Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.
Dokuments 32022R1645
Commission Delegated Regulation (EU) 2022/1645 of 14 July 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 748/2012 and (EU) No 139/2014 and amending Commission Regulations (EU) No 748/2012 and (EU) No 139/2014
Komission delegoitu asetus (EU) 2022/1645, annettu 14 päivänä heinäkuuta 2022, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta
Komission delegoitu asetus (EU) 2022/1645, annettu 14 päivänä heinäkuuta 2022, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta
C/2022/4882
EUVL L 248, 26.9.2022., 18./31. lpp.
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Spēkā
26.9.2022 |
FI |
Euroopan unionin virallinen lehti |
L 248/18 |
KOMISSION DELEGOITU ASETUS (EU) 2022/1645,
annettu 14 päivänä heinäkuuta 2022,
Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004 ja (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta 4 päivänä heinäkuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 (1) ja erityisesti sen 19 artiklan 1 kohdan g alakohdan sekä 39 artiklan 1 kohdan b alakohdan,
sekä katsoo seuraavaa:
(1) |
Asetuksen (EU) 2018/1139 liitteessä II olevan 3.1 kohdan b alakohdassa vahvistettujen keskeisten vaatimusten mukaan suunnittelu- ja tuotanto-organisaatioiden on luotava johtamisjärjestelmä turvallisuusriskien hallitsemiseksi ja pidettävä sitä yllä. |
(2) |
Lisäksi lentopaikkojen pitäjien ja asematasovalvontapalvelujen tarjoamisesta vastaavien organisaatioiden on asetuksen (EU) 2018/1139 liitteessä VII olevassa 2.2.1 ja 5.2 kohdassa vahvistettujen keskeisten vaatimusten mukaan luotava johtamisjärjestelmä turvallisuusriskien hallitsemiseksi ja pidettävä sitä yllä. |
(3) |
Johdanto-osan 1 ja 2 kappaleessa tarkoitetuilla turvallisuusriskeillä voi olla erilaisia alkulähteitä, kuten puutteet suunnittelussa tai kunnossapidossa, ihmisen suorituskykyyn liittyvät näkökohdat, ympäristöuhkat ja tietoturvauhkat. Sen vuoksi johdanto-osan 1 ja 2 kappaleessa tarkoitetuissa organisaatioiden käyttöön ottamissa hallintajärjestelmissä olisi otettava huomioon sattumanvaraisista tapahtumista johtuvien turvallisuusriskien lisäksi myös sellaisista tietoturvauhkista johtuvat turvallisuusriskit, joissa pahantahtoisessa tarkoituksessa toimivat henkilöt saattavat hyödyntää olemassa olevia puutteita. Tällaiset tietoturvariskit lisääntyvät siviili-ilmailuympäristössä jatkuvasti, sillä nykyiset tietojärjestelmät ovat yhä useammin yhteenliitettyjä ja entistä yleisemmin pahantahtoisten toimijoiden kohteina. |
(4) |
Tietojärjestelmiin liittyvät riskit eivät rajoitu mahdollisiin kyberavaruuteen kohdistuviin hyökkäyksiin, vaan niihin kuuluvat myös prosesseihin ja menettelyihin sekä ihmisten suorituskykyyn mahdollisesti vaikuttavat uhkat. |
(5) |
Organisaatioista suuri osa käyttää jo digitaalisen tiedon ja datan suojaamiseen kansainvälisiä standardeja, kuten ISO 27001 -standardia. Näissä standardeissa ei välttämättä oteta täysin huomioon kaikkia siviili-ilmailun erityispiirteitä. |
(6) |
Tästä syystä on tarpeen asettaa vaatimuksia sellaisten tietoturvariskien hallitsemiseksi, joilla saattaa olla vaikutusta ilmailun turvallisuuteen. |
(7) |
On olennaisen tärkeää, että vaatimukset kattavat ilmailun eri osa-alueet ja niiden rajapinnat, koska ilmailu on varsin yhteenliitetty järjestelmien järjestelmä. Sen vuoksi vaatimusten olisi koskettava kaikkia organisaatioita, joilla jo vaaditaan olevan unionin nykyisen ilmailun turvallisuusalan lainsäädännön mukainen hallintajärjestelmä. |
(8) |
Tässä asetuksessa säädettyjä vaatimuksia olisi sovellettava johdonmukaisesti kaikilla ilmailun osa-alueilla, ja niillä olisi oltava mahdollisimman vähäinen vaikutus kyseisillä osa-alueilla jo sovellettavaan unionin ilmailun turvallisuusalan lainsäädäntöön. |
