приложимия цикъл на одит на надзора и всеки път, когато бъдат въведени промени в обхвата на дейностите на организацията. |
IS.I.OR.205 Оценка на риска за информационната сигурност
а) |
Организацията установява всички свои елементи, които биха могли да бъдат изложени на рискове за информационната сигурност. Това включва:
|
б) |
Организацията установява връзките, които има с други организации и които биха могли да доведат до взаимно излагане на рискове за информационната сигурност. |
в) |
По отношение на елементите и връзките, посочени в букви а) и б), организацията установява рисковете за информационната сигурност, които може да имат потенциално въздействие върху авиационната безопасност. За всеки установен риск организацията:
При предварително определената класификация, посочена в подточка 1, се взема предвид потенциалът за възникване на сценария за заплаха и сериозността на последиците от него за безопасността. Въз основа на тази класификация и като се вземе предвид дали организацията има структуриран и възпроизводим процес на управление на риска за операциите, организацията трябва да е в състояние да установи дали рискът е приемлив, или трябва да бъде третиран в съответствие с точка IS.I.OR.210. За да се улесни взаимната съпоставимост на оценките на риска, при определянето на нивото на риска съгласно подточка 1 се взема предвид съответната информация, получена в координация с организациите, посочени в буква б). |
г) |
Организацията преразглежда и актуализира оценката на риска, извършена в съответствие с букви а), б) и, според случая, с букви в) или д), във всяка от следните ситуации:
|
д) |
Чрез дерогация от буква в) организациите, от които се изисква да спазват подчаст В от приложение III (част ATM/ANS.OR) към Регламент за изпълнение (ЕС) 2017/373, заменят анализа на въздействието върху авиационната безопасност с анализ на въздействието върху техните услуги съгласно оценката на поддържането на безопасността, изисквана по точка ATM/ANS.OR.C.005. Тази оценка на поддържането на безопасността се предоставя на доставчиците на обслужване на въздушното движение, на които те предоставят услуги, а тези доставчици на обслужване на въздушното движение отговарят за оценката на въздействието върху авиационната безопасност. |
IS.I.OR.210 Третиране на риска за информационната сигурност
а) |
Организацията разработва мерки за справяне с неприемливите рискове, установени в съответствие с точка IS.I.OR.205, прилага ги своевременно и проверява дали те продължават да са ефективни. Тези мерки дават възможност на организацията:
Тези мерки не трябва да въвеждат нови потенциални неприемливи рискове за авиационната безопасност. |
б) |
Лицето, посочено в точка IS.I.OR.240, букви а) и б), и останалият засегнат персонал на организацията се информират за резултатите от оценката на риска, извършена в съответствие с точка IS.I.OR.205, съответните сценарии за заплаха и мерките, които трябва да бъдат предприети. Организацията също така информира организациите, с които си взаимодейства в съответствие с точка IS.I.OR.205, буква б), за всеки риск, който е общ и за двете организации. |
IS.I.OR.215 Схема за вътрешно докладване във връзка с информационната сигурност
а) |
Организацията създава схема за вътрешно докладване, за да се даде възможност за събиране и оценка на събития, свързани с информационната сигурност, включително такива, които трябва да бъдат докладвани съгласно точка IS.I.OR.230. |
б) |
Тази схема и процесът, посочени в точка IS.I.OR.220, дават възможност на организацията:
|
в) |
От всяка организация подизпълнител, която може да изложи организацията на рискове за информационната сигурност с потенциално въздействие върху авиационната безопасност, се изисква да ѝ докладва за събития, свързани с информационната сигурност. Тези доклади се представят, като се прилагат процедурите, установени в конкретните договорни споразумения, и се оценяват в съответствие с буква б). |
г) |
При разследвания организацията си сътрудничи с всяка друга организация, която има значителен принос за информационната сигурност на собствените ѝ дейности. |
д) |
Организацията може да обедини тази схема за докладване с други схеми за докладване, които вече прилага. |
IS.I.OR.220 Инциденти, свързани с информационната сигурност — откриване, реагиране и възстановяване
а) |
Въз основа на резултатите от оценката на риска, извършена в съответствие с точка IS.I.OR.205, и на резултата от третирането на риска, извършено в съответствие с точка IS.I.OR.210, организацията прилага мерки за откриване на инциденти и уязвимости, които показват потенциалното възникване на неприемливи рискове и които може да окажат потенциално въздействие върху авиационната безопасност. Тези мерки за откриване дават възможност на организацията:
|
б) |
