KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2023/1769,

annettu 12 päivänä syyskuuta 2023,

ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen järjestelmien ja rakenneosien suunnitteluun tai tuotantoon osallistuvien organisaatioiden hyväksyntää koskevista teknisistä vaatimuksista ja hallinnollisista menettelyistä sekä täytäntöönpanoasetuksen (EU) 2023/203 muuttamisesta

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004 ja (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta 4 päivänä heinäkuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 (1) ja erityisesti sen 43 artiklan 1 kohdan sekä 62 artiklan 15 kohdan c alakohdan,

sekä katsoo seuraavaa:

(1)

Ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen (ATM/ANS) järjestelmien ja ATM/ANS-rakenneosien suunnitteluun tai tuotantoon osallistuvilta organisaatioilta olisi vaadittava hyväksyntätodistus, kun otetaan huomioon asetuksen (EU) 2018/1139 1 ja 4 artiklassa vahvistetut tavoitteet ja periaatteet sekä erityisesti kyseisen toiminnan luonne ja riski.

(2)

Asetuksen (EU) 2018/1139 40 artiklassa tarkoitettujen keskeisten vaatimusten yhdenmukaisen täytäntöönpanon ja noudattamisen varmistamiseksi tässä asetuksessa olisi vahvistettava ATM/ANS-palvelujen tarjoamisen osalta säännöt ja menettelyt, jotka koskevat ATM/ANS-järjestelmien ja ATM/ANS-rakenneosien suunnitteluun tai tuotantoon osallistuvien organisaatioiden hyväksyntätodistusten myöntämistä, voimassa pitämistä, muuttamista, rajoittamista, voimassaolon keskeyttämistä tai peruuttamista, sekä todistusten haltijoiden oikeudet ja velvollisuudet.

(3)

Komission delegoidussa asetuksessa (EU) 2023/1768 (2) säädetty ATM/ANS-laitteiden vaatimustenmukaisuuden arviointi riippuu ATM/ANS-palvelun luonteesta ja riskistä tai tietyn ATM/ANS-laitteen toiminnallisuudesta ja perustuu olemassa oleviin menetelmiin ja parhaisiin käytäntöihin. Mainitussa asetuksessa vahvistetaan erityisesti kolme erilaista vaatimustenmukaisuuden arviointityyppiä: viraston tietyille ATM/ANS-laitteille antama sertifiointi, ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan hyväksytyn organisaation ilmoitus ja ATM/ANS-palvelujen tarjoajan tai ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan hyväksytyn organisaation antama vaatimustenmukaisuusvakuutus.

(4)

ATM/ANS-laitteiden tyypillinen elinkaari koostuu seuraavista vaiheista: suunnittelu, tuotanto, asennus, käyttö, huolto ja käytöstä poistaminen. ATM/ANS-palvelujen tarjoaja on yleensä vastuussa joistakin näistä vaiheista, kun taas toisissa vaiheissa vastuussa ovat ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvat organisaatiot. Sen vuoksi olisi vahvistettava yhteiset vaatimukset sellaisten organisaatioiden hyväksymiselle ja valvonnalle, jotka osallistuvat tiettyjen ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen tarjoamiseen käytettävien ATM/ANS-laitteiden suunnitteluun tai tuotantoon, erityisesti asetuksen (EU) 2018/1139 liitteessä VIII olevassa 3.1 kohdassa tarkoitettujen laitteiden osalta.

(5)

Euroopan unionin lentoturvallisuusvirasto, jäljempänä ’virasto’, vastaa kaikista ATM/ANS-järjestelmien ja ATM/ANS-rakenneosien, jäljempänä ’ATM/ANS-laitteet’, todistuksiin ja näitä laitteita koskeviin ilmoituksiin liittyvistä toimivaltaisten viranomaisten tehtävistä, mukaan lukien valvonta ja vaatimustenmukaisuuden varmistaminen. Johdonmukaisuuden ja riskiperusteisen arvioinnin varmistamiseksi ja muun muassa päällekkäisyyksien ja hallinnollisten rasitteiden välttämiseksi sekä sertifiointi- ja valvontaprosessien tehokkuuden edistämiseksi näiden valvonta- ja vaatimustenmukaisuuden varmistamistehtävien hoitajan olisi oltava virasto. ATM/ANS-laitteiden sertifiointia tai ilmoitusten tarkistamista varten on tarpeen, että virasto valvoo myös suunnittelu- ja tuotanto-organisaatioiden käyttöön ottamia prosesseja, mukaan lukien tarvittaessa kyseisten organisaatioiden sertifiointi. Sen vuoksi viraston olisi vastattava ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden hyväksymisestä ja samaan aikaan ATM/ANS-laitteiden todentamisesta.

(6)

Viraston pätevyyden sertifioida suunnittelu- tai tuotanto-organisaatiot olisi myös mahdollistettava syrjimätön ja yhdenmukaistettu lähestymistapa kaikkiin suunnittelu- tai tuotanto-organisaatioihin, jotka hakevat tämän asetuksen mukaista todistusta. Unionissa markkinoille saatettuja ATM/ANS-laitteita voidaan käyttää kaikissa jäsenvaltioissa ja kaikenlaisissa palveluissa riippumatta siitä, käyttävätkö niitä yhdessä vai useammassa jäsenvaltiossa toimivat ATM/ANS-palvelujen tarjoajat. Suunnitteluun tai tuotantoon osallistuvia organisaatioita ei ole mahdollista luokitella niiden tulevan paikallisella tai unionin tasolla käytettävien laitteiden valikoiman perusteella. Samaa periaatetta on noudatettava, kun virasto jakaa muille sertifiointi- ja valvontatehtäviä.

(7)

Euroopan unionin avaruusohjelmavirastolle (EUSPA) on Euroopan parlamentin ja neuvoston asetuksen (EU) 2021/696 (3) 29 artiklan 2 kohdan a alakohdan mukaan annettu tehtäväksi hallinnoida Euroopan geostationaarisen navigointilisäjärjestelmän (EGNOS) käyttöä mainitun asetuksen 44 artiklassa säädetyn mukaisesti. EGNOS-järjestelmän käyttö kattaa muun muassa sertifiointi- ja standardointitoimien tukemisen. EUSPA ei hoida yksin kaikkia EGNOSin käyttöön liittyviä tehtäviä vaan tukeutuu muiden tahojen, erityisesti Euroopan avaruusjärjestön (ESA), asiantuntemukseen järjestelmän kehittämisessä, suunnittelussa ja maanpäällisen segmentin osien kehittämisessä. Tästä syystä EUSPAn olisi tämän asetuksen yhteydessä katsottava vastaavan suunnittelu- tai tuotanto-organisaatiota.

(8)	EGNOS-järjestelmän ja sen laitteiden suunnittelusta ei asetuksessa (EU) 2021/696 EUSPAn ja ESAn osalta määriteltyjen tehtävien ja vastuiden mukaan vastaa yksi ainoa yksikkö, minkä vuoksi EASA ei voi hyväksyä yhtä ainoaa suunnittelu- ja tuotanto-organisaatiota.

(9)

Tästä syystä EGNOS-järjestelmän suunnittelurakenteen erityispiirteet edellyttävät erityisiä keinoja asetuksessa (EU) 2018/1139 säädettyjen keskeisten vaatimusten noudattamisen osoittamiseksi, kun otetaan huomioon, että EGNOS on multimodaalinen palvelu, jonka olisi täytettävä myös muita aloja koskevat asiaankuuluvat sääntelyvaatimukset.

(10)

Molempien virastojen olisi tehtävä yhteistyötä sen varmistamiseksi, että EGNOS-järjestelmä on asiaankuuluvien ICAOn standardien mukainen, jotta järjestelyillä varmistetaan turvallisuuden ja yhteentoimivuuden taso, joka vastaa tässä asetuksessa säädettyjen suunnittelua ja tuotantoa koskevien vaatimusten täysimääräisestä soveltamisesta seuraavaa tasoa. Yhteistyöhön kuuluu myös EUSPAn kuuleminen yksityiskohtaisten eritelmien laatimisessa.

(11)	Tässä asetuksessa on otettu asianmukaisesti huomioon ATM-yleissuunnitelman sisältö ja siihen sisältyvät teknologiset valmiudet.

(12)	Virasto on laatinut täytäntöönpanosääntöjen luonnokset ja toimittanut ne komissiolle asetuksen (EU) 2018/1139 75 artiklan 2 kohdan b ja c alakohdan sekä 76 artiklan 1 kohdan mukaisesti lausunnon N:o 01/2023 yhteydessä.