(9) |
Tässä asetuksessa säädetyt vaatimukset eivät saisi vaikuttaa komission täytäntöönpanoasetuksen (EU) 2015/1998 (2) liitteessä olevassa 1.7 kohdassa eivätkä Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148 (3) 14 artiklassa vahvistettuihin tietoturva- ja kyberturvallisuusvaatimuksiin. |
(10) |
Tässä säädöksessä käytetyn tietoturvan määritelmän olisi tulkittava vastaavan direktiivissä 2016/1148 vahvistettua verkko- ja tietojärjestelmien turvallisuuden määritelmää. |
(11) |
Jotta vältetään oikeudellisten vaatimusten päällekkäisyys silloin, kun tämän asetuksen soveltamisalaan kuuluviin organisaatioihin jo sovelletaan johdanto-osan 9 kappaleessa tarkoitetuista muista unionin säädöksistä johtuvia turvavaatimuksia, jotka vaikutukseltaan vastaavat tämän asetuksen säännöksiä, kyseisten turvavaatimusten noudattamista olisi pidettävä tässä asetuksessa säädettyjen vaatimusten noudattamisena. |
(12) |
Tämän asetuksen soveltamisalaan kuuluvien organisaatioiden, joihin jo sovelletaan täytäntöönpanoasetuksesta (EU) 2015/1998 johtuvia turvavaatimuksia, olisi täytettävä myös tämän asetuksen liitteen I (osa IS.D.OR.230 ”Tietoturvaa koskeva ulkoinen ilmoitusjärjestelmä”) vaatimukset, koska asetuksessa (EU) 2015/1998 ei ole säännöksiä tietoturvapoikkeamien ulkoisesta ilmoittamisesta. |
(13) |
Komission asetuksia (EU) N:o 748/2012 (4) ja (EU) N:o 139/2014 (5) olisi muutettava edellä luetelluissa asetuksissa säädettyjen hallintajärjestelmien ja tässä asetuksessa säädettyjen tietoturvan hallintaa koskevien vaatimusten välisen yhteyden luomiseksi. |
(14) |
Jotta organisaatioilla olisi riittävästi aikaa varmistaa tällä asetuksella käyttöön otettujen uusien sääntöjen ja menettelyjen noudattaminen, tätä asetusta olisi sovellettava kolmen vuoden kuluttua sen voimaantulopäivästä. |
(15) |
Tässä asetuksessa säädetyt vaatimukset perustuvat viraston antamaan lausuntoon nro 03/2021 (6), jonka se on antanut asetuksen (EU) 2018/1139 75 artiklan 2 kohdan b ja c alakohdan ja 76 artiklan 1 kohdan mukaisesti. |
(16) |
Komissio kuuli asetuksen (EU) 2018/1139 128 artiklan 4 kohdan mukaisesti kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (7) vahvistettujen periaatteiden mukaisesti, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Kohde
Tässä asetuksessa vahvistetaan vaatimukset, jotka 2 artiklassa tarkoitettujen organisaatioiden on täytettävä tunnistaakseen ja hallitakseen sellaisia ilmailun turvallisuuteen mahdollisesti vaikuttavia tietoturvariskejä, jotka saattavat vaikuttaa tieto- ja viestintäteknisiin järjestelmiin ja siviili-ilmailussa käytettävään dataan, sekä havaitakseen tietoturvatapahtumat ja tunnistaakseen niistä ne, joita pidetään mahdollisesti ilmailun turvallisuuteen vaikuttavina tietoturvapoikkeamina, ja reagoidakseen näihin tietoturvapoikkeamiin ja palautuakseen niistä.
2 artikla
Soveltamisala
1. Tätä asetusta sovelletaan seuraaviin organisaatioihin:
a) |
asetuksen (EU) N:o 748/2012 liitteessä I (21 osa) olevan A luvun G ja J alaluvun soveltamisalaan kuuluvat tuotanto- ja suunnitteluorganisaatiot, lukuun ottamatta niitä suunnittelu- ja tuotanto-organisaatioita, jotka osallistuvat yksinomaan asetuksen (EU) N:o 748/2012 1 artiklan 2 kohdan j alakohdassa määriteltyjen ELA2-ilma-alusten suunnitteluun ja/tai tuotantoon; |
b) |
asetuksen (EU) N:o 139/2014 liitteen III ”Organisaatioita koskevat vaatimukset (osa ADR.OR)” soveltamisalaan kuuluvat lentopaikkojen pitäjät ja asematasovalvontapalvelujen tarjoajat. |
2. Tämä asetus ei vaikuta täytäntöönpanoasetuksen (EU) 2015/1998 liitteessä olevassa 1.7 kohdassa eikä direktiivin (EU) 2016/1148 14 artiklassa vahvistettuihin tietoturva- ja kyberturvallisuusvaatimuksiin.
