ISSN 1977-0669 |
||
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 31 |
|
Έκδοση στην ελληνική γλώσσα |
Νομοθεσία |
66ό έτος |
Περιεχόμενα |
|
II Μη νομοθετικές πράξεις |
Σελίδα |
|
|
ΚΑΝΟΝΙΣΜΟΙ |
|
|
* |
EL |
Οι πράξεις των οποίων οι τίτλοι έχουν τυπωθεί με λευκά στοιχεία αποτελούν πράξεις τρεχούσης διαχειρίσεως που έχουν θεσπισθεί στο πλαίσιο της γεωργικής πολιτικής και είναι γενικά περιορισμένης χρονικής ισχύος. Οι τίτλοι όλων των υπολοίπων πράξεων έχουν τυπωθεί με μαύρα στοιχεία και επισημαίνονται με αστερίσκο. |
II Μη νομοθετικές πράξεις
ΚΑΝΟΝΙΣΜΟΙ
2.2.2023 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 31/1 |
ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2023/203 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 27ης Οκτωβρίου 2022
για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όσον αφορά τις απαιτήσεις για τη διαχείριση κινδύνων για την ασφάλεια των πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας, για τους φορείς που καλύπτονται από τους κανονισμούς (ΕΕ) αριθ. 1321/2014, (ΕΕ) αριθ. 965/2012, (ΕΕ) αριθ. 1178/2011, (ΕΕ) 2015/340 της Επιτροπής, τους εκτελεστικούς κανονισμούς (ΕΕ) 2017/373 και (ΕΕ) 2021/664 της Επιτροπής και για τις αρμόδιες αρχές που καλύπτονται από τους κανονισμούς (ΕΕ) αριθ. 748/2012, (ΕΕ) αριθ. 1321/2014, (ΕΕ) αριθ. 965/2012, (ΕΕ) αριθ. 1178/2011, (ΕΕ) 2015/340 και (ΕΕ) αριθ. 139/2014 της Επιτροπής, τους εκτελεστικούς κανονισμούς (ΕΕ) 2017/373 και (ΕΕ) 2021/664 της Επιτροπής και για την τροποποίηση των κανονισμών (ΕΕ) αριθ. 1178/2011, (ΕΕ) αριθ. 748/2012, (ΕΕ) αριθ. 965/2012, (ΕΕ) αριθ. 139/2014, (ΕΕ) αριθ. 1321/2014, (ΕΕ) 2015/340 και των εκτελεστικών κανονισμών (ΕΕ) 2017/373 και (ΕΕ) 2021/664 της Επιτροπής
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2018, για τη θέσπιση κοινών κανόνων στον τομέα της πολιτικής αεροπορίας και την ίδρυση Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας, και για την τροποποίηση των κανονισμών (ΕΚ) αριθ. 2111/2005, (ΕΚ) αριθ. 1008/2008, (ΕΕ) αριθ. 996/2010, (ΕΕ) αριθ. 376/2014 και των οδηγιών 2014/30/ΕΕ και 2014/53/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και για την κατάργηση των κανονισμών (ΕΚ) αριθ. 552/2004 και (ΕΚ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΟΚ) αριθ. 3922/91 του Συμβουλίου (1), και ιδίως το άρθρο 17 παράγραφος 1 στοιχείο β), το άρθρο 27 παράγραφος 1 στοιχείο α), το άρθρο 31 παράγραφος 1 στοιχείο β), το άρθρο 43 παράγραφος 1 στοιχείο β), το άρθρο 53 παράγραφος 1 στοιχείο α) και το άρθρο 62 παράγραφος 15 στοιχείο γ),
Εκτιμώντας τα ακόλουθα:
(1) |
Σύμφωνα με τις βασικές απαιτήσεις που καθορίζονται στο παράρτημα II σημείο 3.1 στοιχείο β) του κανονισμού (ΕΕ) 2018/1139, οι φορείς διαχείρισης της διαρκούς αξιοπλοΐας και οι φορείς συντήρησης πρέπει να εφαρμόζουν και να διατηρούν σύστημα διαχείρισης για τη διαχείριση των κινδύνων ασφάλειας. |
(2) |
Επιπλέον, σύμφωνα με τις βασικές απαιτήσεις που καθορίζονται στο παράρτημα IV σημείο 3.3 στοιχείο β) και σημείο 5 στοιχείο β) του κανονισμού (ΕΕ) 2018/1139, οι φορείς εκπαίδευσης χειριστών, οι φορείς εκπαίδευσης πληρωμάτων θαλάμου επιβατών, τα αεροϊατρικά κέντρα ιπτάμενων πληρωμάτων και οι φορείς εκμετάλλευσης προσομοιωτικών συσκευών πτητικής εκπαίδευσης πρέπει να εφαρμόζουν και να διατηρούν σύστημα διαχείρισης για τη διαχείριση των κινδύνων ασφάλειας. |
(3) |
Επιπροσθέτως, σύμφωνα με τις βασικές απαιτήσεις που καθορίζονται στο παράρτημα V σημείο 8.1 στοιχείο γ) του κανονισμού (ΕΕ) 2018/1139, οι αερομεταφορείς πρέπει να εφαρμόζουν και να διατηρούν σύστημα διαχείρισης για τη διαχείριση των κινδύνων ασφάλειας. |
(4) |
Επιπλέον, σύμφωνα με τις βασικές απαιτήσεις που καθορίζονται στο παράρτημα VIII σημείο 5.1 στοιχείο γ) και σημείο 5.4 στοιχείο β) του κανονισμού (ΕΕ) 2018/1139, οι πάροχοι υπηρεσιών διαχείρισης της εναέριας κυκλοφορίας και αεροναυτιλίας, οι πάροχοι υπηρεσιών U-space και οι ενιαίοι πάροχοι υπηρεσιών κοινών πληροφοριών, καθώς και οι φορείς εκπαίδευσης και τα αεροϊατρικά κέντρα για ελεγκτές εναέριας κυκλοφορίας πρέπει να εφαρμόζουν και να διατηρούν σύστημα διαχείρισης για τη διαχείριση των κινδύνων ασφάλειας. |
(5) |
Οι εν λόγω κίνδυνοι ασφάλειας μπορεί να προκύψουν από διάφορες πηγές, όπως ελαττώματα σχεδιασμού και συντήρησης, πτυχές των ανθρώπινων επιδόσεων, περιβαλλοντικές απειλές και απειλές κατά της ασφάλειας των πληροφοριών. Ως εκ τούτου, τα συστήματα διαχείρισης που εφαρμόζονται από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας (στο εξής: Οργανισμός) και τις εθνικές αρμόδιες αρχές και τους φορείς που αναφέρονται στις αιτιολογικές σκέψεις ανωτέρω, θα πρέπει να λαμβάνουν υπόψη όχι μόνο τους κινδύνους ασφάλειας που απορρέουν από τυχαία γεγονότα, αλλά και τους κινδύνους ασφάλειας που απορρέουν από απειλές κατά της ασφάλειας των πληροφοριών σε περιπτώσεις κατά τις οποίες υφιστάμενα ελαττώματα μπορούν να αποτελέσουν αντικείμενο εκμετάλλευσης από άτομα με κακόβουλη πρόθεση. Οι εν λόγω κίνδυνοι για την ασφάλεια των πληροφοριών αυξάνονται συνεχώς στο περιβάλλον της πολιτικής αεροπορίας, καθώς τα υφιστάμενα συστήματα πληροφοριών διασυνδέονται ολοένα και περισσότερο και αποτελούν, σε ολοένα και μεγαλύτερο βαθμό, στόχο κακόβουλων παραγόντων. |
(6) |
Οι κίνδυνοι που συνδέονται με τα εν λόγω συστήματα πληροφοριών δεν περιορίζονται σε πιθανές επιθέσεις στον κυβερνοχώρο, αλλά περιλαμβάνουν επίσης απειλές που ενδέχεται να επηρεάσουν διεργασίες και διαδικασίες, καθώς και τις επιδόσεις των ανθρώπων. |
(7) |
Σημαντικός αριθμός φορέων χρησιμοποιούν ήδη διεθνή πρότυπα, όπως το ISO 27001, προκειμένου να αντιμετωπίσουν την ασφάλεια των ψηφιακών πληροφοριών και δεδομένων. Τα πρότυπα αυτά ενδέχεται να μην καλύπτουν πλήρως όλες τις ιδιαιτερότητες της πολιτικής αεροπορίας. Ως εκ τούτου, είναι σκόπιμο να καθοριστούν απαιτήσεις για τη διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών που έχουν ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας. |
(8) |
Είναι σημαντικό οι απαιτήσεις αυτές να καλύπτουν όλους τους τομείς της αεροπορίας και τις διεπαφές τους, δεδομένου ότι η αεροπορία είναι ένα άκρως διασυνδεδεμένο σύστημα συστημάτων. Ως εκ τούτου, θα πρέπει να εφαρμόζονται σε όλους τους φορείς και σε όλες τις αρμόδιες αρχές που καλύπτονται από τους κανονισμούς της Επιτροπής (ΕΕ) αριθ. 748/2012 (2), τον κανονισμό (ΕΕ) αριθ. 1321/2014 (3), τον κανονισμό (ΕΕ) αριθ. 965/2012 (4), τον κανονισμό (ΕΕ) αριθ. 1178/2011 (5), τον κανονισμό (ΕΕ) 2015/340 (6), τον κανονισμό (ΕΕ) αριθ. 139/2014 (7) και τον εκτελεστικό κανονισμό (ΕΕ) 2021/664 (8), καθώς και σε εκείνους που απαιτείται ήδη να διαθέτουν σύστημα διαχείρισης σύμφωνα με την ισχύουσα ενωσιακή νομοθεσία για την ασφάλεια της αεροπορίας. Ωστόσο, ορισμένοι φορείς θα πρέπει να εξαιρεθούν από το πεδίο εφαρμογής του παρόντος κανονισμού προκειμένου να εξασφαλιστεί η κατάλληλη αναλογικότητα προς τους χαμηλότερους κινδύνους για την ασφάλεια των πληροφοριών τους οποίους ενέχουν για το σύστημα αεροπορίας. |
(9) |
Οι απαιτήσεις που καθορίζονται στον παρόντα κανονισμό θα πρέπει να διασφαλίζουν συνεπή εφαρμογή σε όλους τους τομείς της αεροπορίας, δημιουργώντας παράλληλα ελάχιστο αντίκτυπο στην ενωσιακή νομοθεσία για την ασφάλεια της αεροπορίας η οποία εφαρμόζεται ήδη στους εν λόγω τομείς. |
(10) |
