Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu

KOMISJONI RAKENDUSMÄÄRUS (EL) 2023/203,

27. oktoober 2022,

millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1139 rakendamise eeskirjad nõuete osas, mis on seotud selliste infoturvariskide juhtimisega, mis võivad mõjutada lennuohutust ning mida kohaldatakse komisjoni määrustega (EL) nr 1321/2014, (EL) nr 965/2012, (EL) nr 1178/2011, (EL) 2015/340 ning komisjoni rakendusmäärustega (EL) 2017/373 ja (EL) 2021/664 hõlmatud organisatsioonide ning komisjoni määrustega (EL) nr 748/2012, (EL) nr 1321/2014, (EL) nr 965/2012, (EL) nr 1178/2011, (EL) 2015/340 ja (EL) nr 139/2014, komisjoni rakendusmäärustega (EL) 2017/373 ja (EL) 2021/664 hõlmatud pädevate asutuste suhtes, ning muudetakse komisjoni määrusi (EL) nr 1178/2011, (EL) nr 748/2012, (EL) nr 965/2012, (EL) nr 139/2014, (EL) nr 1321/2014, (EL) 2015/340 ning komisjoni rakendusmäärusi (EL) 2017/373 ja (EL) 2021/664

Artikkel 1

Reguleerimisese

Käesolevas määruses on sätestatud nõuded, mida organisatsioonid ja pädevad asutused peavad täitma, et:

teha kindlaks ja juhtida infoturvariske, millel võib olla mõju lennundusohutusele ja mis võivad mõjutada tsiviillennunduses kasutatavaid info- ja kommunikatsioonitehnoloogia süsteeme ja andmeid;

avastada infoturvasündmusi ja teha kindlaks need, mida peetakse infoturvaintsidentideks ja mis võivad mõjutada lennundusohutust;

reageerida nendele infoturvaintsidentidele ja neist taastuda.

Artikkel 2

Kohaldamisala

Käesolevat määrust kohaldatakse järgmiste organisatsioonide suhtes:

hooldusorganisatsioonid, kelle suhtes kohaldatakse määruse (EL) nr 1321/2014 II lisa (osa 145) A jagu, välja arvatud organisatsioonid, mis tegelevad üksnes õhusõidukite hooldusega vastavalt määruse (EL) nr 1321/2014 Vb lisale (osa ML);

õhusõidukite jätkuva lennukõlblikkusega tegelevad organisatsioonid, kelle suhtes kohaldatakse määruse (EL) nr 1321/2014 Vc lisa (osa CAMO) A jagu, välja arvatud organisatsioonid, mis tegelevad üksnes õhusõidukite jätkuva lennukõlblikkusega vastavalt määruse (EL) nr 1321/2014 Vb lisale (osa ML);

lennuettevõtjad, kelle suhtes kohaldatakse määruse (EL) nr 965/2012 III lisa (osa ORO), välja arvatud need, kes käitavad üksnes järgmisi õhusõidukeid:

määruse (EL) nr 748/2012 artikli 1 lõike 2 punktis j määratletud ELA 2 õhusõiduk;

ii)

ühe mootoriga propellerlennukid, mille suurim lubatud reisijakohtade arv on kuni viis ja mis ei ole liigitatud keerukateks mootorõhusõidukiteks, kui need stardivad ja maanduvad samal lennuväljal või samas käitamiskohas ning lendavad päeva ajal visuaallennureeglite (VFR) kohaselt;

iii)

ühe mootoriga kopterid, mille suurim lubatud reisijakohtade arv on kuni viis ja mis ei ole liigitatud keerukateks mootorõhusõidukiteks, kui need stardivad ja maanduvad samal lennuväljal või samas käitamiskohas ning lendavad päeva ajal VFRi kohaselt;

sertifitseeritud koolitusorganisatsioonid, kelle suhtes kohaldatakse määruse (EL) nr 1178/2011 VII lisa (osa ORA), välja arvatud need, kes tegelevad üksnes määruse (EL) nr 748/2012 artikli 1 lõike 2 punktis j määratletud ELA2 õhusõidukeid hõlmava koolitustegevusega või kes tegelevad üksnes teoreetilise koolitusega;

õhusõidukite meeskondade lennundusmeditsiinikeskused, mille suhtes kohaldatakse määruse (EL) nr 1178/2011 VII lisa (osa ORA);

lennutreeningseadmete käitajad, kelle suhtes kohaldatakse määruse (EL) nr 1178/2011 VII lisa (osa ORA), välja arvatud need, kes tegelevad üksnes määruse (EL) nr 748/2012 artikli 1 lõike 2 punktis j määratletud ELA2 õhusõidukite lennutreeningseadmete käitamisega;

lennujuhtide koolitusorganisatsioonid ja lennujuhtide lennundusmeditsiinikeskused, mille suhtes kohaldatakse määruse (EL) 2015/340 III lisa (osa ATCO.OR);

organisatsioonid, kelle suhtes kohaldatakse rakendusmääruse (EL) 2017/373 III lisa (osa ATM/ANS.OR), välja arvatud järgmised teenuseosutajad:

aeronavigatsiooniteenuse osutajad, kellel on kõnealuse lisa punkti ATM/ANS.OR.A.010 kohane piiratud sertifikaat;

ii)

lennuinfoteenuse osutajad, kes esitavad deklaratsioone kõnealuse lisa punkti ATM/ANS.OR.A.015 kohaselt;

U-space’i teenuseosutajad ja ühtse ühise teabeteenuse osutajad, kelle suhtes kohaldatakse rakendusmäärust (EL) 2021/664;

▼M1

sertifitseeritud organisatsioonid, kes osalevad selliste ATM/ANS-süsteemide ja ATM/ANS-koostisosade projekteerimises või tootmises, mille suhtes kohaldatakse komisjoni rakendusmäärust (EL) 2023/1769 ( 1 ).

▼B

Käesolevat määrust kohaldatakse pädevate asutuste, sealhulgas Euroopa Liidu Lennundusohutusameti (edaspidi „amet“) suhtes, kellele on osutatud käesoleva määruse artiklis 6 ja komisjoni delegeeritud määruse (EL) 2022/1645 ( 2 ) artiklis 5.

Käesolevat määrust kohaldatakse ka pädeva asutuse suhtes, kes vastutab lennundustehnilise töötaja lubade väljaandmise, pikendamise, muutmise, peatamise või kehtetuks tunnistamise eest vastavalt määruse (EL) nr 1321/2014 III lisale (osa 66).

▼M2

3a.

Käesolevat määrust kohaldatakse ka komisjoni rakendusmääruse (EL) 2024/1109 ( 3 ) I lisa (osa AR.UAS) kohaselt määratud pädeva asutuse suhtes.

▼B

Käesolev määrus ei piira rakendusmääruse (EL) 2015/1998 lisa punktis 1.7 ega direktiivi (EL) 2016/1148 artiklis 14 sätestatud info- ja küberturbenõuete kohaldamist.

Artikkel 3

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

„infoturve“ – võrgu- ja infosüsteemide konfidentsiaalsuse, tervikluse, autentsuse ja kättesaadavuse säilitamine;

„infoturvasündmus“ – süsteemi, teenuse või võrgu puhul kindlaks tehtud ilming, mis osutab infoturbepoliitika võimalikule rikkumisele või infoturbekontrolli puudustele või seni tundmatule olukorrale, mis võib olla infoturbe seisukohast oluline;

„intsident“ – sündmus, mis tegelikult kahjustab direktiivi (EL) 2016/1148 artikli 4 punktis 7 määratletud võrgu- ja infosüsteemide turvalisust;

„infoturvarisk“ – infoturvasündmuse toimumise võimalusest tulenev risk organisatsiooni tsiviillennundustegevusele, varale, isikutele ja teistele organisatsioonidele. Infoturvariskid on seotud võimalusega, et potentsiaalsed ohuallikad kasutavad ära teabevara või teabevarade rühma turvaauke;

„ohuallikas“ – võimalik infoturbealane rikkumine, mis esineb kahju põhjustada võiva üksuse olemasolu või asjaolu, tegevuse või sündmuse esinemise korral;

„turvaauk“ – vara või süsteemi, menetluse, projekti, rakendamise või infoturbemeetmete viga või puudus, mida saab ära kasutada ja mille tulemuseks on vastuolu infoturbepoliitika nõuetega või nende rikkumine.

Artikkel 4

Organisatsioonidele ja pädevatele asutustele esitatavad nõuded

Artikli 2 lõikes 1 osutatud organisatsioonid täidavad käesoleva määruse II lisa (osa IS.I.OR) nõudeid.

▼M2

Artikli 2 lõigetes 2, 3 ja 3a osutatud pädevad asutused täidavad käesoleva määruse I lisa (osa IS.AR) nõudeid.

▼B

Artikkel 5

Muudest liidu õigusaktidest tulenevad nõuded

Kui artikli 2 lõikes 1 osutatud organisatsioon vastab direktiivi (EL) 2016/1148 artiklis 14 sätestatud turvanõuetele, mis on samaväärsed käesolevas määruses sätestatud nõuetega, loetakse nende turvanõuete täitmine käesolevas määruses sätestatud nõuetele vastavaks.

Kui artikli 2 lõikes 1 osutatud organisatsioon on käitaja või üksus, millele on osutatud liikmesriikide riiklikes tsiviillennundusjulgestuse programmides, mis on kehtestatud kooskõlas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008 ( 4 ) artikliga 10, loetakse rakendusmääruse (EL) 2015/1998 lisa punktis 1.7 esitatud küberturbenõuded samaväärseks käesolevas määruses sätestatud nõuetega, välja arvatud käesoleva määruse II lisa punkti IS.I.OR.230 osas, mida täidetakse sõna-sõnaliselt.

Kui artikli 2 lõikes 1 osutatud organisatsiooniks on määruses (EL) 2021/696 osutatud Euroopa Geostatsionaarse Navigatsioonilisasüsteemi (EGNOS) aeronavigatsiooniteenuse osutaja, käsitatakse kõnealuse määruse V jaotise artiklites 33–43 sisalduvaid turvalisusega seotud nõudeid samaväärsetena käesolevas määruses sätestatud nõuetega, välja arvatud käesoleva määruse II lisa punkti IS.I.OR.230 osas, mida täidetakse sõna-sõnaliselt.

Komisjon võib pärast ameti ja direktiivi (EL) 2016/1148 artiklis 11 osutatud koostöörühmaga konsulteerimist anda välja suunised käesolevas määruses ja direktiivis (EL) 2016/1148 sätestatud nõuete samaväärsuse hindamiseks.