3 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
1) |
’tietoturvalla’ verkko- ja tietojärjestelmien luottamuksellisuuden, eheyden, aitouden ja käytettävyyden säilyttämistä; |
2) |
’tietoturvatapahtumalla’ järjestelmän, palvelun tai verkkotilan tunnistettua poikkeamaa, joka viittaa tietoturvapolitiikan mahdolliseen rikkomiseen tai tietoturvan valvontatoimien laiminlyöntiin taikka aiemmin tuntemattomaan tilanteeseen, jolla voi olla merkitystä tietoturvan kannalta; |
3) |
’poikkeamalla’ mitä tahansa tapahtumaa, joka vaikuttaa haitallisesti direktiivin (EU) 2016/1148 4 artiklan 7 kohdassa määriteltyyn verkko- ja tietojärjestelmien turvallisuuteen; |
4) |
’tietoturvariskillä’ tietoturvatapahtuman mahdollisuudesta organisaation siviili-ilmailutoiminnalle, omaisuudelle, yksityishenkilöille tai muille organisaatioille aiheutuvaa riskiä. Tietoturvariskeihin liittyy mahdollisuus, että uhkissa hyödynnetään tieto-omaisuuden tai tieto-omaisuusryhmän haavoittuvuuksia; |
5) |
’uhkalla’ tietoturvaloukkauksen mahdollisuutta, joka on olemassa, kun on yhteisö, olosuhde, toimi tai tapahtuma, joka voisi aiheuttaa vahinkoa; |
6) |
’haavoittuvuudella’ sellaista omaisuuden tai järjestelmän, menetelmien, suunnittelun, toteutuksen tai tietoturvatoimenpiteiden vikaa tai heikkoutta, jota voitaisiin hyödyntää ja joka johtaisi tietoturvapolitiikan rikkomiseen tai loukkaamiseen. |
4 artikla
Muusta unionin lainsäädännöstä johtuvat vaatimukset
1. Jos 2 artiklassa tarkoitettu organisaatio täyttää direktiivin (EU) 2016/1148 14 artiklassa säädetyt turvavaatimukset, jotka vastaavat tässä asetuksessa säädettyjä vaatimuksia, kyseisten turvavaatimusten täyttäminen katsotaan tässä asetuksessa säädettyjen vaatimusten täyttämiseksi.
2. Jos 2 artiklassa tarkoitettu organisaatio on Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 300/2008 (8) 10 artiklan mukaisesti vahvistetuissa jäsenvaltioiden kansallisissa siviili-ilmailun turvaohjelmissa tarkoitettu lentotoiminnan harjoittaja tai yhteisö, täytäntöönpanoasetuksen (EU) 2015/1998 liitteessä olevaan 1.7 kohtaan sisältyvien kyberturvallisuusvaatimusten katsotaan vastaavan tässä asetuksessa säädettyjä vaatimuksia, lukuun ottamatta tämän asetuksen liitteessä olevaa IS.D.OR.230 kohtaa, jota on noudatettava.
3. Komissio voi EASAa ja direktiivin (EU) 2016/1148 11 artiklassa tarkoitettua yhteistyöryhmää kuultuaan antaa ohjeita tässä asetuksessa ja direktiivissä (EU) 2016/1148 säädettyjen vaatimusten vastaavuuden arvioimiseksi.
5 artikla
Toimivaltainen viranomainen
1. Tämän asetuksen noudattamisen todentamisesta ja valvonnasta vastaava viranomainen on
a) |
2 artiklan a alakohdassa tarkoitettujen organisaatioiden osalta asetuksen (EU) N:o 748/2012 liitteen I (21 osa) mukaisesti nimetty toimivaltainen viranomainen; |
b) |
2 artiklan b alakohdassa tarkoitettujen organisaatioiden osalta asetuksen (EU) N:o 139/2014 liitteen III (osa ADR.OR) mukaisesti nimetty toimivaltainen viranomainen. |
2. Jäsenvaltiot voivat tämän asetuksen soveltamiseksi nimetä riippumattoman ja itsenäisen yksikön hoitamaan 1 kohdassa tarkoitetut toimivaltaisten viranomaisten tehtävät ja velvollisuudet. Tällöin on otettava käyttöön koordinointitoimenpiteitä kyseisen yksikön ja 1 kohdassa tarkoitettujen toimivaltaisten viranomaisten välillä sen varmistamiseksi, että kaikkia vaatimuksia, jotka organisaation on täytettävä, valvotaan tehokkaasti.
