Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32025R0022

Règlement délégué (UE) 2025/22 de la Commission du 19 décembre 2024 modifiant le règlement délégué (UE) 2022/1645 en ce qui concerne les exigences relatives à la sécurité de l’information applicables aux organismes qui fournissent des services d’assistance en escale

C/2024/8928

JO L, 2025/22, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/22/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2025/22/oj

European flag

Journal officiel
de l'Union européenne

FR

Série L

2025/22

7.3.2025

RÈGLEMENT DÉLÉGUÉ (UE) 2025/22 DE LA COMMISSION

du 19 décembre 2024

modifiant le règlement délégué (UE) 2022/1645 en ce qui concerne les exigences relatives à la sécurité de l’information applicables aux organismes qui fournissent des services d’assistance en escale

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) no 2111/2005, (CE) no 1008/2008, (UE) no 996/2010, (UE) no 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) no 552/2004 et (CE) no 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) no 3922/91 du Conseil (1), et notamment son article 39, paragraphe 1, point e),

considérant ce qui suit:

(1)

Le règlement (UE) 2018/1139 établit les exigences essentielles applicables à la fourniture en toute sécurité de services d’assistance en escale et aux organismes qui les fournissent, ainsi que des exigences relatives à la supervision, par les autorités compétentes, desdits organismes et des services d’assistance en escale fournis dans les aérodromes de l’Union qui relèvent du champ d’application dudit règlement.

(2)

Conformément aux exigences essentielles énoncées à l’annexe VII, point 4.2.1, du règlement (UE) 2018/1139 et au règlement délégué (UE) 2025/20 de la Commission (2), les organismes responsables de la fourniture en toute sécurité de services d’assistance en escale sont tenus de mettre en œuvre et de maintenir un système de gestion afin d’assurer la gestion des risques pour la sécurité. De tels risques pour la sécurité peuvent aussi résulter de menaces relatives à la sécurité de l’information. Les organismes fournissant des services d’assistance en escale devraient parer efficacement aux risques de cette nature. À cette fin, il convient de modifier le champ d’application du règlement délégué (UE) 2022/1645 de la Commission (3) afin d’y inclure les organismes qui fournissent des services d’assistance en escale.

(3)

Les organismes soumis au règlement délégué (UE) 2022/1645, tels que les organismes d’assistance en escale et les organismes fournissant des services de gestion d’aire de trafic, fonctionnent sous un régime de déclaration. Cela implique que ni leur système de gestion, ni aucun des éléments qui le composent, ne requièrent l’approbation de leurs autorités compétentes. Le même régime devrait permettre à ces organismes d’appliquer les dispositions relatives à la sécurité de l’information sans être tenus de faire approuver leur manuel de gestion de la sécurité de l’information ou le processus de gestion des modifications par l’autorité compétente. Il convient de modifier les exigences portant sur ces éléments afin de donner effet à cette dérogation pour les organismes déclarants.

(4)

Les organismes relevant du présent règlement qui sont déjà soumis aux exigences de sécurité découlant du règlement d’exécution (UE) 2015/1998 de la Commission (4) devraient également se conformer aux exigences de l’annexe I (partie IS.D.OR.230 «Système de comptes rendus externe en matière de sécurité de l’information») du règlement délégué (UE) 2022/1645, dès lors que le règlement d’exécution (UE) 2015/1998 ne contient aucune disposition liée aux comptes rendus externes des incidents relatifs à la sécurité de l’information.

(5)

Les exigences définies dans le présent règlement sont fondées sur l’avis no 01/2024 (5) émis par l’Agence conformément à l’article 75, paragraphe 2, points b) et c), et à l’article 76, paragraphe 1, du règlement (UE) 2018/1139.

(6)

Conformément à l’article 128, paragraphe 4, du règlement (UE) 2018/1139, la Commission a consulté les experts désignés par chaque État membre, dans le respect des principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (6).

(7)

Afin de donner aux organismes un délai suffisant pour se conformer aux nouvelles règles et procédures instaurées par le présent règlement, il convient que celui-ci entre en application 6 ans après la date d’entrée en vigueur,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Le règlement délégué (UE) 2022/1645 est modifié comme suit:

1)

À l’article 2, paragraphe 1, le point c) suivant est ajouté:

«c)

organismes d’assistance en escale soumis au règlement délégué (UE) 2025/20 de la Commission (*1) qui:

i)

pour fournir les services concernés, doivent collecter, stocker, analyser ou traiter d’une autre manière les données fournies par des tiers; ou

ii)

fournissent directement aux exploitants d’aéronefs des données qui seront utilisées à des fins opérationnelles.

(*1)  Règlement délégué (UE) 2025/20 de la Commission du 19 décembre 2024 complétant le règlement (UE) 2018/1139 du Parlement européen et du Conseil en établissant des exigences relatives à la fourniture en toute sécurité de services d’assistance en escale et aux organismes qui les fournissent (JO L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).»."