(13)

Jotta olemassa olevia resursseja ja asiantuntemusta voitaisiin hyödyntää parhaalla mahdollisella tavalla, virasto voi pyytää kansallisilta toimivaltaisilta viranomaisilta hallinnollista tukea suorittaessaan tämän asetuksen mukaisia sertifiointi-, valvonta- ja vaatimustenmukaisuuden varmistamistehtäviään. Hallinnollisella tuella ei saisi siirtää toimivaltaa tai vastuuta tehtävistä.

(14)	Jotta ATM/ANS-laitteiden suunnittelu- tai tuotanto-organisaatiot voitaisiin sisällyttää sellaisten tietoturvariskien hallintaan, joilla saattaa olla vaikutusta ilmailun turvallisuuteen, täytäntöönpanoasetusta (EU) 2023/203 olisi muutettava.

(15)	Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) 2018/1139 127 artiklan 1 kohdassa tarkoitetun komitean antaman lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Kohde

Tässä asetuksessa vahvistetaan tekniset vaatimukset ja hallinnolliset menettelyt sellaisten organisaatioiden hyväksyntää varten, jotka osallistuvat sellaisten ATM/ANS-järjestelmien ja ATM/ANS-rakenneosien suunnitteluun tai tuotantoon, jotka on sertifioitava delegoidun asetuksen (EU) 2023/1768 4 artiklan mukaisesti, tai joista on annettava suunnittelun vaatimustenmukaisuusilmoitus mainitun asetuksen 5 artiklan mukaisesti.

2 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

1)	’ATM/ANS-laitteella’ asetuksen (EU) 2018/1139 3 artiklan 6 kohdassa määriteltyjä ATM/ANS-rakenneosia ja mainitun asetuksen 3 artiklan 7 kohdassa määriteltyjä ATM/ANS-järjestelmiä, lukuun ottamatta ilma-aluksissa olevia rakenneosia, joihin sovelletaan komission asetusta (EU) N:o 748/2012 (4);

’ATM/ANS-laitemääräyksellä’ viraston julkaisemaa asiakirjaa, jossa annetaan ATM/ANS-palvelujen tarjoajille tehtäväksi toteuttaa ATM/ANS-laitteiden osalta toimia, joilla puututaan todettuun turvallisuuden ja/tai turvatoimet vaarantavaan tilaan sekä palautetaan ATM/ANS-laitteen suorituskyky ja yhteentoimivuus, jos on näyttöä siitä, että kyseisen laitteen turvallisuus, turvatoimet, suorituskyky tai yhteentoimivuus voi muuten vaarantua.

3 artikla

Toimivaltaista viranomaista koskevat vaatimukset

1. Tätä asetusta sovellettaessa virasto on toimivaltainen viranomainen, joka vastaa hyväksyntöjen myöntämisestä ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuville organisaatioille sekä kyseisten organisaatioiden valvonnasta ja vaatimustenmukaisuuden varmistamisesta.

2. Viraston on täytettävä liitteessä I (osa DPO.AR) vahvistetut yksityiskohtaiset vaatimukset suorittaessaan sertifiointia, tutkintaa, tarkastuksia, auditointeja ja muita seurantatoimia, jotka ovat tarpeen tämän asetuksen soveltamisalaan kuuluvien ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden tehokkaan valvonnan varmistamiseksi. Virasto voi pyytää kansallisilta toimivaltaisilta viranomaisilta hallinnollista tukea sertifiointi-, valvonta- ja vaatimustenmukaisuuden varmistamistehtäviensä hoitamiseen suorittaessaan tämän asetuksen mukaisia tehtäviään.

4 artikla

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvat organisaatiot

1. Organisaation, joka osallistuu sellaisten ATM/ANS-laitteiden suunnitteluun tai tuotantoon, jotka on sertifioitava delegoidun asetuksen (EU) 2023/1768 4 artiklan mukaisesti, tai joista on annettava suunnittelun vaatimustenmukaisuusilmoitus mainitun asetuksen 5 artiklan mukaisesti, on osoitettava valmiutensa ATM/ANS-laitteiden suunnittelu- tai tuotanto-organisaationa liitteen II (osa DPO.OR) mukaisesti.

2. Euroopan geostationaarisen navigointilisäjärjestelmän (EGNOS) ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden katsotaan täyttävän tämän asetuksen liitteen II vaatimukset, kun ne osoittavat noudattavansa asetusta (EU) 2021/696 ja EGNOSiin mainitun asetuksen nojalla sovellettavia hallinto-, suunnittelu- ja laatustandardeja. Tällaisilta organisaatioilta ei vaadita viraston hyväksyntää.

Euroopan unionin avaruusohjelmavirasto varmistaa suunnittelu- tai tuotanto-organisaation roolissaan, että muut EGNOSin laitteiden suunnitteluun tai tuotantoon osallistuvat organisaatiot noudattavat suunnittelu- ja tuotantoprosesseja, joiden tuloksena saavutetaan liitteen II (osa DPO.OR) mukainen turvallisuuden ja yhteentoimivuuden taso.

5 artikla

Täytäntöönpanoasetuksen (EU) 2023/203 (5) muuttaminen

Muutetaan täytäntöönpanoasetus (EU) 2023/203 seuraavasti:

Lisätään 2 artiklan 1 kohtaan j alakohta seuraavasti:

”j)	ATM/ANS-järjestelmien ja ATM/ANS-rakenneosien suunnitteluun tai tuotantoon osallistuvat hyväksytyt organisaatiot, joihin sovelletaan komission täytäntöönpanoasetusta (EU) 2023/1769 (*1).

(*1) Komission täytäntöönpanoasetus (EU) 2023/1769 annettu 12 päivänä syyskuuta 2023, ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen järjestelmien ja rakenneosien suunnitteluun tai tuotantoon osallistuvien organisaatioiden hyväksyntää koskevista teknisistä vaatimuksista ja hallinnollisista menettelyistä sekä täytäntöönpanoasetuksen (EU) 2023/203 muuttamisesta (EUVL L 228, XX.9.2023, s. 19).” "

Lisätään 6 artiklan 1 kohtaan h alakohta seuraavasti:

”h)	edellä 2 artiklan 1 kohdan j alakohdassa tarkoitettujen organisaatioiden osalta täytäntöönpanoasetuksen (EU) 2023/1769 3 artiklan 1 kohdan mukaisesti nimetty toimivaltainen viranomainen.”

6 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 12 päivänä syyskuuta 2023.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN

(1) EUVL L 212, 22.8.2018, s. 1.

(2) Komission delegoitu asetus (EU) 2023/1768, annettu 14 päivänä heinäkuuta 2023, ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen järjestelmien sekä ilmaliikenteen hallinnan ja lennonvarmistuspalvelujen rakenneosien sertifiointia ja ilmoittamista koskevista yksityiskohtaisista säännöistä (ks. tämän virallisen lehden s. 1).

(3) Euroopan parlamentin ja neuvoston asetus (EU) 2021/696, annettu 28 päivänä huhtikuuta 2021, unionin avaruusohjelman ja Euroopan unionin avaruusohjelmaviraston perustamisesta sekä asetusten (EU) N:o 912/2010, (EU) N:o 1285/2013 ja (EU) N:o 377/2014 ja päätöksen N:o 541/2014/EU kumoamisesta (EUVL L 170, 12.5.2021, s. 69).

(4) Komission asetus (EU) N:o 748/2012, annettu 3 päivänä elokuuta 2012, ilma-alusten ja niihin liittyvien tuotteiden, osien ja laitteiden lentokelpoisuus- ja ympäristösertifiointia sekä suunnittelu- ja tuotanto-organisaatioiden sertifiointia koskevista täytäntöönpanosäännöistä (EUVL L 224, 21.8.2012, s. 1).

(5) Komission täytäntöönpanoasetus (EU) 2023/203, annettu 27 päivänä lokakuuta 2022, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 soveltamissäännöistä komission asetusten (EU) N:o 1321/2014, (EU) N:o 965/2012, (EU) N:o 1178/2011 ja (EU) 2015/340 ja komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 soveltamisalaan kuuluvia organisaatioita sekä komission asetusten (EU) N:o 748/2012, (EU) N:o 1321/2014, (EU) N:o 965/2012, (EU) N:o 1178/2011, (EU) 2015/340 ja (EU) N:o 139/2014 ja komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 soveltamisalaan kuuluvia toimivaltaisia viranomaisia varten ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien hallintaa koskevien vaatimusten osalta sekä komission asetusten (EU) N:o 1178/2011, (EU) N:o 748/2012, (EU) N:o 965/2012, (EU) N:o 139/2014, (EU) N:o 1321/2014 ja (EU) 2015/340 ja komission täytäntöönpanoasetusten (EU) 2017/373 ja (EU) 2021/664 muuttamisesta (EUVL L 31, 2.2.2023, s. 1).

