«στ)

εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας σύμφωνα με την ATM/ANS.OR.D.010 του τμήματος Δ του παραρτήματος III του εκτελεστικού κανονισμού (ΕΕ) 2017/373 και σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με το παράρτημα II (Μέρος-IS.I.OR) του εκτελεστικού κανονισμού (ΕΕ) 2023/203·»·

«ιβ)

θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με το παράρτημα I (Μέρος-IS.AR) του εκτελεστικού κανονισμού (ΕΕ) 2023/203.».

1)

θεσπίζει πολιτική για την ασφάλεια των πληροφοριών, η οποία καθορίζει τις γενικές αρχές της αρμόδιας αρχής όσον αφορά τον ενδεχόμενο αντίκτυπο των κινδύνων για την ασφάλεια των πληροφοριών στην ασφάλεια της αεροπορίας·

2)

προσδιορίζει και επανεξετάζει τους κινδύνους για την ασφάλεια των πληροφοριών σύμφωνα με την IS.AR.205·

3)

καθορίζει και εφαρμόζει μέτρα αντιμετώπισης των κινδύνων για την ασφάλεια των πληροφοριών σύμφωνα με την IS.AR.210·

4)

καθορίζει και εφαρμόζει, σύμφωνα με την IS.AR.215, τα μέτρα που απαιτούνται για την ανίχνευση γεγονότων που αφορούν την ασφάλεια των πληροφοριών, προσδιορίζει τα γεγονότα που θεωρούνται συμβάντα με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας, και αντιδρά στα εν λόγω συμβάντα ασφάλειας πληροφοριών και αποκαθίσταται μετά από αυτά·

5)

συμμορφώνεται με τις απαιτήσεις της IS.AR.220 όταν αναθέτει με σύμβαση σε άλλους φορείς οποιοδήποτε μέρος των δραστηριοτήτων που περιγράφονται στην IS.AR.200·

6)

συμμορφώνεται με τις απαιτήσεις που αφορούν το προσωπικό οι οποίες περιλαμβάνονται στην IS.AR.225·

7)

συμμορφώνεται με τις απαιτήσεις τήρησης αρχείων που περιλαμβάνονται στην IS.AR.230·

8)

παρακολουθεί τη συμμόρφωση της ίδιας με τις απαιτήσεις του παρόντος κανονισμού και παρέχει ανατροφοδότηση σχετικά με τα ευρήματα στο πρόσωπο που αναφέρεται στην IS.AR.225 στοιχείο α), ώστε να διασφαλίζεται η αποτελεσματική εφαρμογή διορθωτικών μέτρων·

9)

προστατεύει την εμπιστευτικότητα κάθε πληροφορίας που ενδέχεται να έχει η αρμόδια αρχή σχετικά με φορείς που υπόκεινται στην εποπτεία της, καθώς και των πληροφοριών που λαμβάνει μέσω των συστημάτων εξωτερικής αναφοράς του φορέα που θεσπίζονται σύμφωνα με την IS.I.OR.230 του παραρτήματος II (Μέρος-IS.I.OR) του παρόντος κανονισμού και την IS.D.OR.230 του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645·

10)

κοινοποιεί στον Οργανισμό αλλαγές που επηρεάζουν την ικανότητα της αρμόδιας αρχής να εκτελεί τα καθήκοντά της και να εκπληρώνει τις υποχρεώσεις της, όπως ορίζονται στον παρόντα κανονισμό·

11)

καθορίζει και εφαρμόζει διαδικασίες για την ανταλλαγή, κατά περίπτωση και με πρακτικό και έγκαιρο τρόπο, σχετικών πληροφοριών που βοηθούν άλλες αρμόδιες αρχές και οργανισμούς, καθώς και τους φορείς που υπόκεινται στον παρόντα κανονισμό, να διενεργούν αποτελεσματικές εκτιμήσεις κινδύνου για την ασφάλεια σε σχέση με τις δραστηριότητές τους.

1)

τις δραστηριότητες, τις εγκαταστάσεις και τους πόρους της αρμόδιας αρχής, καθώς και τις υπηρεσίες τις οποίες εκτελεί, παρέχει, λαμβάνει ή συντηρεί η αρμόδια αρχή·

2)

τον εξοπλισμό, τα συστήματα, τα δεδομένα και τις πληροφορίες που συμβάλλουν στη λειτουργία των στοιχείων που αναφέρονται στο σημείο 1).

1)

καθορίζει το επίπεδο κινδύνου σύμφωνα με προκαθορισμένη ταξινόμηση που καταρτίζεται από την αρμόδια αρχή·

2)

συσχετίζει κάθε κίνδυνο και το επίπεδό του με το αντίστοιχο στοιχείο ή διεπαφή που προσδιορίζεται σύμφωνα με τα στοιχεία α) και β).

1)

όταν υπάρχει αλλαγή στα στοιχεία που υπόκεινται σε κινδύνους για την ασφάλεια των πληροφοριών·

2)

όταν υπάρχει αλλαγή στις διεπαφές μεταξύ της αρμόδιας αρχής και άλλων φορέων ή στους κινδύνους που κοινοποιούνται από τους άλλους φορείς·

3)

όταν υπάρχει αλλαγή στις πληροφορίες ή τις γνώσεις που χρησιμοποιούνται για τον προσδιορισμό, την ανάλυση και την ταξινόμηση των κινδύνων·

4)

όταν υπάρχουν διδάγματα που αντλήθηκαν από την ανάλυση συμβάντων ασφάλειας πληροφοριών.

