This document is an excerpt from the EUR-Lex website
Document 32023R0203
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
Regolamento di esecuzione (UE) 2023/203 della Commissione, del 27 ottobre 2022, che stabilisce le regole per l'applicazione del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio per quanto riguarda i requisiti relativi alla gestione dei rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea per le organizzazioni di cui ai regolamenti (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011 e (UE) 2015/340 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e per le autorità competenti di cui ai regolamenti (UE) n. 748/2012, (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011, (UE) 2015/340 e (UE) n. 139/2014 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e che modifica i regolamenti (UE) n. 1178/2011, (UE) n. 748/2012, (UE) n. 965/2012, (UE) n. 139/2014, (UE) n. 1321/2014 e (UE) 2015/340 della Commissione e i regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione
Regolamento di esecuzione (UE) 2023/203 della Commissione, del 27 ottobre 2022, che stabilisce le regole per l'applicazione del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio per quanto riguarda i requisiti relativi alla gestione dei rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea per le organizzazioni di cui ai regolamenti (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011 e (UE) 2015/340 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e per le autorità competenti di cui ai regolamenti (UE) n. 748/2012, (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011, (UE) 2015/340 e (UE) n. 139/2014 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e che modifica i regolamenti (UE) n. 1178/2011, (UE) n. 748/2012, (UE) n. 965/2012, (UE) n. 139/2014, (UE) n. 1321/2014 e (UE) 2015/340 della Commissione e i regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione
C/2022/7215
GU L 31 del 2.2.2023, p. 1–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 05/10/2023
2.2.2023 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 31/1 |
REGOLAMENTO DI ESECUZIONE (UE) 2023/203 DELLA COMMISSIONE
del 27 ottobre 2022
che stabilisce le regole per l'applicazione del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio per quanto riguarda i requisiti relativi alla gestione dei rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea per le organizzazioni di cui ai regolamenti (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011 e (UE) 2015/340 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e per le autorità competenti di cui ai regolamenti (UE) n. 748/2012, (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011, (UE) 2015/340 e (UE) n. 139/2014 della Commissione e ai regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione, e che modifica i regolamenti (UE) n. 1178/2011, (UE) n. 748/2012, (UE) n. 965/2012, (UE) n. 139/2014, (UE) n. 1321/2014 e (UE) 2015/340 della Commissione e i regolamenti di esecuzione (UE) 2017/373 e (UE) 2021/664 della Commissione
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell'aviazione civile, che istituisce un'Agenzia dell'Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (1), in particolare l'articolo 17, paragrafo 1, lettera b), l'articolo 27, paragrafo 1, lettera a), l'articolo 31, paragrafo 1, lettera b), l'articolo 43, paragrafo 1, lettera b), l'articolo 53, paragrafo 1, lettera a) e l'articolo 62, paragrafo 15, lettera c),
considerando quanto segue:
(1) |
Conformemente ai requisiti essenziali di cui all'allegato II, punto 3.1, lettera b), del regolamento (UE) 2018/1139, le organizzazioni responsabili del mantenimento dell'aeronavigabilità e le organizzazioni di manutenzione devono realizzare e mantenere un sistema di gestione per gestire i rischi in materia di sicurezza. |
(2) |
Inoltre, conformemente ai requisiti essenziali di cui all'allegato IV, punto 3.3, lettera b), e punto 5, lettera b), del regolamento (UE) 2018/1139, le organizzazioni di addestramento dei piloti, le organizzazioni di addestramento degli equipaggi di cabina, i centri aeromedici per l'equipaggio e gli operatori di dispositivi di addestramento al volo simulato devono realizzare e mantenere un sistema di gestione per gestire i rischi in materia di sicurezza. |
(3) |
Inoltre conformemente ai requisiti essenziali di cui all'allegato V, punto 8.1, lettera c), del regolamento (UE) 2018/1139, gli operatori aerei devono realizzare e mantenere un sistema di gestione atto a gestire i rischi in materia di sicurezza. |
(4) |
Infine conformemente ai requisiti essenziali di cui all'allegato VIII, punto 5.1, lettera c), e punto 5.4, lettera b), del regolamento (UE) 2018/1139, i fornitori di servizi di gestione del traffico aereo e della navigazione aerea, i fornitori di servizi U-space e i fornitori unici di servizi comuni di informazione, nonché le organizzazioni di addestramento e i centri aeromedici per i controllori del traffico aereo devono realizzare e mantenere un sistema di gestione atto a gestire i rischi in materia di sicurezza. |
(5) |
Tali rischi in materia di sicurezza possono derivare da varie fonti, tra cui difetti di progettazione e di manutenzione, aspetti relativi alle prestazioni umane, minacce ambientali e alla sicurezza delle informazioni. È opportuno pertanto che i sistemi di gestione realizzati dall'Agenzia dell'Unione europea per la sicurezza aerea («l'Agenzia») e dalle autorità nazionali competenti e dalle organizzazioni di cui ai precedenti considerando, tengano conto non solo dei rischi in materia di sicurezza derivanti da eventi casuali, ma anche dei rischi in materia di sicurezza derivanti da minacce alla sicurezza delle informazioni in cui le falle esistenti possono essere sfruttate da individui con l'intento di nuocere. Tali rischi per la sicurezza delle informazioni sono in costante aumento nell'ambiente dell'aviazione civile poiché gli attuali sistemi informativi stanno diventando sempre più interconnessi e sempre più bersaglio di malintenzionati. |
(6) |
I rischi associati a tali sistemi informativi non si limitano a possibili attacchi al ciberspazio, ma comprendono anche minacce che possono influire sui processi e sulle procedure nonché sulle prestazioni umane. |
(7) |
Un numero significativo di organizzazioni utilizza già norme internazionali, come l'ISO 27001, al fine di affrontare la questione della sicurezza delle informazioni e dei dati digitali. Tali norme potrebbero non affrontare pienamente tutte le specificità dell'aviazione civile. È pertanto opportuno stabilire requisiti per la gestione dei rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea. |
(8) |
È essenziale che tali requisiti riguardino tutti i settori dell'aviazione e le relative interfacce, dal momento che l'aviazione è un sistema di sistemi altamente interconnesso. Essi dovrebbero pertanto applicarsi a tutte le organizzazioni e autorità competenti di cui ai regolamenti (UE) n. 748/2012 (2), (UE) n. 1321/2014 (3), (UE) n. 965/2012 (4), (UE) n. 1178/2011 (5), (UE) 2015/340 (6) e (UE) n. 139/2014 (7) della Commissione, e al regolamento di esecuzione (UE) 2021/664 della Commissione (8), anche a quelle che sono già tenute a disporre di un sistema di gestione conformemente alla vigente normativa dell'Unione in materia di sicurezza aerea. Alcune organizzazioni dovrebbero tuttavia essere escluse dall'ambito di applicazione del presente regolamento al fine di garantire la debita proporzionalità ai minori rischi per la sicurezza delle informazioni che esse pongono al sistema dell'aviazione. |
(9) |