Artikkel 6

Pädev asutus

Ilma et see piiraks määruse (EL) 2021/696 artiklis 36 osutatud turvalisuse akrediteerimise nõukogule usaldatud ülesandeid, on asutus, kes vastutab käesolevas määruses sertifitseerimise ja järelevalve suhtes kehtestatud nõuete täitmise eest, järgmine:

artikli 2 lõike 1 punktis a osutatud organisatsioonide puhul määruse (EL) nr 1321/2014 II lisa (osa 145) kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktis b osutatud organisatsioonide puhul määruse (EL) nr 1321/2014 Vc lisa (osa CAMO) kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktis c osutatud organisatsioonide puhul määruse (EL) nr 965/2012 III lisa (osa ORO) kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktides d–f osutatud organisatsioonide puhul määruse (EL) nr 1178/2011 VII lisa (osa ORA) kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktis g osutatud organisatsioonide puhul määruse (EL) 2015/340 artikli 6 lõike 2 kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktis h osutatud organisatsioonide puhul rakendusmääruse (EL) 2017/373 artikli 4 lõike 1 kohaselt määratud pädev asutus;

artikli 2 lõike 1 punktis i osutatud organisatsioonide puhul vastavalt kas rakendusmääruse (EL) 2021/664 artikli 14 lõike 1 või lõike 2 kohaselt määratud pädev asutus;

▼M1

artikli 2 lõike 1 punktis j osutatud organisatsioonide puhul rakendusmääruse (EL) 2023/1769 artikli 3 lõike 1 kohaselt määratud pädev asutus.

▼B

Liikmesriigid võivad käesoleva määruse kohaldamisel määrata sõltumatu ja eraldiseisva üksuse, kes täidab lõikes 1 osutatud pädevate asutuste ülesandeid ja kohustusi. Sel juhul lepitakse kõnealuse üksuse ja lõikes 1 osutatud pädevate asutuste vahel kokku koordineerimismeetmed, et tagada tõhus järelevalve kõigi nõuete üle, mida asjaomane organisatsioon peab täitma.

Amet teeb täielikus kooskõlas kohaldatavate konfidentsiaalsuse, isikuandmete ja salastatud teabe kaitse eeskirjadega koostööd Euroopa Liidu Kosmoseprogrammi Ametiga (EUSPA) ja määruse (EL) 2021/696 artiklis 36 osutatud turvalisuse akrediteerimise nõukoguga, et tagada tõhus järelevalve EGNOSe aeronavigatsiooniteenuse osutaja suhtes kohaldatavate nõuete üle.

Artikkel 7

Asjakohase teabe esitamine võrgu- ja infoturbe valdkonna pädevatele asutustele

Käesolevas määruses sätestatud pädevad asutused teavitavad vastavalt direktiivi (EL) 2016/1148 artiklile 8 määratud ühtset kontaktpunkti põhjendamatu viivituseta kogu asjakohasest teabest, mis sisaldub teadetes, mille direktiivi (EL) 2016/1148 artikli 5 kohaselt identifitseeritud oluliste teenuste operaatorid on esitanud vastavalt käesoleva määruse II lisa punktile IS.I.OR.230 ja delegeeritud määruse (EL) 2022/1645 I lisa punktile IS.D.OR.230.

Artikkel 8

Määruse (EL) nr 1178/2011 muutmine

Määruse (EL) nr 1178/2011 VI lisa (osa ARA) ja VII lisa (osa ORA) muudetakse vastavalt käesoleva määruse III lisale.

Artikkel 9

Määruse (EL) nr 748/2012 muutmine

Määruse (EL) nr 748/2012 I lisa (osa 21) muudetakse vastavalt käesoleva määruse IV lisale.

Artikkel 10

Määruse (EL) nr 965/2012 muutmine

Määruse (EL) nr 965/2012 II lisa (osa ARO) ja III lisa (osa ORO) muudetakse vastavalt käesoleva määruse V lisale.

Artikkel 11

Määruse (EL) nr 139/2014 muutmine

Määruse (EL) nr 139/2014 II lisa (osa ADR.AR) muudetakse vastavalt käesoleva määruse VI lisale.

Artikkel 12

Määruse (EL) nr 1321/2014 muutmine

Määruse (EL) nr 1321/2014 II lisa (osa 145), III lisa (osa 66) ja Vc lisa (osa CAMO) muudetakse vastavalt käesoleva määruse VII lisale.

Artikkel 13

Määruse (EL) 2015/340 muutmine

Määruse (EL) 2015/340 II lisa (osa ATCO.AR) ja III lisa (osa ATCO.OR) muudetakse vastavalt käesoleva määruse VIII lisale.

Artikkel 14

Rakendusmääruse (EL) 2017/373 muutmine

Rakendusmääruse (EL) 2017/373 II lisa (osa ATM/ANS.AR) ja III lisa (osa ATM/ANS.OR) muudetakse vastavalt käesoleva määruse IX lisale.

Artikkel 15

Rakendusmääruse (EL) 2021/664 muutmine

Rakendusmäärust (EL) 2021/664 muudetakse järgmiselt.

Artikli 15 lõike 1 punkt f asendatakse järgmisega:

„f)

rakendavad ja haldavad rakendusmääruse (EL) 2017/373 III lisa D alajao punkti ATM/ANS.OR.D.010 kohast julgestusalase juhtimise süsteemi ning delegeeritud määruse (EL) 2023/203 II lisa (osa IS.I.OR) kohast infoturbe halduse süsteemi;“

artiklisse 18 lisatakse punkt l:

„l)

kehtestavad kooskõlas delegeeritud määruse (EL) 2023/203 I lisaga (osa IS.AR) infoturbe halduse süsteemi, rakendavad ja haldavad seda.“

Artikkel 16

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Seda kohaldatakse alates 22. veebruarist 2026.

EGNOSe aeronavigatsiooniteenuse osutaja puhul, kelle suhtes kohaldatakse rakendusmäärust (EL) 2017/373, kohaldatakse rakendusmäärust siiski alates 1. jaanuarist 2026.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

I LISA

INFOTURVE – ASUTUSELE ESITATAVAD NÕUDED

[OSA IS.AR]

IS.AR.100	Kohaldamisala
IS.AR.200	Infoturbe halduse süsteem
IS.AR.205	Infoturvariski hindamine
IS.AR.210	Infoturvariski käsitlemine
IS.AR.215	Infoturvaintsidendid – nende avastamine, neile reageerimine ja nendest taastumine
IS.AR.220	Allhankelepingu sõlmimine infoturbe haldamiseks
IS.AR.225	Töötajatele esitatavad nõuded
IS.AR.230	Arvestuse pidamine
IS.AR.235	Pidev täiustamine

IS.AR.100 Kohaldamisala

Käesoleva osaga kehtestatakse haldusele esitatavad nõuded, mida käesoleva määruse artikli 2 lõikes 2 osutatud pädevad asutused peavad täitma.

Nõuded, mida kõnealused pädevad asutused peavad täitma oma sertifitseerimis-, järelevalve- ja nõuete täitmise tagamise toimingute tegemisel, sisalduvad käesoleva määruse artikli 2 lõikes 1 ja delegeeritud määruse (EL) 2022/1645 artiklis 2 osutatud määrustes.

IS.AR.200 Infoturbe halduse süsteem

Pädev asutus kehtestab artiklis 1 sätestatud eesmärkide täitmiseks infoturbe halduse süsteemi ning rakendab ja hoiab seda töös, tagamaks, et pädev asutus:

kehtestab infoturbepoliitika, milles sätestatakse pädeva asutuse üldpõhimõtted seoses infoturvariskide võimaliku mõjuga lennuohutusele;

teeb kindlaks ja vaatab läbi infoturvariskid kooskõlas punktiga IS.AR.205;

määrab kindlaks infoturvariski käsitlemise meetmed ja rakendab neid kooskõlas punktiga IS.AR.210;

kooskõlas punktiga IS.AR.215 määrab kindlaks meetmed, mida on vaja infoturvasündmuste avastamiseks, ja rakendab neid meetmeid, teeb kindlaks juhtumid, mida käsitatakse intsidentidena, mis võivad mõjutada lennuohutust, ning reageerib nendele infoturvaintsidentidele ja võtab meetmeid neist taastumiseks;

järgib punkti IS.AR.220 nõudeid, kui sõlmib punktis IS.AR.200 kirjeldatud tegevuse mis tahes osa kohta allhankelepingu mõne muu organisatsiooniga;

järgib punktis IS.AR.225 esitatud nõudeid töötajatele;

järgib punktis IS.AR.230 esitatud arvestuse pidamise nõudeid;

jälgib oma organisatsiooni vastavust käesoleva määruse nõuetele ja annab puuduste kohta tagasisidet punkti IS.AR.225 alapunktis a osutatud isikule, et tagada parandusmeetmete tõhus rakendamine;

kaitseb konfidentsiaalsust teabe puhul, mida pädev asutus võib omada tema järelevalve alla kuuluvate organisatsioonide kohta, ja teabe puhul, mis on saadud käesoleva määruse II lisa (osa IS.I.OR) punkti IS.I.OR.230 ja delegeeritud määruse (EL) 2022/1645 lisa (osa IS.I.OR) punkti IS.I.OR.230 kohaselt loodud organisatsiooniväliste aruandlusskeemide kaudu;

10)

teavitab ametit muudatustest, mis mõjutavad pädeva asutuse suutlikkust täita käesolevas määruses määratletud ülesandeid ja kohustusi;

11)

määrab kindlaks menetlused asjakohase teabe jagamiseks vastavalt vajadusele ning praktilisel ja õigeaegsel viisil, et abistada teisi pädevaid asutusi ja ameteid ning organisatsioone, kelle suhtes käesolevat määrust kohaldatakse, nende tegevusega seotud julgeolekuriskide tõhusal hindamisel, ja rakendab neid menetlusi.

Artiklis 1 osutatud nõuete pidevaks täitmiseks peab pädev asutus rakendama pidevat täiustamisprotsessi kooskõlas punktiga IS.AR.235.

Pädev asutus dokumenteerib kõik olulised protsessid, menetlused, rollid ja kohustused, mida on vaja punkti IS.AR.200 alapunkti a järgimiseks, ning kehtestab korra asjaomaste dokumentide muutmiseks.

Pädeva asutuse poolt punkti IS.AR.200 alapunkti a täitmiseks kehtestatud protsessid, menetlused, rollid ja kohustused peavad vastama tema tegevuse laadile ja keerukusele, lähtudes selle tegevusega kaasnevate infoturvariskide hindamisest, ning need võib integreerida muudesse olemasolevatesse juhtimissüsteemidesse, mida pädev asutus juba rakendab.