2)

À l’article 5, paragraphe 1, le point c) suivant est ajouté:

«c)

à l’égard des organismes visés à l’article 2, point c), l’autorité compétente désignée conformément à l’annexe (partie ARGH) du règlement d’exécution (UE) 2025/23 de la Commission (*2).

(*2)  Règlement d’exécution (UE) 2025/23 de la Commission du 19 décembre 2024 portant modalités d’application du règlement (UE) 2018/1139 du Parlement européen et du Conseil en ce qui concerne les exigences relatives à la supervision des services d’assistance en escale et des organismes qui les fournissent (JO L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).»."

Article 2

L’annexe du règlement délégué (UE) 2022/1645 est modifiée conformément à l’annexe du présent règlement.

Article 3

1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2.   L’article 1er s’applique à partir du 27 mars 2031.

3.   L’article 2 est applicable à partir du 16 octobre 2025.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 19 décembre 2024.

Par la Commission

La présidente

Ursula VON DER LEYEN

(1)   JO L 212 du 22.8.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2)  Règlement délégué (UE) 2025/20 de la Commission du 19 décembre 2024 complétant le règlement (UE) 2018/1139 du Parlement européen et du Conseil en établissant des exigences relatives à la fourniture en toute sécurité de services d’assistance en escale et aux organismes qui les fournissent (JO L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3)  Règlement délégué (UE) 2022/1645 de la Commission du 14 juillet 2022 portant modalités d’application du règlement (UE) 2018/1139 du Parlement européen et du Conseil en ce qui concerne les exigences relatives à la gestion des risques liés à la sécurité de l’information susceptibles d’avoir une incidence sur la sécurité aérienne imposées aux organismes relevant des règlements (UE) no 748/2012 et (UE) no 139/2014 de la Commission et modifiant les règlements (UE) no 748/2012 et (UE) no 139/2014 de la Commission (JO L 248 du 26.9.2022, p. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4)  Règlement d’exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l’aviation civile (JO L 299 du 14.11.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5)   https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6)   JO L 123 du 12.5.2016, p. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

ANNEXE

L’annexe du règlement délégué (UE) 2022/1645 est modifiée comme suit:

1)

Le point IS.D.OR.200 a) 5) est modifié comme suit:

«5)

définit et met en œuvre, conformément au point IS.D.OR.220, les mesures requises pour détecter les événements liés à la sécurité de l’information, recense les événements qui sont considérés comme des incidents susceptibles d’avoir des répercussions sur la sécurité aérienne, réagit à ces incidents de sécurité de l’information et garantit le rétablissement après incident;».

2)

Les points IS.D.OR.250 b) et c) sont modifiés comme suit:

«b)

La première édition du MGSI doit être approuvée et une copie doit être conservée par l’autorité compétente. Aucune approbation n’est requise pour les organismes déclarants. Le MGSI doit être modifié en tant que de besoin pour conserver une description à jour du SGSI de l’organisme. Une copie de toute modification du MGSI doit être fournie à l’autorité compétente.

c)

Les modifications apportées au MGSI doivent être gérées selon une procédure établie par l’organisme. Toute modification qui n’entre pas dans le champ d’application de cette procédure et toute modification liée aux modifications visées au point IS.D.OR.255 b) doivent être approuvées par l’autorité compétente. Aucune approbation n’est requise pour les organismes déclarants.».

3)

Le point IS.D.OR.255 est remplacé par le texte suivant:

«IS.D.OR.255   Modification du système de gestion de la sécurité de l’information

a)

Les modifications apportées au SGSI peuvent être gérées et notifiées à l’autorité compétente dans le cadre d’une procédure élaborée par l’organisme. Cette procédure doit être approuvée par l’autorité compétente, sauf pour les organismes déclarants.

b)

En ce qui concerne les modifications du SGSI non couvertes par la procédure visée au point a), l’organisme doit demander et obtenir une approbation délivrée par l’autorité compétente, sauf pour les organismes déclarants, pour lesquels aucune approbation n’est requise.

En ce qui concerne ces modifications:

1)

la demande doit être soumise avant que ne soient apportées de telles modifications, afin de permettre à l’autorité compétente de déterminer le respect constant du présent règlement et de modifier, au besoin, le certificat d’organisme ainsi que les termes de l’agrément correspondants qui y sont joints;

2)

l’organisme doit mettre à la disposition de l’autorité compétente toute information qu’elle demande pour évaluer la modification;

3)

la modification ne doit être mise en œuvre qu’après réception de l’approbation formelle de l’autorité compétente, sauf pour les organismes déclarants, qui peuvent mettre en œuvre la modification immédiatement;

4)

l’organisme doit exercer ses activités dans les conditions prescrites par l’autorité compétente pendant la mise en œuvre de ces modifications.».

ELI: http://data.europa.eu/eli/reg_del/2025/22/oj

ISSN 1977-0693 (electronic edition)

Top