LIITE I

VIRASTOA KOSKEVAT VAATIMUKSET

(Osa DPO.AR)

OSASTO A YLEISET VAATIMUKSET (DPO.AR.A)

DPO.AR.A.001 Soveltamisala

Tässä liitteessä vahvistetaan vaatimukset, jotka koskevat suunnittelu- tai tuotanto-organisaatioiden sertifiointiin, valvontaan ja vaatimustenmukaisuuden varmistamiseen liittyviä viraston hallinto- ja hallintajärjestelmiä, kun virasto hoitaa tehtäviään ja velvollisuuksiaan.

DPO.AR.A.010 Välitön reagointi turvallisuus-, turva- ja yhteentoimivuusongelmaan

Virasto ottaa käyttöön järjestelmän, jolla kerätään, analysoidaan ja levitetään asianmukaisesti turvallisuus-, turva- ja yhteentoimivuustietoja, sanotun kuitenkaan rajoittamatta Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 376/2014 (1) ja sen nojalla annettujen delegoitujen ja täytäntöönpanosäädösten soveltamista.

Virasto toteuttaa a alakohdassa tarkoitetut tiedot saatuaan asianmukaiset toimenpiteet havaittujen turvallisuus-, turva- tai yhteentoimivuusongelmien ratkaisemiseksi, mukaan lukien ATM/ANS-laitemääräyksen julkaiseminen delegoidun asetuksen (EU) 2023/1768 liitteessä I olevan ATM/ANS.EQMT.AR.A.030 kohdan mukaisesti.

c)	Toimenpiteistä, jotka on toteutettu b alakohdan mukaisesti, on ilmoitettava viipymättä sille organisaatiolle, jonka on DPO.OR.A.035 kohdan mukaisesti noudatettava niitä. Asiasta on ilmoitettava myös asianomaisten ATM/ANS-palvelujen tarjoajien toimivaltaisille viranomaisille.

DPO.AR.A.015 Välitön reagointi ilmailun turvallisuuteen vaikuttavaan tietoturvapoikkeamaan tai haavoittuvuuteen

Virasto ottaa käyttöön järjestelmän, jolla kerätään, analysoidaan ja jaetaan asianmukaisesti tiedot, jotka koskevat niitä organisaatioiden ilmoittamia tietoturvapoikkeamia ja haavoittuvuuksia, joilla saattaa olla vaikutusta ilmailun turvallisuuteen. Tämä on toteutettava koordinoidusti muiden tietoturvasta tai kyberturvallisuudesta jäsenvaltiossa vastaavien asiaankuuluvien viranomaisten kanssa ilmoitusjärjestelmien koordinoinnin ja yhteensopivuuden lisäämiseksi.

b)	Virasto toteuttaa a alakohdassa tarkoitetut tiedot saatuaan asianmukaiset toimenpiteet, joilla puututaan tietoturvapoikkeaman tai haavoittuvuuden mahdolliseen vaikutukseen ilmailun turvallisuuteen.

Edellä b alakohdassa tarkoitetuista toimenpiteistä on ilmoitettava välittömästi kaikille henkilöille tai organisaatioille, joiden on asetuksen (EU) 2018/1139 ja sen nojalla annettujen delegoitujen ja täytäntöönpanosäädösten mukaan noudatettava niitä. Virasto ilmoittaa näistä toimenpiteistä myös asianomaisten jäsenvaltioiden toimivaltaisille viranomaisille.

OSASTO B – HALLINTO (DPO.AR.B)

DPO.AR.B.001 Hallintojärjestelmä

Virasto perustaa hallintojärjestelmän ja pitää sitä yllä, ja tähän järjestelmään on kuuluttava vähintään

dokumentoidut periaatteet ja menettelyt, jotka kuvaavat viraston organisaatiota sekä niitä keinoja ja menetelmiä, joilla varmistetaan asetuksen (EU) 2018/1139 sekä sen nojalla annettujen delegoitujen ja täytäntöönpanosäädösten noudattaminen sen mukaan, mikä on tarpeen sen sertifiointi-, valvonta- ja täytäntöönpanon varmistamistehtävien hoitamiseksi; menettelyt on pidettävä ajan tasalla ja niitä on käytettävä perustyöasiakirjoina viraston kaikissa asiaankuuluvissa tehtävissä;

2)	riittävä määrä henkilöstöä, jotta se voi suorittaa tehtävänsä ja täyttää tämän asetuksen mukaiset velvollisuutensa; henkilöstön käytettävyyden suunnittelemista varten käytössä on oltava järjestelmä, jonka avulla varmistetaan kaikkien asianmukaisten tehtävien toteuttaminen;

3)	henkilöstö, jolla on kelpoisuus sille annettujen tehtävien suorittamiseen sekä tarpeelliset tiedot ja kokemus ja jotka ovat saaneet perus- ja määräaikaiskoulutusta jatkuvan pätevyyden varmistamiseksi;

4)	riittävät välineet ja toimistotilat annettujen tehtävien suorittamista varten;

toiminto, jolla valvotaan, että hallintojärjestelmä on asiaankuuluvien vaatimusten mukainen ja että menettelyt ovat riittäviä; tähän kuuluu myös sisäisen auditoinnin ja turvallisuusriskien hallinnan menettelyjen laatiminen; vaatimustenmukaisuuden seurantaan on sisällyttävä järjestelmä, jolla auditoinneissa tehdyistä havainnoista annetaan palautetta viraston ylimmälle johdolle tarvittavien korjaavien toimien toteuttamisen varmistamiseksi;

6)	henkilö tai henkilöryhmä, joka viime kädessä vastaa viraston ylimmälle johdolle vaatimustenmukaisuuden valvontatoiminnosta.

b)	Virasto nimittää jokaiselle hallintojärjestelmään kuuluvalle toimialalle yhden tai useamman henkilön, jolla on kokonaisvastuu asiaankuuluvien tehtävien hallinnoinnista.

Virasto laatii menettelyt, joilla se osallistuu kaikkien tarvittavien tietojen keskinäiseen vaihtoon komission täytäntöönpanoasetuksen (EU) 2017/373 (2) 4 artiklassa tarkoitettujen muiden toimivaltaisten viranomaisten kanssa, ja antaa niille apua tai pyytää niiltä apua, mukaan lukien DPO.OR.A.045 kohdassa vaadituista pakollisista ja vapaaehtoisista poikkeamailmoituksista saadut tiedot;

d)	Viraston perustaman ja ylläpitämän hallintojärjestelmän on oltava täytäntöönpanoasetuksen (EU) 2023/203 liitteen I (osa IS.AR) mukainen, jotta varmistetaan ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukainen hallinta.

DPO.AR.B.010 Hallintojärjestelmän muutokset

Virastolla on oltava käytössään järjestelmä sellaisten muutosten tunnistamiseksi, jotka vaikuttavat sen valmiuksiin suorittaa tehtäviään ja täyttää sille asetuksessa (EU) 2018/1139 sekä sen nojalla annetuissa delegoiduissa ja täytäntöönpanosäädöksissä asetetut velvollisuudet. Järjestelmän avulla viraston on pystyttävä toteuttamaan tarkoituksenmukaisia toimia sen varmistamiseksi, että hallintojärjestelmä pysyy riittävänä ja tehokkaana.

b)	Varmistaakseen hallintojärjestelmänsä tehokkaan täytäntöönpanon virasto saattaa järjestelmän nopeasti ajan tasalle niin, että siinä otetaan huomioon asetukseen (EU) 2018/1139 sekä sen nojalla annettuihin delegoituihin säädöksiin ja täytäntöönpanosäädöksiin mahdollisesti tehtävät muutokset.