IS.AR.205 Infoturvariski hindamine

Pädev asutus teeb kindlaks kõik oma asutuse elemendid, mida võivad ähvardada infoturvariskid. See hõlmab järgmist:

toimingud, mida pädev asutus teostab, rajatised, mida ta pakub, ressursid, mis talle eraldatakse ja teenused, mida ta osutab;

seadmed, süsteemid, andmed ja teave, mis aitavad kaasa alapunktis 1 osutatud elementide toimimisele.

Pädev asutus teeb kindlaks liidesed, mis tema organisatsioonil on teiste organisatsioonidega ja mis võivad vastastikku põhjustada infoturvariske.

Alapunktides a ja b osutatud elementide ja liideste puhul teeb pädev asutus kindlaks infoturvariskid, mis võivad mõjutada lennuohutust.

Pädev asutus teeb iga kindlakstehtud riski puhul järgmist:

määrab riskitaseme vastavalt pädeva asutuse kehtestatud ja eelnevalt kindlaks määratud liigitusele;

seostab iga riski ja selle taseme alapunktide a ja b kohaselt kindlaks määratud asjakohase elemendi või liidesega.

Alapunktis 1 osutatud eelnevalt kindlaksmääratud liigituse puhul võetakse arvesse ohustsenaariumi esinemise võimalust ja selle ohutusalaste tagajärgede raskusastet. Selle liigituse kaudu ja võttes arvesse, kas pädeval asutusel on toimingute jaoks struktureeritud ning korratav riskijuhtimisprotsess, peab pädev asutus suutma kindlaks teha, kas risk on vastuvõetav või tuleb seda käsitleda kooskõlas punktiga IS.AR.210.

Selleks et riskihindamisi oleks vastastikku hõlpsam võrrelda, võetakse alapunkti 1 kohasel riskitaseme määramisel arvesse asjakohast teavet, mis on kogutud koostöös alapunktis b osutatud organisatsioonidega.

Pädev asutus vaatab alapunktide a, b ja c kohaselt tehtud riskihindamise läbi ning ajakohastab seda kõikidel järgmistel juhtudel:

infoturvariskiga seotud elemendid on muutunud;

pädeva asutuse ja teiste organisatsioonide vahelised liidesed või teiste organisatsioonide teatatud riskid on muutunud;

riskide kindlakstegemiseks, analüüsimiseks ja liigitamiseks kasutatud teave või teadmised on muutunud;

infoturvaintsidente analüüsides on saadud uusi teadmisi.

IS.AR.210 Infoturvariski käsitlemine

Pädev asutus töötab välja punkti IS.AR.205 kohaselt kindlaks tehtud vastuvõetamatute riskide käsitlemise meetmed, rakendab neid õigel ajal ja kontrollib nende jätkuvat tõhusust. Need meetmed võimaldavad pädeval asutusel teha järgmist:

kontrollida asjaolusid, mis aitavad kaasa ohustsenaariumi tegelikule esinemisele;

vähendada ohustsenaariumi realiseerumisest tulenevaid tagajärgi lennuohutusele;

vältida riske.

Kõnealuste meetmetega ei kaasne uusi võimalikke vastuvõetamatuid riske lennuohutusele.

Punkti IS.AR.225 alapunktis a osutatud isikut ja pädeva asutuse teisi asjassepuutuvaid töötajaid teavitatakse punkti IS.AR.205 kohaselt tehtud riskihindamise tulemustest, asjaomastest ohustsenaariumidest ja rakendatavatest meetmetest.

Pädev asutus teavitab ka selliseid organisatsioone, kellega tal on punkti IS.AR.205 alapunkti b kohane liides, mis tahes riskidest, mida pädev asutus ja organisatsioon jagavad.

IS.AR.215 Infoturvaintsidendid – nende avastamine, nendele reageerimine ja nendest taastumine

Pädev asutus rakendab punkti IS.AR.205 kohaselt tehtud riskihindamise tulemuste ja punkti IS.AR.210 kohaselt tehtud riskikäsitluse tulemuste põhjal meetmeid, et teha kindlaks sellised sündmused, mille puhul võivad realiseeruda vastuvõetamatud riskid ja mis võivad mõjutada lennuohutust. Kõnealused avastamismeetmed võimaldavad pädeval asutusel teha järgmist:

avastada kõrvalekalded eelnevalt kindlaks määratud funktsionaalse tulemuslikkuse lähtetasemetest;

anda hoiatus, et kõrvalekalde korral aktiveerida nõuetekohased reageerimismeetmed.

Pädev asutus rakendab meetmeid, et reageerida alapunkti a kohaselt kindlaks tehtud sündmusele, mis võib muutuda või olla muutunud infoturvaintsidendiks. Need reageerimismeetmed võimaldavad pädeval asutusel teha järgmist:

panna oma organisatsioon reageerima alapunkti a alapunktis 2 osutatud hoiatustele, aktiveerides eelnevalt kindlaks määratud vahendid ja tegevussuunad;

piirata rünnaku levikut ja vältida ohustsenaariumi täielikku realiseerumist;

kontrollida punkti IS.AR.205 alapunktis a kindlaks määratud asjaomaste elementide tõrkeolekut.

Pädev asutus rakendab infoturvaintsidentidest taastumiseks meetmeid, sealhulgas vajaduse korral erakorralisi meetmeid. Need taastumiseks kasutatavad meetmed võimaldavad pädeval asutusel teha järgmist:

kõrvaldada intsidendi põhjustanud olukorra või muuta intsidendi ohutase vastuvõetavaks;

taastada punkti IS.AR.205 alapunktis a kindlaks määratud asjaomaste elementide ohutus ajavahemiku jooksul, mille pädev asutus on taastumiseks eelnevalt kindlaks määranud.

IS.AR.220 Allhankelepingu sõlmimine infoturbe haldamiseks

Kui pädev asutus sõlmib punktis IS.AR.200 osutatud tegevuse mis tahes osa teostamiseks allhankelepingu mõne muu organisatsiooniga, peab ta tagama, et lepinguga hõlmatud tegevus vastab käesoleva määruse nõuetele ja et lepingupartner töötab tema järelevalve all. Pädev asutus tagab, et allhanketegevusega seotud riske juhitakse nõuetekohaselt.

IS.AR.225 Töötajatele esitatavad nõuded

Pädev asutus peab:

kindlaks määrama isiku, kes on volitatud kehtestama ja haldama käesoleva määruse rakendamiseks vajalikke organisatsioonilisi struktuure, põhimõtteid, protsesse ja menetlusi.

See isik peab:

omama täielikku juurdepääsuõigust ressurssidele, mida pädev asutus vajab kõigi käesoleva määrusega nõutavate ülesannete täitmiseks;

omama talle määratud ülesannete täitmiseks vajalikke volitusi;

olema kehtestanud korra, millega tagatakse, et käesoleva lisaga hõlmatud toiminguteks on piisavalt töötajaid;

olema kehtestanud korra, millega tagatakse, et alapunktis b osutatud töötajatel on oma ülesannete täitmiseks vajalik pädevus;

olema kehtestanud korra, millega tagatakse, et töötajad on teadlikud neile määratud rollide ja ülesannetega seotud kohustustest;

tagama selliste töötajate identiteedi ja usaldusväärsuse nõuetekohase kontrolli, kellel on juurdepääs infosüsteemidele ja andmetele, mille suhtes kohaldatakse käesoleva määruse nõudeid.

IS.AR.230 Arvestuse pidamine

Pädev asutus peab arvestust oma infoturbe halduse toimingute üle.

Pädev asutus tagab järgmiste dokumentide arhiveerimise ja jälgitavuse:

punkti IS.AR.200 alapunkti a alapunktis 5 osutatud allhankelepingud;

ii)

teave punkti IS.AR.200 alapunktis d osutatud oluliste protsesside kohta;

iii)

teave punktis IS.AR.205 osutatud riskihindamise käigus kindlaks tehtud riskide kohta koos punktis IS.AR.210 osutatud asjakohaste riskikäsitlusmeetmetega;

iv)

teave infoturvasündmuste kohta, mida võib avastamata infoturvaintsidentide või turvaaukude kindlakstegemiseks olla vaja uuesti hinnata.

Alapunkti 1 alapunktis i osutatud teavet säilitatakse vähemalt viis aastat pärast allhankelepingu muutmist või lõpetamist.

Alapunkti 1 alapunktides ii ja iii osutatud teavet säilitatakse vähemalt viis aastat.

Alapunkti 1 alapunktis iv osutatud teavet säilitatakse seni, kuni asjaomased infoturvasündmused on pädeva asutuse kehtestatud perioodilisusega ümber hinnatud.

Pädev asutus registreerib infoturbehaldustöötajate kvalifikatsiooni ja kogemused.

Töötajate kvalifikatsiooni ja kogemusi käsitlevat teavet säilitatakse seni, kuni isik töötab pädeva asutuse heaks, ja vähemalt kolm aastat pärast seda, kui asjaomane isik on pädevast asutusest lahkunud.

Töötajate taotlusel tagatakse neile juurdepääs oma isiklikele dokumentidele. Lisaks esitab pädev asutus lahkuvatele töötajatele nende taotlusel koopia isiklikest dokumentidest.

Dokumentide vorming sätestatakse pädeva asutuse tegevuskorras.

Dokumente säilitatakse nii, et need oleksid kaitstud rikkumise, muutmise ja varguse eest, ning vajaduse korral määratakse kindlaks teabe salastatusaste. Pädev asutus kasutab asjakohaseid vahendeid dokumentide tervikluse ja autentsuse säilitamiseks ning tagab, et neile pääsevad juurde ainult selleks volitatud isikud.

IS.AR.235 Pidev täiustamine

Pädev asutus hindab asjakohaste tulemusnäitajate abil oma infoturbe halduse süsteemi tulemuslikkust ja küpsust. Hindamine viiakse läbi pädeva asutuse poolt eelnevalt kindlaks määratud ajakava alusel või pärast infoturvaintsidenti.

Kui alapunkti a kohase hindamise käigus leitakse puudusi, võtab pädev asutus vajalikud parandusmeetmed selle tagamiseks, et infoturbe halduse süsteem vastaks jätkuvalt kohaldatavatele nõuetele ja et infoturvariskide tase oleks jätkuvalt vastuvõetav. Lisaks hindab pädev asutus uuesti infoturbe halduse süsteemi neid elemente, mida vastuvõetud meetmed mõjutavad.