I requisiti di cui al presente regolamento dovrebbero garantire un'attuazione coerente in tutti i settori dell'aviazione, generando nel contempo un impatto minimo sulla legislazione dell'Unione in materia di sicurezza aerea già applicabile a tali settori. |
(10) |
I requisiti di cui al presente regolamento dovrebbero lasciare impregiudicati gli obblighi in materia di sicurezza delle informazioni e cibersicurezza di cui al punto 1.7 dell'allegato del regolamento di esecuzione (UE) 2015/1998 della Commissione (9) e all'articolo 14 della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (10). |
(11) |
I requisiti stabiliti al titolo V «Sicurezza del programma», articoli da 33 a 43, del regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio (11) sono considerati equivalenti ai requisiti di cui al presente regolamento, tranne per quanto riguarda il punto IS.I.OR.230 dell'allegato II del presente regolamento che dovrebbe essere rispettato. |
(12) |
Al fine di garantire la certezza del diritto, è opportuno che l'interpretazione del termine «sicurezza delle informazioni» quale definito nel presente regolamento, che riflette il suo uso comune nell'aviazione civile a livello mondiale, sia ritenuta analoga a quella del termine «sicurezza della rete e dei sistemi informativi» quale definito all'articolo 4, punto 2, della direttiva (UE) 2016/1148. La definizione di sicurezza delle informazioni utilizzata ai fini del presente regolamento non dovrebbe essere interpretata come divergente dalla definizione di sicurezza della rete e dei sistemi informativi di cui alla direttiva (UE) 2016/1148. |
(13) |
Al fine di evitare la duplicazione dei requisiti giuridici, qualora le organizzazioni contemplate dal presente regolamento siano già soggette a obblighi di sicurezza derivanti da atti dell'Unione di cui ai considerando 10 e 11, che sono, nei relativi effetti, equivalenti alle disposizioni del presente regolamento, la conformità a tali obblighi di sicurezza dovrebbe essere considerata conforme ai requisiti stabiliti dal presente regolamento. |
(14) |
Le organizzazioni di cui al presente regolamento che sono già soggette agli obblighi di sicurezza derivanti dal regolamento di esecuzione (UE) 2015/1998 o dal regolamento (UE) 2021/696, o da entrambi, dovrebbero inoltre conformarsi ai requisiti di cui all'allegato II (parte IS.I.OR.230 «Sistema di segnalazione esterna della sicurezza delle informazioni») del presente regolamento, poiché nessuno dei due regolamenti contiene disposizioni relative alla segnalazione esterna degli inconvenienti per la sicurezza delle informazioni. |
(15) |
Per completezza, i regolamenti (UE) n. 1178/2011, (UE) n. 748/2012, (UE) n. 965/2012, (UE) n. 139/2014, (UE) n. 1321/2014, (UE) 2015/340, e i regolamenti di esecuzione (UE) 2017/373 (12) e (UE) 2021/664 dovrebbero essere modificati al fine di introdurre i requisiti per i sistemi di gestione della sicurezza delle informazioni prescritti dal presente regolamento insieme ai sistemi di gestione ivi indicati, e stabilire i requisiti delle autorità competenti per quanto riguarda la sorveglianza delle organizzazioni che attuano i suddetti requisiti di gestione della sicurezza delle informazioni. |
(16) |
Al fine di offrire alle organizzazioni un periodo sufficiente per garantire la conformità alle nuove norme e procedure, è opportuno che il presente regolamento si applichi tre anni dopo la sua entrata in vigore, fatta eccezione per il fornitore di servizi di navigazione aerea del Servizio europeo di copertura per la navigazione geostazionaria (EGNOS) definito nel regolamento di esecuzione (UE) 2017/373, per il quale dovrebbe diventare applicabile dal 1o gennaio 2026 a causa dell'accreditamento di sicurezza in corso del sistema e dei servizi EGNOS conformemente al regolamento (UE) 2021/696. |
(17) |
I requisiti stabiliti nel presente regolamento si basano sul parere n. 03/2021 (13), emesso dall'Agenzia in conformità all'articolo 75, paragrafo 2, lettere b) e c), e all'articolo 76, paragrafo 1, del regolamento (UE) 2018/1139. |
(18) |
I requisiti stabiliti nel presente regolamento sono conformi al parere del comitato per l'applicazione delle norme comuni di sicurezza nel settore dell'aviazione civile, istituito dall'articolo 127 del regolamento (UE) 2018/1139, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Oggetto
Il presente regolamento stabilisce i requisiti che devono essere soddisfatti dalle organizzazioni (imprese) e dalle autorità competenti al fine di:
a) |
individuare e gestire i rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea che potrebbero incidere sui sistemi di tecnologia dell'informazione e della comunicazione e sui dati utilizzati per finalità relative all'aviazione civile; |
b) |
rilevare gli eventi relativi alla sicurezza delle informazioni e individuare quelli che sono considerati inconvenienti per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea; |
c) |
rispondere a tali inconvenienti e provvedere al ripristino. |
Articolo 2
Ambito di applicazione
1. Il presente regolamento si applica alle organizzazioni (imprese) seguenti:
a) |
le imprese di manutenzione soggette all'allegato II (parte 145), sezione A, del regolamento (UE) n. 1321/2014, a eccezione di quelle che partecipano esclusivamente alla manutenzione di aeromobili conformemente all'allegato V ter (parte ML) del regolamento (UE) n. 1321/2014; |
b) |
le imprese per la gestione del mantenimento dell'aeronavigabilità (CAMO) soggette all'allegato V quater (parte CAMO), sezione A, del regolamento (UE) n. 1321/2014, a eccezione di quelle che partecipano esclusivamente alla gestione del mantenimento dell'aeronavigabilità degli aeromobili in conformità all'allegato V ter (parte ML) del regolamento (UE) n. 1321/2014; |
c) |
gli operatori aerei soggetti all'allegato III (parte ORO) del regolamento (UE) n. 965/2012, a eccezione di quelli che partecipano esclusivamente della gestione di uno dei velivoli seguenti:
|
d) |
le organizzazioni di addestramento autorizzate (ATO) soggette all'allegato VII (parte ORA) del regolamento (UE) n. 1178/2011, a eccezione di quelle che partecipano esclusivamente ad attività di addestramento per aeromobili ELA 2 quali definiti all'articolo 1, paragrafo 2, lettera j), del regolamento (UE) n. 748/2012, o che partecipano esclusivamente all'addestramento teorico; |
e) |
i centri aeromedici per equipaggi soggetti all'allegato VII (parte ORA) del regolamento (UE) n. 1178/2011; |
f) |
gli operatori di dispositivi di addestramento al volo simulato (FSTD) soggetti all'allegato VII (parte ORA) del regolamento (UE) n. 1178/2011, a eccezione di quelli che partecipano esclusivamente alla gestione di FSTD per aeromobili ELA 2, quali definiti all'articolo 1, paragrafo 2, lettera j), del regolamento (UE) n. 748/2012; |
g) |
le organizzazioni di addestramento dei controllori del traffico aereo (ATCO TO) e centri aeromedici ATCO soggetti all'allegato III (parte ATCO.OR) del regolamento (UE) 2015/340; |
h) |
le organizzazioni soggette all'allegato III (parte ATM/ANS.OR) del regolamento di esecuzione (UE) 2017/373, a eccezione dei fornitori di servizi seguenti:
|
i) |
i fornitori di servizi U-space e fornitori unici di servizi comuni di informazione soggetti al regolamento di esecuzione (UE) 2021/664. |
2. Il presente regolamento si applica alle autorità competenti, compresa l'Agenzia dell'Unione europea per la sicurezza aerea («l'Agenzia»), di cui all'articolo 6 del presente regolamento e all'articolo 5 del regolamento delegato (UE) 2022/1645 della Commissione (14)
3. Il presente regolamento si applica altresì all'autorità competente responsabile del rilascio, proroga, modifica, sospensione o revoca delle licenze di manutenzione aeronautica in conformità all'allegato III (parte 66) del regolamento (UE) n. 1321/2014.