6 artikla
Asetuksen (EU) N:o 748/2012 muuttaminen
Muutetaan asetuksen (EU) N:o 748/2012 liite I (21 osa) seuraavasti:
1) |
Muutetaan sisällysluettelo seuraavasti:
|
2) |
Lisätään 21.A.139 kohdan jälkeen 21.A.139A kohta seuraavasti:
Edellä 21.A.139 kohdassa vaaditun tuotannonhallintajärjestelmän lisäksi tuotanto-organisaation on ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukaisen hallinnan varmistamiseksi perustettava, toteutettava ja ylläpidettävä tietoturvan hallintajärjestelmä komission delegoidun asetuksen (EU) 2022/1645 (*1) mukaisesti. (*1) Komission delegoitu asetus (EU) 2022/1645, annettu 14 päivänä heinäkuuta 2022, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta (EUVL L 248, 26.9.2022, s. 18)”." |
3) |
Lisätään 21.A.239 kohdan jälkeen 21.A.239A kohta seuraavasti:
Edellä 21.A.239 kohdassa vaaditun suunnittelunhallintajärjestelmän lisäksi suunnitteluorganisaation on ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukaisen hallinnan varmistamiseksi perustettava, toteutettava ja ylläpidettävä tietoturvan hallintajärjestelmä delegoidun asetuksen (EU) 2022/1645 mukaisesti.” |
7 artikla
Asetuksen (EU) N:o 139/2014 muuttaminen
Muutetaan asetuksen (EU) N:o 139/2014 liite III (osa ADR.OR) seuraavasti:
1) |
Lisätään ADR.OR.D.005 kohdan jälkeen ADR.OR.D.005A kohta seuraavasti:
Lentopaikan pitäjän on ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukaisen hallinnan varmistamiseksi perustettava, toteutettava ja ylläpidettävä tietoturvan hallintajärjestelmä komission delegoidun asetuksen (EU) 2022/1645 (*2) mukaisesti. (*2) Komission delegoitu asetus (EU) 2022/1645, annettu 14 päivänä heinäkuuta 2022, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamista koskevista säännöistä siltä osin kuin on kyse ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevista vaatimuksista komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 soveltamisalaan kuuluville organisaatioille sekä komission asetusten (EU) N:o 748/2012 ja (EU) N:o 139/2014 muuttamisesta (EUVL L 248, 26.9.2022, s. 18)”." |
2) |
Korvataan ADR.OR.D.007 kohta seuraavasti:
|
3) |
Lisätään ADR.OR.F.045 kohdan jälkeen ADR.OR.F.045A kohta seuraavasti:
Asematasovalvontapalvelujen tarjoamisesta vastaavan organisaation on ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukaisen hallinnan varmistamiseksi perustettava, toteutettava ja ylläpidettävä tietoturvan hallintajärjestelmä delegoidun asetuksen (EU) 2022/1645 mukaisesti.” |
8 artikla
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Sitä sovelletaan 16 päivästä lokakuuta 2025.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 14 päivänä heinäkuuta 2022.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 212, 22.8.2018, s. 1.
(2) Komission täytäntöönpanoasetus (EU) 2015/1998, annettu 5 päivänä marraskuuta 2015, yksityiskohtaisista toimenpiteistä ilmailun turvaamista koskevien yhteisten perusvaatimusten täytäntöönpanemiseksi (EUVL L 299, 14.11.2015, s. 1).
(3) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).
(4) Komission asetus (EU) N:o 748/2012, annettu 3 päivänä elokuuta 2012, ilma-alusten ja niihin liittyvien tuotteiden, osien ja laitteiden lentokelpoisuus- ja ympäristösertifiointia sekä suunnittelu- ja tuotanto-organisaatioiden sertifiointia koskevista täytäntöönpanosäännöistä (EUVL L 224, 21.8.2012, s. 1).
(5) Komission asetus (EU) N:o 139/2014, annettu 12 päivänä helmikuuta 2014, lentopaikkoihin liittyvistä vaatimuksista ja hallinnollisista menettelyistä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 216/2008 mukaisesti (EUVL L 44, 14.2.2014, s. 1).
(6) https://www.easa.europa.eu/document-library/opinions
(7) EUVL L 123, 12.5.2016, s. 1.
(8) Euroopan parlamentin ja neuvoston asetus (EY) N:o 300/2008, annettu 11 päivänä maaliskuuta 2008, yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, 9.4.2008, s. 72).
LIITE
TIETOTURVA – ORGANISAATIOTA KOSKEVAT VAATIMUKSET
[OSA IS.D.OR]
IS.D.OR.100 |
Soveltamisala |
IS.D.OR.200 |
Tietoturvan hallintajärjestelmä |
IS.D.OR.205 |
Tietoturvariskien arviointi |
IS.D.OR.210 |
Tietoturvariskien käsittely |
IS.D.OR.215 |
Tietoturvaa koskeva sisäinen ilmoitusjärjestelmä |
IS.D.OR.220 |
Tietoturvapoikkeamat – havaitseminen, reagointi ja palautuminen |
IS.D.OR.225 |
Reagointi toimivaltaisen viranomaisen ilmoittamiin havaintoihin |
IS.D.OR.230 |
Tietoturvaa koskeva ulkoinen ilmoitusjärjestelmä |
IS.D.OR.235 |
Tietoturvan hallinnan teettäminen alihankintana |
IS.D.OR.240 |
Henkilöstövaatimukset |
IS.D.OR.245 |
Tietojen tallentaminen |
IS.D.OR.250 |
Tietoturvan hallinnan käsikirja (ISMM) |
IS.D.OR.255 |
Tietoturvan hallintajärjestelmän muutokset |
IS.D.OR.260 |
Jatkuva parantaminen |
IS.D.OR.100 Soveltamisala
Tässä osassa vahvistetaan vaatimukset, jotka tämän asetuksen 2 artiklassa tarkoitettujen organisaatioiden on täytettävä.