1)

να ελέγχει τις περιστάσεις που συμβάλλουν στην πραγματική επέλευση του σεναρίου απειλής·

2)

να μειώνει τις συνέπειες στην ασφάλεια της αεροπορίας που συνδέονται με την υλοποίηση του σεναρίου απειλής·

3)

να αποφεύγει τους κινδύνους.

1)

να εντοπίζει αποκλίσεις από τις προκαθορισμένες βασικές λειτουργικές επιδόσεις·

2)

να αποστέλλει προειδοποιήσεις για την ενεργοποίηση κατάλληλων μέτρων αντίδρασης, σε περίπτωση τυχόν απόκλισης.

1)

να εκκινεί την αντίδρασή της στις προειδοποιήσεις που αναφέρονται στο στοιχείο α) σημείο 2) ενεργοποιώντας προκαθορισμένους πόρους και πορεία ενεργειών·

2)

να συγκρατεί την εξάπλωση μιας επίθεσης και να αποφεύγει την πλήρη υλοποίηση ενός σεναρίου απειλής·

3)

να ελέγχει τον τρόπο αστοχίας των επηρεαζόμενων στοιχείων που ορίζονται στην IS.AR.205 στοιχείο α).

1)

να άρει την κατάσταση που προκάλεσε το συμβάν ή να την περιορίσει σε ανεκτό επίπεδο·

2)

να αποκαταστήσει την ασφαλή κατάσταση των επηρεαζόμενων στοιχείων που ορίζονται στην IS.AR.205 στοιχείο α) εντός χρόνου αποκατάστασης που έχει προηγουμένως καθορίσει η ίδια.

1)

έχει την εξουσία να έχει πλήρη πρόσβαση στους πόρους που είναι αναγκαίοι προκειμένου η αρμόδια αρχή να εκτελεί όλα τα καθήκοντα που απαιτούνται από τον παρόντα κανονισμό·

2)

διαθέτει την εξουσιοδότηση που απαιτείται για την εκτέλεση των καθηκόντων που του έχουν ανατεθεί·

1)

Η αρμόδια αρχή διασφαλίζει ότι αρχειοθετούνται και είναι ανιχνεύσιμα τα ακόλουθα αρχεία:

2)

Τα αρχεία που αναφέρονται στο σημείο 1) σημείο i) διατηρούνται τουλάχιστον έως 5 έτη μετά την τροποποίηση ή τη λύση της σύμβασης.

3)

Τα αρχεία που αναφέρονται στο σημείο 1) σημεία ii) και iii) διατηρούνται τουλάχιστον για περίοδο 5 ετών.

4)

Τα αρχεία που αναφέρονται στο σημείο 1) σημείο iv) διατηρούνται έως ότου τα εν λόγω γεγονότα που αφορούν την ασφάλεια των πληροφοριών επαναξιολογηθούν σύμφωνα με περιοδικότητα που καθορίζεται σε διαδικασία την οποία θεσπίζει η αρμόδια αρχή.

1)

Τα αρχεία των προσόντων και της πείρας του προσωπικού διατηρούνται για όσο διάστημα το πρόσωπο εργάζεται για την αρμόδια αρχή και για τουλάχιστον 3 έτη μετά την αποχώρησή του από την αρμόδια αρχή.

2)

Τα μέλη του προσωπικού έχουν, κατόπιν αίτησής τους, πρόσβαση στα ατομικά τους αρχεία. Επιπλέον, η αρμόδια αρχή, κατόπιν αίτησής τους, τους χορηγεί αντίγραφο του ατομικού τους αρχείου κατά την αποχώρησή τους από την αρμόδια αρχή.

1)

θεσπίζει πολιτική για την ασφάλεια των πληροφοριών, η οποία καθορίζει τις γενικές αρχές του φορέα όσον αφορά τον ενδεχόμενο αντίκτυπο των κινδύνων για την ασφάλεια των πληροφοριών στην ασφάλεια της αεροπορίας·

2)

προσδιορίζει και επανεξετάζει τους κινδύνους για την ασφάλεια των πληροφοριών σύμφωνα με την IS.I.OR.205·

3)

καθορίζει και εφαρμόζει μέτρα αντιμετώπισης των κινδύνων για την ασφάλεια των πληροφοριών σύμφωνα με την IS.I.OR.210·

4)

εφαρμόζει εσωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών σύμφωνα με την IS.I.OR.215·

5)

καθορίζει και εφαρμόζει, σύμφωνα με την IS.I.OR.220, τα μέτρα που απαιτούνται για την ανίχνευση γεγονότων που αφορούν την ασφάλεια των πληροφοριών, προσδιορίζει τα γεγονότα που θεωρούνται συμβάντα με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας, εκτός από όσα επιτρέπονται από την IS.I.OR.205 στοιχείο ε), και αντιδρά στα εν λόγω συμβάντα ασφάλειας πληροφοριών και αποκαθίσταται μετά από αυτά·

6)

εφαρμόζει τα μέτρα που έχουν κοινοποιηθεί από την αρμόδια αρχή ως άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας·

7)

λαμβάνει τα κατάλληλα μέτρα, σύμφωνα με την IS.I.OR.225, για την αντιμετώπιση των ευρημάτων που κοινοποιούνται από την αρμόδια αρχή·