DPO.AR.B.015 Tietojen tallentaminen

Virasto ottaa käyttöön tietojen tallennusjärjestelmän, jolla turvataan seuraavien tietojen asianmukainen säilytys, saatavuus ja luotettava jäljitettävyys:

1)	hallintojärjestelmän dokumentoidut periaatteet ja menettelyt;

2)	DPO.AR.B.001 kohdan a alakohdan 3 alakohdan mukaan vaadittavat henkilöstön koulutus, kelpoisuus ja valtuudet;

3)	delegoidun asetuksen (EU) 2023/1768 liitteessä I olevassa ATM/ANS.EQMT.AR.A.020 kohdassa vaaditut seikat kattava tehtävien osoittaminen sekä yksityiskohtaiset tiedot annetuista tehtävistä;

hyväksyntäprosessi niiden organisaatioiden osalta, jotka osallistuvat ATM/ANS-laitteiden suunnitteluun tai tuotantoon, sertifiointiprosessi ja ATM/ANS-laitteiden suunnittelun vaatimustenmukaisuusilmoitusten rekisteröinti ja jatkuva valvonta, mukaan lukien seuraavat:

i)	hyväksyntähakemukset;

ii)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuville organisaatioille myönnetyt hyväksynnät niihin liittyvine oikeuksineen ja mahdollisine muutoksineen;

iii)	myönnetyt ATM/ANS-laitetodistukset sekä viraston niihin mahdollisesti tekemät muutokset;

iv)	kaikki voimassa olevat ATM/ANS-laitteiden suunnittelun vaatimustenmukaisuusilmoitukset, jotka virasto on rekisteröinyt;

v)	viraston jatkuvan valvonnan ohjelma, mukaan lukien arviointeja, auditointeja ja tarkastuksia koskevat tiedot;

vi)	valvontaohjelman jäljennös, joka sisältää auditointien suunnitellut ja toteutuneet päivämäärät;

vii)	jäljennökset kaikesta virallisesta kirjeenvaihdosta;

viii)

suositukset todistuksen antamiseksi tai jatkamiseksi taikka ilmoituksen rekisteröinnin jatkamiseksi, yksityiskohtaiset tiedot havainnoista ja toimista, joita organisaatio on toteuttanut kyseisten havaintojen sulkemiseksi, mukaan lukien kunkin havainnon sulkemispäivä, täytäntöönpanon varmistamistoimet ja huomautukset;

ix)	mahdolliset arviointi-, auditointi- tai tarkastusraportit;

x)	jäljennökset kaikista organisaation ohjekirjoista, menettelyistä ja prosesseista tai käsikirjoista sekä niihin tehdyistä muutoksista;

xi)	jäljennökset kaikista muista viraston hyväksymistä asiakirjoista;

5)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden ehdottamista vaihtoehtoisista vaatimusten täyttämisen menetelmistä ilmoittaminen ja arviointi sekä näiden vaihtoehtoisten vaatimusten täyttämisen menetelmien arviointi;

6)	turvallisuustiedot, ATM/ANS-laitemääräykset ja seurantatoimenpiteet;

7)	asetuksen (EU) 2018/1139 76 artiklan 4 kohdan mukaisten joustavuussäännösten käyttäminen.

b)	Virasto pitää yllä luetteloa myöntämistään todistuksista ja rekisteröimistään ilmoituksista.

Kaikki a ja b alakohdassa tarkoitetut tiedot on talletettava tavalla, joka suojaa ne vahingoittumiselta, muuttamiselta ja varkauksilta, ja säilytettävä vähintään viiden vuoden ajan sen jälkeen, kun hyväksyntöjen ja todistusten voimassaolo on päättynyt tai ilmoitukset peruutettu, jollei sovellettavasta tietosuojalainsäädännöstä muuta johdu.

OSASTO C SERTIFIOINTI, VALVONTA JA TÄYTÄNTÖÖNPANON VARMISTAMINEN (DPO.AR.C)

DPO.AR.C.001 Hyväksynnän myöntäminen ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuville organisaatioille

a)	Hyväksynnän myöntämistä ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvalle organisaatiolle koskevan hakemuksen saatuaan virasto varmistaa, että organisaatio täyttää delegoidun asetuksen (EU) 2023/1768 liitteissä II ja III sekä tämän asetuksen liitteessä II vahvistetut vaatimukset.

b)	Virasto voi pyytää tarpeellisiksi katsomiaan auditointeja, tarkastuksia tai arviointeja ennen hyväksynnän myöntämistä kaikkien tämän liitteen lisäyksessä 1 esitettyjen asiaankuuluvien tietojen kanssa.

Hyväksyntä myönnetään rajoittamattomaksi ajaksi. Oikeudet, jotka koskevat niitä toimintoja, joita organisaatio on hyväksytty suorittamaan, on määriteltävä hyväksyntään liitetyissä ehdoissa.

1)	ATM/ANS-laitteiden suunnitteluun osallistuvan organisaation osalta ehdoissa on eriteltävä suunnittelutyön tyyppi ja niiden ATM/ANS-laitteiden luokat, joita varten organisaatiolla on hyväksyntä, sekä oikeudet, joita organisaatiolla on oikeus käyttää.

2)	ATM/ANS-laitteiden tuotantoon osallistuvan organisaation osalta ehdoissa on eriteltävä työn laajuus ja ne ATM/ANS-laitteet tai -laiteluokat tai molemmat, joiden osalta hyväksynnän haltijalla on oikeus käyttää oikeuksia.

Hyväksyntää ei myönnetä, jos DPO.AR.C.015 kohdassa tarkoitettu tason 1 havainto on edelleen avoinna. Poikkeuksellisissa olosuhteissa organisaation on tarpeen mukaan arvioitava muut kuin tason 1 havainnot, lievennettävä niitä ja saatava viraston hyväksyntä korjaavien toimien suunnitelmalle havaintojen sulkemiseksi ennen hyväksynnän myöntämistä.

e)	Kaikki hyväksyntään ja sen ehtoihin tehtävät muutokset edellyttävät viraston hyväksyntää.

DPO.AR.C.005 Valvontaohjelma

Virasto laatii ja saattaa vuosittain ajan tasalle valvontaohjelman, jossa otetaan huomioon sen valvomien organisaatioiden erityisluonne, toiminnan vaativuus sekä aiempien sertifiointi- tai valvontatoimien tulokset ja joka perustuu toimintaan liittyvien riskien arviointiin. Valvontaohjelmaan on sisällyttävä auditointeja, jotka täyttävät seuraavat vaatimukset:

1)	ne kattavat kaikki osa-alueet, jotka voivat aiheuttaa ongelmia, ja niissä keskitytään erityisesti niihin osa-alueisiin, joilla ongelmia on aiemmin todettu;

2)	ne kattavat kaikki viraston valvonnassa olevat organisaatiot, todistukset ja ilmoitukset;

3)	ne kattavat organisaatioiden käyttämät keinot henkilöstönsä pätevyyden varmistamiseksi;

4)	niillä varmistetaan auditointien suorittaminen tavalla, joka vastaa organisaation toimintaan liittyvän riskin tasoa;

niillä varmistetaan, että viraston valvomiin organisaatioihin sovelletaan enintään 24 kuukauden pituista valvonnan suunnittelujaksoa.

Valvonnan suunnittelujaksoa voidaan lyhentää, jos on näyttöä siitä, että organisaation turvallisuustaso on heikentynyt.

Valvonnan suunnittelujaksoa voidaan pidentää enintään 36 kuukauteen, jos virasto on todennut, että edellisten 24 kuukauden aikana

i)	organisaatio on jatkuvasti osoittanut täyttävänsä DPO.OR.B.005 kohdan mukaiset muutoksenhallintavaatimukset;

ii)	ei ole tehty DPO.AR.C.015 kohdassa tarkoitettuja tason 1 havaintoja;

iii)	kaikki DPO.AR.C.015 kohdassa tarkoitetut korjaavat toimet on toteutettu DPO.AR.C.015 kohdassa määritellyssä viraston hyväksymässä tai sen pidentämässä määräajassa.

Jos organisaatio on i, ii ja iii alakohdan lisäksi ottanut käyttöön tehokkaan jatkuvan virastolle raportoinnin järjestelmän, joka koskee säännösten noudattamista ja joka on hyväksytty, valvonnan suunnittelujakso voidaan pidentää enintään 48 kuukauteen;

6)	niillä varmistetaan DPO.AR.C.015 kohdassa tarkoitettujen korjaavien toimien toteuttamisen seuranta;

7)	niistä kuullaan asianomaisia organisaatioita, minkä jälkeen niistä ilmoitetaan;

8)	niissä ilmoitetaan tarvittaessa eri toimipaikkoja varten suunnitellut tarkastusvälit.

b)	Virasto voi päättää tarpeen mukaan muuttaa etukäteen suunniteltujen auditointien tavoitteita ja laajuutta, asiakirjojen tarkastelu ja lisäauditoinnit mukaan luettuina.

c)	Virasto päättää, mitkä järjestelyt, osatekijät, fyysiset paikat ja toimet on tarkastettava tietyn ajan kuluessa.

d)	DPO.AR.C.015 kohdan mukaisesti esitetyt auditointihuomautukset ja -havainnot on dokumentoitava.

e)	Havaintojen tueksi on esitettävä todisteet, ja ne on yksilöitävä suhteessa niihin sovellettaviin vaatimuksiin ja täytäntöönpanojärjestelyihin, joiden noudattamista auditoinnissa on tarkasteltu.

f)	On laadittava auditointikertomus, joka sisältää yksityiskohtaiset tiedot havainnoista ja huomautuksista, ja toimitettava se asianomaiselle organisaatiolle.