IS.D.OR.200 Tietoturvan hallinnan käsikirja (ISMS)
a) |
Organisaation on 1 artiklassa vahvistettujen tavoitteiden saavuttamiseksi perustettava, otettava käyttöön ja ylläpidettävä tietoturvan hallintajärjestelmä (ISMS), jolla varmistetaan, että organisaatio
|
b) |
Täyttääkseen jatkuvasti 1 artiklassa tarkoitetut vaatimukset organisaation on otettava käyttöön IS.D.OR.260 kohdan mukainen jatkuvan parantamisen prosessi. |
c) |
Organisaation on IS.D.OR.250 kohdan mukaisesti dokumentoitava kaikki IS.D.OR.200 kohdan a alakohdan noudattamisen edellyttämät keskeiset prosessit, menettelyt, tehtävät ja vastuut sekä otettava käyttöön prosessi dokumentoinnin muuttamiseksi. Näiden prosessien, menettelyjen, tehtävien ja vastuiden muutoksia on hallittava IS.D.OR.255 kohdan mukaisesti. |
d) |
Niiden prosessien, menettelyjen, tehtävien ja vastuiden, jotka organisaatio on laatinut IS.D.OR.200 kohdan a alakohdan noudattamiseksi, on kyseiseen toimintaan liittyvien tietoturvariskien arvioinnin perusteella vastattava organisaation toiminnan luonnetta ja vaativuutta, ja ne voidaan sisällyttää muihin olemassa oleviin hallintajärjestelmiin, jotka organisaatio on jo ottanut käyttöön. |
e) |
Toimivaltainen viranomainen voi antaa organisaatiolle hyväksynnän, jonka mukaan sen ei tarvitse täyttää a–d alakohdassa tarkoitettuja vaatimuksia eikä asiaan liittyviä vaatimuksia IS.D.OR.205–IS.D.OR.260 kohdassa, jos organisaatio osoittaa asianomaista viranomaista tyydyttävällä tavalla, että sen toiminta, tilat ja resurssit sekä ne palvelut, joita se tuottaa, tarjoaa, vastaanottaa ja ylläpitää, eivät aiheuta sellaisia tietoturvariskejä, joilla saattaa olla vaikutusta ilmailun turvallisuuteen sen itsensä tai muiden organisaatioiden osalta, sanotun kuitenkaan rajoittamatta velvoitetta täyttää Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 376/2014 (1) sisältyvät ilmoitusvaatimukset ja IS.D.OR.200 kohdan a alakohdan 13 alakohdan vaatimukset. Hyväksynnän on perustuttava organisaation tai kolmannen osapuolen IS.D.OR.205 kohdan mukaisesti suorittamaan dokumentoituun tietoturvariskien arviointiin, jonka toimivaltainen viranomainen on tarkastanut ja hyväksynyt. Toimivaltainen viranomainen tarkastelee hyväksynnän voimassaolon jatkumista sovellettavan valvonnan auditointisyklin mukaan ja aina, kun organisaation työn laajuuteen tehdään muutoksia. |
IS.D.OR.205 Tietoturvariskien arviointi
a) |
Organisaation on tunnistettava kaikki ne osa-alueet organisaatiossa, jotka voivat altistua tietoturvariskeille. Näihin kuuluvat muun muassa seuraavat:
|
b) |
Organisaation on tunnistettava ne rajapinnat, joita sillä on muiden organisaatioiden kanssa ja jotka voivat johtaa keskinäiseen altistumiseen tietoturvariskeille. |
c) |
Organisaation on tunnistettava a ja b alakohdassa tarkoitettujen osa-alueiden ja rajapintojen osalta tietoturvariskit, joilla saattaa olla vaikutusta ilmailun turvallisuuteen. Organisaation on kunkin tunnistetun riskin osalta
Edellä 1 kohdassa tarkoitetussa ennalta määritellyssä luokituksessa on otettava huomioon uhkaskenaarion toteutumismahdollisuus ja sen turvallisuusvaikutusten merkittävyys. Tämän luokituksen perusteella ja ottaen huomioon, onko organisaatiolla jäsennelty ja toistettavissa oleva toiminnan riskienhallintaprosessi, organisaation on pystyttävä määrittämään, onko riski hyväksyttävä vai onko sitä tarpeen käsitellä IS.D.OR.210 kohdan mukaisesti. Riskiarvioiden keskinäisen vertailtavuuden helpottamiseksi 1 kohdan mukaisessa riskitason määrittämisessä on otettava koordinoidusti huomioon asiaankuuluvat tiedot, jotka on saatu b alakohdassa tarkoitettujen organisaatioiden kanssa. |
d) |
Organisaation on tarkasteltava uudelleen ja päivitettävä a, b ja c alakohdan mukaisesti tehtyä riskinarviointia seuraavissa tilanteissa:
|
IS.D.OR.210 Tietoturvariskien käsittely
a) |