Οι απαιτήσεις που καθορίζονται στον παρόντα κανονισμό δεν θα πρέπει να θίγουν τις απαιτήσεις ασφάλειας των πληροφοριών και ασφάλειας στον κυβερνοχώρο που καθορίζονται στο σημείο 1.7 του παραρτήματος του εκτελεστικού κανονισμού (ΕΕ) 2015/1998 της Επιτροπής (9) και στο άρθρο 14 της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10). |
(11) |
Οι απαιτήσεις ασφάλειας που ορίζονται στα άρθρα 33 έως 43 του τίτλου V «Ασφάλεια του προγράμματος» του κανονισμού (ΕΕ) 2021/696 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11) θεωρούνται ισοδύναμες με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό, με εξαίρεση την IS.I.OR.230 του παραρτήματος II του παρόντος κανονισμού, η οποία θα πρέπει να τηρείται. |
(12) |
Για λόγους ασφάλειας δικαίου, η ερμηνεία του όρου «ασφάλεια των πληροφοριών», όπως ορίζεται στον παρόντα κανονισμό, η οποία αντικατοπτρίζει την κοινή χρήση του όρου στην πολιτική αεροπορία σε παγκόσμιο επίπεδο, θα πρέπει να θεωρείται σύμφωνη με την ερμηνεία του όρου «ασφάλεια συστημάτων δικτύου και πληροφοριών», όπως ορίζεται στο άρθρο 4 σημείο 2 της οδηγίας (ΕΕ) 2016/1148. Ο ορισμός της ασφάλειας των πληροφοριών που χρησιμοποιείται για τους σκοπούς του παρόντος κανονισμού δεν θα πρέπει να ερμηνεύεται ως αποκλίνων από τον ορισμό της ασφάλειας των συστημάτων δικτύου και πληροφοριών που προβλέπεται στην οδηγία (ΕΕ) 2016/1148. |
(13) |
Προκειμένου να αποφευχθεί η αλληλεπικάλυψη νομικών απαιτήσεων, όταν οι φορείς που καλύπτονται από τον παρόντα κανονισμό υπόκεινται ήδη σε απαιτήσεις ασφάλειας που απορρέουν από ενωσιακές πράξεις που αναφέρονται στις αιτιολογικές σκέψεις 10 και 11, οι οποίες, ως προς το αποτέλεσμά τους, είναι ισοδύναμες με τις διατάξεις του παρόντος κανονισμού, η συμμόρφωση με τις εν λόγω απαιτήσεις ασφάλειας θα πρέπει να θεωρείται ότι συνιστά συμμόρφωση με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό. |
(14) |
Οι φορείς που καλύπτονται από τον παρόντα κανονισμό και υπόκεινται ήδη σε απαιτήσεις ασφάλειας που απορρέουν από τον εκτελεστικό κανονισμό (ΕΕ) 2015/1998 ή τον κανονισμό (ΕΕ) 2021/696, ή αμφότερους, θα πρέπει επίσης να συμμορφώνονται με τις απαιτήσεις του παραρτήματος II (Μέρος IS.I.OR.230 «Εξωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών») του παρόντος κανονισμού, δεδομένου ότι κανένας από τους δύο κανονισμούς δεν περιέχει διατάξεις σχετικά με την εξωτερική αναφορά συμβάντων ασφάλειας των πληροφοριών. |
(15) |
Για λόγους πληρότητας, οι κανονισμοί (ΕΕ) αριθ. 1178/2011, (ΕΕ) αριθ. 748/2012, (ΕΕ) αριθ. 965/2012, (ΕΕ) αριθ. 139/2014, ΕΕ) αριθ. 1321/2014, (ΕΕ) 2015/340 και οι εκτελεστικοί κανονισμοί (ΕΕ) 2017/373 (12) και (ΕΕ) 2021/664 θα πρέπει να τροποποιηθούν, ώστε να ενσωματωθούν οι απαιτήσεις για το σύστημα διαχείρισης της ασφάλειας των πληροφοριών που προβλέπονται στον παρόντα κανονισμό στα συστήματα διαχείρισης που καθορίζονται σε αυτούς, καθώς και να καθοριστούν οι απαιτήσεις των αρμόδιων αρχών όσον αφορά την εποπτεία των φορέων που εφαρμόζουν τις προαναφερθείσες απαιτήσεις διαχείρισης της ασφάλειας των πληροφοριών. |
(16) |
Προκειμένου να δοθεί στους φορείς επαρκής χρόνος για να διασφαλίσουν τη συμμόρφωση με τους νέους κανόνες και διαδικασίες, ο παρών κανονισμός θα πρέπει να εφαρμοστεί 3 έτη μετά την έναρξη ισχύος του, με εξαίρεση τον πάροχο υπηρεσιών αεροναυτιλίας της Ευρωπαϊκής Υπηρεσίας Υπέρθεσης για τη Γεωστατική Πλοήγηση (EGNOS) που ορίζεται στον εκτελεστικό κανονισμό (ΕΕ) 2017/373 όπου, λόγω της συνεχιζόμενης διαπίστευσης ασφάλειας του συστήματος και των υπηρεσιών της EGNOS σύμφωνα με τον κανονισμό (ΕΕ) 2021/696, θα πρέπει να τεθεί σε εφαρμογή από την 1η Ιανουαρίου 2026. |
(17) |
Οι απαιτήσεις που καθορίζονται στον παρόντα κανονισμό βασίζονται στη γνώμη αριθ. 03/2021 (13), την οποία εξέδωσε ο Οργανισμός σύμφωνα με το άρθρο 75 παράγραφος 2 στοιχεία β) και γ) και το άρθρο 76 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1139. |
(18) |
Οι απαιτήσεις που καθορίζονται στον παρόντα κανονισμό είναι σύμφωνες με τη γνώμη της επιτροπής για την εφαρμογή κοινών κανόνων ασφάλειας στον τομέα της πολιτικής αεροπορίας που συστάθηκε με το άρθρο 127 του κανονισμού (ΕΕ) 2018/1139, |
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Αντικείμενο
Ο παρών κανονισμός καθορίζει τις απαιτήσεις τις οποίες πρέπει να πληρούν οι φορείς και οι αρμόδιες αρχές με στόχο:
α) |
τον εντοπισμό και τη διαχείριση κινδύνων για την ασφάλεια των πληροφοριών που ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας, οι οποίοι θα μπορούσαν να επηρεάσουν τα συστήματα τεχνολογίας πληροφοριών και επικοινωνιών και τα δεδομένα που χρησιμοποιούνται για τους σκοπούς της πολιτικής αεροπορίας, |
β) |
την ανίχνευση γεγονότων που αφορούν την ασφάλεια των πληροφοριών και τον προσδιορισμό εκείνων που θεωρούνται συμβάντα ασφάλειας πληροφοριών και ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας, |
γ) |
την αντίδραση στα εν λόγω συμβάντα ασφάλειας πληροφοριών και την αποκατάσταση μετά από αυτά. |
Άρθρο 2
Πεδίο εφαρμογής
1. Ο παρών κανονισμός εφαρμόζεται στους ακόλουθους φορείς:
α) |
φορείς συντήρησης που υπόκεινται στην ενότητα Α του παραρτήματος II (Μέρος-145) του κανονισμού (ΕΕ) αριθ. 1321/2014, εξαιρουμένων όσων ασχολούνται αποκλειστικά με τη συντήρηση αεροσκαφών σύμφωνα με το παράρτημα Vβ (Μέρος-ML) του κανονισμού (ΕΕ) αριθ. 1321/2014· |
β) |
φορείς διαχείρισης της διαρκούς αξιοπλοΐας (CAMO) που υπόκεινται στην ενότητα A του παραρτήματος Vγ (Μέρος-CAMO) του κανονισμού (ΕΕ) αριθ. 1321/2014, εξαιρουμένων όσων ασχολούνται αποκλειστικά με τη διαχείριση της διαρκούς αξιοπλοΐας αεροσκαφών σύμφωνα με το παράρτημα Vβ (Μέρος-ML) του κανονισμού (ΕΕ) αριθ. 1321/2014· |
γ) |
αερομεταφορείς που υπόκεινται στο παράρτημα III (Μέρος-ORO) του κανονισμού (ΕΕ) αριθ. 965/2012, εξαιρουμένων όσων ασχολούνται αποκλειστικά με την εκμετάλλευση οποιουδήποτε από τα ακόλουθα:
|
δ) |
εγκεκριμένους εκπαιδευτικούς φορείς (ATO) που υπόκεινται στο παράρτημα VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011, εκτός από εκείνους που ασχολούνται αποκλειστικά με εκπαιδευτικές δραστηριότητες για αεροσκάφη ELA2, όπως ορίζονται στο άρθρο 1 παράγραφος 2 στοιχείο ι) του κανονισμού (ΕΕ) αριθ. 748/2012, ή που ασχολούνται αποκλειστικά με τη θεωρητική εκπαίδευση· |
ε) |
αεροϊατρικά κέντρα ιπτάμενων πληρωμάτων που υπόκεινται στο παράρτημα VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011· |
στ) |
φορείς εκμετάλλευσης προσομοιωτικών συσκευών πτητικής εκπαίδευσης (FSTD) που υπόκεινται στο παράρτημα VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011, εξαιρουμένων εκείνων που ασχολούνται αποκλειστικά με την εκμετάλλευση προσομοιωτικών συσκευών πτητικής εκπαίδευσης για αεροσκάφη ELA2, όπως ορίζονται στο άρθρο 1 παράγραφος 2 στοιχείο ι) του κανονισμού (ΕΕ) αριθ. 748/2012· |
ζ) |
φορείς εκπαίδευσης ελεγκτών εναέριας κυκλοφορίας (φορείς εκπαίδευσης ATCO) και αεροϊατρικά κέντρα ATCO που υπόκεινται στο παράρτημα III (Μέρος ATCO.OR) του κανονισμού (ΕΕ) 2015/340· |
η) |
φορείς που υπόκεινται στο παράρτημα III (Μέρος-ATM/ANS.OR) του εκτελεστικού κανονισμού (ΕΕ) 2017/373, εκτός από τους ακόλουθους παρόχους υπηρεσιών:
|
θ) |
παρόχους υπηρεσιών U-space και ενιαίους παρόχους υπηρεσιών κοινών πληροφοριών που υπόκεινται στον εκτελεστικό κανονισμό (ΕΕ) 2021/664. |
2. Ο παρών κανονισμός εφαρμόζεται στις αρμόδιες αρχές, συμπεριλαμβανομένου του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας (στο εξής: Οργανισμός), οι οποίες αναφέρονται στο άρθρο 6 του παρόντος κανονισμού και στο άρθρο 5 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 της Επιτροπής (14).
