KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2025/22

af 19. december 2024

om ændring af delegeret forordning (EU) 2022/1645 for så vidt angår informationssikkerhedskrav til organisationer, der leverer groundhandlingtjenester

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (1), særlig artikel 39, stk. 1, litra e), og

ud fra følgende betragtninger:

(1)

Ved forordning (EU) 2018/1139 fastsættes de væsentlige krav til sikker levering af groundhandlingtjenester og til de organisationer, der leverer dem, samt krav om de kompetente myndigheders tilsyn med disse organisationer og de groundhandlingtjenester, der leveres på EU-flyvepladser i henhold til nævnte forordning.

(2)

De organisationer, der er ansvarlige for at levere groundhandlingtjenester, skal i henhold til de væsentlige krav i punkt 4.2.1 i bilag VII til forordning (EU) 2018/1139 og Kommissionens delegerede forordning (EU) 2025/20 (2), indføre og vedligeholde et administrationssystem til styring af sikkerhedsrisici. Sikkerhedsrisici kan også stamme fra trusler mod informationssikkerheden. Disse risici bør imødegås på passende vis af de organisationer, der leverer groundhandlingtjenester. For at muliggøre dette bør anvendelsesområdet for Kommissionens delegerede forordning (EU) 2022/1645 (3) ændres til at omfatte organisationer, der leverer groundhandlingtjenester.

(3)

Organisationer, der er omfattet af delegeret forordning (EU) 2022/1645, som f.eks. groundhandlingorganisationer og organisationer, der yder forpladstjenester, opererer i henhold til en ordning med afgivelse af erklæring. Dette indebærer, at hverken deres administrationssystem eller nogen af systemets komponenter skal godkendes af organisationernes kompetente myndigheder. Ordningen skal gøre det muligt for disse organisationer at anvende bestemmelserne om informationssikkerhed, uden at der er krav om, at deres håndbog til styring af informationssikkerhed eller proceduren for håndtering af ændringer skal godkendes af den kompetente myndighed. De krav, der vedrører disse elementer, bør ændres for at afspejle denne undtagelse for de organisationer, der afgiver erklæring.

(4)

Organisationer, der er omfattet af denne forordning, og som allerede er underlagt sikkerhedskrav i henhold til Kommissionens gennemførelsesforordning (EU) 2015/1998 (4), skal også opfylde kravene i bilag I (del IS.D.OR.230 »Ekstern indberetningsordning for informationssikkerhed«) til delegeret forordning (EU) 2022/1645, da gennemførelsesforordning (EU) 2015/1998 ikke indeholder bestemmelser vedrørende ekstern indberetning af informationssikkerhedshændelser.

(5)	Kravene i denne forordning er baseret på udtalelse nr. 1/2024 (5) afgivet af agenturet i overensstemmelse med artikel 75, stk. 2, litra b) og c), og artikel 76, stk. 1, i forordning (EU) 2018/1139.

(6)	Kommissionen har som krævet i artikel 128, stk. 4, i forordning (EU) 2018/1139 hørt eksperter, der er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (6).

(7)	For at give organisationerne tilstrækkelig tid til at sikre overholdelsen af de nye regler og procedurer, der indføres ved denne forordning, bør denne forordning finde anvendelse seks år efter datoen for dens ikrafttræden —

VEDTAGET DENNE FORORDNING:

Artikel 1

I delegeret forordning (EU) 2022/1645 foretages følgende ændringer:

I artikel 2, stk. 1, tilføjes følgende som litra c):

»c)

groundhandlingorganisationer, der er omfattet af Kommissionens delegerede forordning (EU) 2025/20 (*1) og som:

i)	for at kunne levere de respektive tjenester skal indsamle, gemme, analysere eller på anden måde behandle data fra tredjeparter, eller

ii)	giver data direkte til luftfartøjsoperatører, der anvender dem til operationelle formål.

(*1) Kommissionens delegerede forordning (EU) 2025/20 af 19. december 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2018/1139 for så vidt angår fastsættelsen af krav til sikker levering af groundhandlingtjenester og til de organisationer, der leverer dem (EUT L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).« "

I artikel 5, stk. 1, tilføjes følgende som litra c):

»c)	for organisationer omhandlet i artikel 2, litra c), være den kompetente myndighed, der er udpeget i overensstemmelse med bilaget (del-ARGH) til Kommissionens gennemførelsesforordning (EU) 2025/23 (*2).

