KOMISJONI RAKENDUSMÄÄRUS (EL) 2019/1583,

25. september 2019,

millega muudetakse komisjoni rakendusmäärust (EL) 2015/1998 (millega nähakse ette lennundusjulgestuse ühiste põhistandardite rakendamise üksikasjalikud meetmed) küberkaitsemeetmete osas

(EMPs kohaldatav tekst)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrust (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002, (1) eriti selle artiklit 1 ja artikli 4 lõiget 3,

ning arvestades järgmist:

(1)	Määruse (EÜ) nr 300/2008 üks peamisi eesmärke on luua alus 7. detsembri 1944. aasta rahvusvahelise tsiviillennunduse konventsiooni (2) (10. väljaanne, 2017; konventsioonile on alla kirjutanud kõik ELi liikmesriigid) 17. lisa (lennundusjulgestust käsitlev lisa) ühetaolisele tõlgendamisele.

(2)	Eesmärkide saavutamise vahendid on a) lennundusjulgestuse ühiseeskirjade ja ühiste põhistandardite kehtestamine ning b) nõuete täitmise järelevalve mehhanismid.

(3)

Rakendusaktide muutmise eesmärk on toetada liikmesriike, et tagada täielik vastavus rahvusvahelise tsiviillennunduse konventsiooni 17. lisa viimasele muudatusele (muudatus 16), mille kohaselt riiklikku korraldust ja pädevat asutust käsitleva peatükiga 3.1.4 ja ennetavaid küberkaitsemeetmeid käsitleva peatükiga 4.9.1 kehtestatakse uued standardid.

(4)

Kõnealuste standardite ülevõtmisega kogu ELi hõlmavate lennundusjulgestusalaste õigusaktide rakendamisse tagatakse, et pädevad asutused kehtestavad menetlused (ja rakendavad neid), et vajaduse korral ning praktiliselt ja õigeaegselt jagada asjakohast teavet, mis aitab teistel riiklikel asutustel ja ametitel, lennujaamade käitajatel, lennuettevõtjatel ja muudel asjaomastel üksustel tulemuslikult hinnata oma tegevusega seotud riske, toetades neid seeläbi julgestusriskide tõhusal hindamisel muu hulgas küberkaitse valdkonnas ja rakendades küberohte leevendavaid meetmeid.

(5)

Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2016/1148 (meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (küberturvalisuse direktiiv)) (3) on kehtestatud meetmed, mille eesmärk on saavutada liidus võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase, et parandada siseturu toimimist. Selleks et vältida lünki ja kohustuste dubleerimist, tuleks küberturvalisuse direktiivist ja käesolevast määrusest tulenevad meetmed kooskõlastada liikmesriikide tasandil.

(6)	Seepärast tuleks komisjoni rakendusmäärust (EL) 2015/1998 (4) vastavalt muuta.

(7)	Käesoleva määrusega ettenähtud meetmed on kooskõlas määruse (EÜ) nr 300/2008 artikli 19 lõike 1 kohaselt loodud tsiviillennundusjulgestuse komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

Artikkel 1

Rakendusmääruse (EL) 2015/1998 lisa muudetakse vastavalt käesoleva määruse lisale.

Artikkel 2

Käesolev määrus jõustub 31. detsembril 2020.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 25. september 2019

Komisjoni nimel

president

Jean-Claude JUNCKER

(1) ELT L 97, 9.4.2008, lk 72.

(2) https://icao.int/publications/pages/doc7300.aspx

(3) Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1).

(4) Komisjoni 5. novembri 2015. aasta rakendusmäärus (EL) 2015/1998, millega nähakse ette lennundusjulgestuse ühiste põhistandardite rakendamise üksikasjalikud meetmed (ELT L 299, 14.11.2015, lk 1).

LISA

Rakendusmääruse (EL) 2015/1998 lisa muudetakse järgmiselt:

lisatakse punkt 1.0.6:

„1.0.6.

Pädev asutus kehtestab menetlused (ja rakendab neid), et vajaduse korral ning praktiliselt ja õigeaegselt jagada asjakohast teavet, mis aitab teistel riiklikel asutustel ja ametitel, lennujaamade käitajatel, lennuettevõtjatel ja muudel asjaomastel üksustel tulemuslikult hinnata oma tegevusega seotud riske.“;

lisatakse punkt 1.7:

„1.7 TSIVIILLENNUNDUSE KRIITILISTE INFO- JA SIDETEHNOLOOGIASÜSTEEMIDE NING KÜBEROHTE KÄSITLEVATE ANDMETE KINDLAKSMÄÄRAMINE JA KAITSE

1.7.1.