8)

εφαρμόζει εξωτερικό σύστημα αναφοράς σύμφωνα με την IS.I.OR.230, ώστε να μπορεί η αρμόδια αρχή να λαμβάνει τα κατάλληλα μέτρα·

9)

συμμορφώνεται με τις απαιτήσεις της IS.I.OR.235 όταν αναθέτει με σύμβαση σε άλλους φορείς οποιοδήποτε μέρος των δραστηριοτήτων που αναφέρονται στην IS.I.OR.200·

10)

συμμορφώνεται με τις απαιτήσεις που αφορούν το προσωπικό, οι οποίες καθορίζονται στην IS.I.OR.240·

11)

συμμορφώνεται με τις απαιτήσεις τήρησης αρχείων που καθορίζονται στην IS.I.OR.245·

12)

παρακολουθεί τη συμμόρφωση του οργανισμού με τις απαιτήσεις του παρόντος κανονισμού και παρέχει ανατροφοδότηση σχετικά με τα ευρήματα στον υπόλογο διευθυντή, ώστε να διασφαλίζεται η αποτελεσματική εφαρμογή διορθωτικών μέτρων·

13)

προστατεύει, με την επιφύλαξη των εφαρμοστέων απαιτήσεων αναφοράς συμβάντων, την εμπιστευτικότητα κάθε πληροφορίας που ενδέχεται να έχει λάβει ο φορέας από άλλους φορείς, ανάλογα με το επίπεδο ευαισθησίας της.

1)

τις δραστηριότητες, τις εγκαταστάσεις και τους πόρους του φορέα, καθώς και τις υπηρεσίες τις οποίες εκτελεί, παρέχει, λαμβάνει ή συντηρεί ο φορέας·

2)

τον εξοπλισμό, τα συστήματα, τα δεδομένα και τις πληροφορίες που συμβάλλουν στη λειτουργία των στοιχείων που απαριθμούνται στο σημείο 1).

1)

καθορίζει το επίπεδο κινδύνου σύμφωνα με προκαθορισμένη ταξινόμηση που καταρτίζεται από τον φορέα·

2)

συσχετίζει κάθε κίνδυνο και το επίπεδό του με το αντίστοιχο στοιχείο ή διεπαφή που προσδιορίζεται σύμφωνα με τα στοιχεία α) και β).

1)

όταν υπάρχει αλλαγή στα στοιχεία που υπόκεινται σε κινδύνους για την ασφάλεια των πληροφοριών·

2)

όταν υπάρχει αλλαγή στις διεπαφές μεταξύ του φορέα και άλλων φορέων ή στους κινδύνους που κοινοποιούνται από τους άλλους φορείς·

3)

όταν υπάρχει αλλαγή στις πληροφορίες ή τις γνώσεις που χρησιμοποιούνται για τον προσδιορισμό, την ανάλυση και την ταξινόμηση των κινδύνων·

4)

όταν υπάρχουν διδάγματα που αντλήθηκαν από την ανάλυση συμβάντων ασφάλειας πληροφοριών.

1)

να ελέγχει τις περιστάσεις που συμβάλλουν στην πραγματική επέλευση του σεναρίου απειλής·

2)

να μειώνει τις συνέπειες στην ασφάλεια της αεροπορίας που συνδέονται με την υλοποίηση του σεναρίου απειλής·

3)

να αποφεύγει τους κινδύνους.

1)

να προσδιορίζει ποια από τα γεγονότα που αναφέρονται σύμφωνα με το στοιχείο α) θεωρούνται συμβάντα ασφάλειας πληροφοριών ή τρωτά σημεία με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας·

2)

να προσδιορίζει τις αιτίες και τους παράγοντες που συνέβαλαν στα συμβάντα και τα τρωτά σημεία ασφάλειας πληροφοριών που προσδιορίζονται σύμφωνα με το σημείο 1) και να τα αντιμετωπίζει στο πλαίσιο της διαδικασίας διαχείρισης κινδύνων για την ασφάλεια των πληροφοριών σύμφωνα με την IS.I.OR.205 και την IS.I.OR.220·

3)

να διασφαλίζει την αξιολόγηση όλων των γνωστών συναφών πληροφοριών που σχετίζονται με τα συμβάντα και τα τρωτά σημεία ασφάλειας πληροφοριών που προσδιορίζονται σύμφωνα με το σημείο 1)·

4)

να διασφαλίζει την εφαρμογή μεθόδου εσωτερικής διανομής των πληροφοριών, ανάλογα με τις ανάγκες.

1)

να εντοπίζει αποκλίσεις από τις προκαθορισμένες βασικές λειτουργικές επιδόσεις·

2)

να αποστέλλει προειδοποιήσεις για την ενεργοποίηση κατάλληλων μέτρων αντίδρασης, σε περίπτωση τυχόν απόκλισης.

1)

να εκκινεί την αντίδραση στις προειδοποιήσεις που αναφέρονται στο στοιχείο α) σημείο 2) ενεργοποιώντας προκαθορισμένους πόρους και πορεία ενεργειών·

2)

να συγκρατεί την εξάπλωση μιας επίθεσης και να αποφεύγει την πλήρη υλοποίηση ενός σεναρίου απειλής·

3)

να ελέγχει τον τρόπο αστοχίας των επηρεαζόμενων στοιχείων που ορίζονται στην IS.I.OR.205 στοιχείο α).