DPO.AR.C.010 Tietoturvan hallintajärjestelmän muutokset

Niiden muutosten osalta, joita hallinnoidaan ja joista ilmoitetaan virastolle täytäntöönpanoasetuksen (EU) 2023/203 liitteessä II (osa IS.I.OR) olevan IS.I.OR.255 kohdan a alakohdan mukaisella menettelyllä, virasto sisällyttää muutosten uudelleentarkastelun jatkuvan valvonnan ohjelmaansa tässä liitteessä olevassa DPO.AR.C.005 kohdassa vahvistettujen periaatteiden mukaisesti. Jos vaatimusten noudattamisessa havaitaan puutteita, virasto ilmoittaa asiasta organisaatiolle, pyytää lisämuutoksia ja toimii tämän liitteen DPO.AR.C.015 kohdan mukaisesti.

Muiden sellaisten muutosten osalta, jotka edellyttävät hyväksynnän hakemista täytäntöönpanoasetuksen (EU) 2023/203 liitteessä II (osa IS.I.OR) olevan IS.I.OR.255 kohdan b alakohdan mukaisesti:

1)	saatuaan muutosta koskevan hakemuksen virasto tarkistaa ennen hyväksynnän antamista, täyttääkö organisaatio sovellettavat vaatimukset;

2)	virasto vahvistaa edellytykset, joilla organisaatio voi toimia muutoksen toteuttamisen aikana;

3)	kun virasto on vakuuttunut siitä, että organisaatio täyttää sovellettavat vaatimukset, se hyväksyy muutoksen.

DPO.AR.C.015 Poikkeamahavainnot, korjaavat toimet ja toimenpiteet täytäntöönpanon varmistamiseksi

Jos virasto tutkinnan tai valvonnan aikana tai muulla tavoin havaitsee, että jotakin tämän asetuksen vaatimusta tai sen edellyttämää menettelyä tai käsikirjaa taikka tämän asetuksen mukaisesti annettua todistusta tai ilmoitusta ei ole noudatettu, se tekee havainnon, sanotun kuitenkaan rajoittamatta asetuksessa (EU) 2018/1139 edellytettyjen lisätoimien toteuttamista.

Virastolla on käytössään järjestelmä, jolla

1)	analysoidaan havaintoja sen kannalta, mikä merkitys niillä on turvallisuudelle ja yhteentoimivuudelle;

2)	yksilöidään asianmukaiset vaatimustenmukaisuuden varmistamistoimenpiteet, mukaan lukien hyväksyntöjen ja todistusten voimassaolon keskeyttäminen tai peruuttaminen;

3)	annetaan määräyksiä organisaation vaatimustenvastaisuudesta aiheutuvan riskin perusteella.

Virasto tekee tason 1 havainnon, kun se havaitsee delegoidun asetuksen (EU) 2023/1768 liitteessä I olevan ATM/ANS.EQMT.AR.B.001 kohdan mukaisia merkittäviä puutteita, jotka voivat johtaa hallitsemattomaan vaatimustenvastaisuuteen ja mahdolliseen ei-toivottuun tilaan.

Tason 1 havaintoihin kuuluvat muun muassa seuraavat:

1)	sellaisten toimintamenetelmien voimaan saattaminen, jotka aiheuttavat merkittävän riskin organisaation toiminnalle;

2)	organisaation hyväksynnän saaminen tai voimassa pitäminen esittämällä väärennettyjä asiakirjatodisteita;

3)	todisteet organisaation hyväksynnän väärinkäytöstä tai vilpillisestä käytöstä;

4)	vastuullisen johtajan puuttuminen.

Virasto tekee tason 2 havainnon, jos havaitaan, että jotakin seuraavista vaatimuksista ei ole noudatettu:

i)	asetuksen (EU) 2018/1139 sovellettavat vaatimukset;

ii)	asetuksen (EU) 2018/1139 nojalla annetut delegoidut ja täytäntöönpanosäädökset;

iii)	asetuksessa (EU) 2018/1139 vaaditut menetelmät ja käsikirjat; tai

iv)	asetuksen (EU) 2018/1139 mukaisesti myönnetty hyväksyntä,

kun tätä ei luokitella tason 1 havainnoksi.

Kun havainto tehdään, virasto ilmoittaa siitä kirjallisesti asianomaiselle organisaatiolle ja vaatii sitä toteuttamaan korjaavia toimia havaitun vaatimustenvastaisuuden korjaamiseksi, sanotun kuitenkaan rajoittamatta asetuksessa (EU) 2018/1139 ja sen nojalla annetuissa delegoiduissa ja täytäntöönpanosäädöksissä edellytettyjen lisätoimien toteuttamista.

1)	Tason 1 havaintojen osalta virasto toteuttaa välittömästi asianmukaiset vaatimustenmukaisuuden varmistamistoimenpiteet ja se voi tarvittaessa rajoittaa hyväksyntää taikka keskeyttää tai peruuttaa sen kokonaan tai osittain, kunnes organisaatio on toteuttanut korjaavat toimet onnistuneesti.

Jos virasto tekee tason 2 havainnon, se

i)	antaa organisaatiolle korjaavien toimien toteuttamiseen määräajan, joka esitetään toimia koskevassa suunnitelmassa ja joka vastaa havainnon luonnetta;

ii)	arvioi organisaation ehdottaman korjaavien toimien suunnitelman ja sen toteuttamissuunnitelman ja hyväksyy ne, jos niitä pidetään arvioinnin perusteella riittävinä puutteiden korjaamiseksi;

Jos kyse on tason 2 havainnosta eikä organisaatio toimita sellaista korjaavia toimia koskevaa suunnitelmaa, jonka virasto voi poikkeamahavainnon luonteen huomioon ottaen hyväksyä, tai organisaatio ei toteuta korjaavia toimia viraston hyväksymässä tai sen pidentämässä määräajassa, havainto voidaan nostaa tasolle 1 ja on toteutettava e kohdan 1 alakohdan mukaiset toimet.

f)	Jos tason 1 tai 2 havainto ei ole tarpeen, virasto voi esittää huomautuksia.

Virasto

1)	keskeyttää todistuksen voimassaolon, jos se katsoo, että tällainen toimi on tarpeen ATM/ANS-laitteen turvallisuuteen, suorituskykyyn tai yhteentoimivuuteen kohdistuvan uskottavan uhkan torjumiseksi;

2)	julkaisee ATM/ANS-laitemääräyksen delegoidun asetuksen (EU) 2023/1768 liitteessä I olevan ATM/ANS.EQMT.AR.A.030 kohdan mukaisissa tilanteissa;

3)	keskeyttää todistuksen voimassaolon, peruuttaa sen kokonaan tai rajoittaa sitä, jos tällainen toimi on tarpeen c alakohdan mukaisesti;

4)	ryhtyy välittömiin ja asianmukaisiin toimenpiteisiin organisaation taikka luonnollisen henkilön tai oikeushenkilön toiminnan rajoittamiseksi tai kieltämiseksi, jos virasto perustellusti katsoo, että tällainen toimenpide on tarpeen ATM/ANS-laitteeseen kohdistuvan uskottavan uhkan torjumiseksi;

5)	rekisteröi suunnittelun vaatimustenmukaisuusilmoituksen vasta sen jälkeen, kun kaikki ensimmäisen valvontatutkinnan havainnot on saatu ratkaistua;

6)	peruuttaa suunnittelun vaatimustenmukaisuusilmoituksen rekisteröinnin väliaikaisesti tai pysyvästi, jos se katsoo, että tällainen toimi on tarpeen ATM/ANS-laitteen turvallisuuteen, suorituskykyyn tai yhteentoimivuuteen kohdistuvan uskottavan uhkan torjumiseksi;

toteuttaa muita vaatimustenmukaisuuden varmistamistoimenpiteitä, jotka ovat tarpeen sen varmistamiseksi, että puutteet asetuksen (EU) 2018/1139 liitteen VIII ja tapauksen mukaan liitteen VII sekä tämän liitteen keskeisten vaatimusten noudattamisessa korjataan ja tarvittaessa lievennetään niiden seurauksia.

h)	Toteuttaessaan g alakohdan mukaisia vaatimustenmukaisuuden varmistamistoimenpiteitä virasto ilmoittaa niistä toimenpiteiden kohteelle, esittää niiden syyt ja ilmoittaa kohteelle tämän muutoksenhakuoikeudesta.

(1) Euroopan parlamentin ja neuvoston asetus (EU) N:o 376/2014, annettu 3 päivänä huhtikuuta 2014, poikkeamien ilmoittamisesta, analysoinnista ja seurannasta siviili-ilmailun alalla, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 996/2010 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2003/42/EY, komission asetusten (EY) N:o 1321/2007 ja (EY) N:o 1330/2007 kumoamisesta (EUVL L 122, 24.4.2014, s. 18).