II LISA

INFOTURVE – ORGANISATSIOONIDELE ESITATAVAD NÕUDED

[OSA IS.I.OR]

IS.I.OR.100	Kohaldamisala
IS.I.OR.200	Infoturbe halduse süsteem
IS.I.OR.205	Infoturvariski hindamine
IS.I.OR.210	Infoturvariski käsitlemine
IS.I.OR.215	Infoturbealane sisearuandluskava
IS.I.OR.220	Infoturvaintsidendid – nende avastamine, neile reageerimine ja nendest taastumine
IS.I.OR.225	Reageerimine pädeva asutuse teatatud puudustele
IS.I.OR.230	Infoturbealane välisaruandluskava
IS.I.OR.235	Allhankelepingu sõlmimine infoturbe haldamiseks
IS.I.OR.240	Töötajatele esitatavad nõuded
IS.I.OR.245	Arvestuse pidamine
IS.I.OR.250	Infoturbehalduse käsiraamat
IS.I.OR.255	Infoturbe halduse süsteemi muudatused
IS.I.OR.260	Pidev täiustamine

IS.I.OR.100 Kohaldamisala

Käesoleva osaga kehtestatakse nõuded, mida käesoleva määruse artikli 2 lõikes 1 osutatud organisatsioonid peavad täitma.

IS.I.OR.200 Infoturbe halduse süsteem

Organisatsioon kehtestab artiklis 1 sätestatud eesmärkide täitmiseks infoturbe halduse süsteemi ning rakendab ja hoiab seda töös, tagamaks, et organisatsioon:

kehtestab infoturbepoliitika, milles sätestatakse organisatsiooni üldpõhimõtted seoses infoturvariskide võimaliku mõjuga lennuohutusele;

teeb kindlaks ja vaatab läbi infoturvariskid kooskõlas punktiga IS.I.OR.205;

määrab kindlaks infoturvariski käsitlemise meetmed ja rakendab neid kooskõlas punktiga IS.I.OR.210;

rakendab infoturbealast sisearuandluskava kooskõlas punktiga IS.I.OR.215;

kooskõlas punktiga IS.I.OR.220 määrab kindlaks meetmed, mida on vaja infoturvasündmuste avastamiseks, ja rakendab neid meetmeid, teeb kindlaks juhtumid, mida käsitatakse intsidentidena, mis võivad mõjutada lennuohutust, välja arvatud punkti IS.I.OR.205 alapunkti e kohaselt lubatud juhud, ning reageerib nendele infoturvaintsidentidele ja võtab meetmeid neist taastumiseks;

rakendab meetmeid, millest pädev asutus on teatanud kui viivitamatust reageeringust lennuohutust mõjutavale infoturvaintsidendile või turvaaugule;

võtab kooskõlas punktiga IS.I.OR.225 asjakohaseid meetmeid pädeva asutuse teatatud puuduste kõrvaldamiseks;

rakendab punkti IS.I.OR.230 kohast välisaruandluskava, et pädev asutus saaks võtta asjakohaseid meetmeid;

järgib punkti IS.I.OR.235 nõudeid, kui sõlmib punktis IS.I.OR.200 osutatud tegevuse mis tahes osa kohta allhankelepingu mõne muu organisatsiooniga;

10)

järgib punkti IS.I.OR.240 kohaseid nõudeid töötajatele;

11)

järgib punkti IS.I.OR.245 kohaseid arvestuse pidamise nõudeid;

12)

jälgib organisatsiooni vastavust käesoleva määruse nõuetele ja annab puuduste kohta tagasisidet vastutavale juhatajale, et tagada parandusmeetmete tõhus rakendamine;

13)

kaitseb kogu sellise teabe konfidentsiaalsust, mida organisatsioon võib olla saanud teistelt organisatsioonidelt, vastavalt teabe tundlikkustasemele, ilma et see piiraks intsidentidest teatamise suhtes kohaldatavate nõuete järgimist.

Artiklis 1 osutatud nõuete pidevaks täitmiseks peab organisatsioon rakendama pidevat täiustamisprotsessi kooskõlas punktiga IS.I.OR.260.

Organisatsioon dokumenteerib kooskõlas punktiga IS.I.OR.250 kõik olulised protsessid, menetlused, rollid ja kohustused, mida on vaja punkti IS.I.OR.200 alapunkti a järgimiseks, ning kehtestab korra asjaomaste dokumentide muutmiseks. Kõnealuste protsesside, menetluste, rollide ja kohustustega seotud muudatusi hallatakse kooskõlas punktiga IS.I.OR.255.

Organisatsiooni poolt punkti IS.I.OR.200 alapunkti a täitmiseks kehtestatud protsessid, menetlused, rollid ja kohustused peavad vastama organisatsiooni tegevuse laadile ja keerukusele, lähtudes selle tegevusega kaasnevate infoturvariskide hindamisest, ning need võib integreerida muudesse olemasolevatesse juhtimissüsteemidesse, mida organisatsioon juba rakendab.

Ilma et see piiraks kohustust täita määruses (EL) nr 376/2014 sätestatud aruandlusnõudeid ja punkti IS.I.OR.200 alapunkti a alapunktis 13 sätestatud nõudeid, võib pädev asutus anda organisatsioonile loa mitte rakendada alapunktides a–d osutatud nõudeid ja punktides IS.I.OR.205–IS.I.OR.260 osutatud asjakohaseid nõudeid, kui organisatsioon tõendab asjaomast pädevat asutust rahuldaval viisil, et toimingud, mida ta teostab, rajatised, mida ta pakub, ressursid, mis talle eraldatakse ja teenused, mida ta osutab, ei põhjusta ei talle endale ega teistele organisatsioonidele infoturvariske, mis võivad mõjutada lennuohutust. See luba põhineb infoturvariskide dokumenteeritud hindamisel, mille teostab organisatsioon või kolmas isik kooskõlas punktiga IS.I.OR.205 ning mille on läbi vaadanud ja heaks kiitnud pädev asutus.

Pädev asutus vaatab kõnealuse loa kehtivuse üle pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.

IS.I.OR.205 Infoturvariski hindamine

Organisatsioon teeb kindlaks kõik oma elemendid, mida võivad ähvardada infoturvariskid. Need hõlmavad järgmist:

toimingud, mida organisatsioon teostab, rajatised, mida ta pakub, ressursid, mis talle eraldatakse ja teenused, mida ta osutab;

seadmed, süsteemid, andmed ja teave, mis aitavad kaasa alapunktis 1 loetletud elementide toimimisele.

Organisatsioon teeb kindlaks liidesed, mis tal on teiste organisatsioonidega ja mis võivad vastastikku põhjustada infoturvariske.

Alapunktides a ja b osutatud elementide ja liideste puhul teeb organisatsioon kindlaks infoturvariskid, mis võivad mõjutada lennuohutust. Organisatsioon teeb iga kindlakstehtud riski puhul järgmist:

määrab riskitaseme vastavalt organisatsiooni kehtestatud ja eelnevalt kindlaks määratud liigitusele;

seostab iga riski ja selle taseme alapunktide a ja b kohaselt kindlaks määratud asjakohase elemendi või liidesega.

Alapunktis 1 osutatud eelnevalt kindlaksmääratud liigituse puhul võetakse arvesse ohustsenaariumi esinemise võimalust ja selle ohutusalaste tagajärgede raskusastet. Sellele liigitusele tuginedes ja võttes arvesse, kas organisatsioonil on toimingute jaoks struktureeritud ning korratav riskijuhtimisprotsess, peab organisatsioon suutma kindlaks teha, kas risk on vastuvõetav või tuleb seda käsitleda kooskõlas punktiga IS.I.OR.210.

Organisatsioon vaatab alapunktide a ja b ning vajaduse korral c ja e kohaselt tehtud riskihindamise läbi ja ajakohastab seda kõikidel järgmistel juhtudel:

infoturvariskiga seotud elemendid on muutunud;

organisatsiooni ja teiste organisatsioonide vahelised liidesed või teiste organisatsioonide teatatud riskid on muutunud;

riskide kindlakstegemiseks, analüüsimiseks ja liigitamiseks kasutatud teave või teadmised on muutunud;

infoturvaintsidente analüüsides on saadud uusi teadmisi.

Erandina punktist c asendavad organisatsioonid, kes peavad täitma rakendusmääruse (EL) 2017/373 III lisa (osa ATM/ANS.OR) C-alajao nõudeid, lennuohutusele avalduva mõju analüüsi oma teenustele avalduva mõju analüüsiga, mis on ette nähtud punktis ATM/ANS.OR.C.005 nõutud hinnanguga ohutuse tagamise kohta. Hinnang ohutuse tagamise kohta tehakse kättesaadavaks lennuliiklusteenuse osutajatele, kellele nad teenuseid osutavad, ja kes vastutavad lennuohutusele avalduva mõju hindamise eest.

IS.I.OR.210 Infoturvariski käsitlemine

Organisatsioon töötab välja meetmed punkti IS.I.OR.205 kohaselt kindlaks tehtud vastuvõetamatute riskide käsitlemiseks, rakendab neid õigel ajal ja kontrollib nende jätkuvat tõhusust. Need meetmed võimaldavad organisatsioonil teha järgmist:

kontrollida asjaolusid, mis aitavad kaasa ohustsenaariumi tegelikule esinemisele;

vähendada ohustsenaariumi realiseerumisest tulenevaid tagajärgi lennuohutusele;

vältida riske.

Kõnealuste meetmetega ei kaasne uusi võimalikke vastuvõetamatuid riske lennuohutusele.

Punkti IS.I.OR.240 alapunktides a ja b osutatud isikut ja organisatsiooni teisi mõjutatud töötajaid teavitatakse punkti IS.I.OR.205 kohaselt tehtud riskihindamise tulemustest, asjaomastest ohustsenaariumidest ja rakendatavatest meetmetest.

Organisatsioon teavitab ka selliseid organisatsioone, kellega tal on punkti IS.I.OR.205 alapunkti b kohane liides, mis tahes riskidest, mida kumbki organisatsioon teisega jagab.

IS.I.OR.215 Infoturbealane sisearuandluskava

Organisatsioon kehtestab asutusesisese aruandluskava, mis võimaldab talletada ja hinnata infoturvasündmusi, sealhulgas neid, millest tuleb teatada vastavalt punktile IS.I.OR.230.

Kõnealune kava ja punktis IS.I.OR.220 osutatud protsess peavad võimaldama organisatsioonil teha järgmist:

välja selgitada, milliseid alapunkti a kohaselt teatatud juhtumeid peetakse infoturvaintsidentideks või turvaaukudeks, mis võivad mõjutada lennuohutust;

teha kindlaks alapunkti 1 kohaselt avastatud infoturvaintsidentide ja turvaaukude põhjused ning neid mõjutavad tegurid ning käsitleda neid infoturvariskide juhtimise protsessi osana kooskõlas punktidega IS.I.OR.205 ja IS.I.OR.220;

tagada, et hinnatakse kogu teadaolevat asjakohast teavet, mis on seotud alapunkti 1 kohaselt kindlaks tehtud infoturvaintsidentide ja turvaaukudega;

vajaduse korral tagada, et rakendatakse meetodit teabe asutusesiseseks levitamiseks.