Organisaation on laadittava toimenpiteet IS.D.OR.205 kohdan mukaisesti tunnistettujen ei-hyväksyttävien riskien torjumiseksi, otettava ne käyttöön ne kohtuullisessa ajassa ja tarkistettava, että toimenpiteet säilyvät jatkuvasti tehokkaina. Näiden toimenpiteiden on mahdollistettava se, että organisaatio
Toimenpiteet eivät saa aiheuttaa ilmailun turvallisuuteen mahdollisesti kohdistuvia uusia riskejä, joita ei voida hyväksyä. |
b) |
IS.D.OR.240 kohdan a ja b alakohdassa tarkoitetulle henkilölle ja muulle organisaation henkilöstölle, jota asia koskee, on annettava tieto IS.D.OR.205 kohdan mukaisesti tehdyn riskinarvioinnin tuloksista, vastaavista uhkaskenaarioista ja käyttöön otettavista toimenpiteistä. Organisaation on myös annettava tieto kaikista organisaatioille yhteisistä riskeistä niille organisaatioille, joiden kanssa sillä on IS.D.OR.205 kohdan b alakohdan mukainen rajapinta. |
IS.D.OR.215 Tietoturvaa koskeva sisäinen ilmoitusjärjestelmä
a) |
Organisaation on perustettava sisäinen ilmoitusjärjestelmä, jonka avulla voidaan kerätä ja arvioida tietoturvatapahtumia, IS.D.OR.230 kohdan mukaisesti ilmoitettavat tapahtumat mukaan luettuina. |
b) |
Tämän järjestelmän ja IS.D.OR.220 kohdassa tarkoitetun prosessin on mahdollistettava se, että organisaatio
|
c) |
Alihankkijaorganisaation, joka saattaa altistaa organisaation sellaisille tietoturvariskeille, joilla saattaa olla vaikutusta ilmailun turvallisuuteen, on ilmoitettava organisaatiolle tietoturvatapahtumista. Ilmoitukset on annettava sopimusjärjestelyissä vahvistettuja menettelyjä noudattaen, ja ne on arvioitava b alakohdan mukaisesti. |
d) |
Organisaation on tehtävä tutkinnassa yhteistyötä muiden sellaisten organisaatioiden kanssa, joilla on merkittävä vaikutus tietoturvaan sen omassa toiminnassa. |
e) |
Organisaatio voi yhdistää tämän ilmoitusjärjestelmän muihin ilmoitusjärjestelmiin, jotka se on jo ottanut käyttöön. |
IS.D.OR.220 Tietoturvapoikkeamat – havaitseminen, reagointi ja palautuminen
a) |
Organisaation on IS.D.OR.205 kohdan mukaisesti tehdyn riskinarvioinnin tulosten ja IS.D.OR.210 kohdan mukaisesti suoritetun riskien käsittelyn tulosten perusteella otettava käyttöön toimenpiteitä sellaisten poikkeamien ja haavoittuvuuksien havaitsemiseksi, jotka osoittavat ei-hyväksyttävien riskien toteutumismahdollisuutta ja joilla saattaa olla vaikutusta ilmailun turvallisuuteen. Näiden havaitsemistoimenpiteiden on mahdollistettava se, että organisaatio
|
b) |
Organisaation on otettava käyttöön toimenpiteet reagoidakseen kaikkiin a alakohdan mukaisesti tunnistettuihin tilanteisiin, jotka saattavat kehittyä tietoturvapoikkeamaksi tai joista on kehittynyt tietoturvapoikkeama. Näiden vastatoimien on mahdollistettava se, että organisaatio
|
c) |
Organisaation on otettava käyttöön tietoturvapoikkeamasta palautumiseen tähtäävät toimenpiteet ja tarvittaessa myös hätätoimenpiteet. Näiden palautumistoimien on mahdollistettava se, että organisaatio
|
IS.D.OR.225 Reagointi toimivaltaisen viranomaisen ilmoittamiin havaintoihin
a) |
Saatuaan toimivaltaiselta viranomaiselta ilmoituksen havainnoista organisaation on
|
b) |
Edellä a alakohdassa tarkoitetut toimet on toteutettava toimivaltaisen viranomaisen kanssa sovitussa määräajassa. |
IS.D.OR.230 Tietoturvaa koskeva ulkoinen ilmoitusjärjestelmä
a) |
Organisaation on otettava käyttöön tietoturvaa koskeva ilmoitusjärjestelmä, joka täyttää asetuksessa (EU) N:o 376/2014 sekä sen delegoiduissa säädöksissä ja täytäntöönpanosäädöksissä säädetyt vaatimukset, jos mainittua asetusta sovelletaan organisaatioon. |
b) |
Organisaation on varmistettava, että kaikista tietoturvaan liittyvistä poikkeamista tai haavoittuvuuksista, joista saattaa aiheutua merkittävä riski ilmailun turvallisuudelle, ilmoitetaan sen toimivaltaiselle viranomaiselle, sanotun kuitenkaan rajoittamatta asetuksen (EU) N:o 376/2014 velvoitteiden soveltamista. Lisäksi:
|
c) |