4. Il presente regolamento lascia impregiudicati gli obblighi in materia di sicurezza delle informazioni e cibersicurezza di cui al punto 1.7 dell'allegato del regolamento di esecuzione (UE) 2015/1998 e all'articolo 14 della direttiva (UE) 2016/1148.
Articolo 3
Definizioni
Ai fini del presente regolamento si intende per:
1) |
«sicurezza delle informazioni»: la tutela della riservatezza, dell'integrità, dell'autenticità e della disponibilità della rete e dei sistemi informativi; |
2) |
«evento relativo alla sicurezza delle informazioni»: un evento individuato di un sistema, di un servizio o di uno stato di rete che indica una possibile violazione della politica di sicurezza delle informazioni, o un'avaria dei controlli di sicurezza delle informazioni, o una situazione precedentemente sconosciuta che può essere pertinente per la sicurezza delle informazioni; |
3) |
«inconveniente»: ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi, definito quale «incidente» all'articolo 4, punto 7, della direttiva (UE) 2016/1148; |
4) |
«rischio per la sicurezza delle informazioni»: il rischio per le operazioni organizzative dell'aviazione civile, i beni, le persone fisiche e altre imprese a causa del potenziale di un evento relativo alla sicurezza delle informazioni. I rischi per la sicurezza delle informazioni sono associati alla possibilità che le minacce sfruttino le vulnerabilità di una risorsa informativa o di un gruppo di risorse informative; |
5) |
«minaccia»: una potenziale violazione della sicurezza delle informazioni che sussiste in presenza di un'entità, una circostanza, un'azione o un evento che potrebbe nuocere; |
6) |
«vulnerabilità»: una falla o una debolezza in un bene o in un sistema, nelle procedure, nella progettazione, nell'attuazione o nelle misure di sicurezza delle informazioni, che potrebbe essere sfruttata e che si traduce in una violazione della politica di sicurezza delle informazioni. |
Articolo 4
Requisiti per le organizzazioni (imprese) e le autorità competenti
1. Le organizzazioni (imprese) di cui all'articolo 2, paragrafo 1, rispettano i requisiti dell'allegato II (parte IS.I.OR) del presente regolamento.
2. Le autorità competenti di cui all'articolo 2, paragrafi 2 e 3, rispettano i requisiti dell'allegato I (parte IS.AR) del presente regolamento.
Articolo 5
Obblighi derivanti da altre normative dell'Unione
1. Se un'impresa di cui all'articolo 2, paragrafo 1, soddisfa gli obblighi in materia di sicurezza stabiliti conformemente all'articolo 14 della direttiva (UE) 2016/1148, equivalenti agli obblighi di cui al presente regolamento, la conformità a tali obblighi di sicurezza è considerata come conformità agli obblighi di cui al presente regolamento.
2. Se un'organizzazione (impresa) di cui all'articolo 2, paragrafo 1, è un operatore o un'entità di cui ai programmi nazionali per la sicurezza dell'aviazione civile degli Stati membri stabiliti a norma dell'articolo 10 del regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio (15), gli obblighi in materia di cibersicurezza di cui al punto 1.7 dell'allegato del regolamento di esecuzione (UE) 2015/1998 sono considerati equivalenti ai requisiti di cui al presente regolamento, tranne per quanto riguarda il punto IS.I.OR.230 dell'allegato II del presente regolamento che è da rispettare di per sé.
3. Nei casi in cui l'organizzazione (impresa) di cui all'articolo 2, paragrafo 1, sia il fornitore di servizi di navigazione aerea del Servizio europeo di copertura per la navigazione geostazionaria (EGNOS) di cui al regolamento (UE) 2021/696, i requisiti di cui agli articoli da 33 a 43 del titolo V di tale regolamento sono considerati equivalenti ai requisiti di cui al presente regolamento, tranne per quanto riguarda il punto IS.I.OR.230 dell'allegato II del presente regolamento che è da rispettare di per sé.
4. La Commissione, previa consultazione dell'Agenzia e del gruppo di cooperazione di cui all'articolo 11 della direttiva (UE) 2016/1148, può emanare orientamenti per la valutazione dell'equivalenza tra i requisiti di cui al presente regolamento e quelli di cui alla direttiva (UE) 2016/1148.
Articolo 6
Autorità competente
1. Fatti salvi i compiti affidati al comitato di accreditamento di sicurezza (SAB) di cui all'articolo 36 del regolamento (UE) 2021/696, l'autorità responsabile della certificazione e della supervisione della conformità al presente regolamento è:
a) |
per quanto riguarda le imprese di cui all'articolo 2, paragrafo 1, lettera a), l'autorità competente designata conformemente all'allegato II (parte 145) del regolamento (UE) n. 1321/2014; |
b) |
per quanto riguarda le imprese di cui all'articolo 2, paragrafo 1, lettera b), l'autorità competente designata conformemente all'allegato V quater (parte CAMO) del regolamento (UE) n. 1321/2014; |
c) |
per quanto riguarda le organizzazioni di cui all'articolo 2, paragrafo 1, lettera c), l'autorità competente designata conformemente all'allegato III (parte ORO) del regolamento (UE) n. 965/2012; |
d) |
per quanto riguarda le organizzazioni di cui all'articolo 2, paragrafo 1, lettere da d) a f), l'autorità competente designata conformemente all'allegato VII (parte ORA) del regolamento (UE) n. 1178/2011; |
e) |
per quanto riguarda le organizzazioni di cui all'articolo 2, paragrafo 1, lettera g), l'autorità competente designata conformemente all'articolo 6, paragrafo 2, del regolamento (UE) 2015/340; |
f) |
per quanto riguarda le organizzazioni di cui all'articolo 2, paragrafo 1, lettera h), l'autorità competente designata conformemente all'articolo 4, paragrafo 1, del regolamento di esecuzione (UE) 2017/373; |
g) |
per quanto riguarda le organizzazioni di cui all'articolo 2, paragrafo 1, lettera i), l'autorità competente designata conformemente all'articolo 14, paragrafo 1 o, se del caso, all'articolo 14, paragrafo 2, del regolamento di esecuzione (UE) 2021/664. |
2. Ai fini del presente regolamento gli Stati membri possono designare un'entità indipendente e autonoma per adempiere al ruolo e alle responsabilità assegnati alle autorità competenti di cui al paragrafo 1. In tal caso, sono stabilite misure di coordinamento tra tale entità e le autorità competenti di cui al paragrafo 1, al fine di garantire una sorveglianza efficace di tutti i requisiti che l'organizzazione deve soddisfare.
3. L'Agenzia collabora, nel pieno rispetto delle norme applicabili in materia di segretezza, protezione dei dati personali e protezione delle informazioni classificate, con l'Agenzia dell'Unione europea per il programma spaziale (EUSPA) e con il SAB di cui all'articolo 36 del regolamento (UE) 2021/696, al fine di garantire una sorveglianza efficace dei requisiti applicabili al fornitore di servizi di navigazione aerea EGNOS.
Articolo 7
Invio di informazioni pertinenti alle autorità competenti per le reti e i sistemi informativi (NIS)
Le autorità competenti a norma del presente regolamento comunicano, senza indebito ritardo, al punto di contatto unico designato a norma dell'articolo 8 della direttiva (UE) 2016/1148 qualsiasi informazione pertinente inserita nelle notifiche presentate a norma dell'allegato II, punto IS.I.OR.230, del presente regolamento e dell'allegato I, punto IS.D.OR.230, del regolamento delegato 2022/1645 dagli operatori di servizi essenziali di cui all'articolo 5 della direttiva (UE) 2016/1148.