Kõik allhankelepingu alusel tegutsevad organisatsioonid, kes põhjustavad asjaomasele organisatsioonile infoturvariske, mis võivad mõjutada lennuohutust, peavad teavitama organisatsiooni infoturvasündmustest. Kõnealune teave esitatakse konkreetsetes allhankelepingutes kehtestatud korras ja seda hinnatakse vastavalt alapunktile b.

Organisatsioon teeb uurimise käigus koostööd kõigi teiste organisatsioonidega, kes on märkimisväärselt panustanud oma tegevusega seotud infoturbesse.

Organisatsioon võib selle aruandlussüsteemi integreerida muude aruandlussüsteemidega, mida ta on juba rakendanud.

IS.I.OR.220 Infoturvaintsidendid – nende avastamine, nendele reageerimine ja nendest taastumine

Organisatsioon rakendab punkti IS.I.OR.205 kohaselt tehtud riskihindamise tulemuste ja punkti IS.I.OR.210 kohaselt tehtud riskikäsitluse tulemuste põhjal meetmeid, et teha kindlaks sellised intsidendid ja turvaaugud, mille puhul võivad realiseeruda vastuvõetamatud riskid ja mis võivad mõjutada lennuohutust. Kõnealused avastamismeetmed võimaldavad organisatsioonil teha järgmist:

avastada kõrvalekalded eelnevalt kindlaks määratud funktsionaalse tulemuslikkuse lähtetasemetest;

anda hoiatus, et kõrvalekalde korral aktiveerida nõuetekohased reageerimismeetmed.

Organisatsioon rakendab meetmeid, et reageerida alapunkti a kohaselt kindlaks tehtud sündmusele, mis võib muutuda või olla muutunud infoturvaintsidendiks. Kõnealused reageerimismeetmed võimaldavad organisatsioonil teha järgmist:

reageerida alapunkti a alapunktis 2 osutatud hoiatustele, aktiveerides eelnevalt kindlaks määratud vahendid ja tegevussuunad;

piirata rünnaku levikut ja vältida ohustsenaariumi täielikku realiseerumist;

kontrollida punkti IS.I.OR.205 alapunktis a kindlaks määratud asjaomaste elementide tõrkeolekut.

Organisatsioon rakendab infoturvaintsidentidest taastumiseks meetmeid, sealhulgas vajaduse korral erakorralisi meetmeid. Kõnealused taastumismeetmed võimaldavad organisatsioonil:

kõrvaldada intsidendi põhjustanud olukorra või muuta intsidendi ohutase vastuvõetavaks;

saavutada punkti IS.I.OR.205 alapunktis a kindlaks määratud asjaomaste elementide ohutus ajavahemiku jooksul, mille organisatsioon on taastumiseks eelnevalt kindlaks määranud.

IS.I.OR.225 Reageerimine pädeva asutuse teatatud puudustele

Kui pädevalt asutuselt saadakse teade puuduse kohta, teeb organisatsioon järgmist:

selgitab välja nõuetele mittevastavuse algpõhjuse või -põhjused ja nõuetele mittevastavust soodustavad tegurid;

töötab välja parandusmeetmete kava;

tõendab pädevat asutust rahuldaval viisil, et nõuetele mittevastavus on kõrvaldatud.

Alapunktis a osutatud meetmed võetakse pädeva asutusega kokkulepitud aja jooksul.

IS.I.OR.230 Infoturbealane välisaruandluskava

Organisatsioon rakendab infoturbealast aruandlussüsteemi, mis vastab määruses (EL) nr 376/2014 ning selle alusel vastu võetud delegeeritud õigusaktides ja rakendusaktides sätestatud nõuetele, kui kõnealust määrust organisatsiooni suhtes kohaldatakse.

Ilma et see piiraks määruses (EL) nr 376/2014 sätestatud kohustusi, tagab organisatsioon, et ta teavitab oma pädevat asutust kõigist infoturvaintsidentidest või turvaaukudest, mis võivad kujutada endast märkimisväärset riski lennuohutusele. Lisaks kohaldatakse järgmist:

kui selline intsident või turvaauk mõjutab õhusõidukit või sellega seotud süsteemi või komponenti, teatab organisatsioon sellest ka projekti kinnituse omanikule;

kui selline intsident või turvaauk mõjutab organisatsioonis kasutatavat süsteemi või komponenti, teatab organisatsioon sellest süsteemi või komponendi konstrueerimise eest vastutavale organisatsioonile.

Organisatsioon edastab alapunktis b osutatud olukordade kohta teavet järgmiselt:

pädevat asutust ja vajaduse korral projekti kinnituse omanikku või süsteemi või komponendi projekteerimise eest vastutavat organisatsiooni teavitatakse kohe, kui organisatsioon asjaomasest olukorrast teada saab;

pädevat asutust ja vajaduse korral projekti kinnituse omanikku või süsteemi või komponendi projekteerimise eest vastutavat organisatsiooni teavitatakse nii kiiresti kui võimalik, kuid mitte hiljem kui 72 tundi pärast seda, kui organisatsioon asjaomasest olukorrast teada saab, välja arvatud erakorraliste takistavate asjaolude korral.

Teade koostatakse pädeva asutuse määratud vormis ja see peab sisaldama kogu asjakohast teavet, mida organisatsioon on olukorra kohta kogunud;

pädevale asutusele ja vajaduse korral projekti kinnituse omanikule või süsteemi või komponendi projekteerimise eest vastutavale organisatsioonile esitatakse järelaruanne, milles on üksikasjalikult kirjeldatud meetmeid, mida organisatsioon on intsidendist taastumiseks võtnud või kavatseb võtta, ning meetmeid, mida ta kavatseb võtta samasuguste infoturvaintsidentide vältimiseks tulevikus.

Järelaruanne esitatakse kohe, kui need meetmed on kindlaks määratud, ja see koostatakse pädeva asutuse määratud vormis.

IS.I.OR.235 Allhankelepingu sõlmimine infoturbe haldamiseks

Kui organisatsioon sõlmib punktis IS.I.OR.200 osutatud tegevuse mis tahes osa teostamiseks allhankelepingu mõne muu organisatsiooniga, peab ta tagama, et lepinguga hõlmatud tegevus vastab käesoleva määruse nõuetele ja et lepingupartner töötab tema järelevalve all. Organisatsioon tagab, et allhanketegevusega seotud riske juhitakse nõuetekohaselt.

Organisatsioon tagab, et pädeval asutusel on taotluse korral juurdepääs allhankelepingu alusel tegutsevale organisatsioonile, et teha kindlaks käesolevas määruses sätestatud kohaldatavate nõuete jätkuv järgimine.

IS.I.OR.240 Töötajatele esitatavad nõuded

Organisatsiooni vastutav juhataja, kes on määratud määruste (EL) nr 1321/2014, (EL) nr 965/2012, (EL) nr 1178/2011, (EL) 2015/340, rakendusmääruse (EL) 2017/373 või rakendusmääruse (EL) 2021/664 kohaselt, nagu on osutatud käesoleva määruse artikli 2 lõikes 1, vastutab organisatsiooni esindajana selle eest, et organisatsioonis on kõiki käesoleva määrusega nõutavaid toiminguid võimalik rahastada ja ellu viia. See isik peab tegema järgmist:

tagama, et käesoleva määruse nõuete täitmiseks on olemas kõik vajalikud vahendid;

kehtestama punkti IS.I.OR.200 alapunkti a alapunktis 1 osutatud infoturvapoliitika ja seda edendama;

tõendama, et tal on olemas põhiteadmised käesoleva määruse kohta.

Vastutav juhataja määrab isiku või isikute rühma, et tagada organisatsiooni vastavus käesoleva määruse nõuetele, ning määrab kindlaks nende volituste ulatuse. Kõnealune isik või isikute rühm allub otse vastutavale juhatajale ning tal peavad olema oma kohustuste täitmiseks vajalikud teadmised, taust ja kogemused. Menetlustes tuleb kindlaks määrata, kes asendab konkreetset isikut tema pikemal äraolekul.

Vastutav juhataja määrab isiku või isikute rühma, kes vastutab punkti IS.I.OR.200 alapunkti a alapunktis 12 osutatud vastavuskontrolli eest.

Kui organisatsioon kasutab organisatsioonilisi infoturbestruktuure, -põhimõtteid, -protsesse ja -menetlusi koos teiste organisatsioonidega või oma organisatsiooni selliste valdkondadega, mille puhul kinnitust või deklaratsiooni ei nõuta, võib vastutav juhataja delegeerida oma ülesanded ühisele vastutavale isikule.

Sel juhul lepivad organisatsiooni vastutav juhataja ja ühine vastutav isik kokku koordineerimismeetmed, et tagada infoturbehalduse nõuetekohane integreerimine organisatsiooni.

Vastutav juhataja või alapunktis d osutatud ühine vastutav isik vastutab organisatsiooni esindajana punkti IS.I.OR.200 rakendamiseks vajalike organisatsiooniliste struktuuride, põhimõtete, protsesside ja menetluste ning nende haldamise eest organisatsioonis.

Organisatsioonis kehtestatakse kord, millega tagatakse, et käesoleva lisaga hõlmatud toiminguteks on piisavalt töötajaid.

Organisatsioonis kehtestatakse kord, millega tagatakse, et alapunktis f osutatud töötajatel on oma ülesannete täitmiseks vajalik pädevus.

Organisatsioonis kehtestatakse kord, millega tagatakse, et töötajad on teadlikud neile määratud rollide ja ülesannetega seotud kohustustest.

Organisatsioon peab tagama, selliste töötajate identiteedi ja usaldusväärsuse nõuetekohase kontrolli, kellel on juurdepääs infosüsteemidele ja andmetele, mille suhtes kohaldatakse käesoleva määruse nõudeid.

IS.I.OR.245 Arvestuse pidamine

Organisatsioon peab arvestust oma infoturbe halduse toimingute üle.

Organisatsioon tagab järgmiste dokumentide arhiveerimise ja jälgitavuse:

kõik punkti IS.I.OR.200 alapunkti e kohaselt saadud load ja nendega seotud turvariskihindamised;

ii)

punkti IS.I.OR.200 alapunkti a alapunktis 9 osutatud allhankelepingud;

iii)

teave punkti IS.I.OR.200 alapunktis d osutatud oluliste protsesside kohta;

iv)

teave punktis IS.I.OR.205 osutatud riskihindamise käigus kindlaks tehtud riskide kohta koos punktis IS.I.OR.210 osutatud asjakohaste riskikäsitlusmeetmetega;

andmed punktides IS.I.OR.215 ja IS.I.OR.230 osutatud aruandluskavade kohaselt teatatud infoturvaintsidentide ja turvaaukude kohta;

vi)

teave selliste infoturvasündmuste kohta, mida võib avastamata infoturvaintsidentide või turvaaukude kindlakstegemiseks olla vaja uuesti hinnata.