(*2) Kommissionens gennemførelsesforordning (EU) 2025/23 af 19. december 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2018/1139 for så vidt angår krav til tilsyn med groundhandlingtjenester og de organisationer, der leverer dem (EUT L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).« "

Artikel 2

Bilaget til delegeret forordning (EU) 2022/1645 ændres som angivet i bilaget til nærværende forordning.

Artikel 3

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Artikel 1 finder anvendelse fra den 27. marts 2031.

3. Artikel 2 finder anvendelse fra den 16. oktober 2025.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 19. december 2024.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L 212, 22.8.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2) Kommissionens delegerede forordning (EU) 2025/20 af 19. december 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2018/1139 for så vidt angår fastsættelsen af krav til sikker levering af groundhandlingtjenester og til de organisationer, der leverer dem (EUT L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3) Kommissionens delegerede forordning (EU) 2022/1645 af 14. juli 2022 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2018/1139 for så vidt angår krav til styring af informationssikkerhedsrisici med potentiel indvirkning på luftfartssikkerheden gældende for de organisationer, der er omfattet af Kommissionens forordning (EU) nr. 748/2012 og (EU) nr. 139/2014, og om ændring af Kommissionens forordning (EU) nr. 748/2012 og (EU) nr. 139/2014 (EUT L 248 af 26.9.2022, s. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4) Kommissionens gennemførelsesforordning (EU) 2015/1998 af 5. november 2015 om detaljerede foranstaltninger til gennemførelse af de fælles grundlæggende normer for luftfartssikkerhed (EUT L 299 af 14.11.2015, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5) https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6) EUT L 123 af 12.5.2016, s. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

BILAG

I bilag til delegeret forordning (EU) 2022/1645 foretages følgende ændringer:

Punkt IS.D.OR.200, litra a), nr. 5), affattes således:

»5)

udarbejder og gennemfører, i overensstemmelse med punkt IS.D.OR.220, de foranstaltninger, der er nødvendige for at opdage informationssikkerhedsbegivenheder, finder frem til disse begivenheder, der betragtes som hændelser med en potentiel indvirkning på flyvesikkerheden, og sørger for reaktion på disse informationssikkerhedshændelser og efterfølgende genopretning«.

Punkt IS.D.OR.250, litra b) og c), affattes således:

»b)

Den kompetente myndighed godkender og opbevarer en kopi af den første udstedelse af den pågældende ISMM. Der kræves ikke godkendelse for organisationer, der afgiver erklæring. ISMM ændres i det nødvendige omfang, således at den forbliver en ajourført beskrivelse af organisationens ISMS. En kopi af alle ændringer af ISMM'en skal sendes til den kompetente myndighed.

Ændringer af ISMM skal forvaltes efter en procedure, der fastlægges af organisationen. Ændringer, der ikke er omfattet af denne procedure, og ændringer i forbindelse med de ændringer, der er omhandlet i punkt IS.D.OR.255, litra b), skal godkendes af den kompetente myndighed. Der kræves ikke godkendelse for organisationer, der afgiver erklæring.«

Punkt IS.D.OR.255 affattes således:

»IS.D.OR.255 Ændring af systemet til styring af informationssikkerhed (ISMS)

a)	Ændringer af ISMS kan håndteres og formidles til den kompetente myndighed efter en procedure, der er udviklet af organisationen. Denne procedure skal godkendes af den kompetente myndighed, medmindre der er tale om organisationer, der afgiver erklæring.

For så vidt angår ændringer af ISMS, der ikke er omfattet af proceduren i litra a), skal organisationen ansøge om og opnå en godkendelse udstedt af den kompetente myndighed, medmindre der er tale om organisationer, der afgiver erklæring, da der for dem ikke kræves nogen godkendelse.

Følgende gælder for disse ændringer:

1)	Ansøgningen skal indgives, før en sådan ændring foretages, for at gøre det muligt for den kompetente myndighed at fastslå, hvorvidt der fortsat er overensstemmelse med denne forordning, og om nødvendigt ændre organisationens certifikat og de betingelser for godkendelse, der er knyttet dertil

2)	Organisationen skal stille alle de oplysninger til rådighed for den kompetente myndighed, som denne anmoder om med henblik på at evaluere ændringen

3)	Ændringen må først gennemføres, når den kompetente myndigheds formelle godkendelse er modtaget, medmindre der er tale om organisationer, der afgiver erklæring, idet disse må gennemføre ændringen øjeblikkeligt

4)	Organisationen skal drives i overensstemmelse med de betingelser, som den kompetente myndighed foreskriver, under gennemførelsen af sådanne ændringer.«