Articolo 8
Modifica del regolamento (UE) n. 1178/2011
Gli allegati VI (parte ARA) e VII (parte ORA) del regolamento (UE) n. 1178/2011 sono modificati conformemente all'allegato III del presente regolamento.
Articolo 9
Modifica del regolamento (UE) n. 748/2012
L'allegato I (parte 21) del regolamento (UE) n. 748/2012 è modificato conformemente all'allegato IV del presente regolamento.
Articolo 10
Modifica del regolamento (UE) n. 965/2012
Gli allegati II (parte ARO) e III (parte ORO) del regolamento (UE) n. 965/2012 sono modificati conformemente all'allegato V del presente regolamento.
Articolo 11
Modifica del regolamento (UE) n. 139/2014
L'allegato II (parte ADR.OR) del regolamento (UE) n. 139/2014 è modificato conformemente all'allegato VI del presente regolamento.
Articolo 12
Modifica del regolamento (UE) n. 1321/2014
Gli allegati II (parte 145), III (parte 66) e V quater (parte CAMO) del regolamento (UE) n. 1321/2014 sono modificati conformemente all'allegato VII del presente regolamento.
Articolo 13
Modifica del regolamento (UE) 2015/340
Gli allegati II (parte ATCO.AR) e III (parte ATCO.OR) del regolamento (UE) 2015/340 sono modificati conformemente all'allegato VIII del presente regolamento.
Articolo 14
Modifica del regolamento di esecuzione (UE) 2017/373
Gli allegati II (parte ATM/ANS.AR) e III (parte ATM/ANS.OR) del regolamento di esecuzione (UE) 2017/373 sono modificati conformemente all'allegato IX del presente regolamento.
Articolo 15
Modifica del regolamento di esecuzione (UE) 2021/664
Il regolamento di esecuzione (UE) 2021/664 è così modificato:
1) |
all'articolo 15, paragrafo 1, la lettera f) è sostituita dalla seguente:
|
2) |
all'articolo 18 è aggiunta la seguente lettera l):
|
Articolo 16
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal 22 febbraio 2026.
Tuttavia per quanto riguarda il caso del fornitore di servizi di navigazione aerea EGNOS soggetto al regolamento di esecuzione (UE) 2017/373, esso si applica a decorrere dal 1o gennaio 2026.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 27 ottobre 2022
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 212 del 22.8.2018, pag. 1.
(2) Regolamento (UE) n. 748/2012 della Commissione, del 3 agosto 2012, che stabilisce le regole di attuazione per la certificazione di aeronavigabilità e ambientale di aeromobili e relativi prodotti, parti e pertinenze, nonché per la certificazione delle imprese di progettazione e di produzione (GU L 224 del 21.8.2012, pag. 1).
(3) Regolamento (UE) n. 1321/2014 della Commissione, del 26 novembre 2014, sul mantenimento dell'aeronavigabilità di aeromobili e di prodotti aeronautici, parti e pertinenze, nonché sull'approvazione delle organizzazioni e del personale autorizzato a tali mansioni (GU L 362 del 17.12.2014, pag. 1).
(4) Regolamento (UE) n. 965/2012 della Commissione, del 5 ottobre 2012, che stabilisce i requisiti tecnici e le procedure amministrative per quanto riguarda le operazioni di volo ai sensi del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio (GU L 296 del 25.10.2012, pag. 1).
(5) Regolamento (UE) n. 1178/2011 della Commissione, del 3 novembre 2011, che stabilisce i requisiti tecnici e le procedure amministrative relativamente agli equipaggi dell'aviazione civile ai sensi del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio (GU L 311 del 25.11.2011, pag. 1).
(6) Regolamento (UE) 2015/340 della Commissione, del 20 febbraio 2015, che stabilisce i requisiti tecnici e le procedure amministrative concernenti licenze e certificati dei controllori del traffico aereo ai sensi del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio, modifica il regolamento di esecuzione (UE) n. 923/2012 della Commissione e abroga il regolamento (UE) n. 805/2011 della Commissione (GU L 63 del 6.3.2015, pag. 1).
(7) Regolamento (UE) n. 139/2014 della Commissione, del 12 febbraio 2014, che stabilisce i requisiti tecnici e le procedure amministrative relativi agli aeroporti ai sensi del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio (GU L 44 del 14.2.2014, pag. 1).
(8) Regolamento di esecuzione (UE) 2021/664 della Commissione, del 22 aprile 2021, relativo a un quadro normativo per lo U-space (GU L 139 del 23.4.2021, pag. 161).
(9) Regolamento di esecuzione (UE) 2015/1998 della Commissione, del 5 novembre 2015, che stabilisce disposizioni particolareggiate per l'attuazione delle norme fondamentali comuni sulla sicurezza aerea (GU L 299 del 14.11.2015, pag. 1).
(10) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).
(11) Regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma spaziale dell'Unione e l'Agenzia dell'Unione europea per il programma spaziale e che abroga i regolamenti (UE) n. 912/2010, (UE) n. 1285/2013 e (UE) n. 377/2014 e la decisione n. 541/2014/UE (GU L 170 del 12.5.2021, pag. 69).
(12) Regolamento di esecuzione (UE) 2017/373 della Commissione, del 1o marzo 2017, che stabilisce i requisiti comuni per i fornitori di servizi di gestione del traffico aereo e di navigazione aerea e di altre funzioni della rete di gestione del traffico aereo e per la loro sorveglianza, che abroga il regolamento (CE) n. 482/2008 e i regolamenti di esecuzione (UE) n. 1034/2011, (UE) n. 1035/2011 e (UE) 2016/1377 e che modifica il regolamento (UE) n. 677/2011 (GU L 62 dell'8.3.2017, pag. 1).
(13) https://www.easa.europa.eu/en/document-library/opinions/opinion-032021
(14) Regolamento delegato (UE) 2022/1645 della Commissione del 14 luglio 2022 recante modalità di applicazione del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio per quanto riguarda i requisiti per la gestione dei rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea per le imprese disciplinate dai regolamenti (UE) n. 748/2012 e (UE) n. 139/2014 della Commissione e che modifica i regolamenti (UE) n. 748/2012 e (UE) n. 139/2014 della Commissione (GU L 248 del 26.9.2022, pag. 18).
(15) Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo 2008, che istituisce norme comuni per la sicurezza dell'aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72).
ALLEGATO I
SICUREZZA DELLE INFORMAZIONI — REQUISITI DELL'AUTORITÀ
[PARTE IS.AR]
IS.AR.100 |
Ambito di applicazione |
IS.AR.200 |
Sistema di gestione della sicurezza delle informazioni (ISMS) |
IS.AR.205 |
Valutazione dei rischi per la sicurezza delle informazioni |
IS.AR.210 |
Trattamento dei rischi per la sicurezza delle informazioni |
IS.AR.215 |
Inconvenienti per la sicurezza delle informazioni — rilevamento, risposta e ripristino |
IS.AR.220 |
Appalto delle attività di gestione della sicurezza delle informazioni |
IS.AR.225 |
Requisiti relativi al personale |
IS.AR.230 |
Archiviazione dei documenti |
IS.AR.235 |
Miglioramento continuo |
IS.AR.100 Ambito di applicazione
La presente parte stabilisce i requisiti di gestione che le autorità competenti di cui all'articolo 2, paragrafo 2, del presente regolamento devono soddisfare.