1)

να άρει την κατάσταση που προκάλεσε το συμβάν ή να την περιορίσει σε ανεκτό επίπεδο·

2)

να φθάσει σε ασφαλή κατάσταση των επηρεαζόμενων στοιχείων που ορίζονται στην IS.I.OR.205 στοιχείο α) εντός χρόνου αποκατάστασης που έχει προηγουμένως καθορίσει ο φορέας.

1)

προσδιορίζει τη βασική αιτία ή αιτίες και τους παράγοντες που συνέβαλαν στη μη συμμόρφωση·

2)

καταρτίζει σχέδιο διορθωτικών μέτρων·

3)

αποδεικνύει τη διόρθωση της μη συμμόρφωσης κατά τρόπο ικανοποιητικό στην αρμόδια αρχή.

1)

όταν ένα τέτοιο συμβάν ή τρωτό σημείο επηρεάζει αεροσκάφος ή σχετικό σύστημα ή παρελκόμενο, ο φορέας το αναφέρει επίσης στον κάτοχο της έγκρισης σχεδιασμού·

2)

όταν ένα τέτοιο συμβάν ή τρωτό σημείο επηρεάζει σύστημα ή συστατικό στοιχείο που χρησιμοποιείται από τον φορέα, ο φορέας το αναφέρει στον φορέα που είναι υπεύθυνος για τον σχεδιασμό του συστήματος ή του συστατικού στοιχείου.

1)

υποβάλλεται κοινοποίηση στην αρμόδια αρχή και, κατά περίπτωση, στον κάτοχο της έγκρισης σχεδιασμού ή στον φορέα που είναι υπεύθυνος για τον σχεδιασμό του συστήματος ή του συστατικού στοιχείου, μόλις η κατάσταση περιέλθει σε γνώση του φορέα·

2)

υποβάλλεται αναφορά στην αρμόδια αρχή και, κατά περίπτωση, στον κάτοχο της έγκρισης σχεδιασμού ή στον φορέα που είναι υπεύθυνος για τον σχεδιασμό του συστήματος ή του συστατικού στοιχείου, το συντομότερο δυνατόν, αλλά όχι αργότερα από 72 ώρες από τη στιγμή που η κατάσταση έχει περιέλθει σε γνώση του φορέα, εκτός εάν αυτό δεν είναι δυνατό λόγω εξαιρετικών περιστάσεων.

Η αναφορά συντάσσεται με τη μορφή που ορίζεται από την αρμόδια αρχή και περιέχει όλες τις σχετικές πληροφορίες σχετικά με την κατάσταση που έχει περιέλθει σε γνώση του φορέα·

3)

υποβάλλεται έκθεση παρακολούθησης στην αρμόδια αρχή και, κατά περίπτωση, στον κάτοχο της έγκρισης σχεδιασμού ή στον φορέα που είναι υπεύθυνος για τον σχεδιασμό του συστήματος ή του συστατικού στοιχείου, στην οποία παρέχονται λεπτομερή στοιχεία σχετικά με τα μέτρα που έχει λάβει ή προτίθεται να λάβει ο φορέας για την αποκατάσταση έπειτα από το συμβάν και τα μέτρα που προτίθεται να λάβει για την πρόληψη παρόμοιων συμβάντων ασφάλειας πληροφοριών στο μέλλον.

Η έκθεση παρακολούθησης υποβάλλεται μόλις προσδιοριστούν τα εν λόγω μέτρα και συντάσσεται με τη μορφή που ορίζεται από την αρμόδια αρχή.

1)

διασφαλίζει ότι είναι διαθέσιμοι όλοι οι αναγκαίοι πόροι για τη συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού·

2)

καταρτίζει και προωθεί την πολιτική ασφάλειας των πληροφοριών που καθορίζεται στην IS.I.OR.200 στοιχείο α) σημείο 1)·

3)

επιδεικνύει στοιχειώδη κατανόηση του παρόντος κανονισμού.

1)

Ο φορέας διασφαλίζει ότι αρχειοθετούνται και είναι ανιχνεύσιμα τα ακόλουθα αρχεία:

2)

Τα αρχεία που αναφέρονται στο σημείο 1) σημείο i) διατηρούνται τουλάχιστον έως 5 έτη μετά τη λήξη ισχύος της έγκρισης.

3)

Τα αρχεία που αναφέρονται στο σημείο 1) σημείο ii) διατηρούνται τουλάχιστον έως 5 έτη μετά την τροποποίηση ή τη λύση της σύμβασης.

4)

Τα αρχεία που αναφέρονται στο σημείο 1) σημεία iii), iv) και v) διατηρούνται τουλάχιστον για περίοδο 5 ετών.

5)

Τα αρχεία που αναφέρονται στο σημείο 1) σημείο vi) διατηρούνται έως ότου τα εν λόγω γεγονότα που αφορούν την ασφάλεια των πληροφοριών επαναξιολογηθούν σύμφωνα με περιοδικότητα που καθορίζεται σε διαδικασία την οποία θεσπίζει ο φορέας.

1)

Τα αρχεία των προσόντων και της πείρας του προσωπικού διατηρούνται για όσο διάστημα το πρόσωπο εργάζεται για τον φορέα και για τουλάχιστον 3 έτη μετά την αποχώρησή του από τον φορέα.