3. Ο παρών κανονισμός εφαρμόζεται επίσης στην αρμόδια αρχή που είναι υπεύθυνη για την έκδοση, παράταση, τροποποίηση, αναστολή ή ανάκληση πτυχίου συντήρησης αεροσκάφους σύμφωνα με το παράρτημα III (Μέρος-66) του κανονισμού (ΕΕ) αριθ. 1321/2014.
4. Ο παρών κανονισμός δεν θίγει τις απαιτήσεις ασφάλειας των πληροφοριών και ασφάλειας στον κυβερνοχώρο οι οποίες καθορίζονται στο σημείο 1.7 του παραρτήματος του εκτελεστικού κανονισμού (ΕΕ) 2015/1998 και στο άρθρο 14 της οδηγίας (ΕΕ) 2016/1148.
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
1) |
«ασφάλεια των πληροφοριών»: η διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας, της γνησιότητας και της διαθεσιμότητας των συστημάτων δικτύου και πληροφοριών· |
2) |
«γεγονός που αφορά την ασφάλεια των πληροφοριών»: διαπιστωμένο περιστατικό συστήματος, υπηρεσίας ή κατάστασης δικτύου, το οποίο υποδεικνύει πιθανή παραβίαση της πολιτικής ασφάλειας των πληροφοριών ή αστοχία των ελέγχων ασφάλειας των πληροφοριών, ή κατάσταση που προηγουμένως ήταν άγνωστη και μπορεί να έχει σημασία για την ασφάλεια των πληροφοριών· |
3) |
«συμβάν»: κάθε γεγονός που έχει πραγματικές δυσμενείς επιπτώσεις στην ασφάλεια των συστημάτων δικτύου και πληροφοριών, όπως ορίζεται στο άρθρο 4 σημείο 7) της οδηγίας (ΕΕ) 2016/1148· |
4) |
«κίνδυνος για την ασφάλεια των πληροφοριών»: ο κίνδυνος για τις οργανωτικές λειτουργίες, τα περιουσιακά στοιχεία, τα άτομα της πολιτικής αεροπορίας και άλλους φορείς λόγω ενδεχόμενου γεγονότος που αφορά την ασφάλεια των πληροφοριών. Οι κίνδυνοι για την ασφάλεια των πληροφοριών συνδέονται με το ενδεχόμενο οι απειλές να εκμεταλλευτούν τα τρωτά σημεία ενός πληροφοριακού πόρου ή μιας ομάδας πληροφοριακών πόρων· |
5) |
«απειλή»: πιθανή παραβίαση της ασφάλειας των πληροφοριών που υφίσταται όταν υπάρχει κάποια οντότητα, περίσταση, ενέργεια ή γεγονός που θα μπορούσε να προκαλέσει βλάβη· |
6) |
«τρωτό σημείο»: ελάττωμα ή αδυναμία σε περιουσιακό στοιχείο ή σύστημα, διαδικασίες, σχεδιασμό, εφαρμογή ή μέτρα ασφάλειας των πληροφοριών που θα μπορούσε να αποτελέσει αντικείμενο εκμετάλλευσης και οδηγεί σε παραβίαση ή παράβαση της πολιτικής ασφάλειας των πληροφοριών. |
Άρθρο 4
Απαιτήσεις για τους φορείς και τις αρμόδιες αρχές
1. Οι φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 συμμορφώνονται με τις απαιτήσεις του παραρτήματος II (Μέρος-IS.I.OR) του παρόντος κανονισμού.
2. Οι αρμόδιες αρχές που αναφέρονται στο άρθρο 2 παράγραφοι 2 και 3 συμμορφώνονται με τις απαιτήσεις του παραρτήματος I (Μέρος-IS.AR) του παρόντος κανονισμού.
Άρθρο 5
Απαιτήσεις που απορρέουν από άλλη ενωσιακή νομοθεσία
1. Όταν ένας φορέας που αναφέρεται στο άρθρο 2 παράγραφος 1 συμμορφώνεται με τις απαιτήσεις ασφάλειας που καθορίζονται σύμφωνα με το άρθρο 14 της οδηγίας (ΕΕ) 2016/1148 οι οποίες είναι ισοδύναμες με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό, η συμμόρφωση με τις εν λόγω απαιτήσεις ασφάλειας θεωρείται ότι συνιστά συμμόρφωση με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό.
2. Όταν ένας φορέας που αναφέρεται στο άρθρο 2 παράγραφος 1 είναι εκμεταλλευόμενος αεροσκάφος ή φορέας που αναφέρεται στα εθνικά προγράμματα ασφάλειας της πολιτικής αεροπορίας των κρατών μελών που καθορίζονται σύμφωνα με το άρθρο 10 του κανονισμού (ΕΚ) αριθ. 300/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15), οι απαιτήσεις ασφάλειας στον κυβερνοχώρο που περιλαμβάνονται στο σημείο 1.7 του παραρτήματος του εκτελεστικού κανονισμού (ΕΕ) 2015/1998 θεωρούνται ισοδύναμες με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό, με εξαίρεση την IS.I.OR.230 του παραρτήματος II του παρόντος κανονισμού η οποία πρέπει να τηρείται ως έχει.
3. Όταν ο φορέας που αναφέρεται στο άρθρο 2 παράγραφος 1 είναι ο πάροχος υπηρεσιών αεροναυτιλίας της Ευρωπαϊκής Υπηρεσίας Υπέρθεσης για τη Γεωστατική Πλοήγηση (EGNOS) που αναφέρεται στον κανονισμό (ΕΕ) 2021/696, οι απαιτήσεις ασφάλειας που περιλαμβάνονται στα άρθρα 33 έως 43 του τίτλου V του εν λόγω κανονισμού θεωρούνται ισοδύναμες με τις απαιτήσεις που καθορίζονται στον παρόντα κανονισμό, με εξαίρεση την IS.I.OR.230 του παραρτήματος II του παρόντος κανονισμού η οποία πρέπει να τηρείται ως έχει.
4. Η Επιτροπή, κατόπιν διαβούλευσης με τον Οργανισμό και την ομάδα συνεργασίας που αναφέρεται στο άρθρο 11 της οδηγίας (ΕΕ) 2016/1148, μπορεί να εκδίδει κατευθυντήριες γραμμές για την αξιολόγηση της ισοδυναμίας των απαιτήσεων που προβλέπονται στον παρόντα κανονισμό και στην οδηγία (ΕΕ) 2016/1148.
Άρθρο 6
Αρμόδια αρχή
1. Με την επιφύλαξη των καθηκόντων που ανατίθενται στο συμβούλιο διαπίστευσης ασφαλείας που αναφέρεται στο άρθρο 36 του κανονισμού (ΕΕ) 2021/696, η αρχή που είναι αρμόδια για την πιστοποίηση και την εποπτεία της συμμόρφωσης με τον παρόντα κανονισμό είναι:
α) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο α), η αρμόδια αρχή που ορίζεται σύμφωνα με το παράρτημα II (Μέρος-145) του κανονισμού (ΕΕ) αριθ. 1321/2014· |
β) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο β), η αρμόδια αρχή που ορίζεται σύμφωνα με το παράρτημα Vγ (Μέρος-CAMO) του κανονισμού (ΕΕ) αριθ. 1321/2014· |
γ) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο γ), η αρμόδια αρχή που ορίζεται σύμφωνα με το παράρτημα III (Μέρος-ORO) του κανονισμού (ΕΕ) αριθ. 965/2012· |
δ) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχεία δ) έως στ), η αρμόδια αρχή που ορίζεται σύμφωνα με το παράρτημα VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011· |
ε) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο ζ), η αρμόδια αρχή που ορίζεται σύμφωνα με το άρθρο 6 παράγραφος 2 του κανονισμού (ΕΕ) 2015/340· |
στ) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο η), η αρμόδια αρχή που ορίζεται σύμφωνα με το άρθρο 4 παράγραφος 1 του εκτελεστικού κανονισμού (ΕΕ) 2017/373· |
ζ) |
όσον αφορά τους φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 στοιχείο θ), η αρμόδια αρχή που ορίζεται σύμφωνα με το άρθρο 14 παράγραφος 1 ή 2, κατά περίπτωση, του εκτελεστικού κανονισμού (ΕΕ) 2021/664. |
2. Τα κράτη μέλη μπορούν, για τους σκοπούς του παρόντος κανονισμού, να ορίσουν ανεξάρτητη και αυτόνομη οντότητα για την εκπλήρωση του ρόλου και των αρμοδιοτήτων των αρμόδιων αρχών που αναφέρονται στην παράγραφο 1. Στην περίπτωση αυτή, θεσπίζονται μέτρα συντονισμού μεταξύ της εν λόγω οντότητας και των αρμόδιων αρχών, όπως αναφέρεται στην παράγραφο 1, προκειμένου να διασφαλίζεται η αποτελεσματική εποπτεία όλων των απαιτήσεων τις οποίες πρέπει να πληροί ο φορέας.
3. Ο Οργανισμός συνεργάζεται με τον Οργανισμό της Ευρωπαϊκής Ένωσης για το Διαστημικό Πρόγραμμα (EUSPA) και το συμβούλιο διαπίστευσης ασφαλείας που αναφέρεται στο άρθρο 36 του κανονισμού (ΕΕ) 2021/696 σε πλήρη συμμόρφωση με τους εφαρμοστέους κανόνες για το απόρρητο, την προστασία των δεδομένων προσωπικού χαρακτήρα και την προστασία των διαβαθμισμένων πληροφοριών, προκειμένου να διασφαλίζει την αποτελεσματική εποπτεία των εφαρμοστέων απαιτήσεων για τον πάροχο υπηρεσιών αεροναυτιλίας της EGNOS.
Άρθρο 7
Υποβολή σχετικών πληροφοριών στις αρμόδιες αρχές για την ασφάλεια των συστημάτων δικτύου και πληροφοριών
Οι αρμόδιες αρχές δυνάμει του παρόντος κανονισμού ενημερώνουν, χωρίς αδικαιολόγητη καθυστέρηση, το ενιαίο κέντρο επαφής που έχει οριστεί σύμφωνα με το άρθρο 8 της οδηγίας (ΕΕ) 2016/1148 για κάθε σχετική πληροφορία που περιλαμβάνεται στις κοινοποιήσεις που υποβάλλονται σύμφωνα με την IS.I.OR.230 του παραρτήματος II του παρόντος κανονισμού και την IS.D.OR.230 του παραρτήματος I του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645 από φορείς εκμετάλλευσης βασικών υπηρεσιών που προσδιορίζονται σύμφωνα με το άρθρο 5 της οδηγίας (ΕΕ) 2016/1148.