I requisiti che tali autorità competenti devono soddisfare per lo svolgimento delle loro attività di certificazione, sorveglianza e applicazione delle norme sono contenuti nei regolamenti di cui all'articolo 2, paragrafo 1, del presente regolamento e nell'articolo 2 del regolamento delegato (UE) 2022/1645.
IS.AR.200 Sistema di gestione della sicurezza delle informazioni (ISMS)
a) |
Al fine di conseguire gli obiettivi di cui all'articolo 1, l'autorità competente istituisce, realizza e mantiene un sistema di gestione della sicurezza delle informazioni (ISMS) che le garantisca di:
|
b) |
Al fine di soddisfare in modo continuativo i requisiti di cui all'articolo 1, l'autorità competente attua un processo di miglioramento continuo conformemente al punto IS.AR.235. |
c) |
L'autorità competente documenta tutti i processi, le procedure, i ruoli e le responsabilità principali necessari per conformarsi al punto IS.AR.200, lettera a), e per definire un processo di modifica di tale documentazione. |
d) |
I processi, le procedure, i ruoli e le responsabilità stabiliti dall'autorità competente per conformarsi al punto IS.AR.200, lettera a), corrispondono alla natura e alla complessità delle sue attività, sulla base di una valutazione dei rischi per la sicurezza delle informazioni inerenti a tali attività e possono essere integrati in altri sistemi di gestione esistenti già attuati dall'autorità competente. |
IS.AR.205 Valutazione dei rischi per la sicurezza delle informazioni
a) |
L'autorità competente individua tutti gli elementi della propria organizzazione che potrebbero essere esposti a rischi per la sicurezza delle informazioni. Tali elementi includono:
|
b) |
L'autorità competente individua le interfacce che la propria organizzazione ha con altre organizzazioni che potrebbero comportare l'esposizione reciproca a rischi per la sicurezza delle informazioni. |
c) |
Per quanto riguarda gli elementi e le interfacce di cui alle lettere a) e b), l'autorità competente individua i rischi per la sicurezza delle informazioni che possono avere un potenziale impatto sulla sicurezza aerea. Per ogni rischio individuato l'autorità:
La classificazione predefinita di cui al punto 1) tiene conto del potenziale di insorgenza dello scenario di minaccia e della gravità delle sue conseguenze per la sicurezza. Mediante tale classificazione, e considerando se l'autorità competente disponga di un processo operativo di gestione dei rischi strutturato e ripetibile, l'autorità competente medesima è in grado di stabilire se il rischio sia accettabile o debba essere trattato conformemente al punto IS.AR.210. Al fine di agevolare la comparabilità reciproca delle valutazioni dei rischi, l'assegnazione del livello di rischio di cui al punto 1) tiene conto delle informazioni pertinenti acquisite in coordinamento con le organizzazioni di cui alla lettera b). |
d) |
L'autorità competente riesamina e aggiorna la valutazione dei rischi effettuata conformemente alle lettere a), b) e c) in uno dei casi seguenti:
|
IS.AR.210 Trattamento dei rischi per la sicurezza delle informazioni
a) |
L'autorità competente elabora misure per affrontare i rischi inaccettabili individuati conformemente al punto IS.AR.205, le attua tempestivamente e ne verifica l'efficacia nel tempo. Tali misure consentono all'autorità competente di:
Tali misure non introducono nuovi potenziali rischi inaccettabili per la sicurezza aerea. |
b) |
La persona di cui al punto IS.AR.225, lettera a) e gli altri membri del personale interessati dell'autorità competente sono informati dell'esito della valutazione dei rischi effettuata conformemente al punto IS.AR.205, dei corrispondenti scenari di minaccia e delle misure da attuare. L'autorità competente informa inoltre le organizzazioni con le quali ha un'interfaccia conformemente al punto IS.AR.205, lettera b), di qualsiasi rischio condiviso tra la l'autorità competente e l'organizzazione. |
IS.AR.215 Inconvenienti per la sicurezza delle informazioni — rilevamento, risposta e ripristino
a) |
Sulla base dell'esito della valutazione dei rischi effettuata conformemente al punto IS.AR.205 e dell'esito del trattamento dei rischi effettuato conformemente al punto IS.AR.210, l'autorità competente attua misure per rilevare gli eventi che indicano il potenziale verificarsi di rischi inaccettabili e che possono avere un potenziale impatto sulla sicurezza aerea. Tali misure di rilevamento consentono all'autorità competente di:
|
b) |
L'autorità competente attua misure per rispondere a qualsiasi evento individuato in conformità alla lettera a), che può trasformarsi o si è trasformato in un inconveniente nel settore della sicurezza delle informazioni. Tali misure di risposta consentono all'autorità competente di:
|
c) |
L'autorità competente attua misure volte al ripristino dopo inconvenienti per la sicurezza delle informazioni, comprese, se necessario, misure di emergenza. Tali misure di ripristino consentono all'autorità competente di:
|
IS.AR.220 Appalto delle attività di gestione della sicurezza delle informazioni
L'autorità competente garantisce che, nell'appaltare una parte delle attività di cui al punto IS.AR.200 ad altre organizzazioni, le attività oggetto dell'appalto siano conformi ai requisiti del presente regolamento e che l'impresa appaltatrice lavori sotto la sua sorveglianza. L'autorità competente garantisce che i rischi associati alle attività oggetto dell'appalto siano adeguatamente gestiti.
IS.AR.225 Requisiti relativi al personale
L'autorità competente deve:
a) |
disporre di una persona che abbia l'autorità di creare e mantenere le strutture organizzative, le politiche, i processi e le procedure necessari per l'attuazione del presente regolamento. Tale persona deve:
|
b) |
disporre di un processo atto a garantire la presenza di personale sufficiente per svolgere le attività contemplate dal presente allegato; |
c) |
disporre di un processo atto a garantire che il personale di cui alla lettera b) abbia le competenze necessarie per svolgere i propri compiti; |
d) |
disporre di un processo atto a garantire che il personale riconosca le responsabilità associate ai ruoli e ai compiti assegnati; |
e) |
garantire che l'identità e l'affidabilità del personale che ha accesso ai sistemi informativi e ai dati soggetti ai requisiti del presente regolamento siano adeguatamente accertate. |
IS.AR.230 Archiviazione dei documenti
a) |
L'autorità competente archivia i documenti relativi alle proprie attività di gestione della sicurezza delle informazioni.
|
b) |
L'autorità competente conserva i dati relativi alle qualifiche e all'esperienza del proprio personale che partecipa alle attività di gestione della sicurezza delle informazioni.