2)

Τα μέλη του προσωπικού έχουν, κατόπιν αίτησής τους, πρόσβαση στα ατομικά τους αρχεία. Επιπλέον, ο φορέας, κατόπιν αίτησής τους, τους χορηγεί αντίγραφο του ατομικού τους αρχείου κατά την αποχώρησή τους από τον φορέα.

1)

δήλωση υπογεγραμμένη από τον υπόλογο διευθυντή, με την οποία βεβαιώνεται ότι ο φορέας θα εργάζεται ανά πάσα στιγμή σύμφωνα με το παρόν παράρτημα και με το εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών. Εάν ο υπόλογος διευθυντής δεν είναι ο γενικός διευθυντής (CEO) του φορέα, η δήλωση υπογράφεται και από τον γενικό διευθυντή·

2)

τον/τους τίτλο/-ους, το/τα ονοματεπώνυμο/-α, τα καθήκοντα, τις δομές λογοδοσίας, τις αρμοδιότητες και τις εξουσίες του προσώπου ή των προσώπων που ορίζονται στην IS.I.OR.240 στοιχεία β) και γ)·

3)

τον τίτλο, το ονοματεπώνυμο, τα καθήκοντα, τις δομές λογοδοσίας, τις αρμοδιότητες και την εξουσία του κοινού αρμόδιου προσώπου που ορίζεται στην IS.I.OR.240 στοιχείο δ), κατά περίπτωση·

4)

την πολιτική ασφάλειας των πληροφοριών του φορέα, όπως αναφέρεται στην IS.I.OR.200 στοιχείο α) σημείο 1)·

5)

γενική περιγραφή του αριθμού και των κατηγοριών προσωπικού και του εφαρμοζόμενου συστήματος για τον προγραμματισμό της διαθεσιμότητας προσωπικού, όπως απαιτείται από την IS.I.OR.240·

6)

τον/τους τίτλο/-ους, το/τα ονοματεπώνυμο/-α, τα καθήκοντα, τις δομές λογοδοσίας, τις αρμοδιότητες και τις εξουσίες των βασικών προσώπων που είναι υπεύθυνα για την εφαρμογή της IS.I.OR.200, συμπεριλαμβανομένου του προσώπου ή των προσώπων που είναι υπεύθυνα για τη λειτουργία παρακολούθησης της συμμόρφωσης που αναφέρεται στην IS.I.OR.200 στοιχείο α) σημείο 12)·

7)

οργανόγραμμα που δείχνει τις σχετικές αλυσίδες λογοδοσίας και ευθύνης για τα πρόσωπα που αναφέρονται στα σημεία 2) και 6)·

8)

την περιγραφή του εσωτερικού συστήματος αναφοράς που αναφέρεται στην IS.I.OR.215·

9)

τις διαδικασίες που καθορίζουν τον τρόπο με τον οποίο ο φορέας διασφαλίζει τη συμμόρφωση με το παρόν μέρος, και ιδίως:

10)

τις λεπτομέρειες των επί του παρόντος εγκεκριμένων εναλλακτικών μέσων συμμόρφωσης.

1)

η αίτηση υποβάλλεται πριν από την υλοποίηση της εν λόγω αλλαγής, ώστε να μπορεί η αρμόδια αρχή να διαπιστώσει τη συνεχή συμμόρφωση προς τον παρόντα κανονισμό και να τροποποιήσει, αν είναι αναγκαίο, το πιστοποιητικό του φορέα και τους προσαρτώμενους σε αυτό σχετικούς όρους έγκρισης·

2)

ο φορέας θέτει στη διάθεση της αρμόδιας αρχής κάθε πληροφορία που ζητεί για την αξιολόγηση της αλλαγής·

3)

η αλλαγή εφαρμόζεται μόνο μετά την παραλαβή επίσημης έγκρισης από την αρμόδια αρχή·

4)

κατά τη διάρκεια της εφαρμογής των εν λόγω αλλαγών ο φορέας λειτουργεί υπό τους όρους που καθορίζει η αρμόδια αρχή.

α)

στην ARA.GEN.125, προστίθεται το ακόλουθο στοιχείο γ):

β)

μετά την ARA.GEN.135, προστίθεται η ακόλουθη ARA.GEN.135A:

«ARA.GEN.135A Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

γ)

στην ARA.GEN.200, προστίθεται το ακόλουθο στοιχείο ε):

δ)

η ARA.GEN.205 τροποποιείται ως εξής:

ε)

στην ARA.GEN.300, προστίθεται το ακόλουθο στοιχείο ζ):

στ)

μετά την ARA.GEN.330, προστίθεται η ακόλουθη ARA.GEN.330A:

«ARA.GEN.330A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

α)

μετά την επικεφαλίδα 21.B.20, προστίθεται η ακόλουθη επικεφαλίδα:

«21.B.20A Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας»·

β)

η επικεφαλίδα της 21.B.30 αντικαθίσταται από το ακόλουθο κείμενο:

«21.B.30 Ανάθεση καθηκόντων»·

γ)

μετά την επικεφαλίδα 21.B.240, προστίθεται η ακόλουθη επικεφαλίδα:

«21.B.240A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών»·

δ)

μετά την επικεφαλίδα 21.B.435, προστίθεται η ακόλουθη επικεφαλίδα:

«21.B.435A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών»·

«γ)

Η αρμόδια αρχή του κράτους μέλους παρέχει στον Οργανισμό, το συντομότερο δυνατόν, σημαντικές πληροφορίες για την ασφάλεια που απορρέουν από τις αναφορές ασφάλειας πληροφοριών τις οποίες έχει λάβει σύμφωνα με την IS.D.OR.230 του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645.»·

α)

Η αρμόδια αρχή εφαρμόζει σύστημα για την κατάλληλη συλλογή, ανάλυση και διάδοση πληροφοριών σχετικά με συμβάντα και τρωτά σημεία ασφάλειας πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας τα οποία αναφέρονται από τους οργανισμούς. Αυτό γίνεται σε συντονισμό με κάθε άλλη σχετική αρχή που είναι αρμόδια για την ασφάλεια των πληροφοριών ή την κυβερνοασφάλεια εντός του κράτους μέλους, προκειμένου να αυξηθεί ο συντονισμός και η συμβατότητα των συστημάτων αναφοράς.