Άρθρο 8
Τροποποίηση του κανονισμού (ΕΕ) αριθ. 1178/2011
Τα παραρτήματα VI (Μέρος-ARA) και VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011 τροποποιούνται σύμφωνα με το παράρτημα III του παρόντος κανονισμού.
Άρθρο 9
Τροποποίηση του κανονισμού (ΕΕ) αριθ. 748/2012
Το παράρτημα I (Μέρος 21) του κανονισμού (ΕΕ) αριθ. 748/2012 τροποποιείται σύμφωνα με το παράρτημα IV του παρόντος κανονισμού.
Άρθρο 10
Τροποποίηση του κανονισμού (ΕΕ) αριθ. 965/2012
Τα παραρτήματα II (Μέρος-ARO) και III (Μέρος-ORO) του κανονισμού (ΕΕ) αριθ. 965/2012 τροποποιούνται σύμφωνα με το παράρτημα V του παρόντος κανονισμού.
Άρθρο 11
Τροποποίηση του κανονισμού (ΕΕ) αριθ. 139/2014
Το παράρτημα II (Μέρος-ADR.AR) του κανονισμού (ΕΕ) αριθ. 139/2014 τροποποιείται σύμφωνα με το παράρτημα VI του παρόντος κανονισμού.
Άρθρο 12
Τροποποίηση του κανονισμού (ΕΕ) αριθ. 1321/2014
Τα παραρτήματα II (Μέρος-145), III (Μέρος-66) και Vγ (Μέρος-CAMO) του κανονισμού (ΕΕ) αριθ. 1321/2014 τροποποιούνται σύμφωνα με το παράρτημα VII του παρόντος κανονισμού.
Άρθρο 13
Τροποποίηση του κανονισμού (ΕΕ) 2015/340
Τα παραρτήματα II (Μέρος ATCO.AR) και III (Μέρος ATCO.OR) του κανονισμού (ΕΕ) 2015/340 τροποποιούνται σύμφωνα με το παράρτημα VIII του παρόντος κανονισμού.
Άρθρο 14
Τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2017/373
Τα παραρτήματα II (Μέρος-ATM/ANS.AR) και III (Μέρος-ATM/ANS.OR) του εκτελεστικού κανονισμού (ΕΕ) 2017/373 τροποποιούνται σύμφωνα με το παράρτημα IX του παρόντος κανονισμού.
Άρθρο 15
Τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2021/664
Ο εκτελεστικός κανονισμός (ΕΕ) 2021/664 τροποποιείται ως εξής:
1) |
στο άρθρο 15 παράγραφος 1, το στοιχείο στ) αντικαθίσταται από το ακόλουθο κείμενο:
|
2) |
στο άρθρο 18, προστίθεται το ακόλουθο στοιχείο ιβ):
|
Άρθρο 16
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Εφαρμόζεται από τις 22 Φεβρουαρίου 2026.
Ωστόσο, όσον αφορά την περίπτωση του παρόχου υπηρεσιών αεροναυτιλίας της EGNOS που υπόκειται στον εκτελεστικό κανονισμό (ΕΕ) 2017/373, εφαρμόζεται από την 1η Ιανουαρίου 2026.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 27 Οκτωβρίου 2022.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 212 της 22.8.2018, σ. 1.
(2) Κανονισμός (ΕΕ) αριθ. 748/2012 της Επιτροπής, της 3ης Αυγούστου 2012, σχετικά με τον καθορισμό εκτελεστικών κανόνων για την πιστοποίηση αξιοπλοΐας και την περιβαλλοντική πιστοποίηση αεροσκαφών και των σχετικών προϊόντων, εξαρτημάτων και εξοπλισμού, καθώς και για την πιστοποίηση φορέων σχεδιασμού και παραγωγής (ΕΕ L 224 της 21.8.2012, σ. 1).
(3) Κανονισμός (ΕΕ) αριθ. 1321/2014 της Επιτροπής, της 26ης Νοεμβρίου 2014, για τη διαρκή αξιοπλοΐα του αεροσκάφους και των αεροναυτικών προϊόντων, εξαρτημάτων και εξοπλισμού και για την έγκριση των φορέων και του προσωπικού που είναι αρμόδιοι για τα εν λόγω καθήκοντα (ΕΕ L 362 της 17.12.2014, σ. 1).
(4) Κανονισμός (ΕΕ) αριθ. 965/2012 της Επιτροπής, της 5ης Οκτωβρίου 2012, για καθορισμό τεχνικών απαιτήσεων και διοικητικών διαδικασιών όσον αφορά τις πτητικές λειτουργίες δυνάμει του κανονισμού (ΕΚ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 296 της 25.10.2012, σ. 1).
(5) Κανονισμός (ΕΕ) αριθ. 1178/2011 της Επιτροπής, της 3ης Νοεμβρίου 2011, για τον καθορισμό τεχνικών απαιτήσεων και διοικητικών διαδικασιών όσον αφορά το ιπτάμενο προσωπικό πολιτικής αεροπορίας δυνάμει του κανονισμού (ΕΚ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 311 της 25.11.2011, σ. 1).
(6) Κανονισμός (ΕΕ) 2015/340 της Επιτροπής, της 20ής Φεβρουαρίου 2015, για τον καθορισμό τεχνικών απαιτήσεων και διοικητικών διαδικασιών όσον αφορά τις άδειες και τα πιστοποιητικά ελεγκτών εναέριας κυκλοφορίας δυνάμει του κανονισμού (ΕΚ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, την τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) αριθ. 923/2012 της Επιτροπής και την κατάργηση του κανονισμού (ΕΕ) αριθ. 805/2011 της Επιτροπής (ΕΕ L 63 της 6.3.2015, σ. 1).
(7) Κανονισμός (ΕΕ) αριθ. 139/2014 της Επιτροπής, της 12ης Φεβρουαρίου 2014, για τη θέσπιση απαιτήσεων και διοικητικών διαδικασιών για τα αεροδρόμια σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 44 της 14.2.2014, σ. 1).
(8) Εκτελεστικός κανονισμός (ΕΕ) 2021/664 της Επιτροπής της 22ας Απριλίου 2021 σχετικά με ένα κανονιστικό πλαίσιο για το U-space (ΕΕ L 139 της 23.4.2021, σ. 161).
(9) Εκτελεστικός κανονισμός (ΕΕ) 2015/1998 της Επιτροπής, της 5ης Νοεμβρίου 2015, σχετικά με τον καθορισμό λεπτομερών μέτρων εφαρμογής των κοινών βασικών προτύπων ασφάλειας των αερομεταφορών από έκνομες ενέργειες (ΕΕ L 299 της 14.11.2015, σ. 1).
(10) Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1).
(11) Κανονισμός (ΕΕ) 2021/696 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 28ης Απριλίου 2021, για τη θέσπιση του ενωσιακού διαστημικού προγράμματος και του Οργανισμού της Ευρωπαϊκής Ένωσης για το διαστημικό πρόγραμμα, και για την κατάργηση των κανονισμών (ΕΕ) αριθ. 912/2010, (ΕΕ) αριθ. 1285/2013 και (ΕΕ) αριθ. 377/2014 και της απόφασης αριθ. 541/2014/ΕΕ (ΕΕ L 170 της 12.5.2021, σ. 69).
(12) Εκτελεστικός κανονισμός (ΕΕ) 2017/373 της Επιτροπής, της 1ης Μαρτίου 2017, σχετικά με τον καθορισμό κοινών απαιτήσεων για τους παρόχους υπηρεσιών διαχείρισης της εναέριας κυκλοφορίας/αεροναυτιλίας και άλλων λειτουργιών του δικτύου διαχείρισης της εναέριας κυκλοφορίας και της εποπτείας τους, με την κατάργηση του κανονισμού (ΕΚ) αριθ. 482/2008, των εκτελεστικών κανονισμών (ΕΕ) αριθ. 1034/2011, (ΕΕ) αριθ. 1035/2011 και (ΕΕ) 2016/1377, και με την τροποποίηση του κανονισμού (ΕΕ) αριθ. 677/2011 (ΕΕ L 062 της 8.3.2017, σ. 1).
(13) https://www.easa.europa.eu/document-library/opinions.
(14) Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2022/1645 της Επιτροπής της 14ης Ιουλίου 2022 για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τις απαιτήσεις για τη διαχείριση κινδύνων για την ασφάλεια των πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας για τους φορείς που καλύπτονται από τους κανονισμούς (ΕΕ) αριθ. 748/2012 και (ΕΕ) αριθ. 139/2014 της Επιτροπής, και για την τροποποίηση των κανονισμών (ΕΕ) αριθ. 748/2012 και (ΕΕ) αριθ. 139/2014 της Επιτροπής (ΕΕ L 248 της 26.9.2022, σ. 18).
(15) Κανονισμός (ΕΚ) αριθ. 300/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2008, για τη θέσπιση κοινών κανόνων στο πεδίο της ασφάλειας της πολιτικής αεροπορίας και την κατάργηση του κανονισμού (ΕΚ) αριθ. 2320/2002 (ΕΕ L 97 της 9.4.2008, σ. 72).
ΠΑΡΑΡΤΗΜΑ I
ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ — ΑΠΑΙΤΗΣΕΙΣ ΠΟΥ ΑΦΟΡΟΥΝ ΤΙΣ ΑΡΧΕΣ
[ΜΕΡΟΣ-IS.AR]
IS.AR.100 |
Πεδίο εφαρμογής |
IS.AR.200 |
Σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) |
IS.AR.205 |
Εκτίμηση κινδύνων για την ασφάλεια των πληροφοριών |
IS.AR.210 |
Αντιμετώπιση κινδύνων για την ασφάλεια των πληροφοριών |
IS.AR.215 |
Συμβάντα ασφάλειας πληροφοριών — ανίχνευση, αντίδραση και αποκατάσταση |
IS.AR.220 |
Ανάθεση δραστηριοτήτων διαχείρισης της ασφάλειας των πληροφοριών βάσει σύμβασης |
IS.AR.225 |
Απαιτήσεις που αφορούν το προσωπικό |
IS.AR.230 |
Τήρηση αρχείων |
IS.AR.235 |
Συνεχής βελτίωση |
IS.AR.100 Πεδίο εφαρμογής
Το παρόν μέρος καθορίζει τις απαιτήσεις διαχείρισης τις οποίες πρέπει να πληρούν οι αρμόδιες αρχές που αναφέρονται στο άρθρο 2 παράγραφος 2 του παρόντος κανονισμού.
Οι απαιτήσεις τις οποίες πρέπει να πληρούν οι εν λόγω αρμόδιες αρχές για την εκτέλεση των δραστηριοτήτων πιστοποίησης, εποπτείας και επιβολής περιλαμβάνονται στους κανονισμούς που αναφέρονται στο άρθρο 2 παράγραφος 1 του παρόντος κανονισμού και στο άρθρο 2 του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2022/1645.
