31.5.2008   

FR

Journal officiel de l'Union européenne

L 141/5

(1)

En vertu du règlement (CE) no 550/2004, la Commission est tenue d’identifier et d’adopter les dispositions pertinentes des exigences réglementaires de sécurité d’Eurocontrol («ESARR»), compte tenu de la législation communautaire existante. L'ESARR 6, intitulée «Logiciels des systèmes ATM», constitue un ensemble d’exigences réglementaires de sécurité pour la mise en œuvre d’un système d’assurance de la sécurité des logiciels.

(2)

Le règlement (CE) no 2096/2005 de la Commission du 20 décembre 2005 établissant les exigences communes pour la fourniture de services de navigation aérienne (2) dispose, à la dernière phrase de son considérant 12, que «les dispositions pertinentes de l'exigence ESARR 1 concernant la supervision de la sécurité dans le domaine GTA et de l'exigence ESARR 6 sur les logiciels des systèmes GTA doivent être identifiées et adoptées dans le cadre d'autres actes communautaires».

(3)

L'annexe II du règlement (CE) no 2096/2005 impose aux prestataires de services de la circulation aérienne de mettre en œuvre un système de gestion de la sécurité, ainsi que des exigences de sécurité concernant l’évaluation et l’atténuation des risques pour tout changement. Au sein de son système de gestion de la sécurité et dans le cadre de ses activités d'évaluation et d'atténuation des risques pour tout changement, le prestataire de services de la circulation aérienne doit définir et mettre en œuvre un système d'assurance de la sécurité des logiciels portant spécifiquement sur les aspects logiciels.

(4)

En ce qui concerne les systèmes fonctionnels contenant des logiciels, l'objectif premier en matière de sécurité des logiciels est de s'assurer que les risques associés à l'utilisation de logiciels dans les systèmes du réseau européen de gestion du trafic aérien («logiciels EATMN») ont été réduits à un niveau tolérable.

(5)

Le présent règlement ne doit pas s’appliquer aux opérations et à l'entraînement militaires visés à l’article 1er, paragraphe 2, du règlement (CE) no 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen («règlement-cadre») (3).

(6)

Il y a donc lieu de modifier l'annexe II du règlement (CE) no 2096/2005 en conséquence.

(7)

Les mesures prévues au présent règlement sont conformes à l’avis du comité du ciel unique,

1)

«logiciels»: les programmes informatiques et les données de configuration correspondantes, y compris les logiciels prédéveloppés, à l'exclusion des éléments électroniques tels que les circuits intégrés spécifiques d'une application, les réseaux de portes programmables ou les dispositifs de contrôle de logique sur support physique;

2)

«données de configuration»: des données permettant de configurer un système logiciel générique pour un cas particulier d'utilisation;

3)

«logiciel prédéveloppé»: un logiciel non développé spécifiquement pour le contrat considéré;

4)

«assurance de la sécurité»: toutes les actions planifiées et systématiques nécessaires pour donner l’assurance requise qu’un produit, un service, une organisation ou un système fonctionnel atteint un seuil de sécurité acceptable ou tolérable;

5)

«organisation»: tout prestataire de services de la circulation aérienne (ATS), tout prestataire de services de communication, de navigation et de surveillance (CNS) ou toute entité assurant la gestion des courants de trafic aérien (ATFM) ou la gestion de l’espace aérien (ASM);

6)

«système fonctionnel»: une combinaison de systèmes, de procédures et de ressources humaines organisée afin de remplir une fonction dans le contexte de la gestion du trafic aérien (ATM);

7)

«risque»: la combinaison de la probabilité la plus élevée ou de la fréquence d’un événement aux conséquences dommageables provoqué par un danger et de la gravité de ces conséquences;

8)

«danger»: toute condition, tout événement ou toute circonstance qui pourrait provoquer un accident;

9)

«nouveau logiciel»: un logiciel qui a été commandé, ou pour lequel des contrats ont été signés, après l'entrée en vigueur du présent règlement;

10)

«objectif de sécurité»: une déclaration qualitative ou quantitative définissant la fréquence ou la probabilité maximales auxquelles un danger pourrait se produire;

11)

«exigences de sécurité»: des moyens de diminuer un risque tels que définis par la stratégie de diminution des risques permettant d’atteindre un objectif de sécurité particulier, y compris les exigences organisationnelles, opérationnelles, procédurales, fonctionnelles, de performance, les exigences d’interopérabilité ou les caractéristiques environnementales;

12)

«basculement ou remplacement à chaud»: le remplacement d'un composant ou d’un logiciel du système du réseau européen de gestion du trafic aérien (EATMN) pendant que le système est opérationnel;

13)

«exigence de sécurité d'un logiciel»: une description de ce qui doit être produit par un logiciel, compte tenu des entrées et des contraintes, dont le respect assure que le logiciel EATMN répond aux impératifs de sécurité et aux exigences opérationnelles;