(2) Komission täytäntöönpanoasetus (EU) 2017/373, annettu 1 päivänä maaliskuuta 2017, ilmaliikenteen hallinta- ja lennonvarmistuspalvelujen sekä muiden ilmaliikenteen hallintaverkon toimintojen palveluntarjoajia koskevista yhteisistä vaatimuksista ja näiden palveluntarjoajien valvonnasta, asetuksen (EY) N:o 482/2008 sekä täytäntöönpanoasetusten (EU) N:o 1034/2011, (EU) N:o 1035/2011 ja (EU) 2016/1377 kumoamisesta ja asetuksen (EU) N:o 677/2011 muuttamisesta (EUVL L 62, 8.3.2017, s. 1).

LIITE II

ATM/ANS-LAITTEIDEN SUUNNITTELUUN TAI TUOTANTOON OSALLISTUVIA ORGANISAATIOITA KOSKEVAT VAATIMUKSET

(Osa DPO.OR)

OSASTO A – YLEISET VAATIMUKSET (DPO.OR.A)

DPO.OR.A.001 Soveltamisala

Tässä liitteessä vahvistetaan yhteiset vaatimukset, jotka koskevat ATM/ANS-laitteiden suunnittelu- tai tuotanto-organisaation hyväksynnän hakijan ja haltijan oikeuksia ja velvollisuuksia.

DPO.OR.A.005 Hakukelpoisuus

Suunnittelu- tai tuotanto-organisaation hyväksyntää voi tässä liitteessä vahvistetuin edellytyksin hakea luonnollinen henkilö tai oikeushenkilö, joka on osoittanut tai aikoo osoittaa valmiutensa suunnitella tai tuottaa ATM/ANS-laitteita DPO.OR.A.010 kohdan mukaisesti.

DPO.OR.A.010 Suunnittelu- tai tuotanto-organisaation hyväksyntää koskeva hakemus ja valmiuksien osoittaminen

a)	Suunnittelu- tai tuotanto-organisaation hyväksyntää koskeva hakemus on tehtävä viraston vahvistamassa muodossa ja sen vahvistamalla tavalla.

Hyväksynnän saadakseen ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on täytettävä tässä asetuksessa säädetyt vaatimukset siltä osin kuin niitä sovelletaan sellaiseen ATM/ANS-järjestelmien ja ATM/ANS-rakenneosien suunnitteluun tai tuotantoon, jota organisaatio harjoittaa tai aikoo harjoittaa.

DPO.OR.A.015 Organisaation käsikirja

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on laadittava ja ylläpidettävä organisaation käsikirjaa, jossa annetaan seuraavat tiedot:

1)	vastuullisen johtajan allekirjoittama vakuutus siitä, että organisaation käsikirjaa ja muita siihen liittyviä käsikirjoja, joissa määritellään, miten organisaatio täyttää vaatimukset, noudatetaan jatkuvasti;

2)	DPO.OR.B.020 kohdassa tarkoitettujen avainhenkilöiden tehtävänimikkeet ja nimet;

3)	johtajan tai johtajien tehtävät ja vastuut, mukaan lukien asiat, joissa he voivat olla suoraan yhteydessä virastoon organisaation puolesta;

4)	organisaatiorakenne, josta käy ilmi johtajien vastuut ja velvollisuudet koko organisaatiossa, myös vastuullisen johtajan suora vastuu;

5)	yleiskuvaus organisaation työvoimaresursseista;

6)	yleiskuvaus toimitiloista, jotka sijaitsevat kussakin organisaation hyväksynnässä mainitussa paikassa;

7)	yleiskuvaus organisaation hyväksymisehtojen mukaisesta työn laajuudesta;

menettelyt, joilla todennetaan ja osoitetaan, että ATM/ANS-laitteen suunnittelu tai suunnittelun muutokset ovat sovellettavien yksityiskohtaisten eritelmien ja vaatimusten mukaisia, sellaisina kuin ne vahvistetaan delegoidussa asetuksessa (EU) 2023/1768 ja ettei siinä ole turvallisuuden vaarantavia tai puutteellisesti suojattuja ominaisuuksia;

9)	menettely teknisten tietojen ja tallenteiden laatimiseksi ja ylläpitämiseksi kunkin sellaisen ATM/ANS-laitteen kunkin mallin osalta, jolle on annettu todistus tai josta on annettu suunnittelun vaatimustenmukaisuusilmoitus delegoidun asetuksen (EU) 2023/1768 mukaisesti;

10)	menettelyt organisaatiomuutosten ilmoittamiseksi virastolle;

11)	organisaation käsikirjan muutosmenettely;

12)	organisaation hallintojärjestelmän ja -menettelyjen kuvaus suoraan tai ristiviittauksin;

13)	kuvaus suoraan tai ristiviittauksin tämän liitteen DPO.OR.B.015 kohdassa tarkoitetusta alihankkijoiden hallinnoinnista ja valvontamenettelyistä.

b)	Organisaation käsikirjaa muutettava tarpeen mukaan organisaation kuvauksen pitämiseksi ajan tasalla, ja virastolle on toimitettava jäljennös käsikirjasta ja kaikista sen muutoksista.

c)	Tämän liitteen DPO.OR.B.005 kohdassa tarkoitetun muutoshyväksyntähakemuksen on perustuttava organisaation käsikirjaan ehdotettujen muutosten hyväksyttämiseen.

DPO.OR.A.025 Organisaation hyväksynnän voimassaolo, voimassa pitäminen ja oikeudet

Organisaation hyväksyntä on voimassa rajoittamattoman ajan edellyttäen, että

1)	organisaatio noudattaa jatkuvasti asetusta (EU) 2018/1139 ja sen nojalla annettuja delegoituja ja täytäntöönpanosäädöksiä;

2)	organisaatio ei ole luopunut hyväksynnästä eikä virasto ole keskeyttänyt tai peruuttanut hyväksyntää.

b)	Jos hyväksyntä on annettu paperimuodossa, se on palautettava virastolle viipymättä, kun se peruutetaan tai siitä luovutaan.

Organisaation hyväksynnän haltijalla on hyväksymisehtojensa puitteissa ja suunnittelunhallintajärjestelmän asiaa koskevien menettelyjen mukaisesti oikeus

1)	luokitella ATM/ANS-laitteen muutos suureksi tai pieneksi;

2)	hyväksyä pieniä muutoksia delegoidun asetuksen (EU) 2023/1768 mukaisesti myönnettyihin ATM/ANS-laitetodistuksiin ja/tai annettuihin ilmoituksiin;

3)	hyväksyä tiettyjä suuria muutoksia delegoidun asetuksen (EU) 2023/1768 liitteen mukaisesti myönnettyihin ATM/ANS-laitetodistuksiin;

4)	antaa delegoidun asetuksen (EU) 2023/1768 5 artiklan mukaisia ilmoituksia ATM/ANS-laitteiden suunnittelun vaatimustenmukaisuudesta;

5)	antaa delegoidun asetuksen (EU) 2023/1768 6 artiklan mukaisia ATM/ANS-laitteiden vaatimustenmukaisuusvakuutuksia.

DPO.OR.A.030 Tarkastusten helpottaminen ja yhteistyö

a)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on helpotettava viraston tai sen puolesta toimivan pätevän yksikön suorittamia tarkastuksia ja auditointeja, ja sen on tehtävä tarvittaessa yhteistyötä viraston valtuuksien tehokkaan ja tuloksellisen käytön varmistamiseksi.

b)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on tehtävä yhteistyötä sen ATM/ANS-laitteita käyttävien ATM/ANS-palveluntarjoajien kanssa ja tuettava niitä prosessissa, jolla ne osoittavat vaatimustenmukaisuutensa asianomaisille toimivaltaisille viranomaisille.

DPO.OR.A.035 Havainnot ja korjaavat toimet

Saatuaan virastolta ilmoituksen havainnoista ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on

a)	määritettävä vaatimustenvastaisuuden juurisyy;

b)	tehtävä suunnitelma korjaavista toimista;

c)	osoitettava korjaavien toimien toteuttaminen virastoa tyydyttävällä tavalla sellaisessa määräajassa, jonka virasto on ehdottanut ja hyväksynyt siten kuin DPO.AR.C.015 kohdan e alakohdan 2 alakohdassa määritellään.

DPO.OR.A.040 Välitön reagointi turvallisuus-, turva- ja yhteentoimivuusongelmaan

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on pantava täytäntöön kaikki viraston DPO.AR.A.010 ja DPO.AR.A.015 kohdan mukaisesti käyttöön ottamat turvallisuus- ja turvatoimenpiteet, mukaan lukien ATM/ANS-laitemääräykset.