IS.AR.200 Σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS)
α) |
Για την επίτευξη των στόχων που ορίζονται στο άρθρο 1, η αρμόδια αρχή δημιουργεί, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS), το οποίο διασφαλίζει ότι η αρμόδια αρχή:
|
β) |
Προκειμένου να πληροί συνεχώς τις απαιτήσεις που αναφέρονται στο άρθρο 1, η αρμόδια αρχή εφαρμόζει διαδικασία συνεχούς βελτίωσης σύμφωνα με την IS.AR.235. |
γ) |
Η αρμόδια αρχή τεκμηριώνει όλες τις βασικές διεργασίες, διαδικασίες, ρόλους και αρμοδιότητες που απαιτούνται για τη συμμόρφωση με την IS.AR.200 στοιχείο α) και θεσπίζει διαδικασία τροποποίησης της εν λόγω τεκμηρίωσης. |
δ) |
Οι διεργασίες, οι διαδικασίες, οι ρόλοι και οι αρμοδιότητες που καθορίζονται από την αρμόδια αρχή για τη συμμόρφωση με την IS.AR.200 στοιχείο α) αντιστοιχούν στη φύση και την πολυπλοκότητα των δραστηριοτήτων της, βάσει εκτίμησης των κινδύνων για την ασφάλεια των πληροφοριών που είναι εγγενείς στις εν λόγω δραστηριότητες, και μπορούν να ενσωματωθούν σε άλλα υφιστάμενα συστήματα διαχείρισης που εφαρμόζονται ήδη από την αρμόδια αρχή. |
IS.AR.205 Εκτίμηση κινδύνων για την ασφάλεια των πληροφοριών
α) |
Η αρμόδια αρχή προσδιορίζει όλα τα στοιχεία της τα οποία θα μπορούσαν να εκτεθούν σε κινδύνους για την ασφάλεια των πληροφοριών. Αυτά περιλαμβάνουν:
|
β) |
Η αρμόδια αρχή προσδιορίζει τις διεπαφές που έχει με άλλους φορείς και οι οποίες θα μπορούσαν να οδηγήσουν σε αμοιβαία έκθεση σε κινδύνους για την ασφάλεια των πληροφοριών. |
γ) |
Όσον αφορά τα στοιχεία και τις διεπαφές που αναφέρονται στα στοιχεία α) και β), η αρμόδια αρχή προσδιορίζει τους κινδύνους για την ασφάλεια των πληροφοριών που μπορεί να έχουν ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας. Για κάθε κίνδυνο που προσδιορίζεται, η αρμόδια αρχή:
Στην προκαθορισμένη ταξινόμηση που αναφέρεται στο σημείο 1) λαμβάνεται υπόψη η πιθανότητα επέλευσης του σεναρίου απειλής και η σοβαρότητα των συνεπειών του για την ασφάλεια. Μέσω της εν λόγω ταξινόμησης, και λαμβανομένου υπόψη του αν η αρμόδια αρχή διαθέτει δομημένη και επαναλαμβανόμενη διαδικασία διαχείρισης κινδύνων για πτητικές λειτουργίες, η αρμόδια αρχή είναι σε θέση να διαπιστώσει αν ο κίνδυνος είναι αποδεκτός ή πρέπει να αντιμετωπιστεί σύμφωνα με την IS.AR.210. Προκειμένου να διευκολύνεται η αμοιβαία συγκρισιμότητα των εκτιμήσεων κινδύνων, στον καθορισμό του επιπέδου κινδύνου σύμφωνα με το σημείο 1) λαμβάνονται υπόψη συναφείς πληροφορίες που αποκτώνται σε συντονισμό με τους φορείς που αναφέρονται στο στοιχείο β). |
δ) |
Η αρμόδια αρχή επανεξετάζει και επικαιροποιεί την εκτίμηση κινδύνων που διενεργείται σύμφωνα με τα στοιχεία α), β) και γ) σε οποιαδήποτε από τις ακόλουθες περιπτώσεις:
|
IS.AR.210 Αντιμετώπιση κινδύνων για την ασφάλεια των πληροφοριών
α) |
Η αρμόδια αρχή αναπτύσσει μέτρα για την αντιμετώπιση των μη αποδεκτών κινδύνων που προσδιορίζονται σύμφωνα με την IS.AR.205, τα εφαρμόζει εγκαίρως και ελέγχει τη συνεχή αποτελεσματικότητά τους. Τα μέτρα αυτά επιτρέπουν στην αρμόδια αρχή:
Τα μέτρα αυτά δεν επιφέρουν νέους ενδεχόμενους μη αποδεκτούς κινδύνους για την ασφάλεια της αεροπορίας. |
β) |
Το πρόσωπο που αναφέρεται στην IS.AR.225 στοιχείο α) και το λοιπό επηρεαζόμενο προσωπικό της αρμόδιας αρχής ενημερώνονται για το αποτέλεσμα της εκτίμησης κινδύνων που διενεργείται σύμφωνα με την IS.AR.205, τα αντίστοιχα σενάρια απειλής και τα μέτρα που πρέπει να εφαρμοστούν. Η αρμόδια αρχή ενημερώνει επίσης τους φορείς με τους οποίους έχει διεπαφή σύμφωνα με την IS.AR.205 στοιχείο β) για κάθε κίνδυνο που είναι κοινός μεταξύ της αρμόδιας αρχής και του φορέα. |
IS.AR.215 Συμβάντα ασφάλειας πληροφοριών — ανίχνευση, αντίδραση και αποκατάσταση
α) |
Με βάση το αποτέλεσμα της εκτίμησης κινδύνων που διενεργείται σύμφωνα με την IS.AR.205 και το αποτέλεσμα της αντιμετώπισης κινδύνων που διενεργείται σύμφωνα με την IS.AR.210, η αρμόδια αρχή εφαρμόζει μέτρα για την ανίχνευση γεγονότων που υποδεικνύουν την πιθανή επέλευση μη αποδεκτών κινδύνων και τα οποία ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας. Τα εν λόγω μέτρα ανίχνευσης επιτρέπουν στην αρμόδια αρχή:
|
β) |
Η αρμόδια αρχή εφαρμόζει μέτρα για την αντιμετώπιση τυχόν συνθηκών κάθε γεγονότος που προσδιορίζεται σύμφωνα με το στοιχείο α) και ενδέχεται να εξελιχθεί ή να έχει εξελιχθεί σε συμβάν ασφάλειας πληροφοριών. Τα εν λόγω μέτρα αντίδρασης επιτρέπουν στην αρμόδια αρχή:
|
γ) |
Η αρμόδια αρχή εφαρμόζει μέτρα που αποσκοπούν στην αποκατάσταση μετά από συμβάντα ασφάλειας πληροφοριών, συμπεριλαμβανομένων μέτρων έκτακτης ανάγκης, εφόσον απαιτείται. Τα εν λόγω μέτρα αποκατάστασης επιτρέπουν στην αρμόδια αρχή:
|
IS.AR.220 Ανάθεση δραστηριοτήτων διαχείρισης της ασφάλειας των πληροφοριών βάσει σύμβασης
Η αρμόδια αρχή διασφαλίζει ότι, όταν αναθέτει με σύμβαση σε άλλους φορείς οποιοδήποτε μέρος των δραστηριοτήτων που αναφέρονται στην IS.AR.200, οι δραστηριότητες που ανατίθενται με σύμβαση συμμορφώνονται με τις απαιτήσεις του παρόντος κανονισμού και ο συμβεβλημένος φορέας εργάζεται υπό την εποπτεία της. Η αρμόδια αρχή διασφαλίζει την κατάλληλη διαχείριση των κινδύνων που συνδέονται με τις δραστηριότητες που ανατίθενται με σύμβαση.
IS.AR.225 Απαιτήσεις που αφορούν το προσωπικό
Η αρμόδια αρχή:
α) |
διαθέτει πρόσωπο το οποίο έχει την εξουσία να θεσπίζει και να διατηρεί τις οργανωτικές δομές, τις πολιτικές, τις διεργασίες και τις διαδικασίες που απαιτούνται για την εφαρμογή του παρόντος κανονισμού. Το πρόσωπο αυτό:
|
β) |
εφαρμόζει διαδικασία που διασφαλίζει ότι διαθέτει επαρκές προσωπικό σε υπηρεσία για την εκτέλεση των δραστηριοτήτων που καλύπτονται από το παρόν παράρτημα· |
γ) |
εφαρμόζει διαδικασία που διασφαλίζει ότι το προσωπικό που αναφέρεται στο στοιχείο β) διαθέτει την αναγκαία επάρκεια για την εκτέλεση των καθηκόντων του· |
δ) |
εφαρμόζει διαδικασία που διασφαλίζει ότι το προσωπικό αναγνωρίζει τις αρμοδιότητες που συνδέονται με τους ανατιθέμενους ρόλους και καθήκοντα· |
ε) |
διασφαλίζει ότι η ταυτότητα και η αξιοπιστία του προσωπικού που έχει πρόσβαση σε συστήματα πληροφοριών και δεδομένα που υπόκεινται στις απαιτήσεις του παρόντος κανονισμού είναι δεόντως εξακριβωμένες. |
IS.AR.230 Τήρηση αρχείων
α) |
Η αρμόδια αρχή τηρεί αρχεία των δραστηριοτήτων της όσον αφορά τη διαχείριση της ασφάλειας των πληροφοριών
|
β) |
Η αρμόδια αρχή τηρεί αρχεία των προσόντων και της πείρας του προσωπικού της που συμμετέχει σε δραστηριότητες διαχείρισης της ασφάλειας των πληροφοριών.