Организацията прилага мерки за реагиране на всяко събитие, определено в съответствие с буква а), което би могло да се развие или се е развило в инцидент, свързан с информационната сигурност. Тези мерки за реагиране дават възможност на организацията:
|
в) |
Организацията прилага мерки, насочени към възстановяване от инциденти, свързани с информационната сигурност, включително спешни мерки, ако е необходимо. Тези мерки за възстановяване дават възможност на организацията:
|
IS.I.OR.225 Реагиране на констатациите, съобщени от компетентния орган
а) |
След получаване на уведомлението за констатации, представено от компетентния орган, организацията:
|
б) |
Действията, посочени в буква а), се извършват в срока, договорен с компетентния орган. |
IS.I.OR.230 Схема за външно докладване във връзка с информационната сигурност
а) |
Организацията въвежда система за докладване във връзка с информационната сигурност, която отговаря на изискванията, определени в Регламент (ЕС) № 376/2014 и свързаните с него делегирани актове и актове за изпълнение, ако посоченият регламент е приложим за организацията. |
б) |
Без да се засягат задълженията по Регламент (ЕС) № 376/2014, организацията гарантира, че всеки инцидент или уязвимост, свързани с информационната сигурност, които може да представляват значителен риск за авиационната безопасност, се докладват на нейния компетентен орган. Освен това:
|
в) |
Организацията докладва условията, посочени в буква б), както следва:
|
IS.I.OR.235 Възлагане на дейности по управление на информационната сигурност на подизпълнители
а) |
Организацията гарантира, че когато възлага на други организации която и да е част от дейностите, посочени в точка IS.I.OR.200, дейностите, за които е сключен договор, отговарят на изискванията на настоящия регламент, а организацията подизпълнител работи под неин надзор. Организацията гарантира, че рисковете, свързани с дейностите, възложени на подизпълнители, се управляват по подходящ начин. |
б) |
Организацията гарантира, че компетентният орган може да получи достъп при поискване до организацията подизпълнител, за да установи дали се запазва съответствието с приложимите изисквания, определени в настоящия регламент. |
IS.I.OR.240 Изисквания към персонала
а) |
Отговорният ръководител на организацията, определен в съответствие с регламенти (ЕС) № 1321/2014, (ЕС) № 965/2012, (ЕС) № 1178/2011, (ЕС) 2015/340, (ЕС) 2017/373 или Регламент за изпълнение (ЕС) 2021/664, според случая, посочен в член 2, параграф 1 от настоящия регламент, има административни правомощия да гарантира, че всички дейности, изисквани по настоящия регламент, могат да бъдат финансирани и извършени. Това лице:
|
б) |
Отговорният ръководител назначава лице или група лица, които да гарантират, че организацията отговаря на изискванията на настоящия регламент, и определя обхвата на техните правомощия. Това лице или група лица докладват пряко на отговорния ръководител и притежават необходимите знания, образование и опит, за да изпълняват своите задължения. В процедурите се определя кой замества дадено лице в случай на продължителното му отсъствие. |
в) |
Отговорният ръководител назначава лице или група лица, които отговарят за управлението на функцията по наблюдение на съответствието, посочена в точка IS.I.OR.200, буква а), подточка 12. |
г) |
Когато организацията споделя организационни структури, политики, процеси и процедури за информационна сигурност с други организации или с области от тяхната собствена организация, които не са част от одобрението или декларацията, отговорният ръководител може да делегира своите дейности на едно общо отговорно лице. В този случай се установяват мерки за координация между отговорния ръководител на организацията и общото отговорно лице, за да се осигури адекватно интегриране на управлението на информационната сигурност в рамките на организацията. |
д) |
Отговорният ръководител или общото отговорно лице, посочено в буква г), имат административни правомощия да създават и поддържат организационните структури, политики, процеси и процедури, необходими за прилагането на точка IS.I.OR.200. |
е) |
Организацията трябва да въведе процедура, която да гарантира, че тя има достатъчно персонал, който да е на разположение за извършване на дейностите, обхванати от настоящото приложение. |
ж) |
Организацията трябва да въведе процедура, която да гарантира, че персоналът, посочен в буква е), притежава необходимата компетентност за изпълнение на своите задачи. |
з) |
Организацията трябва да въведе процедура, която да гарантира, че персоналът е запознат с отговорностите, свързани с възложените роли и задачи. |
и) |
Организацията гарантира, че самоличността и надеждността на персонала, който има достъп до информационните системи и данните, за които се прилагат изискванията на настоящия регламент, са установени по подходящ начин. |
IS.I.OR.245 Водене на документация
а) |
Организацията съхранява документация за своите дейности по управление на информационната сигурност.