|
c) |
Il formato dei dati è specificato nelle procedure dell'autorità competente. |
d) |
I dati sono conservati in modo da garantire la protezione da danni, alterazioni e furti, identificando le informazioni, se necessario, in base al loro livello di classificazione di sicurezza. L'autorità competente garantisce che i dati siano conservati utilizzando strumenti che garantiscano l'integrità, l'autenticità e l'accesso autorizzato. |
IS.AR.235 Miglioramento continuo
a) |
L'autorità competente valuta, utilizzando adeguati indicatori di prestazione, l'efficacia e la maturità dell'ISMS. Tale valutazione è effettuata sulla base di un calendario predefinito dall'autorità competente o a seguito di un inconveniente nel settore della sicurezza delle informazioni. |
b) |
Se si riscontrano carenze a seguito della valutazione effettuata conformemente alla lettera a), l'autorità competente adotta le misure di miglioramento necessarie per garantire che l'ISMS continui a rispettare i requisiti applicabili e mantenga i rischi per la sicurezza delle informazioni a un livello accettabile. L'autorità competente riesamina inoltre gli elementi dell'ISMS interessati dalle misure adottate. |
ALLEGATO II
SICUREZZA DELLE INFORMAZIONI — REQUISITI PER LE ORGANIZZAZIONI
[PARTE IS.I.OR]
IS.I.OR.100 |
Ambito di applicazione |
IS.I.OR.200 |
Sistema di gestione della sicurezza delle informazioni (ISMS) |
IS.I.OR.205 |
Valutazione dei rischi per la sicurezza delle informazioni |
IS.I.OR.210 |
Trattamento dei rischi per la sicurezza delle informazioni |
IS.I.OR.215 |
Sistema di segnalazione interna della sicurezza delle informazioni |
IS.I.OR.220 |
Inconvenienti per la sicurezza delle informazioni — rilevamento, risposta e ripristino |
IS.I.OR.225 |
Risposte alle non conformità notificate dall'autorità competente |
IS.I.OR.230 |
Sistema di segnalazione esterna della sicurezza delle informazioni |
IS.I.OR.235 |
Appalto delle attività di gestione della sicurezza delle informazioni |
IS.I.OR.240 |
Requisiti relativi al personale |
IS.I.OR.245 |
Archiviazione dei documenti |
IS.I.OR.250 |
Manuale di gestione della sicurezza delle informazioni (ISMM) |
IS.I.OR.255 |
Modifiche del sistema di gestione della sicurezza delle informazioni |
IS.I.OR.260 |
Miglioramento continuo |
IS.I.OR.100 Ambito di applicazione
La presente parte stabilisce i requisiti che le organizzazioni di cui all'articolo 2, paragrafo 1, del presente regolamento devono soddisfare.
IS.I.OR.200 Sistema di gestione della sicurezza delle informazioni (ISMS)
a) |
Al fine di conseguire gli obiettivi di cui all'articolo 1, l'organizzazione istituisce, attua e mantiene un sistema di gestione della sicurezza delle informazioni (ISMS) che le garantisca di:
|
b) |
Al fine di soddisfare in modo continuativo i requisiti di cui all'articolo 1, l'organizzazione attua un processo di miglioramento continuo conformemente al punto IS.I.OR.260. |
c) |
L'organizzazione documenta, conformemente al punto IS.I.OR.250, tutti i processi, le procedure, i ruoli e le responsabilità principali necessari per conformarsi al punto IS.I.OR.200, lettera a), e definisce un processo di modifica di tale documentazione. Le modifiche a tali processi, procedure, ruoli e responsabilità sono gestite conformemente al punto IS.I.OR.255. |
d) |
I processi, le procedure, i ruoli e le responsabilità stabiliti dall'organizzazione per conformarsi al punto IS.I.OR.200, lettera a), corrispondono alla natura e alla complessità delle sue attività, sulla base di una valutazione dei rischi per la sicurezza delle informazioni inerenti a tali attività e possono essere integrati in altri sistemi di gestione esistenti già attuati dall'organizzazione. |
e) |
Fatto salvo l'obbligo di rispettare gli obblighi di segnalazione di cui al regolamento (UE) n. 376/2014 e i requisiti di cui al punto IS.I.OR.200, lettera a), punto 13), l'organizzazione può essere autorizzata dall'autorità competente a non attuare i requisiti di cui alle lettere da a) a d) e i relativi requisiti contenuti ai punti da IS.I.OR.205 a IS.I.OR.260, se dimostra, in modo giudicato soddisfacente da detta autorità, che le sue attività, strutture e risorse, nonché i servizi che gestisce, fornisce, riceve e mantiene, non comportano rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea né per se stessa né per altre imprese. L'approvazione si basa su una valutazione documentata dei rischi per la sicurezza delle informazioni effettuata dall'organizzazione o da un terzo conformemente al punto IS.I.OR.205 e riesaminata e approvata dalla sua autorità competente. Il mantenimento della validità di tale approvazione sarà riesaminato dall'autorità competente a seguito del ciclo di audit di supervisione applicabile e ogniqualvolta le modifiche siano attuate nell'ambito del lavoro dell'organizzazione. |
IS.I.OR.205 Valutazione dei rischi per la sicurezza delle informazioni
a) |
L'organizzazione individua tutti i suoi elementi che potrebbero essere esposti a rischi per la sicurezza delle informazioni. Ciò comprende:
|
b) |
L'organizzazione individua le interfacce che ha con altre organizzazioni e che potrebbero comportare l'esposizione reciproca a rischi per la sicurezza delle informazioni. |
c) |
Per quanto riguarda gli elementi e le interfacce di cui alle lettere a) e b), l'organizzazione individua i rischi per la sicurezza delle informazioni che possono avere un potenziale impatto sulla sicurezza aerea. Per ogni rischio individuato l'organizzazione:
La classificazione predefinita di cui al punto 1) tiene conto del potenziale di insorgenza dello scenario di minaccia e della gravità delle sue conseguenze per la sicurezza. Sulla base di tale classificazione e tenendo conto del fatto che l'organizzazione dispone di un processo operativo di gestione dei rischi strutturato e ripetibile, l'organizzazione è in grado di stabilire se il rischio è accettabile o deve essere trattato conformemente al punto IS.I.OR.210. Al fine di agevolare la comparabilità reciproca delle valutazioni dei rischi, l'assegnazione del livello di rischio a norma del punto 1) tiene conto delle informazioni pertinenti acquisite in coordinamento con le organizzazioni di cui alla lettera b). |
d) |
L'organizzazione riesamina e aggiorna la valutazione dei rischi effettuata conformemente alle lettere a), b) e, se del caso, c) o e) in una delle situazioni seguenti:
|
e) |
In deroga alla lettera c), le organizzazioni tenute a rispettare la sottoparte C dell'allegato III (parte ATM/ANS.OR) del regolamento di esecuzione (UE) 2017/373 sostituiranno l'analisi dell'impatto sulla sicurezza aerea con un'analisi dell'impatto sui loro servizi come da valutazione del sostegno alla sicurezza richiesta dal punto ATM/ANS.OR.C.005. Tale valutazione del sostegno alla sicurezza sarà resa disponibile ai fornitori di servizi di traffico aereo ai quali forniscono servizi e tali fornitori di servizi di traffico aereo saranno responsabili della valutazione dell'impatto sulla sicurezza aerea. |
IS.I.OR.210 Trattamento dei rischi per la sicurezza delle informazioni
a) |
L'organizzazione elabora misure per affrontare i rischi inaccettabili individuati conformemente al punto IS.I.OR.205, le attua tempestivamente e ne verifica l'efficacia nel tempo. Tali misure consentono all'organizzazione di:
Tali misure non introducono nuovi potenziali rischi inaccettabili per la sicurezza aerea. |
b) |