|
γ) |
Η μορφή των αρχείων καθορίζεται στις διαδικασίες της αρμόδιας αρχής. |
δ) |
Τα αρχεία αποθηκεύονται κατά τρόπο που εξασφαλίζει προστασία έναντι φθοράς, παραποίησης και κλοπής, ενώ οι πληροφορίες προσδιορίζονται, όταν απαιτείται, ανάλογα με την αντίστοιχη διαβάθμιση ασφάλειας. Ο φορέας μεριμνά ώστε τα αρχεία να αποθηκεύονται με τη χρήση μέσων που διασφαλίζουν την ακεραιότητα, τη γνησιότητα και την εξουσιοδοτημένη πρόσβαση. |
IS.AR.235 Συνεχής βελτίωση
α) |
Η αρμόδια αρχή αξιολογεί, χρησιμοποιώντας επαρκείς δείκτες επιδόσεων, την αποτελεσματικότητα και την ωριμότητα του δικού της συστήματος διαχείρισης της ασφάλειας των πληροφοριών. Η αξιολόγηση διενεργείται σε ημερολογιακή βάση που προκαθορίζεται από την αρμόδια αρχή ή μετά από συμβάν ασφάλειας πληροφοριών. |
β) |
Εάν διαπιστωθούν ελλείψεις μετά την αξιολόγηση που διενεργείται σύμφωνα με το στοιχείο α), η αρμόδια αρχή λαμβάνει τα αναγκαία μέτρα βελτίωσης για να διασφαλίσει ότι το σύστημα διαχείρισης της ασφάλειας των πληροφοριών εξακολουθεί να συμμορφώνεται με τις εφαρμοστέες απαιτήσεις και διατηρεί τους κινδύνους για την ασφάλεια των πληροφοριών σε αποδεκτό επίπεδο. Επιπλέον, η αρμόδια αρχή επαναξιολογεί τα στοιχεία του συστήματος διαχείρισης της ασφάλειας των πληροφοριών που επηρεάζονται από τα θεσπισθέντα μέτρα. |
ΠΑΡΑΡΤΗΜΑ II
ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ — ΑΠΑΙΤΗΣΕΙΣ ΠΟΥ ΑΦΟΡΟΥΝ ΤΟΥΣ ΦΟΡΕΙΣ
[ΜΕΡΟΣ-IS.I.OR]
IS.I.OR.100 |
Πεδίο εφαρμογής |
IS.I.OR.200 |
Σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) |
IS.I.OR.205 |
Εκτίμηση κινδύνων για την ασφάλεια των πληροφοριών |
IS.I.OR.210 |
Αντιμετώπιση κινδύνων για την ασφάλεια των πληροφοριών |
IS.I.OR.215 |
Εσωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών |
IS.I.OR.220 |
Συμβάντα ασφάλειας πληροφοριών — ανίχνευση, αντίδραση και αποκατάσταση |
IS.I.OR.225 |
Απάντηση σε ευρήματα που έχουν κοινοποιηθεί από την αρμόδια αρχή |
IS.I.OR.230 |
Εξωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών |
IS.I.OR.235 |
Ανάθεση δραστηριοτήτων διαχείρισης της ασφάλειας των πληροφοριών βάσει σύμβασης |
IS.I.OR.240 |
Απαιτήσεις που αφορούν το προσωπικό |
IS.I.OR.245 |
Τήρηση αρχείων |
IS.I.OR.250 |
Εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών (ISMM) |
IS.I.OR.255 |
Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών |
IS.I.OR.260 |
Συνεχής βελτίωση |
IS.I.OR.100 Πεδίο εφαρμογής
Το παρόν μέρος καθορίζει τις απαιτήσεις τις οποίες πρέπει να πληρούν οι φορείς που αναφέρονται στο άρθρο 2 παράγραφος 1 του παρόντος κανονισμού.
IS.I.OR.200 Σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS)
α) |
Για την επίτευξη των στόχων που ορίζονται στο άρθρο 1, ο φορέας δημιουργεί, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS), το οποίο διασφαλίζει ότι ο φορέας:
|
β) |
Προκειμένου να πληροί συνεχώς τις απαιτήσεις που αναφέρονται στο άρθρο 1, ο φορέας εφαρμόζει διαδικασία συνεχούς βελτίωσης σύμφωνα με την IS.I.OR.260. |
γ) |
Ο φορέας τεκμηριώνει, σύμφωνα με την IS.I.OR.250, όλες τις βασικές διεργασίες, διαδικασίες, ρόλους και αρμοδιότητες που απαιτούνται για τη συμμόρφωση με την IS.I.OR.200 στοιχείο α) και θεσπίζει διαδικασία τροποποίησης της εν λόγω τεκμηρίωσης. Η διαχείριση των αλλαγών των εν λόγω διεργασιών, διαδικασιών, ρόλων και αρμοδιοτήτων πραγματοποιείται σύμφωνα με την IS.I.OR.255. |
δ) |
Οι διεργασίες, οι διαδικασίες, οι ρόλοι και οι αρμοδιότητες που καθορίζονται από τον φορέα για τη συμμόρφωση με την IS.I.OR.200 στοιχείο α) αντιστοιχούν στη φύση και την πολυπλοκότητα των δραστηριοτήτων του, βάσει εκτίμησης των κινδύνων για την ασφάλεια των πληροφοριών που είναι εγγενείς στις εν λόγω δραστηριότητες, και μπορούν να ενσωματωθούν σε άλλα υφιστάμενα συστήματα διαχείρισης που εφαρμόζονται ήδη από τον φορέα. |
ε) |
Με την επιφύλαξη της υποχρέωσης συμμόρφωσης με τις απαιτήσεις υποβολής αναφορών που καθορίζονται στον κανονισμό (ΕΕ) αριθ. 376/2014 και τις απαιτήσεις της IS.I.OR.200 στοιχείο α) σημείο 13), ο φορέας μπορεί να λάβει έγκριση από την αρμόδια αρχή για τη μη εφαρμογή των απαιτήσεων που αναφέρονται στα στοιχεία α) έως δ) και τις σχετικές απαιτήσεις που περιέχονται στις IS.I.OR.205 έως IS.I.OR.260, εάν αποδείξει στην εν λόγω αρχή ότι οι δραστηριότητες, οι εγκαταστάσεις και οι πόροι του, καθώς και οι υπηρεσίες τις οποίες εκτελεί, παρέχει, λαμβάνει και συντηρεί, δεν ενέχουν κινδύνους για την ασφάλεια των πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας ούτε για τον ίδιο ούτε για άλλους φορείς. Η έγκριση βασίζεται σε τεκμηριωμένη εκτίμηση κινδύνων για την ασφάλεια των πληροφοριών, η οποία διενεργείται από τον φορέα ή τρίτο μέρος σύμφωνα με την IS.I.OR.205 και εξετάζεται και εγκρίνεται από την αρμόδια αρχή του. Η συνεχιζόμενη ισχύς της εν λόγω έγκρισης θα επανεξετάζεται από την αρμόδια αρχή σύμφωνα με τον εφαρμοστέο κύκλο ελέγχου εποπτείας και όποτε εφαρμόζονται αλλαγές στο πεδίο εργασιών του φορέα. |
IS.I.OR.205 Εκτίμηση κινδύνων για την ασφάλεια των πληροφοριών
α) |
Ο φορέας προσδιορίζει όλα τα στοιχεία του τα οποία θα μπορούσαν να εκτεθούν σε κινδύνους για την ασφάλεια των πληροφοριών. Αυτά περιλαμβάνουν:
|
β) |
Ο φορέας προσδιορίζει τις διεπαφές που έχει με άλλους φορείς και οι οποίες θα μπορούσαν να οδηγήσουν σε αμοιβαία έκθεση σε κινδύνους για την ασφάλεια των πληροφοριών. |
γ) |
Όσον αφορά τα στοιχεία και τις διεπαφές που αναφέρονται στα στοιχεία α) και β), ο φορέας προσδιορίζει τους κινδύνους για την ασφάλεια των πληροφοριών που μπορεί να έχουν ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας. Για κάθε κίνδυνο που προσδιορίζεται, ο φορέας:
Στην προκαθορισμένη ταξινόμηση που αναφέρεται στο σημείο 1) λαμβάνεται υπόψη η πιθανότητα επέλευσης του σεναρίου απειλής και η σοβαρότητα των συνεπειών του για την ασφάλεια. Με βάση την εν λόγω ταξινόμηση, και λαμβανομένου υπόψη του αν ο φορέας διαθέτει δομημένη και επαναλαμβανόμενη διαδικασία διαχείρισης κινδύνων για πτητικές λειτουργίες, ο φορέας είναι σε θέση να διαπιστώσει αν ο κίνδυνος είναι αποδεκτός ή πρέπει να αντιμετωπιστεί σύμφωνα με την IS.I.OR.210. Προκειμένου να διευκολύνεται η αμοιβαία συγκρισιμότητα των εκτιμήσεων κινδύνων, στον καθορισμό του επιπέδου κινδύνου σύμφωνα με το σημείο 1) λαμβάνονται υπόψη συναφείς πληροφορίες που αποκτώνται σε συντονισμό με τους φορείς που αναφέρονται στο στοιχείο β). |
δ) |
Ο φορέας επανεξετάζει και επικαιροποιεί την εκτίμηση κινδύνων που διενεργείται σύμφωνα με τα στοιχεία α), β) και, κατά περίπτωση, τα στοιχεία γ) ή ε), σε οποιαδήποτε από τις ακόλουθες περιπτώσεις:
|
ε) |
Κατά παρέκκλιση από το στοιχείο γ), οι φορείς που απαιτείται να συμμορφώνονται με το τμήμα Γ του παραρτήματος III (Μέρος-ATM/ANS.OR) του εκτελεστικού κανονισμού (ΕΕ) 2017/373 αντικαθιστούν την ανάλυση των επιπτώσεων στην ασφάλεια της αεροπορίας με ανάλυση των επιπτώσεων στις υπηρεσίες τους σύμφωνα με την αξιολόγηση υποστήριξης της ασφάλειας που απαιτείται από την ATM/ANS.OR.C.005. Αυτή η αξιολόγηση υποστήριξης της ασφάλειας τίθεται στη διάθεση των παρόχων υπηρεσιών εναέριας κυκλοφορίας στους οποίους παρέχουν υπηρεσίες οι φορείς, και οι εν λόγω πάροχοι υπηρεσιών εναέριας κυκλοφορίας είναι υπεύθυνοι για την αξιολόγηση των επιπτώσεων στην ασφάλεια της αεροπορίας. |
IS.I.OR.210 Αντιμετώπιση κινδύνων για την ασφάλεια των πληροφοριών
α) |
Ο φορέας αναπτύσσει μέτρα για την αντιμετώπιση των μη αποδεκτών κινδύνων που προσδιορίζονται σύμφωνα με την IS.I.OR.205, τα εφαρμόζει εγκαίρως και ελέγχει τη συνεχή αποτελεσματικότητά τους. Τα μέτρα αυτά επιτρέπουν στον φορέα:
Τα μέτρα αυτά δεν επιφέρουν νέους ενδεχόμενους μη αποδεκτούς κινδύνους για την ασφάλεια της αεροπορίας. |
β) |
Το πρόσωπο που αναφέρεται στην IS.I.OR.240 στοιχεία α) και β) και το λοιπό επηρεαζόμενο προσωπικό του φορέα ενημερώνονται για το αποτέλεσμα της εκτίμησης κινδύνων που διενεργείται σύμφωνα με την IS.I.OR.205, τα αντίστοιχα σενάρια απειλής και τα μέτρα που πρέπει να εφαρμοστούν. Ο φορέας ενημερώνει επίσης τους φορείς με τους οποίους έχει διεπαφή σύμφωνα με την IS.I.OR.205 στοιχείο β) για κάθε κίνδυνο που είναι κοινός μεταξύ των δύο φορέων. |
IS.I.OR.215 Εσωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών
α) |
Ο φορέας θεσπίζει εσωτερικό σύστημα αναφοράς για τη συλλογή και αξιολόγηση γεγονότων που αφορούν την ασφάλεια των πληροφοριών, συμπεριλαμβανομένων εκείνων που πρέπει να αναφέρονται σύμφωνα με την IS.I.OR.230. |
β) |
Το εν λόγω σύστημα και η διαδικασία που αναφέρεται στην IS.I.OR.220 επιτρέπουν στον φορέα:
|
γ) |
Κάθε συμβεβλημένος φορέας που ενδέχεται να εκθέσει τον φορέα σε κινδύνους για την ασφάλεια των πληροφοριών με ενδεχόμενο αντίκτυπο στην ασφάλεια της αεροπορίας υποχρεούται να αναφέρει στον φορέα τυχόν γεγονότα που αφορούν την ασφάλεια των πληροφοριών. Οι αναφορές αυτές υποβάλλονται σύμφωνα με τις διαδικασίες που καθορίζονται στις ειδικές συμβατικές ρυθμίσεις και αξιολογούνται σύμφωνα με το στοιχείο β). |
δ) |
Ο φορέας συνεργάζεται σε έρευνες με κάθε άλλο φορέα που συμβάλλει σημαντικά στην ασφάλεια των πληροφοριών των δραστηριοτήτων του. |
ε) |
Ο φορέας μπορεί να ενσωματώσει το εν λόγω σύστημα αναφοράς σε άλλα συστήματα αναφοράς που έχει ήδη εφαρμόσει. |
IS.I.OR.220 Συμβάντα ασφάλειας πληροφοριών — ανίχνευση, αντίδραση και αποκατάσταση
α) |
Με βάση το αποτέλεσμα της εκτίμησης κινδύνων που διενεργείται σύμφωνα με την IS.I.OR.205 και το αποτέλεσμα της αντιμετώπισης κινδύνων που διενεργείται σύμφωνα με την IS.I.OR.210, ο φορέας εφαρμόζει μέτρα για την ανίχνευση συμβάντων και τρωτών σημείων που υποδεικνύουν την πιθανή επέλευση μη αποδεκτών κινδύνων και τα οποία ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας. Τα εν λόγω μέτρα ανίχνευσης επιτρέπουν στον φορέα:
|
β) |
Ο φορέας εφαρμόζει μέτρα για την αντιμετώπιση τυχόν συνθηκών γεγονότος που προσδιορίζεται σύμφωνα με το στοιχείο α) και ενδέχεται να εξελιχθεί ή να έχει εξελιχθεί σε συμβάν ασφάλειας πληροφοριών. Τα εν λόγω μέτρα αντίδρασης επιτρέπουν στον φορέα:
|
γ) |
Ο φορέας εφαρμόζει μέτρα που αποσκοπούν στην αποκατάσταση μετά από συμβάντα ασφάλειας πληροφοριών, συμπεριλαμβανομένων μέτρων έκτακτης ανάγκης, εφόσον απαιτείται. Τα εν λόγω μέτρα αποκατάστασης επιτρέπουν στον φορέα:
|
IS.I.OR.225 Απάντηση σε ευρήματα που έχουν κοινοποιηθεί από την αρμόδια αρχή
α) |
Μετά την παραλαβή της κοινοποίησης των ευρημάτων που έχει υποβάλει η αρμόδια αρχή, ο φορέας:
|
β) |
Τα μέτρα που αναφέρονται στο στοιχείο α) τίθενται σε εφαρμογή εντός της προθεσμίας που έχει συμφωνηθεί με την αρμόδια αρχή. |
IS.I.OR.230 Εξωτερικό σύστημα αναφοράς για την ασφάλεια των πληροφοριών
α) |
Ο φορέας εφαρμόζει σύστημα αναφοράς για την ασφάλεια των πληροφοριών που συμμορφώνεται με τις απαιτήσεις που καθορίζονται στον κανονισμό (ΕΕ) αριθ. 376/2014 και στις κατ’ εξουσιοδότηση και εκτελεστικές πράξεις του, εφόσον ο εν λόγω κανονισμός εφαρμόζεται στον φορέα. |
β) |
Με την επιφύλαξη των υποχρεώσεων που απορρέουν από τον κανονισμό (ΕΕ) αριθ. 376/2014, ο φορέας διασφαλίζει ότι κάθε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών, που ενδέχεται να συνιστά σημαντικό κίνδυνο για την ασφάλεια της αεροπορίας, αναφέρεται στην οικεία αρμόδια αρχή. Επιπλέον:
|
γ) |
Ο φορέας αναφέρει τις καταστάσεις που αναφέρονται στο στοιχείο β) ως εξής:
|
IS.I.OR.235 Ανάθεση δραστηριοτήτων διαχείρισης της ασφάλειας των πληροφοριών βάσει σύμβασης
α) |
Ο φορέας διασφαλίζει ότι, όταν αναθέτει με σύμβαση σε άλλους φορείς οποιοδήποτε μέρος των δραστηριοτήτων που αναφέρονται στην IS.I.OR.200, οι δραστηριότητες που ανατίθενται με σύμβαση συμμορφώνονται με τις απαιτήσεις του παρόντος κανονισμού και ο συμβεβλημένος φορέας εργάζεται υπό την εποπτεία του. Ο φορέας διασφαλίζει την κατάλληλη διαχείριση των κινδύνων που συνδέονται με τις δραστηριότητες που ανατίθενται με σύμβαση. |
β) |
Ο φορέας διασφαλίζει ότι η αρμόδια αρχή μπορεί να έχει πρόσβαση, κατόπιν αιτήματος, στον συμβεβλημένο φορέα για να διαπιστώσει τη συνεχή συμμόρφωση με τις εφαρμοστέες απαιτήσεις που καθορίζονται στον παρόντα κανονισμό. |
IS.I.OR.240 Απαιτήσεις που αφορούν το προσωπικό
α) |
Ο υπόλογος διευθυντής του οργανισμού που έχει οριστεί σύμφωνα με τους κανονισμούς (ΕΕ) αριθ. 1321/2014, (ΕΕ) αριθ. 965/2012, (ΕΕ) αριθ. 1178/2011, (ΕΕ) 2015/340, τον εκτελεστικό κανονισμό (ΕΕ) 2017/373 ή τον εκτελεστικό κανονισμό (ΕΕ) 2021/664, όπως αναφέρεται στο άρθρο 2 παράγραφος 1 του παρόντος κανονισμού, έχει την εξουσία νομικού προσώπου να διασφαλίζει τη χρηματοδότηση και την εκτέλεση όλων των δραστηριοτήτων που απαιτούνται από τον παρόντα κανονισμό. Το πρόσωπο αυτό:
|
β) |
Ο υπόλογος διευθυντής διορίζει ένα πρόσωπο ή μια ομάδα προσώπων για να διασφαλίζει ότι ο φορέας συμμορφώνεται με τις απαιτήσεις του παρόντος κανονισμού και καθορίζει την έκταση της εξουσίας τους. Το εν λόγω πρόσωπο ή ομάδα προσώπων λογοδοτεί απευθείας στον υπόλογο διευθυντή και διαθέτει τις κατάλληλες γνώσεις, το υπόβαθρο και την πείρα για την εκτέλεση των καθηκόντων του/της. Στις διαδικασίες καθορίζεται ποιος αντικαθιστά οποιοδήποτε πρόσωπο απουσιάζει για μεγάλο χρονικό διάστημα από τη δουλειά του. |
γ) |
Ο υπόλογος διευθυντής διορίζει ένα πρόσωπο ή μια ομάδα προσώπων με την αρμοδιότητα να διαχειρίζεται τη λειτουργία παρακολούθησης της συμμόρφωσης που αναφέρεται στην IS.I.OR.200 στοιχείο α) σημείο 12). |
δ) |
Όταν ο φορέας ανταλλάσσει οργανωτικές δομές, πολιτικές, διεργασίες και διαδικασίες για την ασφάλεια των πληροφοριών με άλλους φορείς ή με τομείς του ίδιου του φορέα που δεν αποτελούν μέρος της έγκρισης ή της δήλωσης, ο υπόλογος διευθυντής μπορεί να αναθέτει τις δραστηριότητές του σε κοινό αρμόδιο πρόσωπο. Στην περίπτωση αυτή, θεσπίζονται μέτρα συντονισμού μεταξύ του υπόλογου διευθυντή του φορέα και του κοινού αρμόδιου προσώπου, ώστε να διασφαλίζεται επαρκής ενσωμάτωση της διαχείρισης της ασφάλειας των πληροφοριών εντός του φορέα. |
ε) |
Ο υπόλογος διευθυντής ή το κοινό αρμόδιο πρόσωπο που αναφέρεται στο στοιχείο δ), έχει την εξουσία νομικού προσώπου να θεσπίζει και να διατηρεί τις οργανωτικές δομές, τις πολιτικές, τις διεργασίες και τις διαδικασίες που απαιτούνται για την εφαρμογή της IS.I.OR.200. |
στ) |
Ο φορέας εφαρμόζει διαδικασία που διασφαλίζει ότι διαθέτει επαρκές προσωπικό σε υπηρεσία για την εκτέλεση των δραστηριοτήτων που καλύπτονται από το παρόν παράρτημα. |
ζ) |
Ο φορέας εφαρμόζει διαδικασία που διασφαλίζει ότι το προσωπικό που αναφέρεται στο στοιχείο στ) διαθέτει την αναγκαία επάρκεια για την εκτέλεση των καθηκόντων του. |
η) |
Ο φορέας εφαρμόζει διαδικασία που διασφαλίζει ότι το προσωπικό αναγνωρίζει τις αρμοδιότητες που συνδέονται με τους ανατιθέμενους ρόλους και καθήκοντα. |
i) |
Ο φορέας διασφαλίζει ότι η ταυτότητα και η αξιοπιστία του προσωπικού που έχει πρόσβαση σε συστήματα πληροφοριών και δεδομένα που υπόκεινται στις απαιτήσεις του παρόντος κανονισμού είναι δεόντως εξακριβωμένες. |
IS.I.OR.245 Τήρηση αρχείων
α) |
Ο φορέας τηρεί αρχεία των δραστηριοτήτων του όσον αφορά τη διαχείριση της ασφάλειας των πληροφοριών
|
β) |
Ο φορέας τηρεί αρχεία των προσόντων και της πείρας του προσωπικού του που συμμετέχει σε δραστηριότητες διαχείρισης της ασφάλειας των πληροφοριών.