Alapunkti 1 alapunktis i osutatud teavet säilitatakse vähemalt viis aastat pärast asjaomase loa kehtivuse lõppemist.

Alapunkti 1 alapunktis ii osutatud teavet säilitatakse vähemalt viis aastat pärast allhankelepingu muutmist või lõpetamist.

Alapunkti 1 alapunktides iii, iv ja v osutatud teavet säilitatakse vähemalt viis aastat.

Alapunkti 1 alapunktis vi osutatud teavet säilitatakse seni, kuni asjaomased infoturvasündmused on organisatsiooni kehtestatud perioodilisusega ümber hinnatud.

Organisatsioon registreerib infoturbehaldustöötajate kvalifikatsiooni ja kogemused.

Töötajate kvalifikatsiooni ja kogemusi käsitlevat teavet säilitatakse seni, kuni isik töötab organisatsiooni heaks, ja vähemalt kolm aastat pärast seda, kui asjaomane isik on organisatsioonist lahkunud.

Töötajate taotlusel tagatakse neile juurdepääs oma isiklikele dokumentidele. Lisaks esitab organisatsioon lahkuvatele töötajatele nende taotlusel koopia isiklikest dokumentidest.

Dokumentide vorming sätestatakse organisatsiooni tegevuskorras.

Dokumente säilitatakse nii, et need oleksid kaitstud rikkumise, muutmise ja varguse eest, ning vajaduse korral määratakse kindlaks teabe salastatusaste. Organisatsioon kasutab asjakohaseid vahendeid dokumentide tervikluse ja autentsuse säilitamiseks ning tagab, et neile pääsevad juurde ainult selleks volitatud isikud.

IS.I.OR.250 Infoturbehalduse käsiraamat

Organisatsioon teeb pädevale asutusele kättesaadavaks infoturbehalduse käsiraamatu ning vajaduse korral kõik selles viidatud käsiraamatud ja menetlused, mis sisaldavad järgmist teavet:

vastutava juhataja allkirjastatud kinnitus selle kohta, et organisatsioon tegutseb pidevalt kooskõlas käesoleva lisa ja infoturbehalduse käsiraamatuga. Kui vastutav juhataja ei ole organisatsiooni tegevjuht, kaasallkirjastab avalduse tegevjuht;

punkti IS.I.OR.240 alapunktides b ja c kindlaks määratud isiku(te) ametinimetus(ed), nimi (nimed), kohustused, vastutus, ülesanded ja volitused;

vajaduse korral punkti IS.I.OR.240 alapunktis d määratletud ühise vastutava isiku ametinimetus, nimi, kohustused, vastutus, ülesanded ja volitused;

organisatsiooni infoturvapoliitika, millele on osutatud punkti IS.I.OR.200 alapunkti a alapunktis 1;

töötajate arvu ja kategooriate ning töötajate olemasolu planeerimiseks kasutatava süsteemi üldine kirjeldus vastavalt punkti IS.I.OR.240 nõuetele;

punkti IS.I.OR.200 rakendamise eest vastutavate võtmeisikute, sealhulgas punkti IS.I.OR.200 alapunkti a alapunktis 12 osutatud vastavuskontrolli funktsiooni eest vastutava(te) isiku(te) ametinimetus(ed), kohustused, vastutus, ülesanded ja volitused;

organisatsiooni skeem, milles on näidatud alapunktides 2 ja 6 osutatud isikute aruandlus- ja vastutusahelad;

punktis IS.I.OR.215 osutatud sisearuandluskava kirjeldus;

menetlused, milles täpsustatakse, kuidas organisatsioon tagab käesoleva osa nõuete täitmise, ning eelkõige:

punkti IS.I.OR.200 alapunktis c osutatud dokumenteerimistoimingud;

ii)

menetlused, millega määratakse kindlaks, kuidas organisatsioon kontrollib punkti IS.I.OR.200 alapunkti a alapunktis 9 osutatud lepingulist tegevust;

iii)

alapunktis c osutatud menetlus infoturbehalduse käsiraamatu muutmiseks;

10)

loetelu nõuete täitmise alternatiivsetest meetoditest, mis on praegu heaks kiidetud.

Infoturbehalduse käsiraamatu esimene väljaanne kiidetakse heaks ja pädev asutus säilitab selle koopia. Infoturbehalduse käsiraamatut muudetakse vastavalt vajadusele, et tagada organisatsiooni infoturbe halduse süsteemi kirjelduse ajakohasus. Pädevale asutusele esitatakse koopia kõigist infoturbehalduse käsiraamatu muudatustest.

Infoturbehalduse käsiraamatu muudatusi hallatakse organisatsiooni kehtestatud korras. Pädev asutus peab heaks kiitma kõik muudatused, mille suhtes asjaomast korda ei kohaldata, ja muudatused, mis on seotud punkti IS.I.OR.255 alapunktis b osutatud muudatustega.

Organisatsioon võib infoturbehalduse käsiraamatu integreerida muude olemasolevate juhtkonna näidismaterjalide või käsiraamatutega, kui on olemas selged ristviited, mis näitavad, millised juhtkonna näidismaterjali või käsiraamatu osad vastavad käesolevas lisas esitatud eri nõuetele.

IS.I.OR.255 Infoturbe halduse süsteemi muudatused

Infoturbe halduse süsteemi muudatusi võib hallata ja neist võib pädevat asutust teavitada organisatsiooni väljatöötatud korras. Selle korra peab heaks kiitma pädev asutus.

Kui asjaomase infoturbe halduse süsteemi muudatuste suhtes ei kohaldata alapunktis a osutatud korda, peab organisatsioon esitama need pädevale asutusele heakskiidu taotlemiseks ning selle saamiseks.

Kõnealuste muudatuste suhtes kohaldatakse järgmist:

taotlus tuleb esitada enne muudatuse tegemist, et pädeval asutusel oleks võimalik kontrollida, kas organisatsioon vastab jätkuvalt käesolevas määruses sätestatud nõuetele, ning vajaduse korral muuta organisatsiooni sertifikaati ja sellele lisatud sertifitseerimistingimusi;

organisatsioon teeb pädevale asutusele kättesaadavaks kogu teabe, mida nõutakse muudatuse hindamiseks;

muudatust rakendatakse alles siis, kui pädevalt asutuselt on selle kohta saadud ametlik heakskiit;

organisatsioon peab selliste muudatuste rakendamise ajal tegutsema pädeva asutuse ettenähtud tingimustel.

IS.I.OR.260 Pidev täiustamine

Organisatsioon hindab asjakohaste tulemusnäitajate abil infoturbe halduse süsteemi tulemuslikkust ja küpsust. Hindamine toimub organisatsiooni poolt eelnevalt kindlaks määratud ajakava alusel või pärast infoturvaintsidenti.

Kui alapunkti a kohase hindamise käigus leitakse puudusi, võtab organisatsioon vajalikud parandusmeetmed selle tagamiseks, et infoturbe halduse süsteem vastaks jätkuvalt kohaldatavatele nõuetele ja et infoturvariskide tase oleks jätkuvalt vastuvõetav. Lisaks hindab organisatsioon uuesti infoturbe halduse süsteemi neid elemente, mida vastuvõetud meetmed mõjutavad.

III LISA

Määruse (EL) nr 1178/2011 VI lisa (osa ARA) ja VII lisa (osa ORA) muudetakse järgmiselt.

VI lisa (osa ARA) muudetakse järgmiselt:

punktile ARA.GEN.125 lisatakse alapunkt c:

„c)

Liikmesriigi pädev asutus esitab ametile viivitamata ohutuse seisukohast olulise teabe, mis on pärit infoturbearuannetest, mis asutus on saanud vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punktile IS.I.OR.230.“;

punkti ARA.GEN.135 järele lisatakse punkt ARA.GEN.135A:

„ ARA.GEN.135A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Pädev asutus rakendab süsteemi, et nõuetekohaselt koguda, analüüsida ja levitada teavet, mis on seotud lennuohutust mõjutada võivate infoturvaintsidentide ja turvaaukudega, millest organisatsioonid teatavad. Seda tehakse kooskõlastatult kõigi teiste asjaomaste asutustega, kes vastutavad liikmesriigis info- või küberturbe eest, et suurendada aruandluskavade kooskõlastatust ja ühilduvust.

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti ARA.GEN.125 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

Alapunkti c kohaselt võetavad meetmed tehakse viivitamata teatavaks kõikidele isikutele ja organisatsioonidele, kes vastavalt määrusele (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusaktidele ja rakendusaktidele neid meetmeid kohaldavad. Liikmesriigi pädev asutus teeb meetmed teatavaks ka ametile ning ühise tegutsemise vajaduse tekkimise korral teiste asjaomaste liikmesriikide pädevatele asutustele.“;

punktile ARA.GEN.200 lisatakse alapunkt e:

„e)

Lisaks alapunktis a esitatud nõuetele vastab pädeva asutuse poolt kehtestatud ja töös hoitav juhtimissüsteem rakendusmääruse (EL) 2023/203 I lisa (osa IS.AR) nõuetele, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust.“;

punkti ARA.GEN.205 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

„ ARA.GEN.205 Ülesannete jaotus “;

ii)

lisatakse alapunkt c:

„c)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ORA.GEN.200A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti ARA.GEN.200 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile ARA.GEN.300 lisatakse alapunkt g:

„g)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ORA.GEN.200A nõudeid, kontrollib pädev asutus alapunktide a–f järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti ARA.GEN.330 järele lisatakse punkt ARA.GEN.330A:

„ ARA.GEN.330A Infoturbe halduse süsteemi muudatused

Muudatuste puhul, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis ARA.GEN.300 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile ARA.GEN.350.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon vastab kohaldatavatele nõuetele, kiidab pädev asutus muudatuse heaks.“;

VII lisa (osa ORA) muudetakse järgmiselt:

punkti ORA.GEN.200 järele lisatakse punkt ORA.GEN.200A:

„ ORA.GEN.200A Infoturbe halduse süsteem

Lisaks punktis ORA.GEN.200 osutatud juhtimissüsteemile kehtestab organisatsioon kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“

IV LISA

Määruse (EL) nr 748/2012 I lisa (osa 21) muudetakse järgmiselt:

sisukorda muudetakse järgmiselt.

pealkirja 21.B.20 järele lisatakse järgmine pealkiri:

„21.B.20A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule“;

punkti 21.B.30 pealkiri asendatakse järgmisega:

„21.B.30 Ülesannete jaotus“;

pealkirja 21.B.240 järele lisatakse järgmine pealkiri:

„21.B.240A Infoturbe halduse süsteemi muudatused“;

pealkirja 21.B.435 järele lisatakse järgmine pealkiri:

„21.B.435A Infoturbe halduse süsteemi muudatused“;

punktile 21.B.15 lisatakse alapunkt c:

„c)

Liikmesriigi pädev asutus esitab ametile viivitamata ohutuse seisukohast olulise teabe, mis on pärit infoturbearuannetest, mis asutus on saanud vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punktile IS.D.OR.230.“;

punkti 21.B.20 järele lisatakse punkt 21.B.20A:

„21.B.20A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti 21.B.15 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile 21.B.25 lisatakse alapunkt e:

„e)

punkti 21.B.30 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

„21.B.30 Ülesannete jaotus“;

lisatakse alapunkt c:

„c)

Sertifitseerimisel ja järelevalve teostamisel selle üle, kas organisatsioon täidab punktide 21.A.139A ja 21.A.239A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti 21.B.25 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile 21.B.221 lisatakse alapunkt g:

„g)

Seoses sertifitseerimisega ja järelevalvega selle üle, kas organisatsioon täidab punkti 21.A.139A nõudeid, kontrollib pädev asutus alapunktide a–f järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“;

punkti 21.B.240 järele lisatakse punkt 21.B.240A:

„ 21.B.240A Infoturbe halduse süsteemi muudatused

Muudatuste puhul, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis 21.B.221 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile 21.B.225.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon vastab kohaldatavatele nõuetele, kiidab pädev asutus muudatuse heaks.“;

punktile 21.B.431 lisatakse alapunkt d:

„d)

Sertifitseerimisel ja järelevalve teostamisel selle üle, kas organisatsioon täidab punkti 21.A.239A nõudeid, kohaldab pädev asutus lisaks alapunktide a–c nõuetele järgmisi põhimõtteid:

pädev asutus vaatab läbi liidesed ja nendega seotud riskid, mis on kindlaks tehtud vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.205 alapunktile b iga tema järelevalve alla kuuluva organisatsiooni poolt;

kui eri organisatsioonid avastavad vastastikes liidetes lahknevusi ja teevad kindlaks sellega seotud riskid, vaatab pädev asutus need koos asjaomaste organisatsioonidega läbi ja teeb vajaduse korral asjakohased järeldused, et tagada parandusmeetmete rakendamine;

kui alapunkti 2 kohaselt läbivaadatud dokumentidest ilmneb märkimisväärseid riske, mis on seotud selliste organisatsioonide poolt kasutatavate liidestega, mille üle teostab järelevalvet sama liikmesriigi muu pädev asutus, edastatakse see teave vastavale pädevale asutusele.“;

punkti 21.B.435 järele lisatakse punkt 21.B.435A:

„ 21.B.435A Infoturbe halduse süsteemi muudatused

Muudatuste puhul, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis 21.B.431 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile 21.B.433.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon täidab kohaldatavaid nõudeid, kiidab pädev asutus muudatuse heaks“.

V LISA

Määruse (EL) nr 965/2012 II lisa (osa ARO) ja III lisa (osa ORO) muudetakse järgmiselt.

II lisa (osa ARO) muudetakse järgmiselt:

punktile ARO.GEN.125 lisatakse alapunkt c:

„c)

punkti ARO.GEN.135 järele lisatakse punkt ARO.GEN.135A:

Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti ARO.GEN.125 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile ARO.GEN.200 lisatakse alapunkt e:

„e)

punkti ARO.GEN.205 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

Ülesannete jaotus“;

ii)

lisatakse alapunkt c:

„c)

Sertifitseerimisel ja järelevalve teostamisel selle üle, kas organisatsioon täidab punkti ORO.GEN.200A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti ARO.GEN.200 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile ARO.GEN.300 lisatakse alapunkt g:

„g)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ORO.GEN.200A nõudeid, kontrollib pädev asutus alapunktide a–f järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti ARO.GEN.330 järele lisatakse punkt ARO.GEN.330A:

Infoturbe halduse süsteemi muudatused

Muudatusteks, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis ARO.GEN.300 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile ARO.GEN.350.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon vastab kohaldatavatele nõuetele, kiidab pädev asutus muudatuse heaks.“;

III lisa (osa ORO) muudetakse järgmiselt:

punkti ORO.GEN.200 järele lisatakse punkt ORO.GEN.200A:

Infoturbe halduse süsteem Lisaks punktis ORO.GEN.200 osutatud juhtimissüsteemile kehtestab käitaja kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“

VI LISA

Määruse (EL) nr 139/2014 II lisa (osa ADR.AR) muudetakse järgmiselt:

punktile ADR.AR.A.025 lisatakse alapunkt c:

„c)

punkti ADR.AR.A.030 järele lisatakse punkt ADR.AR.A.030A:

„ ADR.AR.A.030A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti ADR.AR.A.025 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile ADR.AR.B.005 lisatakse alapunkt d:

„d)

punkti ADR.AR.B.010 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

„ ADR.AR.B.010 Ülesannete jaotus “;

ii)

lisatakse alapunkt c:

„c)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ADR.OR.D.005A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti ADR.AR.B.005 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile ADR.AR.C.005 lisatakse alapunkt f:

„f)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ADR.OR.D.005A nõudeid, kontrollib pädev asutus alapunktide a–e järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti ADR.AR.C.040 järele lisatakse punkt ADR.AR.C.040A:

„ ADR.AR.C.040A Infoturbe halduse süsteemi muudatused

Seoses muudatustega, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis ADR.AR.C.005 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile ADR.AR.C.055.

Seoses teiste muudatustega, mis nõuavad heakskiidu taotlemist vastavalt delegeeritud määruse (EL) 2022/1645 lisa (osa IS.D.OR) punkti IS.D.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon täidab kohaldatavaid nõudeid, kiidab pädev asutus muudatuse heaks.“

VII LISA

Määruse (EL) nr 1321/2014 II lisa (osa 145), III lisa (osa 66) ja Vc lisa (osa CAMO) muudetakse järgmiselt.

II lisa (osa 145) muudetakse järgmiselt:

sisukorda muudetakse järgmiselt.

pealkirja 145.A.200 järele lisatakse järgmine pealkiri:

„145.A.200A Infoturbe halduse süsteem“;

ii)

pealkirja 145.B.135 järele lisatakse järgmine pealkiri:

„145.B.135A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule“;

iii)

punkti 145.B.205 pealkiri asendatakse järgmisega:

„145.B.205 Ülesannete jaotus“;

iv)

pealkirja 145.B.330 järele lisatakse järgmine pealkiri:

„145.B.330A Infoturbe halduse süsteemi muudatused“;

punkti 145.A.200 järele lisatakse punkt 145.A.200A:

Infoturbe halduse süsteem Lisaks punktis 145.A.200 osutatud juhtimissüsteemile kehtestab hooldusorganisatsioon kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“;

punktile 145.B.125 lisatakse alapunkt c:

„c)

punkti 145.B.135 järele lisatakse punkt 145.B.135A:

Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti 145.B.125 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile 145.B.200 lisatakse alapunkt e:

„e)

punkti 145.B.205 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

Ülesannete jaotus“;

ii)

lisatakse alapunkt c:

„c)

Sertifitseerimisel ja järelevalve teostamisel selle üle, kas organisatsioon täidab punkti 145.A.200A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti 145.B.200 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile 145.B.300 lisatakse alapunkt g:

„g)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti 145.A.200A nõudeid, kontrollib pädev asutus alapunktide a–f järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“;

punkti 145.B.330 järele lisatakse punkt 145.B.330A:

Infoturbe halduse süsteemi muudatused

Muudatuste puhul, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis 145.B.300 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile 145.B.350.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon täidab kohaldatavaid nõudeid, kiidab pädev asutus muudatuse heaks.“

III lisa (osa 66) muudetakse järgmiselt:

sisukorda lisatakse pealkirja 66.B.10 järele järgmine pealkiri:

„66.B.15 Infoturbe halduse süsteem“;

punkti 66.B.10 järele lisatakse punkt 66.B.15:

Infoturbe halduse süsteem Pädev asutus kehtestab kooskõlas rakendusmääruse (EL) 2023/203 I lisaga (osa IS.AR) infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“;

Vc lisa (osa CAMO) muudetakse järgmiselt:

sisukorda muudetakse järgmiselt:

pealkirja CAMO.A.200 järele lisatakse järgmine pealkiri:

„CAMO.A.200A Infoturbe halduse süsteem“;

ii)

pealkirja CAMO.B.135 järele lisatakse järgmine pealkiri:

„CAMO.B.135A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule“;

iii)

punkti CAMO.B.205 pealkiri asendatakse järgmisega:

„CAMO.B.205 Ülesannete jaotus“;

iv)

pealkirja CAMO.B.330 järele lisatakse järgmine pealkiri:

„CAMO.B.330A Infoturbe halduse süsteemi muudatused“;

punkti CAMO.A.200 järele lisatakse punkt CAMO.A.200A:

Infoturbe halduse süsteem Lisaks punktis CAMO.A.200 osutatud juhtimissüsteemile kehtestab organisatsioon kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“;

punktile CAMO.B.125 lisatakse alapunkt c:

„c)

punkti CAMO.B.135 järele lisatakse punkt CAMO.B.135A:

Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti CAMO.B.125 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile CAMO.B.200 lisatakse alapunkt e:

„e)

punkti CAMO.B.205 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

Ülesannete jaotus“;

ii)

lisatakse alapunkt c:

„c)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti CAMO.A.200A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas punktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti CAMO.B.200 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile CAMO.B.300 lisatakse alapunkt g:

„g)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti CAMO.A.200A nõudeid, kontrollib pädev asutus alapunktide a–f järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti CAMO.B.330 järele lisatakse punkt CAMO.B.330A:

Infoturbe halduse süsteemi muudatused

Muudatusteks, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis CAMO.B.300 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile CAMO.B.350.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon täidab kohaldatavaid nõudeid, kiidab pädev asutus muudatuse heaks.“

VIII LISA

Määruse (EL) 2015/340 II lisa (osa ATCO.AR) ja III lisa (osa ATCO.OR) muudetakse järgmiselt.