La persona di cui al punto IS.I.OR.240, lettere a) e b), e gli altri membri del personale interessati dell'organizzazione sono informati dell'esito della valutazione dei rischi effettuata conformemente al punto IS.I.OR.205, dei corrispondenti scenari di minaccia e delle misure da attuare. L'organizzazione informa inoltre le organizzazioni con le quali ha un'interfaccia conformemente al punto IS.I.OR.205, lettera b), di qualsiasi rischio condiviso tra le due organizzazioni. |
IS.I.OR.215 Sistema di segnalazione interna della sicurezza delle informazioni
a) |
L'organizzazione istituisce un sistema di segnalazione interna per consentire la raccolta e la valutazione degli eventi relativi alla sicurezza delle informazioni, compresi quelli da segnalare ai sensi del punto IS.I.OR.230. |
b) |
Tale sistema e il processo di cui al punto IS.I.OR.220 consentono all'organizzazione di:
|
c) |
Qualsiasi impresa appaltatrice che possa esporre l'organizzazione a rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea è tenuta a segnalare alla stessa gli eventi relativi alla sicurezza delle informazioni. Tali segnalazioni sono presentate secondo le procedure stabilite negli accordi contrattuali specifici e sono valutate conformemente alla lettera b). |
d) |
L'organizzazione coopera alle indagini con qualsiasi altra organizzazione che fornisca un contributo significativo alla sicurezza delle informazioni delle proprie attività. |
e) |
L'organizzazione può integrare tale sistema di segnalazione con altri sistemi di segnalazione già attuati. |
IS.I.OR.220 Inconvenienti per la sicurezza delle informazioni — rilevamento, risposta e ripristino
a) |
Sulla base dell'esito della valutazione dei rischi effettuata conformemente al punto IS.I.OR.205 e dell'esito del trattamento dei rischi effettuato conformemente al punto IS.I.OR.210, l'organizzazione attua misure per rilevare gli inconvenienti e le vulnerabilità che indicano il potenziale verificarsi di rischi inaccettabili e che possono avere un potenziale impatto sulla sicurezza aerea. Tali misure di rilevamento consentono all'organizzazione di:
|
b) |
L'organizzazione attua misure per rispondere a qualsiasi evento individuato in conformità alla lettera a), che può trasformarsi o si è trasformato in un inconveniente nel settore della sicurezza delle informazioni. Tali misure di risposta consentono all'organizzazione di:
|
c) |
L'organizzazione attua misure volte al ripristino dopo inconvenienti per la sicurezza delle informazioni, comprese, se necessario, misure di emergenza. Tali misure di ripristino consentono all'organizzazione di:
|
IS.I.OR.225 Risposte alle non conformità notificate dall'autorità competente
a) |
Dopo aver ricevuto la notifica delle non conformità presentate dall'autorità competente, l'organizzazione:
|
b) |
Le azioni di cui alla lettera a) sono eseguite entro il termine concordato con l'autorità competente. |
IS.I.OR.230 Sistema di segnalazione esterna della sicurezza delle informazioni
a) |
L'organizzazione attua un sistema di segnalazione della sicurezza delle informazioni conforme agli obblighi di cui al regolamento (UE) n. 376/2014 e ai suoi atti delegati e di esecuzione se tale regolamento è applicabile all'organizzazione. |
b) |
Fatti salvi gli obblighi del regolamento (UE) n. 376/2014, l'organizzazione garantisce che qualsiasi inconveniente o vulnerabilità riguardante la sicurezza delle informazioni che possa rappresentare un rischio significativo per la sicurezza aerea sia segnalato o segnalata alla relativa autorità competente. Inoltre:
|
c) |
L'organizzazione comunica le condizioni di cui alla lettera b) come segue:
|
IS.I.OR.235 Appalto delle attività di gestione della sicurezza delle informazioni
a) |
L'organizzazione garantisce che, nell'appaltare una parte delle attività di cui al punto IS.I.OR.200 ad altre organizzazioni, le attività oggetto dell'appalto siano conformi ai requisiti del presente regolamento e l'impresa appaltatrice lavori sotto la sua sorveglianza. L'organizzazione garantisce che i rischi associati alle attività oggetto dell'appalto siano adeguatamente gestiti. |
b) |
L'organizzazione garantisce che l'autorità competente abbia modo di accedere, su richiesta, all'organizzazione appaltatrice per stabilire la costante conformità ai requisiti applicabili di cui al presente regolamento. |
IS.I.OR.240 Requisiti relativi al personale
a) |
Il dirigente responsabile dell'organizzazione designato conformemente ai regolamenti (UE) n. 1321/2014, (UE) n. 965/2012, (UE) n. 1178/2011, (UE) 2015/340, e al regolamento di esecuzione (UE) 2017/373 o al regolamento di esecuzione (UE) 2021/664, a seconda dei casi di cui all'articolo 2, paragrafo 1, del presente regolamento, ha l'autorità giuridica necessaria per assicurare che tutte le attività richieste dal presente regolamento possano essere finanziate ed eseguite. Tale persona:
|
b) |
Il dirigente responsabile nomina una persona o un gruppo di persone che garantisca la conformità dell'organizzazione ai requisiti del presente regolamento, e definisce la portata della loro autorità. Tale persona o gruppo di persone riferisce direttamente al dirigente responsabile e dispone delle conoscenze, della preparazione e dell'esperienza adeguate per assolvere le proprie responsabilità. Nelle procedure è stabilito chi farà le veci di una determinata persona in caso di prolungata assenza della stessa. |
c) |
Il dirigente responsabile nomina una persona o un gruppo di persone responsabile della gestione della funzione di monitoraggio della conformità di cui al punto IS.I.OR.200, lettera a), punto 12). |
d) |
Se l'organizzazione condivide strutture organizzative, politiche, processi e procedure relativi alla sicurezza delle informazioni con altre organizzazioni o con settori della propria organizzazione che non fanno parte dell'approvazione o della dichiarazione, il dirigente responsabile può delegare le proprie attività a una persona responsabile comune. In tal caso, sono stabilite misure di coordinamento tra il dirigente responsabile dell'organizzazione e la persona responsabile comune per garantire un'adeguata integrazione della gestione della sicurezza delle informazioni all'interno dell'organizzazione. |
e) |
Il dirigente responsabile o la persona responsabile comune di cui alla lettera d) ha l'autorità giuridica per creare e mantenere le strutture organizzative, le politiche, le procedure e i processi necessari all'attuazione del punto IS.I.OR.200. |
f) |
L'organizzazione dispone di un processo atto a garantire la presenza di personale sufficiente per svolgere le attività contemplate dal presente allegato. |
g) |
L'organizzazione dispone di un processo atto a garantire che il personale di cui alla lettera f) abbia le competenze necessarie per svolgere i propri compiti. |
h) |
L'organizzazione dispone di un processo atto a garantire che il personale riconosca le responsabilità associate ai ruoli e ai compiti assegnati. |
i) |
L'organizzazione garantisce che l'identità e l'affidabilità del personale che ha accesso ai sistemi informativi e ai dati soggetti ai requisiti del presente regolamento siano adeguatamente accertate. |
IS.I.OR.245 Archiviazione dei documenti
a) |
L'organizzazione archivia i documenti delle proprie attività di gestione della sicurezza delle informazioni.
|
b) |
L'organizzazione conserva i registri delle qualifiche e dell'esperienza del proprio personale che partecipa alle attività di gestione della sicurezza delle informazioni.