β)

Ο Οργανισμός εφαρμόζει σύστημα για τη δέουσα ανάλυση κάθε σχετικής και σημαντικής για την ασφάλεια πληροφορίας την οποία λαμβάνει σύμφωνα με την 21.B.15 στοιχείο γ), και παρέχει στα κράτη μέλη και στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση, κάθε πληροφορία, συμπεριλαμβανομένων συστάσεων ή διορθωτικών μέτρων που πρέπει να ληφθούν, η οποία τους είναι απαραίτητη για την έγκαιρη αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας το οποίο αφορά προϊόντα, εξαρτήματα, μη εγκατεστημένο εξοπλισμό, πρόσωπα ή φορείς που υπόκεινται στον κανονισμό (ΕΕ) 2018/1139 και στις κατ’ εξουσιοδότηση και εκτελεστικές πράξεις του.

γ)

Μόλις η αρμόδια αρχή λάβει τις πληροφορίες που αναφέρονται στα στοιχεία α) και β), λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση του ενδεχόμενου αντίκτυπου του συμβάντος ή τρωτού σημείου ασφάλειας πληροφοριών στην ασφάλεια της αεροπορίας.

δ)

Τα μέτρα που λαμβάνονται σύμφωνα με το στοιχείο γ) κοινοποιούνται αμέσως σε όλα τα πρόσωπα ή τους φορείς που συμμορφώνονται με αυτά βάσει του κανονισμού (ΕΕ) 2018/1139 και των κατ’ εξουσιοδότηση και εκτελεστικών πράξεών του. Η αρμόδια αρχή του κράτους μέλους κοινοποιεί επίσης τα εν λόγω μέτρα στον Οργανισμό και, όταν απαιτείται συνδυασμένη δράση, στις αρμόδιες αρχές των υπόλοιπων ενδιαφερόμενων κρατών μελών.»·

«ε)

Επιπλέον των απαιτήσεων που περιλαμβάνονται στο στοιχείο α), το σύστημα διαχείρισης που θεσπίζεται και τηρείται από την αρμόδια αρχή συμμορφώνεται με το παράρτημα I (Μέρος-IS.AR) του εκτελεστικού κανονισμού (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

α)

η επικεφαλίδα αντικαθίσταται από το ακόλουθο κείμενο:

«21.B.30 Ανάθεση καθηκόντων»·

β)

προστίθεται το ακόλουθο στοιχείο γ):

«ζ)

Όσον αφορά την πιστοποίηση και την εποπτεία της συμμόρφωσης του φορέα με την 21.A.139A, πέραν της συμμόρφωσης με τα στοιχεία α) έως στ), η αρμόδια αρχή επανεξετάζει κάθε έγκριση που χορηγείται δυνάμει της IS.I.OR.200 στοιχείο ε) του παρόντος κανονισμού ή της IS.D.OR.200 στοιχείο ε) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 σύμφωνα με τον εφαρμοστέο κύκλο ελέγχου εποπτείας και όποτε εφαρμόζονται αλλαγές στο πεδίο εργασιών του φορέα.»·

α)

Όσον αφορά τις αλλαγές των οποίων η διαχείριση και η κοινοποίηση στην αρμόδια αρχή πραγματοποιούνται σύμφωνα με τη διαδικασία που ορίζεται στην IS.D.OR.255 στοιχείο α) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645, η αρμόδια αρχή περιλαμβάνει την επανεξέταση των εν λόγω αλλαγών στη διαρκή εποπτεία της σύμφωνα με τις αρχές που καθορίζονται στην 21.B.221. Σε περίπτωση που διαπιστωθεί μη συμμόρφωση, η αρμόδια αρχή ενημερώνει σχετικά τον φορέα, ζητεί περαιτέρω αλλαγές και ενεργεί σύμφωνα με την 21.B.225.

β)

Όσον αφορά άλλες αλλαγές για τις οποίες απαιτείται αίτηση έγκρισης σύμφωνα με την IS.D.OR.255 στοιχείο β) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645:

«δ)

Όσον αφορά την πιστοποίηση και την εποπτεία της συμμόρφωσης του φορέα με την 21.A.239A, πέραν της συμμόρφωσης με τα στοιχεία α) έως γ), η αρμόδια αρχή συμμορφώνεται και με τις ακόλουθες αρχές:

α)

Όσον αφορά τις αλλαγές των οποίων η διαχείριση και η κοινοποίηση στην αρμόδια αρχή πραγματοποιούνται σύμφωνα με τη διαδικασία που ορίζεται στην IS.D.OR.255 στοιχείο α) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 η αρμόδια αρχή περιλαμβάνει την επανεξέταση των εν λόγω αλλαγών στη διαρκή εποπτεία της σύμφωνα με τις αρχές που καθορίζονται στην 21.B.431. Σε περίπτωση που διαπιστωθεί μη συμμόρφωση, η αρμόδια αρχή ενημερώνει σχετικά τον φορέα, ζητεί περαιτέρω αλλαγές και ενεργεί σύμφωνα με την 21.B.433.