14)

«logiciel EATMN»: un logiciel utilisé dans les systèmes du réseau EATMN visés à l’article 1er;

15)

«validité des exigences»: la confirmation, par examen et apport de preuves objectives, que les exigences particulières pour un usage spécifique sont celles prévues;

16)

«effectué de manière indépendante»: pour les activités du processus de vérification du logiciel, lorsque l'activité de vérification est réalisée par une (ou des) personne(s) différente(s) du responsable du développement de l'élément à vérifier;

17)

«défaillance d'un logiciel»: l’incapacité d’un programme à exécuter correctement une fonction requise;

18)

«panne d'un logiciel»: l’incapacité d'un programme à exécuter une fonction requise;

19)

«COTS»: une application disponible dans le commerce, vendue sur catalogues publics et non destinée à être personnalisée ou améliorée;

20)

«composants logiciels»: des sous-ensembles pouvant être intégrés ou connectés à d’autres sous-ensembles logiciels réutilisables, afin de les combiner et de créer une application logicielle sur mesure;

21)

«composants logiciels indépendants»: des composants logiciels qui ne sont pas rendus inopérants par le dysfonctionnement à l'origine du danger;

22)

«temps de réponse d'un logiciel»: le temps mis par un logiciel pour réagir à des saisies particulières ou à des événements périodiques, ou la performance d'un logiciel en termes de transactions ou de messages traités par unité de temps;

23)

«capacité d'un logiciel»: l’aptitude d'un logiciel à traiter un volume particulier de flux de données;

24)

«précision»: la précision requise pour les résultats obtenus par un traitement logiciel;

25)

«consommation des ressources»: la quantité de ressources au sein du système informatique pouvant être utilisées par l'application logicielle;

26)

«robustesse d'un logiciel»: le comportement d'un logiciel en cas de saisies de données imprévues, de défaillances matérielles ou d’interruption de l'alimentation électrique, dans le système informatique lui-même ou dans les dispositifs connectés;

27)

«tolérance à la surcharge»: le comportement du système, et notamment sa tolérance, lorsque la quantité de données en entrée est supérieure à celle prévue pendant le fonctionnement normal du système;

28)

«vérification correcte et complète d'un logiciel EATMN»: le cas où toutes les exigences de sécurité d'un logiciel énoncent correctement les exigences applicables au composant logiciel en vertu du processus d'évaluation et d'atténuation des risques, et où leur mise en œuvre est démontrée au niveau requis par le niveau d'assurance logicielle;

29)

«données du cycle de vie d'un logiciel»: les données produites pendant le cycle de vie d'un logiciel pour planifier, diriger, expliquer, définir, enregistrer ou prouver des activités; ces données rendent possible l’approbation du processus de cycle de vie du logiciel, du système ou des équipements ainsi que des modifications apportées au produit logiciel après son approbation;

30)

«cycle de vie d'un logiciel»:

31)

«exigence de sécurité applicable au système»: l’exigence de sécurité applicable à un système fonctionnel.

a)

les exigences de sécurité des logiciels énoncent correctement les critères auxquels doivent répondre les logiciels pour être conformes aux objectifs et aux exigences de sécurité, tels qu'ils sont définis dans le processus d'évaluation et d'atténuation des risques;

b)

la traçabilité de toutes les exigences de sécurité des logiciels est assurée;

c)

la mise en œuvre des logiciels ne comporte aucune fonction nuisant à la sécurité;

d)

les logiciels EATMN satisfont aux exigences qui leur sont applicables avec un niveau de confiance cohérent avec la criticité des logiciels;

e)

des assurances sont fournies, confirmant le respect des exigences générales de sécurité énoncées aux points a) à d), et les arguments qui démontrent l'assurance requise reposent, en tout temps, sur:

1)

soit documenté, en particulier dans le cadre de la documentation globale relative à l'évaluation et à l'atténuation des risques;

2)

attribue des niveaux d'assurance logicielle à tous les logiciels EATMN opérationnels conformément aux exigences énoncées à l’annexe I;

3)

offre des assurances quant à:

4)

précise la rigueur d’établissement des assurances; la rigueur doit être précisée pour chaque niveau d'assurance logicielle et doit augmenter avec la criticité du logiciel; à cette fin:

5)

exploite les retours d’expérience des utilisateurs de logiciels EATMN pour confirmer le caractère adéquat du système d'assurance de la sécurité des logiciels et des niveaux d'assurance attribués. Dans cette optique, les incidences de toute défaillance ou panne logicielle, signalées conformément aux exigences concernant la notification et l’analyse des événements liés à la sécurité, sont évaluées par rapport aux incidences identifiées pour le système concerné conformément au mécanisme de classification du degré de gravité établi au point 3.2.4 de l’annexe II du règlement (CE) no 2096/2005.