DPO.OR.A.045 Vauriot, toimintahäiriöt ja viat

Tämän asetuksen mukaisesti myönnetyn hyväksynnän haltijan on

1)	perustettava ja ylläpidettävä järjestelmää, jolla kerätään, tutkitaan ja analysoidaan ilmoituksia ja tietoja vaurioista, toimintahäiriöistä, vioista tai muista poikkeamista, jotka ovat vaikuttaneet tai saattavat vaikuttaa haitallisesti ATM/ANS-laitteiden jatkuvaan vaatimustenmukaisuuteen;

ilmoitettava kaikille ATM/ANS-laitteiden tunnetuille käyttäjille ja pyynnöstä muille asiaan liittyvien määräysten nojalla valtuutetuille henkilöille 1 kohdan mukaisesti perustetusta järjestelmästä ja siitä, miten tällaiset ilmoitukset ja tiedot vaurioista, toimintahäiriöistä, vioista tai muista poikkeamista toimitetaan.

Niiden organisaatioiden osalta, joiden päätoimipaikka on jossakin jäsenvaltiossa, a alakohdan 1 alakohdan mukaisesti perustettuun järjestelmään on sisällyttävä poikkeamien ilmoittamista ja seurantaa koskevat säännökset, jotka täyttävät asetusten (EU) N:o 376/2014 ja (EU) 2018/1139 sekä niiden nojalla annettujen delegoitujen ja täytäntöönpanosäädösten vaatimukset.

c)	Hyväksynnän haltijan on ilmoitettava virastolle kaikista tiedossaan olevista vaurioista, toimintahäiriöistä, vioista tai muista poikkeamista, jotka ovat aiheuttaneet tai saattavat aiheuttaa turvallisuutta tai turvatoimia vaarantavan tilan taikka laitteen toimintakyvyn alenemisen.

Jos hyväksynnän haltijan päätoimipaikka ei ole jäsenvaltiossa, ilmoitukset on tehtävä viraston vahvistamassa muodossa ja sen vahvistamalla tavalla niin pian kuin se on käytännössä mahdollista ja joka tapauksessa viimeistään 72 tunnin kuluttua siitä, kun henkilö tai organisaatio on saanut tiedon kyseisestä poikkeamasta, jolleivät poikkeukselliset olosuhteet sitä estä.

e)	Hyväksynnän haltijan on tutkittava c alakohdan mukaisesti ilmoitettu poikkeama, mukaan lukien poikkeamaan johtaneet puutteet, ja ilmoitettava virastolle tutkintansa tulokset ja kaikki toimet, jotka se aikoo toteuttaa tai ehdottaa toteutettavaksi puutteiden korjaamiseksi.

DPO.OR.A.050 Hyväksynnän siirrettävyys

Organisaation hyväksyntää ei voida siirtää muutoin kuin organisaation omistajanvaihdoksen vuoksi.

OSASTO B – HALLINTO (DPO.OR.B)

DPO.OR.B.001 Hallintojärjestelmä

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on otettava käyttöön seuraavat tiedot sisältävä hallintojärjestelmä, ja pidettävä sitä yllä:

1)	selvästi määritellyt vastuut ja velvollisuudet sen koko organisaatiossa, myös vastuullisen johtajan suora vastuu;

2)	vastuullisen johtajan allekirjoittama kuvaus organisaation yleisestä toiminta-ajatuksesta ja periaatteista, jotka yhdessä muodostavat toimintapolitiikan;

3)	keinot, joilla organisaation suorituskyky todennetaan ottaen huomioon hallintojärjestelmän suorituskykyindikaattorit ja -tavoitteet;

prosessi, jolla tunnistetaan sellaiset organisaation sisällä ja sen toimintaympäristössä tapahtuvat muutokset, jotka saattavat vaikuttaa vakiintuneisiin prosesseihin, menettelyihin ja tuotteisiin, ja tarvittaessa organisaation on muutettava hallintojärjestelmäänsä näiden muutosten huomioon ottamiseksi;

5)	prosessi ATM/ANS-laitteiden muutosten laajuuden ja niihin liittyvien riskien määrittämiseksi;

6)	prosessi, jolla arvioidaan hallintojärjestelmää, tunnistetaan hallintojärjestelmän alentuneen suorituskyvyn syyt, määritetään alentuneen suorituskyvyn vaikutukset ja poistetaan tai lievennetään näitä syitä;

7)	prosessi, jolla varmistetaan, että organisaation henkilöstö on koulutettua ja pätevää hoitamaan tehtäviään turvallisella, tehokkaalla, jatkuvalla ja kestävällä tavalla; tässä yhteydessä organisaation on vahvistettava henkilöstönsä palvelukseenotto- ja koulutuspolitiikat;

8)	viestintäkeinot, joilla varmistetaan, että organisaation koko henkilöstö on täysin tietoinen hallintojärjestelmästä, ja joiden avulla voidaan viestittää kriittisiä tietoja ja selittää, miksi tietyt toimet toteutetaan ja miksi menetelmiä otetaan käyttöön tai niihin tehdään muutoksia;

suunnittelutoiminnan osalta menettelyt seuraavia varten:

i)	ATM/ANS-laitteiden suunnittelu ja niiden suunnittelun muutokset;

ii)

vakuutus siitä, että ATM/ANS-laitteiden suunnittelu tai niiden suunnittelun muutokset ovat sovellettavien eritelmien mukaisia, mukaan lukien vaatimustenmukaisuuden osoittamisen riippumaton tarkastustoiminto, jonka perusteella organisaatio toimittaa vaatimustenmukaisuusvakuutukset ja niihin liittyvät asiakirjat virastolle;

iii)	DPO.OR.B.015 kohdassa tarkoitettujen alihankkijaorganisaatioiden suunnittelemien ATM/ANS-laitteiden osien tai suorittamien tehtävien hyväksyttävyyden todentaminen;

iv)	vakuutus siitä, että ATM/ANS-laitteiden suunnitteluun osallistuvaa henkilöstöä on riittävästi, että se on koulutettua ja pätevää ja että sillä on valtuudet hoitaa sille osoitetut tehtävät;

v)	osastojen välinen ja sisäinen tiivis ja tehokas koordinointi;

10)

tuotantotoiminnan osalta menettelyt seuraavia varten:

i)	asiakirjojen tai niiden muutosten julkaiseminen ja hyväksyminen;

ii)	DPO.OR.B.015 kohdassa tarkoitetut auditoinnit ja alihankkijaorganisaatioiden valvonta;

iii)	sen todentaminen, että kaikki saapuvat materiaalit ja laitteet, mukaan lukien uutena toimitetut tai tuotteiden ostajien käytettynä toimittamat, ovat sovellettavissa suunnittelutiedoissa eritellyn mukaisia;

iv)	sen todentaminen, että ATM/ANS-laitteet ovat sovellettavien suunnittelutietojen mukaisia;

v)	tunnistettavuus ja jäljitettävyys;

vi)	organisaation prosessit;

vii)	tarkastukset ja testaus;

viii)

työkalujen ja testauslaitteiden kalibrointi;

ix)	niiden osien valvonta, jotka eivät täytä vaatimuksia;

x)	koordinointi suunnitteluhyväksynnän hakijan tai haltijan kanssa;

xi)	tehtyjä töitä koskevien tietojen kerääminen ja säilyttäminen;

xii)	käyttöönluovutusasiakirjojen antaminen;

xiii)

ATM/ANS-laitteiden käsittely, varastointi ja pakkaaminen.

b)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on dokumentoitava kaikki hallintojärjestelmän avainprosessit, mukaan lukien prosessi, jolla henkilöstölle tiedotetaan heidän velvollisuuksistaan, sekä menettely kyseisten prosessien muuttamiseksi.

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on perustettava hallintojärjestelmäänsä toiminto, jolla seurataan sovellettavien vaatimusten noudattamista ja vahvistettujen menettelyjen riittävyyttä. Vaatimustenmukaisuuden valvontaan on sisällyttävä järjestelmä havaintoja koskevan palautteen antamiseksi vastuulliselle johtajalle, jotta voidaan varmistaa tarvittavien korjaavien toimenpiteiden tehokas toteuttaminen.

d)	Hallintojärjestelmän on oltava oikeasuhtainen ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation kokoon ja toiminnan vaativuuteen nähden, kun otetaan huomioon tähän toimintaan liittyvät vaarat ja riskit.

Edellä a alakohdassa tarkoitetun hallintojärjestelmän lisäksi ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on ilmailun turvallisuuteen mahdollisesti vaikuttavien tietoturvariskien asianmukaisen hallinnan varmistamiseksi perustettava, toteutettava ja ylläpidettävä täytäntöönpanoasetuksen (EU) 2023/203 mukainen tietoturvan hallintajärjestelmä.

DPO.OR.B.005 Muutosten hallinta

Kun organisaation hyväksyntä on myönnetty, kaikille merkittäville hallintojärjestelmän muutoksille on saatava viraston hyväksyntä ennen niiden toteuttamista, paitsi jos tällaisesta muutoksesta ilmoitetaan ja sitä hallinnoidaan viraston hyväksymää menettelyä noudattaen. Organisaation on toimitettava virastolle hyväksyntähakemus, jossa osoitetaan sovellettavien vaatimusten jatkuva noudattaminen.