Pädev asutus peab tagama, et lennujaamade käitajad, lennuettevõtjad ja riiklikus tsiviillennunduse julgestusprogrammis määratletud üksused määraksid kindlaks oma kriitilised info- ja sidetehnoloogiasüsteemid ning andmed ja kaitseksid neid küberrünnete eest, mis võivad mõjutada tsiviillennunduse turvalisust.

1.7.2.

Lennujaamade käitajad, lennuettevõtjad ja üksused peavad oma julgestusprogrammis või selles osutatud vastavas dokumendis kindlaks määrama punktis 1.7.1 kirjeldatud kriitilised info- ja sidetehnoloogiasüsteemid ning tsiviillennunduse eesmärgil kasutatavad andmed.

Julgestusprogrammis või selles osutatud vastavas dokumendis tuleb üksikasjalikult kirjeldada meetmeid, millega tagatakse kaitse punktis 1.7.1 kirjeldatud küberrünnete eest ning selliste küberrünnete avastamine, neile reageerimine ja nendest taastumine.

1.7.3.

Lennujaama käitaja, lennuettevõtja või muu üksuse koostatud riskihindamise alusel tuleb kindlaks määrata, välja töötada ja rakendada üksikasjalikud meetmed, millega kõnealuseid süsteeme ja andmeid kaitstakse ebaseadusliku sekkumise eest.

1.7.4.

Kui konkreetses liikmesriigis vastutab küberohtudega seotud meetmete eest konkreetne asutus või amet, võib selle asutuse või ameti määrata käesoleva määruse kohaste kübervaldkonnasätete kooskõlastamise ja/või järelevalve eest vastutavaks asutuseks.

1.7.5.

Kui lennujaamade käitajate, lennuettevõtjate ja riiklikus tsiviillennunduse julgestusprogrammis määratletud üksuste suhtes kohaldatakse muudest ELi või liikmesriikide õigusaktidest tulenevaid eraldi küberkaitsenõudeid, võib pädev asutus käesoleva määruse nõuete täitmise kohustuse asendada muudes ELi või liikmesriikide õigusaktides sisalduvate nõuete täitmise kohustusega. Pädev asutus peab oma tegevuse kooskõlastama mis tahes muude asjaomaste pädevate asutustega, et tagada kooskõlastatud või ühilduv järelevalvekord.“;

punkt 11.1.2 asendatakse järgmisega:

„11.1.2

Tugevdatud või standardse taustakontrolli peavad edukalt läbima järgmised töötajad:

a)	isikud, kes võetakse tööle mujal kui julgestuspiirangualal läbivaatuse, juurdepääsukontrolli või muude julgestusmeetmete rakendamiseks või rakendamise eest vastutajaks;

b)	isikud, kellel on saatjata juurdepääs lennukaubale ja -postile, lennuettevõtja postile ja saadetistele, pardavarudele ja lennujaamavarudele, mille suhtes on kohaldatud nõuetekohaseid julgestuskontrollimeetmeid;

isikud, kellel on administraatori õigused või järelevalveta ja piiranguteta juurdepääs punktis 1.7.1 kirjeldatud kriitilistele info- ja sidetehnoloogiasüsteemidele ning riikliku tsiviillennunduse julgestusprogrammi kohaselt tsiviillennunduse julgestusega seotud eesmärgil kasutatavatele andmetele või kes on muul viisil kindlaks määratud punkti 1.7.3 kohases riskihindamises.

Kui käesolevas määruses ei ole sätestatud teisiti, otsustab selle, kas teha tuleb tugevdatud või standardne taustakontroll, pädev asutus vastavalt kohaldatavatele siseriiklikele eeskirjadele.“;

lisatakse punkt 11.2.8:

„11.2.8. Küberohtudega seotud ülesannete ja vastutusega isikute koolitamine

11.2.8.1.

Isikul, kes rakendab punktis 1.7.2 sätestatud meetmeid, peavad olema talle määratud ülesannete tulemuslikuks täitmiseks vajalikud oskused ja võimed. Nende isikute vastavatest küberriskidest teavitamisel peab lähtuma teadmisvajaduse põhimõttest.

11.2.8.2.

Isikud, kellel on juurdepääs andmetele või süsteemidele, peavad saama asjakohast ja konkreetset tööga seotud koolitust, mis on kooskõlas nende ülesannete ja vastutusega, sealhulgas peab neid teavitama asjaomastest riskidest, kui nende ametikoht seda nõuab. Koolituskursuse sisu peab kindlaks määrama või heaks kiitma pädev asutus või punktis 1.7.4 sätestatud asutus või amet.“