Organisaation on raportoitava b alakohdassa tarkoitetuista tilanteista seuraavasti:
|
IS.D.OR.235 Tietoturvan hallinnan teettäminen alihankintana
a) |
Teetettäessä osa IS.D.OR.200 kohdassa tarkoitetusta toiminnasta alihankintana muilla organisaatioilla organisaation on varmistettava, että alihankintana teetettävä toiminta on tämän asetuksen mukaista ja että alihankkijaorganisaatio työskentelee sen valvonnassa. Organisaation on varmistettava, että alihankintana teetettävään toimintaan liittyviä riskejä hallitaan asianmukaisesti. |
b) |
Organisaation on varmistettava, että toimivaltaisella viranomaisella on pyynnöstä pääsy alihankkijaorganisaatioon sen toteamiseksi, että tässä asetuksessa säädettyjä sovellettavia vaatimuksia noudatetaan edelleen. |
IS.D.OR.240 Henkilöstövaatimukset
a) |
Organisaation vastuullisella johtajalla tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päälliköllä, joka on tämän asetuksen 2 artiklan 1 kohdan a ja b alakohdassa tarkoitetusti nimetty asetuksen (EU) N:o 748/2012 ja asetuksen (EU) N:o 139/2014 mukaisesti, on oltava valtuudet varmistaa yrityksen puolesta, että kaikki tämän asetuksen edellyttämät toimet kyetään rahoittamaan ja toteuttamaan. Kyseisen henkilön on
|
b) |
Vastuullisen johtajan tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päällikön on nimitettävä henkilö tai henkilöryhmä varmistamaan, että organisaatio täyttää tämän asetuksen vaatimukset, ja määriteltävä heidän valtuuksiensa laajuus. Kyseisen henkilön tai henkilöryhmän on raportoitava suoraan vastuulliselle johtajalle tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päällikölle, ja hänellä on oltava asianmukaiset tiedot, tausta ja kokemus tehtäviensä hoitamiseen. Menetelmissä on määritettävä, kuka toimii kenenkin henkilön sijaisena pitkien poissaolojen aikana. |
c) |
Vastuullisen johtajan tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päällikön on nimitettävä henkilö tai henkilöryhmä, joka vastaa IS.D.OR.200 kohdan a alakohdan 12 alakohdassa tarkoitetun vaatimustenmukaisuuden valvontatoiminnon hallinnoinnista. |
d) |
Jos organisaatiolla on yhteiset tietoturvaa koskevat organisaatiorakenteet, periaatteet, prosessit ja menettelyt muiden organisaatioiden tai sen oman organisaation sellaisten osien kanssa, joita hyväksyntä tai ilmoitus ei kata, vastuullinen johtaja tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päällikkö voi delegoida toimintansa yhteiselle vastuuhenkilölle. Tällöin organisaation vastuullisen johtajan tai suunnitteluorganisaatioiden osalta suunnitteluorganisaation päällikön ja yhteisen vastuuhenkilön välillä on otettava käyttöön koordinointitoimenpiteet tietoturvan hallinnan asianmukaisen integroinnin varmistamiseksi organisaatiossa. |
e) |
Vastuullisella johtajalla tai suunnitteluorganisaation päälliköllä taikka d alakohdassa tarkoitetulla yhteisellä vastuuhenkilöllä on oltava valtuudet luoda yrityksen puolesta IS.D.OR.200 kohdan täytäntöönpanemiseksi tarvittavat organisaatiorakenteet, periaatteet, prosessit ja menettelyt ja ylläpitää niitä. |
f) |
Organisaatiolla on oltava käytössään prosessi sen varmistamiseksi, että sillä on riittävästi henkilöstöä tämän liitteen soveltamisalaan kuuluvien toimien suorittamiseen. |
g) |
Organisaatiolla on oltava käytössään prosessi sen varmistamiseksi, että f alakohdassa tarkoitetulla henkilöstöllä on tarvittava pätevyys tehtäviensä suorittamiseen. |
h) |
Organisaatiolla on oltava käytössään prosessi sen varmistamiseksi, että henkilöstö tuntee sille annettuihin rooleihin ja työtehtäviin liittyvät vastuut. |
i) |
Organisaation on varmistettava, että sen henkilöstön henkilöllisyys ja luotettavuus, jolla on pääsy tämän asetuksen vaatimusten mukaisiin tietojärjestelmiin ja dataan, on osoitettu asianmukaisesti. |
IS.D.OR.245 Tietojen tallentaminen
a) |
Organisaation on pidettävä kirjaa tietoturvan hallinnastaan.