|
c) |
Il formato dei registri è specificato nelle procedure dell'organizzazione. |
d) |
I registri sono conservati in modo da garantire la protezione da danni, alterazioni e furti, identificando le informazioni, se necessario, in base al loro livello di classificazione di sicurezza. L'organizzazione garantisce che i registri siano conservati utilizzando strumenti che garantiscano l'integrità, l'autenticità e l'accesso autorizzato. |
IS.I.OR.250 Manuale di gestione della sicurezza delle informazioni (ISMM)
a) |
L'organizzazione mette a disposizione dell'autorità competente un manuale di gestione della sicurezza delle informazioni (ISMM) e, se del caso, manuali e procedure di riferimento associati e pertinenti, contenenti:
|
b) |
Il rilascio iniziale dell'ISMM è approvato e l'autorità competente ne conserva una copia. L'ISMM è modificato in base alle necessità per riflettere sempre una descrizione aggiornata dell'ISMS dell'organizzazione. Una copia delle eventuali modifiche dell'ISMM è fornita all'autorità competente. |
c) |
Le modifiche all'ISMM sono gestite secondo una procedura stabilita dall'organizzazione. Le modifiche non incluse nell'ambito di applicazione di tale procedura e quelle connesse alle modifiche di cui al punto IS.I.OR.255, lettera b), sono approvate dall'autorità competente. |
d) |
L'organizzazione può integrare l'ISMM con altri manuali o guide di gestione in suo possesso, a condizione che vi sia un chiaro riferimento incrociato che indichi quali parti dei manuali o delle guide di gestione corrispondono ai diversi requisiti contenuti nel presente allegato. |
IS.I.OR.255 Modifiche del sistema di gestione della sicurezza delle informazioni
a) |
Le modifiche dell'ISMS possono essere gestite dall'organizzazione e notificate all'autorità competente in una procedura sviluppata dall'organizzazione stessa. Tale procedura è approvata dall'autorità competente. |
b) |
Per quanto riguarda le modifiche dell'ISMS non contemplate dalla procedura di cui alla lettera a), l'organizzazione richiede e ottiene un'approvazione rilasciata dall'autorità competente. Per quanto riguarda tali modifiche:
|
IS.I.OR.260 Miglioramento continuo
a) |
L'organizzazione valuta, utilizzando adeguati indicatori di prestazione, l'efficacia e la maturità dell'ISMS. Tale valutazione è effettuata sulla base di un calendario predefinito dall'organizzazione o a seguito di un inconveniente nel settore della sicurezza delle informazioni. |
b) |
Se si riscontrano carenze a seguito della valutazione effettuata conformemente alla lettera a), l'organizzazione adotta le misure di miglioramento necessarie per garantire che l'ISMS continui a rispettare i requisiti applicabili e mantenga i rischi per la sicurezza delle informazioni a un livello accettabile. L'organizzazione riesamina inoltre gli elementi dell'ISMS interessati dalle misure adottate. |
ALLEGATO III
Gli allegati VI (parte ARA) e VII (parte ORA) del regolamento (UE) n. 1178/2011 sono così modificati:
1) |
l'allegato VI (parte ARA) è così modificato:
|
2) |
l'allegato VII (parte ORA) è così modificato: il seguente punto ORA.GEN.200A è inserito dopo il punto ORA.GEN.200: «ORA.GEN.200A Sistema di gestione della sicurezza delle informazioni Oltre al sistema di gestione di cui al punto ORA.GEN.200, l'organizzazione stabilisce, attua e mantiene un sistema di gestione della sicurezza delle informazioni conformemente al regolamento di esecuzione (UE) 2023/203 al fine di garantire la corretta gestione dei rischi per la sicurezza delle informazioni che possono avere un impatto sulla sicurezza aerea.». |
ALLEGATO IV
L'allegato I (parte 21) del regolamento (UE) n. 748/2012 è così modificato:
1) |
l'indice è così modificato:
|
2) |
al punto 21.B.15 è aggiunta la seguente lettera c):
|
3) |
dopo il punto 21.B.20 è inserito il seguente punto 21.B.20A: «21.B.20A Reazione immediata a un inconveniente o a una vulnerabilità riguardante la sicurezza delle informazioni con un impatto sulla sicurezza aerea
|
4) |
al punto 21.B.25 è aggiunta la seguente lettera e):
|
5) |
il punto 21.B.30 è così modificato:
|
6) |
al punto 21.B.221 è aggiunta la seguente lettera g):
|
7) |
dopo il punto 21.B.240 è inserito il seguente punto 21.B.240A: «21.B.240A Modifiche al sistema di gestione della sicurezza delle informazioni
|
8) |
al punto 21.B.431 è aggiunta la seguente lettera d):
|
9) |
dopo il punto 21.B.435 è inserito il seguente punto 21.B.435A: «21.B.435A Modifiche al sistema di gestione della sicurezza delle informazioni
|
ALLEGATO V
Gli allegati II (parte ARO) e III (parte ORO) del regolamento (UE) n. 965/2012 sono così modificati:
1) |
l'allegato II (parte ARO) è così modificato:
|
2) |
l'allegato III (parte ORO) è così modificato: dopo il punto ORO.GEN.200 è inserito il seguente punto ORO.GEN.200A: «ORO.GEN.200A Sistema di gestione della sicurezza delle informazioni Oltre al sistema di gestione di cui al punto ORO.GEN.200, l'operatore deve stabilire, attuare e mantenere un sistema di gestione della sicurezza delle informazioni conformemente al regolamento di esecuzione (UE) 2023/203 al fine di garantire la corretta gestione dei rischi per la sicurezza delle informazioni che possono avere un impatto sulla sicurezza aerea.». |
ALLEGATO VI
L'allegato II (parte ADR.AR) del regolamento (UE) n. 139/2014 è così modificato:
1) |
al punto ADR.AR.A.025 è aggiunta la seguente lettera c):
|
2) |
dopo il punto ADR.AR.A.030 è inserito il seguente punto ADR.AR.A.030A: «ADR.AR.A.030A Reazione immediata a un inconveniente o a una vulnerabilità riguardante la sicurezza delle informazioni con un impatto sulla sicurezza aerea
|
3) |
al punto ADR.AR.B.005 è aggiunta la seguente lettera d):
|
4) |
il punto ADR.AR.B.010 è così modificato:
|
5) |
al punto ADR.AR.C.005 è aggiunta la seguente lettera f):
|
6) |
dopo il punto ADR.AR.C.040 è inserito il seguente punto ADR.AR.C.040A: «ADR.AR.C.040A Modifiche al sistema di gestione della sicurezza delle informazioni
|
ALLEGATO VII
Gli allegati II (parte 145), III (parte 66) e V quater (parte CAMO) del regolamento (UE) n. 1321/2014 sono così modificati:
1) |
l'allegato II (parte 145) è così modificato:
|
2) |
l'allegato III (parte 66) è così modificato:
|
3) |
l'allegato V quater (parte CAMO) è così modificato:
|
ALLEGATO VIII
Gli allegati II (parte ATCO.AR) e III (parte ATCO.OR) del regolamento (UE) 2015/340 sono così modificati:
1) |
l'allegato II (parte ATCO.AR) è così modificato:
|
2) |
l'allegato III (parte ATCO.OR) è così modificato: il seguente punto ATCO.OR.C.001A è inserito dopo il punto ATCO.OR.C.001: «ATCO.OR.C.001 Sistema di gestione della sicurezza delle informazioni Oltre al sistema di gestione di cui al punto ATCO.OR.C.001, l'organizzazione di addestramento devono stabilire, attuare e mantenere un sistema di gestione della sicurezza delle informazioni conformemente al regolamento di esecuzione (UE) 2023/203 al fine di garantire la corretta gestione dei rischi per la sicurezza delle informazioni che possono avere un impatto sulla sicurezza aerea.». |
ALLEGATO IX
Gli allegati II (parte ATM/ANS.AR) e III (parte ATM/ANS.OR) del regolamento di esecuzione (UE) 2017/373 sono così modificati:
1) |
l'allegato II (parte ATM/ANS.OR) è così modificato:
|
2) |
l'allegato III (parte ATM/ANS.OR) è così modificato:
|