|
б) |
Организацията съхранява документация за квалификацията и опита на собствения си персонал, участващ в дейности по управление на информационната сигурност.
|
в) |
Форматът на документацията се уточнява в процедурите на организацията. |
г) |
Записите се съхраняват по начин, който гарантира защита от повреда, изменение и кражба, като информацията се идентифицира, когато е необходимо, в съответствие с нейното ниво на класификация за сигурност. Организацията гарантира, че записите се съхраняват, като се използват средства за гарантиране на целостта, автентичността и разрешения достъп. |
IS.I.OR.250 Ръководство за управление на информационната сигурност (ISMM)
а) |
Организацията предоставя на компетентния орган ръководство за управление на информационната сигурност (ISMM) и, когато е приложимо, всички съответни ръководства и процедури, съдържащи:
|
б) |
Първоначалното издание на ISMM се одобрява и компетентният орган запазва копие от него. ISMM се изменя при необходимост, за да бъде актуално описанието на ISMS на организацията. Копие от всички изменения на ISMM се предоставя на компетентния орган. |
в) |
Измененията на ISMM се управляват съгласно процедура, установена от организацията. Всички изменения, които не са включени в обхвата на посочената процедура, и всички изменения, свързани с промените, посочени в точка IS.I.OR.255, буква б), се одобряват от компетентния орган. |
г) |
Организацията може да интегрира ISMM с други описания на управлението или ръководства, които поддържа, при условие че има ясна препратка, която показва кои части от описанието на управлението или наръчника отговарят на различните изисквания, съдържащи се в настоящото приложение. |
IS.I.OR.255 Промени в системата за управление на информационната сигурност
а) |
Промените в ISMS могат да се управляват и съобщават на компетентния орган по процедура, разработена от организацията. Тази процедура се одобрява от компетентния орган. |
б) |
По отношение на промените в ISMS, които не са обхванати от процедурата, посочена в буква а), организацията подава заявление и получава одобрение, издадено от компетентния орган. По отношение на тези промени:
|
IS.I.OR.260 Постоянно подобряване
а) |
Организацията оценява ефективността и зрелостта на ISMS, като използва подходящи показатели за изпълнение. Тази оценка се извършва въз основа на график, предварително определен от организацията, или след инцидент, свързан с информационната сигурност. |
б) |
Ако в резултат на оценката, извършена в съответствие с буква а), бъдат открити недостатъци, организацията предприема необходимите мерки за подобряване, за да гарантира, че ISMS продължава да отговаря на приложимите изисквания, и поддържа рисковете за информационната сигурност на приемливо равнище. Освен това организацията извършва повторна оценка на елементите на ISMS, засегнати от приетите мерки. |
ПРИЛОЖЕНИЕ III
Приложения VI (част АRА) и VII (част ОRА) към Регламент (ЕС) № 1178/2011 се изменят, както следва:
(1) |
приложение VI (част ARA) се изменя, както следва:
|
(2) |
приложение VII (част ORA) се изменя, както следва: след точка ОRA.GEN.200 се вмъква следната точка ОRA.GEN.200А: „ORA.GEN.200A Система за управление на информационната сигурност В допълнение към системата за управление, посочена в точка ORA.GEN.200, организацията създава, въвежда и поддържа система за управление на информационната сигурност в съответствие с Регламент за изпълнение (ЕС) 2023/203, за да се осигури правилното управление на рисковете за информационната сигурност, които може да окажат въздействие върху авиационната безопасност.“ |
ПРИЛОЖЕНИЕ IV