|
b) |
Organisaation on pidettävä kirjaa tietoturvan hallintaan osallistuvan oman henkilöstönsä pätevyydestä ja kokemuksesta
|
c) |
Tietojen tallennusmuoto on määritettävä organisaation menettelyissä. |
d) |
Tiedot on säilytettävä tavalla, joka varmistaa niiden suojaamisen vioittumiselta, muuttamiselta ja varkaudelta, ja niin, että tiedot tunnistetaan vaadittaessa niiden turvallisuusluokituksen mukaan. Organisaation on varmistettava, että tiedot säilytetään tavalla, joka varmistaa niiden eheyden ja aitouden sekä pääsyn tietoihin vain siihen oikeutetuille. |
IS.D.OR.250 Tietoturvan hallinnan käsikirja (ISMM)
a) |
Organisaation on asetettava toimivaltaisen viranomaisen saataville tietoturvan hallinnan käsikirja (ISMM) sekä tarvittaessa siihen liittyvät käsikirjat ja menettelyt, joihin viitataan ja jotka sisältävät
|
b) |
Tietoturvan hallinnan käsikirjan alkuperäiselle versiolle on saatava hyväksyntä, ja toimivaltaisen viranomaisen on säilytettävä sen jäljennös. Tietoturvan hallinnan käsikirjaa on tarvittaessa muutettava, jotta organisaation tietoturvan hallintajärjestelmän kuvaus pysyy ajantasaisena. Toimivaltaiselle viranomaiselle on toimitettava jäljennös kaikista tietoturvan hallinnan käsikirjaan tehdyistä muutoksista. |
c) |
Tietoturvan hallinnan käsikirjaan tehtäviä muutoksia on hallittava organisaation laatimalla menettelyllä. Toimivaltaiselta viranomaiselta on saatava hyväksyntä kaikkiin muutoksiin, jotka eivät kuulu tämän menettelyn soveltamisalaan, ja kaikkiin muutoksiin, jotka liittyvät IS.D.OR.255 kohdan b alakohdassa tarkoitettuihin muutoksiin. |
d) |
Organisaatio voi yhdistää tietoturvan hallinnan käsikirjan muihin sen laatimiin organisaation käsikirjoihin sillä edellytyksellä, että on olemassa selkeät ristiviittaukset, jotka osoittavat, mitkä organisaation käsikirjan osat vastaavat tässä liitteessä esitettyjä eri vaatimuksia. |
IS.D.OR.255 Tietoturvan hallintajärjestelmän muutokset
a) |
Tietoturvan hallintajärjestelmän muutoksia voidaan hallita ja niistä voidaan ilmoittaa toimivaltaiselle viranomaiselle organisaation laatimalla menettelyllä. Menettelyn on oltava toimivaltaisen viranomaisen hyväksymä. |
b) |
Sellaisten tietoturvan hallinnan käsikirjan muutosten osalta, jotka eivät kuulu a alakohdassa tarkoitetun menettelyn piiriin, organisaation on haettava ja saatava toimivaltaisen viranomaisen antama hyväksyntä. Näiden muutosten osalta:
|
IS.D.OR.260 Jatkuva parantaminen
a) |
Organisaation on arvioitava tietoturvan hallintajärjestelmän tehokkuutta ja kypsyyttä käyttäen asianmukaisia suorituskykyindikaattoreita. Arviointi on tehtävä organisaation ennalta määrittelemän kalenterin mukaan tai tietoturvapoikkeaman jälkeen. |
b) |
Jos a alakohdan mukaisesti tehdyn arvioinnin perusteella havaitaan puutteita, organisaation on toteutettava tarvittavat parannustoimenpiteet sen varmistamiseksi, että tietoturvan hallintajärjestelmä täyttää edelleen sovellettavat vaatimukset ja pitää tietoturvariskit hyväksyttävällä tasolla. Lisäksi organisaation on arvioitava uudelleen ne tietoturvan hallintajärjestelmän osa-alueet, joihin hyväksytyt toimenpiteet vaikuttavat. |
(1) Euroopan parlamentin ja neuvoston asetus (EU) N:o 376/2014, annettu 3 päivänä huhtikuuta 2014, poikkeamien ilmoittamisesta, analysoinnista ja seurannasta siviili-ilmailun alalla, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 996/2010 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2003/42/EY, komission asetusten (EY) N:o 1321/2007 ja (EY) N:o 1330/2007 kumoamisesta (EUVL L 122, 24.4.2014, s. 18).