II lisa (osa ATCO.AR) muudetakse järgmiselt:

punktile ATCO.AR.A.020 lisatakse alapunkt c:

„c)

punkti ATCO.AR.A.025 järele lisatakse punkt ATCO.AR.A.025A:

Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti ATCO.AR.A.020 kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule, mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile ATCO.AR.B.001 lisatakse alapunkt e:

„e)

punkti ATCO.AR.B.005 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

Ülesannete jaotus“;

ii)

lisatakse alapunkt c:

„c)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ATCO.OR.C.001A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti ATCO.AR.B.001 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile ATCO.AR.C.001 lisatakse alapunkt f:

„f)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ATCO.OR.C.001A nõudeid, kontrollib pädev asutus alapunktide a–e järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti ATCO.AR.E.010 järele lisatakse punkt ATCO.AR.E.010A:

Infoturbe halduse süsteemi muudatused

Muudatuste puhul, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis ATCO.AR.C.001 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile ATCO.AR.C.010.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon vastab kohaldatavatele nõuetele, kiidab pädev asutus muudatuse heaks.“;

III lisa (osa ATCO.OR) muudetakse järgmiselt:

punkti ATCO.OR.C.001 järele lisatakse punkt ATCO.OR.C.001A:

Infoturbe halduse süsteem Lisaks punktis ATCO.OR.C.001 osutatud juhtimissüsteemile kehtestab koolitusorganisatsioon kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“

IX LISA

Rakendusmääruse (EL) 2017/373 II lisa (osa ATM/ANS.AR) ja III lisa (osa ATM/ANS.OR) muudetakse järgmiselt.

II lisa (osa ATM/ANS.AR) muudetakse järgmiselt:

punktile ATM/ANS.AR.A.020 lisatakse alapunkt c:

„c)

punkti ATM/ANS.AR.A.025 järele lisatakse punkt ATM/ANS.AR.A.025A:

„ ATM/ANS.AR.A.025A Viivitamatu reageering lennuohutust mõjutavale infoturvaintsidendile või turvaaugule

Amet rakendab süsteemi, et nõuetekohaselt analüüsida kogu punkti ATM/ANS.AR.A.020 alapunkti c kohaselt saadud asjakohast ohutusalast teavet, ning esitab põhjendamatu viivituseta liikmesriikidele ja komisjonile kogu teabe, sealhulgas soovitused või parandusmeetmed, mis on vaja võtta selleks, et nad saaksid õigeaegselt reageerida infoturvaintsidendile või turvaaugule mis võib mõjutada lennuohutust seoses toodete, osade, teisaldatava varustuse, isikute või organisatsioonidega, kelle suhtes kohaldatakse määrust (EL) 2018/1139 ning selle alusel vastu võetud delegeeritud õigusakte ja rakendusakte.

Alapunktides a ja b osutatud teabe saamisel võtab pädev asutus asjakohased meetmed, et käsitleda infoturvaintsidendi või turvaaugu võimalikku mõju lennuohutusele.

punktile ATM/ANS.AR.B.001 lisatakse alapunkt e:

„e)

punkti ATM/ANS.AR.B.005 muudetakse järgmiselt:

pealkiri asendatakse järgmisega:

„ ATM/ANS.AR.B.005 Ülesannete jaotamine “;

ii)

lisatakse alapunkt c:

„c)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ATM/ANS.OR.B.005A nõudeid, võib pädev asutus jaotada ülesandeid kvalifitseeritud üksustele kooskõlas alapunktiga a või mis tahes asjaomasele asutusele, kes vastutab liikmesriigis info- või küberturbe eest. Ülesannete jaotamisel tagab pädev asutus, et:

pädev üksus või asjaomane asutus koordineerib ja võtab arvesse kõiki lennuohutusega seotud aspekte;

pädeva üksuse või asjaomase asutuse sertifitseerimis- ja järelevalvetoimingute tulemused integreeritakse organisatsiooni üldistesse sertifitseerimis- ja järelevalvetoimikutesse;

tema poolt punkti ATM/ANS.AR.B.001 alapunkti e kohaselt kehtestatud infoturbe halduse süsteem hõlmab kõiki tema nimel täidetavaid sertifitseerimise ja pideva järelevalvega seotud ülesandeid.“;

punktile ATM/ANS.AR.C.010 lisatakse alapunkt d:

„d)

Seoses sertifitseerimise ja järelevalvega selle üle, kas organisatsioon täidab punkti ATM/ANS.OR.B.005A nõudeid, kontrollib pädev asutus alapunktide a–c järgimist ja vaatab läbi kõik käesoleva määruse punkti IS.I.OR.200 alapunkti e või delegeeritud määruse (EL) 2022/1645 punkti IS.D.OR.200 alapunkti e kohaselt antud sertifikaadid pärast kohaldatavat järelevalveauditi tsüklit ja iga kord, kui organisatsiooni töös tehakse muudatusi.“

punkti ATM/ANS.AR.C.025 järele lisatakse punkt ATM/ANS.AR.C.025A:

„ ATM/ANS.AR.C.025A Infoturbe halduse süsteemi muudatused

Muudatusteks, mida hallatakse ja millest teavitatakse pädevat asutust vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktis a sätestatud menetlusele, lisab pädev asutus selliste muudatuste läbivaatamise oma pidevasse järelevalvesse kooskõlas punktis ATM/ANS.AR.C.010 sätestatud põhimõtetega. Nõuetele mittevastavuse korral teavitab pädev asutus sellest organisatsiooni, nõuab täiendavaid muudatusi ja tegutseb vastavalt punktile ATM/ANS.AR.C.050.

Teiste muudatuste puhul, mis nõuavad heakskiidu taotlemist vastavalt rakendusmääruse (EL) 2023/203 II lisa (osa IS.I.OR) punkti IS.I.OR.255 alapunktile b, kohaldatakse järgmist:

muudatuse taotluse saamisel kontrollib pädev asutus enne heakskiidu andmist organisatsiooni vastavust kohaldatavatele nõuetele;

pädev asutus kehtestab tingimused, mille alusel organisatsioon võib muudatuse rakendamise ajal tegutseda;

kui pädev asutus on veendunud, et organisatsioon vastab kohaldatavatele nõuetele, kiidab pädev asutus muudatuse heaks.“;

III lisa (osa ATM/ANS.OR) muudetakse järgmiselt:

punkti ATM/ANS.OR.B.005 järele lisatakse punkt ATM/ANS.OR.B.005A:

„ ATM/ANS.OR.B.005A Infoturbe halduse süsteem

Lisaks punktis ATM/ANS.OR.B.005 osutatud juhtimissüsteemile kehtestab teenuseosutaja kooskõlas rakendusmäärusega (EL) 2023/203 infoturbe halduse süsteemi, et tagada selliste infoturvariskide nõuetekohane juhtimine, mis võivad mõjutada lennuohutust, ning rakendab süsteemi ja hoiab seda töös.“;

punkt ATM/ANS.OR.D.010 asendatakse järgmisega:

„ ATM/ANS.OR.D.010 Julgestusalane juhtimine

Aeronavigatsiooniteenuste ja lennuliiklusvoogude juhtimisteenuste osutajad ning võrgustiku haldaja peavad juhtimissüsteemi lahutamatu osana kehtestama vastavalt punktile ATM/ANS.OR.B.005 julgestusalase juhtimissüsteemi, et tagada:

oma ruumide ja töötajate julgeolek, et vältida teenuste osutamist mõjutavaid õigusvastaseid tegusid;

teenuseosutajale edastatud, tema poolt kogutud või muul viisil kasutatavate operatiivandmete turvalisus, tehes need kättesaadavaks üksnes volitatud isikutele.

Julgestusalase juhtimise süsteemis määratakse kindlaks järgmine:

protsess ja menetlused, mis on seotud julgestusriski hindamise ja leevendamisega, julgestuse jälgimise ja parandamisega, julgestuse ümberhindamise ja kogemuste levitamisega;

vahendid, mis on kavandatud julgestusega seotud puuduste kindlaksmääramiseks, seireks ja avastamiseks ning töötajate teavitamiseks asjakohastest hoiatustest;

vahendid julgestusega seotud puuduste kontrollimiseks ning parandusmeetmete ja leevendusmenetluste kindlaksmääramiseks, et vältida puuduste taastekkimist.

Aeronavigatsiooniteenuste ja lennuliiklusvoogude juhtimisteenuste osutajad ning võrgustiku haldaja korraldavad oma töötajate julgestuskontrolli ning vajaduse korral teevad koostööd asjaomaste tsiviil- ja militaarasutustega oma ruumide, töötajate ja andmete kaitsmiseks.

Infoturbeaspekte hallatakse vastavalt punktile ATM/ANS.OR.B.005A.“

( 1 ) Komisjoni 12. septembri 2023. aasta rakendusmäärus (EL) 2023/1769, millega kehtestatakse lennuliikluse korraldamise ja aeronavigatsiooniteenuste süsteemide ja koostisosade projekteerimises või tootmises osalevate organisatsioonide sertifitseerimise tehnilised nõuded ja haldusmenetlused ning muudetakse rakendusmäärust (EL) 2023/203 (ELT L 228 XX.9.2023, lk 19).

( 2 ) Komisjoni 14. juuli 2022. aasta delegeeritud määrus (EL) 2022/1645, millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1139 rakendamise eeskirjad nõuete osas, mis on seotud selliste infoturvariskide juhtimisega, mis võivad mõjutada komisjoni määrustega (EL) nr 748/2012 ja (EL) nr 139/2014 hõlmatud organisatsioonide lennuohutust, ning muudetakse komisjoni määrusi (EL) nr 748/2012 ja (EL) nr 139/2014 (ELT L 248, 26.9.2022, lk 18).

( 3 ) Komisjoni 10. aprilli 2024. aasta rakendusmäärus (EL) 2024/1109, millega kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1139 rakenduseeskirjad, milles käsitletakse nõudeid ja haldusmenetlusi, mida pädevad asutused kohaldavad seoses sertifitseeritud mehitamata õhusõiduki süsteemide jätkuva lennukõlblikkuse sertifitseerimise, järelevalve ja asjaomaste nõuete täitmise tagamisega, ning muudetakse rakendusmäärust (EL) 2023/203 (ELT L, 2024/1109, 17.5.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1109/oj).

( 4 ) Euroopa Parlamendi ja nõukogu 11. märtsi 2008. aasta määrus (EÜ) nr 300/2008, mis käsitleb tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr 2320/2002 (ELT L 97, 9.4.2008, lk 72).

		Euroopa Liidu Teataja
		nr	lehekülg	kuupäev
►M1	KOMISJONI RAKENDUSMÄÄRUS (EL) 2023/1769, 12. september 2023,	L 228	19	15.9.2023
►M2	KOMISJONI RAKENDUSMÄÄRUS (EL) 2024/1109, 10. aprill 2024,	L 1109	1	23.5.2024