β)

Όσον αφορά άλλες αλλαγές για τις οποίες απαιτείται αίτηση έγκρισης σύμφωνα με την IS.D.OR.255 στοιχείο β) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645:

α)

στην ARO.GEN.125, προστίθεται το ακόλουθο στοιχείο γ):

β)

μετά την ARO.GEN.135, προστίθεται η ακόλουθη ARO.GEN.135A:

«ARO.GEN.135A    Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

γ)

στην ARO.GEN.200, προστίθεται το ακόλουθο στοιχείο ε):

δ)

η ARO.GEN.205 τροποποιείται ως εξής:

ε)

στην ARO.GEN.300, προστίθεται το ακόλουθο στοιχείο ζ):

στ)

μετά την ARO.GEN.330, προστίθεται η ακόλουθη ARO.GEN.330A:

«ARO.GEN.330A    Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

«γ)

Η αρμόδια αρχή του κράτους μέλους παρέχει στον Οργανισμό, το συντομότερο δυνατόν, σημαντικές πληροφορίες για την ασφάλεια που απορρέουν από τις αναφορές ασφάλειας πληροφοριών τις οποίες έχει λάβει σύμφωνα με την IS.D.OR.230 του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645.»·

α)

Η αρμόδια αρχή εφαρμόζει σύστημα για την κατάλληλη συλλογή, ανάλυση και διάδοση πληροφοριών σχετικά με συμβάντα και τρωτά σημεία ασφάλειας πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας τα οποία αναφέρονται από τους οργανισμούς. Αυτό γίνεται σε συντονισμό με κάθε άλλη σχετική αρχή που είναι αρμόδια για την ασφάλεια των πληροφοριών ή την κυβερνοασφάλεια εντός του κράτους μέλους, προκειμένου να αυξηθεί ο συντονισμός και η συμβατότητα των συστημάτων αναφοράς.

β)

Ο Οργανισμός εφαρμόζει σύστημα για τη δέουσα ανάλυση κάθε σχετικής και σημαντικής για την ασφάλεια πληροφορίας την οποία λαμβάνει σύμφωνα με την ADR.AR.A.025 στοιχείο γ), και παρέχει στα κράτη μέλη και στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση, κάθε πληροφορία, συμπεριλαμβανομένων συστάσεων ή διορθωτικών μέτρων που πρέπει να ληφθούν, η οποία τους είναι απαραίτητη για την έγκαιρη αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας το οποίο αφορά προϊόντα, εξαρτήματα, μη εγκατεστημένο εξοπλισμό, πρόσωπα ή φορείς που υπόκεινται στον κανονισμό (ΕΕ) 2018/1139 και στις κατ’ εξουσιοδότηση και εκτελεστικές πράξεις του.

γ)

Μόλις η αρμόδια αρχή λάβει τις πληροφορίες που αναφέρονται στα στοιχεία α) και β), λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση του ενδεχόμενου αντίκτυπου του συμβάντος ή τρωτού σημείου ασφάλειας πληροφοριών στην ασφάλεια της αεροπορίας.

δ)

Τα μέτρα που λαμβάνονται σύμφωνα με το στοιχείο γ) κοινοποιούνται αμέσως σε όλα τα πρόσωπα ή τους φορείς που συμμορφώνονται με αυτά βάσει του κανονισμού (ΕΕ) 2018/1139 και των κατ’ εξουσιοδότηση και εκτελεστικών πράξεών του. Η αρμόδια αρχή του κράτους μέλους κοινοποιεί επίσης τα εν λόγω μέτρα στον Οργανισμό και, όταν απαιτείται συνδυασμένη δράση, στις αρμόδιες αρχές των υπόλοιπων ενδιαφερόμενων κρατών μελών.»·

«δ)

Επιπλέον των απαιτήσεων που περιλαμβάνονται στο στοιχείο α), το σύστημα διαχείρισης που θεσπίζεται και τηρείται από την αρμόδια αρχή συμμορφώνεται με το παράρτημα I (Μέρος-IS.AR) του εκτελεστικού κανονισμού (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

i)

η επικεφαλίδα αντικαθίσταται από το ακόλουθο κείμενο:

«ADR.AR.B.010 Ανάθεση καθηκόντων»·

ii)

προστίθεται το ακόλουθο στοιχείο γ):

«στ)

Όσον αφορά την πιστοποίηση και την εποπτεία της συμμόρφωσης του φορέα με την ADR.OR.D.005A, πέραν της συμμόρφωσης με τα στοιχεία α) έως ε), η αρμόδια αρχή επανεξετάζει κάθε έγκριση που χορηγείται δυνάμει της IS.I.OR.200 στοιχείο ε) του παρόντος κανονισμού ή της IS.D.OR.200 στοιχείο ε) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 σύμφωνα με τον εφαρμοστέο κύκλο ελέγχου εποπτείας και όποτε εφαρμόζονται αλλαγές στο πεδίο εργασιών του φορέα.»·

α)

Όσον αφορά τις αλλαγές των οποίων η διαχείριση και η κοινοποίηση στην αρμόδια αρχή πραγματοποιούνται σύμφωνα με τη διαδικασία που ορίζεται στην IS.D.OR.255 στοιχείο α) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 η αρμόδια αρχή περιλαμβάνει την επανεξέταση των εν λόγω αλλαγών στη διαρκή εποπτεία της σύμφωνα με τις αρχές που καθορίζονται στην ADR.AR.C.005. Σε περίπτωση που διαπιστωθεί μη συμμόρφωση, η αρμόδια αρχή ενημερώνει σχετικά τον φορέα, ζητεί περαιτέρω αλλαγές και ενεργεί σύμφωνα με την ADR.AR.C.055.