Jokaisesta ATM/ANS-laitteen muutoksesta on ilmoitettava virastolle ja sen on hyväksyttävä muutos ennen muutoksen toteuttamista, paitsi jos tällaista muutosta hallinnoidaan viraston hyväksymää muutostenhallintamenettelyä noudattaen. Muutostenhallintamenettelyssä on määriteltävä ATM/ANS-laitteiden muutosten luokitus ja kuvattava, miten tällaisista muutoksista ilmoitetaan ja miten niitä hallinnoidaan.

DPO.OR.B.010 Tiloja ja välineitä koskevat vaatimukset

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on varmistettava, että sen tilat ja laitteet, mukaan lukien testaustilat ja -laitteet, ovat riittävät ja soveltuvat kaikkien sen tehtävien ja toimien suorittamiseen ja hallinnointiin sovellettavien vaatimusten mukaisesti.

DPO.OR.B.015 Alihankinta

Alihankinnalla tarkoitetaan kaikkia organisaation toimintaan hyväksyntätodistuksen ehtojen mukaan kuuluvia toimia, jotka suorittaa joko toinen tällaiseen toimintaan sertifioitu organisaatio tai muu kuin sertifioitu organisaatio alihankintatyön teettävän palveluntarjoajan valvonnassa. Kun ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuva organisaatio tekee alihankintasopimuksen jostakin toimintansa osasta tai kun se ostaa osan toiminnastaan ulkopuolisilta organisaatioilta, sen on varmistettava, että sopimuksen kohteena oleva tai ostettu toiminta on sovellettavien vaatimusten mukaista.

Jos ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuva organisaatio tekee alihankintasopimuksen jostakin toimintansa osasta sellaisen organisaation kanssa, jota itseään ei ole sertifioitu tämän asetuksen mukaisesti kyseiseen toimintaan, sen on varmistettava, että alihankkijaorganisaatio työskentelee sen valvonnassa. ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on varmistettava, että virastolla on pääsy alihankkijaorganisaatioon sen määrittämiseksi, noudattaako se jatkuvasti tämän asetuksen sovellettavia vaatimuksia.

DPO.OR.B.020 Henkilöstövaatimukset

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on nimettävä vastuullinen johtaja, jolla on valtuudet varmistaa, että kaikki toimet voidaan rahoittaa ja toteuttaa tämän asetuksen sovellettavien vaatimusten mukaisesti. Vastuullinen johtaja vastaa tehokkaan hallintojärjestelmän perustamisesta ja ylläpitämisestä.

b)	Nimettyjen vastuuhenkilöiden valtuudet, tehtävät ja vastuut erityisesti turvallisuuteen, laatuun, turvatoimiin, talouteen ja henkilöstöasioihin liittyvistä tehtävistä vastaavien päälliköiden osalta on myös määriteltävä.

DPO.OR.B.025 Tietojen tallentaminen

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on perustettava tietojen tallennusjärjestelmä, joka mahdollistaa tietojen asianmukaisen tallettamisen ja kaiken toimintansa luotettavan jäljitettävyyden ja joka kattaa erityisesti kaikki DPO.OR.B.001 kohdassa mainitut seikat.

b)	Edellä a alakohdassa tarkoitettujen tietojen muoto ja säilytysaika on määritettävä organisaation hallintojärjestelmän menettelyissä.

c)	Tiedot on talletettava siten, että ne ovat suojassa vahingoittumiselta, muutoksilta ja varkaudelta.

d)	ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on pidettävä rekisteriä käyttöön luovutetuista ATM/ANS-laitteista.

OSASTO C – TEKNISET VAATIMUKSET (DPO.OR.C)

DPO.OR.C.001 ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvat organisaatiot

ATM/ANS-laitteiden suunnittelu- tai tuotanto-organisaation hyväksynnän hakijalla ja haltijalla on oikeus tapauksen mukaan johonkin seuraavista:

1)	pitää hallussaan hyväksyntätodistusta ATM/ANS-laitteiden suunnittelua varten tai hakea sellaista;

2)	antaa ATM/ANS-laitteiden suunnittelun vaatimustenmukaisuusilmoitus;

3)	antaa ATM/ANS-laitteiden vaatimustenmukaisuusvakuutus ATM/ANS-palvelujen tarjoajan pyynnöstä.

Suunnittelutoiminnan osalta ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden on

1)	annettava ATM/ANS-laitteiden suunnittelun vaatimustenmukaisuusilmoitus, jos sellainen vaaditaan;

2)	annettava omalla vastuullaan dataa ja tietoa sekä ohjeita viraston sille vahvistamien hyväksymisehtojen puitteissa;

3)	laadittava ja ylläpidettävä jokaisesta sellaisesta osan mallista, josta on annettu ATM/ANS-laiteilmoitus, ajantasainen tiedosto täydellisine teknisine tietoineen ja tallenteineen.

Tuotantotoiminnan osalta ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvien organisaatioiden on

1)	valmistettava jokainen tuote varmistaen, että valmistunut ATM/ANS-laite on suunnittelutietojensa mukainen ja turvallinen asennettavaksi;

2)	laadittava ja ylläpidettävä jokaisesta sellaisesta osan mallista, josta on annettu ATM/ANS-laiteilmoitus, ajantasainen tiedosto täydellisine teknisine tietoineen ja tallenteineen;

3)	laadittava, ylläpidettävä ja päivitettävä alkuperäiskappaleet kaikista kyseistä laitetta koskevissa sovellettavissa ilmoituseritelmissä vaadituista käsikirjoista;

4)	asetettava ATM/ANS-laitteiden käyttäjien ja pyynnöstä viraston saataville ATM/ANS-laitteiden käyttöön ja huoltoon tarvittavat jatkuvan soveltuvuuden ylläpitämistä koskevat ohjeet ja niihin tehtävät muutokset;

5)	tehtävä jokaiseen esineeseen merkintä;

6)	täytettävä jatkuvasti tässä asetuksessa säädetyt sovellettavat vaatimukset.

Sen lisäksi, mitä c alakohdassa säädetään, ATM/ANS-laitteiden tuotantoon osallistuvalla organisaatiolla on hyväksyntäehtojensa puitteissa oikeus todeta, että jokainen valmistunut ATM/ANS-laite on sovellettavien suunnittelutietojen mukainen ja turvallisessa käyttökunnossa, ennen kuin se antaa EASAn valmistustodistuksen, jossa todetaan, että ATM/ANS-laitteet on valmistettu tämän asetuksen sovellettavien vaatimusten ja sovellettavien suunnittelutietojen mukaisesti.

Kunkin valmistetun ATM/ANS-laitteen osalta d alakohdassa tarkoitetussa EASAn valmistustodistuksessa on oltava vähintään seuraavat tiedot:

1)	kuvaus ATM/ANS-laitteesta;

2)	ATM/ANS-laitteen osanumero;

3)	ATM/ANS-laitteen sarjanumero;

4)	vakuutus siitä, että ATM/ANS-laite on valmistettu sovellettavien suunnittelutietojen mukaisesti ja että se on turvallisessa käyttökunnossa;

5)	viittaus hyväksyntätodistukseen tai suunnittelun vaatimustenmukaisuusilmoitukseen.

DPO.OR.C.005 Koordinointi

ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on varmistettava

a)	suunnittelu- ja tuotantotoiminnan riittävä koordinointi asianmukaisin järjestelyin tarpeen mukaan;

b)	riittävä koordinointi ja asianmukainen tuki asianomaisten ATM/ANS-palvelujen tarjoajien ja ilmailuyritysten kanssa ATM/ANS-laitteiden jatkuvan soveltuvuuden varmistamiseksi tarpeen mukaan.

DPO.OR.C.010 ATM/ANS-laitemääräykset

Kun virasto julkaisee delegoidun asetuksen (EU) 2023/1768 liitteessä II olevan ATM/ANS.EQMT.CERT.065 kohdan mukaisen ATM/ANS-laitemääräyksen, ATM/ANS-laitteiden suunnitteluun tai tuotantoon osallistuvan organisaation on

a)	ehdotettava sopivaa korjaavaa toimea ja esitettävä se yksityiskohtaisine tietoineen virastolle hyväksyttäväksi;

sen jälkeen, kun virasto on hyväksynyt a alakohdassa tarkoitetun ehdotuksen, asetettava asianmukaiset kuvaustiedot ja toteutusohjeet kaikkien ATM/ANS-laitteen tunnettujen käyttäjien tai omistajien saataville sekä pyynnöstä kaikkien sellaisten henkilöiden saataville, joiden on noudatettava ATM/ANS-laitemääräystä.