Приложение I (част 21) към Регламент (ЕС) № 748/2012 се изменя, както следва:
(1) |
съдържанието се изменя, както следва:
|
(2) |
в точка 21.Б.15 се добавя следната буква в):
|
(3) |
след точка 21.Б.20 се вмъква следната точка 21.Б.20A: „21.Б.20A Незабавна реакция на инцидент или уязвимост, свързани с информационната сигурност, които оказват въздействие върху авиационната безопасност
|
(4) |
в точка 21.Б.25 се добавя следната буква д):
|
(5) |
точка 21.Б.30 се изменя, както следва:
|
(6) |
в точка 21.Б.221 се добавя следната буква ж):
|
(7) |
след точка 21.Б.240 се вмъква следната точка 21.Б.240A: „21.Б.240A Промени в системата за управление на информационната сигурност
|
(8) |
в точка 21.Б.431, се добавя следната буква г):
|
(9) |
след точка 21.Б.435 се вмъква следната точка 21.Б.435A: „21.Б.435A Промени в системата за управление на информационната сигурност
|
ПРИЛОЖЕНИЕ V
Приложения II (част ARO) и III (част ORO) към Регламент (ЕС) № 965/2012 се изменят, както следва:
(1) |
приложение II (част ARO) се изменя, както следва:
|
(2) |
приложение III (част ORO) се изменя, както следва: след точка ОRО.GEN.200 се вмъква следната точка ОRО.GEN.200А: „ORО.GEN.200A Система за управление на информационната сигурност В допълнение към системата за управление, посочена в точка ORО.GEN.200, операторът създава, въвежда и поддържа система за управление на информационната сигурност в съответствие с Регламент за изпълнение (ЕС) 2023/203, за да се осигури правилното управление на рисковете за информационната сигурност, които може да окажат въздействие върху авиационната безопасност.“ |
ПРИЛОЖЕНИЕ VI
Приложение II (част ADR.AR) към Регламент (ЕС) № 139/2014 се изменя, както следва:
(1) |
в точка ADR.AR.A.025 се добавя следната буква в):
|
(2) |
след точка ADR.АR.А.030 се вмъква следната точка ADR.АR.А.030A: „ADR.AR.A.030A Незабавна реакция на инцидент или уязвимост, свързани с информационната сигурност, които оказват въздействие върху авиационната безопасност
|
(3) |
в точка ADR.AR.В.005 се добавя следната буква г):
|
(4) |
точка ADR.AR.В.010 се изменя, както следва:
|
(5) |
в точка ADR.AR.C.005 се добавя следната буква е):
|
(6) |
след точка ADR.AR.C.040 се вмъква следната точка ADR.АR.C.040A: „ADR.АR.C.040A Промени в системата за управление на информационната сигурност
|
ПРИЛОЖЕНИЕ VII
Приложения II (част 145), III (част 66) и Vв (част CAMO) към Регламент (ЕС) № 1321/2014 се изменят, както следва:
1. |
приложение II (част 145) се изменя, както следва:
|
(2) |
приложение III (част 66) се изменя, както следва:
|
(3) |
приложение Vв (част САМО) се изменя, както следва:
|
ПРИЛОЖЕНИЕ VIII
Приложения II (част ATCO.AR) и III (част ATCO.OR) към Регламент (ЕС) 2015/340 се изменят, както следва:
(1) |
приложение II (част ATCO.AR) се изменя, както следва:
|
(2) |
приложение III (част ATCO.ОR) се изменя, както следва: след точка ATCO.ОR.В.001 се вмъква следната точка ATCO.ОR.В.001А: „ATCO.OR.В.001A Система за управление на информационната сигурност В допълнение към системата за управление, посочена в точка ATCO.OR.В.001, организацията за обучение създава, въвежда и поддържа система за управление на информационната сигурност в съответствие с Регламент за изпълнение (ЕС) 2023/203, за да се осигури правилното управление на рисковете за информационната сигурност, които може да окажат въздействие върху авиационната безопасност.“ |
ПРИЛОЖЕНИЕ IX
Приложения II (част ATM/ANS.AR) и III (част ATM/ANS.OR) към Регламент (ЕС) 2017/373 се изменят, както следва:
(1) |
приложение II (част ATM/ANS.AR) се изменя, както следва:
|
(2) |
приложение III (част ATM/ANS.OR) се изменя, както следва:
|