β)

Όσον αφορά άλλες αλλαγές για τις οποίες απαιτείται αίτηση έγκρισης σύμφωνα με την IS.D.OR.255 στοιχείο β) του παραρτήματος (Μέρος-IS.D.OR) του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645:

α)

ο πίνακας περιεχομένων τροποποιείται ως εξής:

β)

μετά την 145.A.200, προστίθεται η ακόλουθη 145.A.200A:

«145.A.200A    Σύστημα διαχείρισης της ασφάλειας των πληροφοριών

Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην 145.A.200, ο φορέας συντήρησης θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

γ)

στην 145.B.125, προστίθεται το ακόλουθο στοιχείο γ):

δ)

μετά την 145.B.135, προστίθεται η ακόλουθη 145.B.135A:

«145.B.135A    Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

ε)

στην 145.B.200, προστίθεται το ακόλουθο στοιχείο ε):

στ)

η 145.B.205 τροποποιείται ως εξής:

ζ)

στην 145.B.300, προστίθεται το ακόλουθο στοιχείο ζ):

η)

μετά την 145.B.330, προστίθεται η ακόλουθη 145.B.330A:

«145.B.330A    Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

η)

στον πίνακα περιεχομένων, μετά την επικεφαλίδα 66.B.10, προστίθεται η ακόλουθη επικεφαλίδα:

θ)

μετά την 66.B.10, προστίθεται η ακόλουθη 66.B.15:

«66.B.15    Σύστημα διαχείρισης της ασφάλειας των πληροφοριών

Η αρμόδια αρχή θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με το παράρτημα I (Μέρος-IS.AR) του εκτελεστικού κανονισμού (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

ι)

ο πίνακας περιεχομένων τροποποιείται ως εξής:

β)

μετά την CAMO.A.200, προστίθεται η ακόλουθη CAMO.A.200A:

«CAMO.A.200A    Σύστημα διαχείρισης της ασφάλειας των πληροφοριών

Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην CAMO.A.200, ο φορέας θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

γ)

στην CAMO.B.125, προστίθεται το ακόλουθο στοιχείο γ):

δ)

μετά την CAMO.B.135, προστίθεται η ακόλουθη CAMO.B.135A:

«CAMO.B.135A    Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

ε)

στην CAMO.B.200, προστίθεται το ακόλουθο στοιχείο ε):

στ)

η CAMO.B.205 τροποποιείται ως εξής:

ζ)

στην CAMO.B.300, προστίθεται το ακόλουθο στοιχείο ζ):

η)

μετά την CAMO.B.330, προστίθεται η ακόλουθη CAMO.B.330A:

«CAMO.B.330A    Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

α)

στην ATCO.AR.A.020, προστίθεται το ακόλουθο στοιχείο γ):

β)

μετά την ATCO.AR.A.025, προστίθεται η ακόλουθη ATCO.AR.A.025A:

«ATCO.AR.A.025A    Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

γ)

στην ATCO.AR.B.001, προστίθεται το ακόλουθο στοιχείο ε):

δ)

η ATCO.AR.B.005 τροποποιείται ως εξής:

ε)

στην ATCO.AR.C.001, προστίθεται το ακόλουθο στοιχείο στ):

στ)

μετά την ATCO.AR.E.010, προστίθεται η ακόλουθη ATCO.AR.E.010A:

«ATCO.AR.E.010A    Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

α)

στην ATM/ANS.AR.A.020, προστίθεται το ακόλουθο στοιχείο γ):

β)

μετά την ATM/ANS.AR.A.025, προστίθεται η ακόλουθη ATM/ANS.AR.A.025A:

«ATM/ANS.AR.A.025A Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας

γ)

στην ATM/ANS.AR.B.001, προστίθεται το ακόλουθο στοιχείο ε):

δ)

η ATM/ANS.AR.B.005 τροποποιείται ως εξής:

ε)

στην ATM/ANS.AR.C.010, προστίθεται το ακόλουθο στοιχείο δ):

στ)

μετά την ATM/ANS.AR.C.025, προστίθεται η ακόλουθη ATM/ANS.AR.C.025A:

«ATM/ANS.AR.C.025A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών

α)

μετά την ATM/ANS.OR.B.005, προστίθεται η ακόλουθη ATM/ANS.OR.B.005A:

«ATM/ANS.OR.B.005A Σύστημα διαχείρισης της ασφάλειας των πληροφοριών

Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην ATM/ANS.OR.B.005, ο πάροχος υπηρεσιών θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.»·

β)

η ATM/ANS.OR.D.010 αντικαθίσταται από το ακόλουθο κείμενο:

«ATM/ANS.OR.D.010 Διαχείριση της ασφάλειας από έκνομες ενέργειες