|
γ) |
Η μορφή των αρχείων καθορίζεται στις διαδικασίες του φορέα. |
δ) |
Τα αρχεία αποθηκεύονται κατά τρόπο που εξασφαλίζει προστασία έναντι φθοράς, παραποίησης και κλοπής, ενώ οι πληροφορίες προσδιορίζονται, όταν απαιτείται, ανάλογα με την αντίστοιχη διαβάθμιση ασφάλειας. Ο φορέας μεριμνά ώστε τα αρχεία να αποθηκεύονται με τη χρήση μέσων που διασφαλίζουν την ακεραιότητα, τη γνησιότητα και την εξουσιοδοτημένη πρόσβαση. |
IS.I.OR.250 Εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών (ISMM)
α) |
Ο φορέας θέτει στη διάθεση της αρμόδιας αρχής εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών (ISMM) και, κατά περίπτωση, τυχόν αναφερόμενα σχετικά εγχειρίδια και διαδικασίες, το οποίο περιέχει:
|
β) |
Η αρχική έκδοση του εγχειριδίου διαχείρισης της ασφάλειας των πληροφοριών εγκρίνεται και αντίγραφο φυλάσσεται από την αρμόδια αρχή. Το εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών τροποποιείται ανάλογα με τις ανάγκες, ώστε να παραμένει επικαιροποιημένη η περιγραφή του συστήματος διαχείρισης της ασφάλειας των πληροφοριών του φορέα. Αντίγραφο τυχόν τροποποιήσεων του εγχειριδίου διαχείρισης της ασφάλειας των πληροφοριών παρέχεται στην αρμόδια αρχή. |
γ) |
Η διαχείριση των τροποποιήσεων του εγχειριδίου διαχείρισης της ασφάλειας των πληροφοριών πραγματοποιείται σύμφωνα με διαδικασία την οποία θεσπίζει ο φορέας. Τυχόν τροποποιήσεις που δεν περιλαμβάνονται στο πεδίο εφαρμογής της διαδικασίας αυτής, καθώς και τυχόν τροποποιήσεις που αφορούν τις αλλαγές που αναφέρονται στην IS.I.OR.255 στοιχείο β), εγκρίνονται από την αρμόδια αρχή. |
δ) |
Ο φορέας μπορεί να ενσωματώσει το εγχειρίδιο διαχείρισης της ασφάλειας των πληροφοριών σε άλλα εγχειρίδια διαχείρισης που έχει στην κατοχή του, υπό την προϋπόθεση ότι υπάρχει σαφής παραπομπή που υποδεικνύει ποια τμήματα του εγχειριδίου διαχείρισης αντιστοιχούν στις διάφορες απαιτήσεις του παρόντος παραρτήματος. |
IS.I.OR.255 Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών
α) |
Η διαχείριση των αλλαγών του συστήματος διαχείρισης της ασφάλειας των πληροφοριών και η κοινοποίησή τους στην αρμόδια αρχή μπορούν να πραγματοποιούνται στο πλαίσιο διαδικασίας που καταρτίζεται από τον φορέα. Η διαδικασία αυτή εγκρίνεται από την αρμόδια αρχή. |
β) |
Όσον αφορά τις αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών που δεν καλύπτονται από τη διαδικασία που αναφέρεται στο στοιχείο α), ο φορέας υποβάλλει αίτηση και λαμβάνει έγκριση που εκδίδεται από την αρμόδια αρχή. Όσον αφορά τις αλλαγές αυτές:
|
IS.I.OR.260 Συνεχής βελτίωση
α) |
Ο φορέας αξιολογεί, χρησιμοποιώντας επαρκείς δείκτες επιδόσεων, την αποτελεσματικότητα και την ωριμότητα του συστήματος διαχείρισης της ασφάλειας των πληροφοριών. Η εν λόγω αξιολόγηση διενεργείται σε ημερολογιακή βάση που προκαθορίζεται από τον φορέα ή μετά από συμβάν ασφάλειας πληροφοριών. |
β) |
Εάν διαπιστωθούν ελλείψεις μετά την αξιολόγηση που διενεργείται σύμφωνα με το στοιχείο α), ο φορέας λαμβάνει τα αναγκαία μέτρα βελτίωσης για να διασφαλίσει ότι το σύστημα διαχείρισης της ασφάλειας των πληροφοριών εξακολουθεί να συμμορφώνεται με τις εφαρμοστέες απαιτήσεις και διατηρεί τους κινδύνους για την ασφάλεια των πληροφοριών σε αποδεκτό επίπεδο. Επιπλέον, ο φορέας επαναξιολογεί τα στοιχεία του συστήματος διαχείρισης της ασφάλειας των πληροφοριών που επηρεάζονται από τα θεσπισθέντα μέτρα. |
ΠΑΡΑΡΤΗΜΑ III
Τα παραρτήματα VI (Μέρος-ARA) και VII (Μέρος-ORA) του κανονισμού (ΕΕ) αριθ. 1178/2011 τροποποιούνται ως εξής:
1. |
το παράρτημα VI (Μέρος-ARA) τροποποιείται ως εξής:
|
2. |
το παράρτημα VII (Μέρος-ORA) τροποποιείται ως εξής: μετά την ORA.GEN.200, προστίθεται η ακόλουθη ORA.GEN.200A: «ORA.GEN.200A Σύστημα διαχείρισης της ασφάλειας των πληροφοριών Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην ORA.GEN.200, ο φορέας θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.». |
ΠΑΡΑΡΤΗΜΑ IV
Το παράρτημα I (μέρος 21) του κανονισμού (ΕΕ) αριθ. 748/2012 τροποποιείται ως εξής:
1) |
ο πίνακας περιεχομένων τροποποιείται ως εξής:
|
2) |
στην 21.B.15, προστίθεται το ακόλουθο στοιχείο γ):
|
3) |
μετά την 21.B.20, προστίθεται η ακόλουθη 21.B.20A: «21.B.20A Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας
|
4) |
στην 21.B.25, προστίθεται το ακόλουθο στοιχείο ε):
|
5) |
η 21.B.30 τροποποιείται ως εξής:
|
6) |
στην 21.B.221, προστίθεται το ακόλουθο στοιχείο ζ):
|
7) |
μετά την 21.B.240, προστίθεται η ακόλουθη 21.B.240A: «21.B.240A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών
|
8) |
στην 21.B.431, προστίθεται το ακόλουθο στοιχείο δ):
|
9) |
μετά την 21.B.435, προστίθεται η ακόλουθη 21.B.435A: «21.B.435A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών
|
ΠΑΡΑΡΤΗΜΑ V
Τα παραρτήματα II (Μέρος-ARO) και III (Μέρος-ORO) του κανονισμού (ΕΕ) αριθ. 965/2012 τροποποιούνται ως εξής:
1. |
το παράρτημα II (Μέρος-ARO) τροποποιείται ως εξής:
|
2. |
το παράρτημα III (Μέρος-ORO) τροποποιείται ως εξής: μετά την ORO.GEN.200, προστίθεται η ακόλουθη ORO.GEN.200A: «ORO.GEN.200A Σύστημα διαχείρισης της ασφάλειας των πληροφοριών Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην ORO.GEN.200, ο φορέας εκμετάλλευσης θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.». |
ΠΑΡΑΡΤΗΜΑ VI
Το παράρτημα II (Μέρος-ADR.AR) του κανονισμού (ΕΕ) αριθ. 139/2014 τροποποιείται ως εξής:
1. |
στην ADR.AR.A.025, προστίθεται το ακόλουθο στοιχείο γ):
|
2. |
μετά την ADR.AR.A.030, προστίθεται η ακόλουθη ADR.AR.A.030A: «ADR.AR.A.030A Άμεση αντίδραση σε συμβάν ή τρωτό σημείο ασφάλειας πληροφοριών με αντίκτυπο στην ασφάλεια της αεροπορίας
|
3. |
στην ADR.AR.B.005, προστίθεται το ακόλουθο στοιχείο δ):
|
4. |
η ADR.AR.B.010 τροποποιείται ως εξής:
|
5. |
στην ADR.AR.C.005, προστίθεται το ακόλουθο στοιχείο στ):
|
6. |
μετά την ADR.AR.C.040, προστίθεται η ακόλουθη ADR.AR.C.040A: «ADR.AR.C.040A Αλλαγές του συστήματος διαχείρισης της ασφάλειας των πληροφοριών
|
ΠΑΡΑΡΤΗΜΑ VII
Τα παραρτήματα II (Μέρος-145), III (Μέρος-66) και Vγ (Μέρος-CAMO) του κανονισμού (ΕΕ) αριθ. 1321/2014 τροποποιούνται ως εξής:
1. |
το παράρτημα II (Μέρος-145) τροποποιείται ως εξής:
|
2. |
το παράρτημα III (Μέρος-66) τροποποιείται ως εξής:
|
3. |
το παράρτημα Vγ (Μέρος-CAMO) τροποποιείται ως εξής:
|
ΠΑΡΑΡΤΗΜΑ VIII
Τα παραρτήματα II (Μέρος ATCO.AR) και III (Μέρος ATCO.OR) του κανονισμού (ΕΕ) 2015/340 τροποποιούνται ως εξής:
1. |
το παράρτημα II (Μέρος ATCO.AR) τροποποιείται ως εξής:
|
2. |
το παράρτημα III (Μέρος ATCO.OR) τροποποιείται ως εξής: μετά την ATCO.OR.C.001, προστίθεται η ακόλουθη ATCO.OR.C.001A: «ATCO.OR.C.001A Σύστημα διαχείρισης της ασφάλειας των πληροφοριών Επιπλέον του συστήματος διαχείρισης που αναφέρεται στην ATCO.OR.C.001, ο φορέας εκπαίδευσης θεσπίζει, εφαρμόζει και διατηρεί σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με τον εκτελεστικό κανονισμό (ΕΕ) 2023/203 προκειμένου να διασφαλίζεται η ορθή διαχείριση των κινδύνων για την ασφάλεια των πληροφοριών οι οποίοι ενδέχεται να έχουν αντίκτυπο στην ασφάλεια της αεροπορίας.». |
ΠΑΡΑΡΤΗΜΑ IX
Τα παραρτήματα II (Μέρος-ATM/ANS.AR) και III (Μέρος-ATM/ANS.OR) του εκτελεστικού κανονισμού (ΕΕ) 2017/373 τροποποιούνται ως εξής:
1. |
το παράρτημα II (Μέρος-ATM/ANS.AR) τροποποιείται ως εξής:
|
2. |
το παράρτημα III (Μέρος-ATM/ANS.OR) τροποποιείται ως εξής:
|