This document is an excerpt from the EUR-Lex website
Document 02023R0203-20231005
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
Consolidated text: 2022 m. spalio 27 d. Komisijos įgyvendinimo reglamentas (ES) 2023/203, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
2022 m. spalio 27 d. Komisijos įgyvendinimo reglamentas (ES) 2023/203, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
Į šį konsoliduotą tekstą gali būti neįtraukti šie pakeitimai:
Iš dalies keičiantis aktas | Pakeitimo tipas | Susijęs padalinys | Įsigaliojimo data |
---|---|---|---|
32024R1109 | iš dalies pakeitė | straipsnis 4 dalis 2 | 01/05/2025 |
32024R1109 | iš dalies pakeitė | straipsnis 2 dalis 3a | 01/05/2025 |
02023R0203 — LT — 05.10.2023 — 001.001
Šis tekstas yra skirtas tik informacijai ir teisinės galios neturi. Europos Sąjungos institucijos nėra teisiškai atsakingos už jo turinį. Autentiškos atitinkamų teisės aktų, įskaitant jų preambules, versijos skelbiamos Europos Sąjungos oficialiajame leidinyje ir pateikiamos svetainėje „EUR-Lex“. Oficialūs tekstai tiesiogiai prieinami naudojantis šiame dokumente pateikiamomis nuorodomis
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2023/203 2022 m. spalio 27 d. (OL L 031 2023.2.2, p. 1) |
Iš dalies keičiamas:
|
|
Oficialusis leidinys |
||
Nr. |
puslapis |
data |
||
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2023/1769 2023 m. rugsėjo 12 d. |
L 228 |
19 |
15.9.2023 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2023/203
2022 m. spalio 27 d.
kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
1 straipsnis
Dalykas
Šiame reglamente nustatomi reikalavimai, kurių organizacijos ir kompetentingos institucijos turi laikytis tam, kad:
nustatytų ir valdytų informacijos saugumo riziką, galinčią daryti poveikį aviacijos saugai ir turėti įtakos civilinės aviacijos tikslais naudojamoms informacinių ir ryšių technologijų sistemoms bei duomenims,
aptiktų informacijos saugumo įvykius ir nustatytų įvykius, laikomus informacijos saugumo incidentais, galinčiais turėti įtakos aviacijos saugai,
reaguotų į tuos informacijos saugumo incidentus ir atkurtų veiklą po tokių incidentų.
2 straipsnis
Taikymo sritis
Šis reglamentas taikomas šioms organizacijoms:
į Reglamento (ES) Nr. 1321/2014 II priedo (145 dalies) A skirsnio taikymo sritį įtrauktoms techninės priežiūros organizacijoms, išskyrus tas, kurios vykdo tik orlaivių techninės priežiūros veiklą pagal Reglamento (ES) Nr. 1321/2014 Vb priedą (ML dalį);
į Reglamento (ES) Nr. 1321/2014 Vc priedo (CAMO dalies) A skyriaus taikymo sritį įtrauktoms nepertraukiamąjį tinkamumą skraidyti užtikrinančioms organizacijoms (CAMO), išskyrus tas, kurios vykdo tik orlaivių nepertraukiamojo tinkamumo skraidyti užtikrinimo veiklą pagal Reglamento (ES) Nr. 1321/2014 Vb priedą (ML dalį);
į Reglamento (ES) Nr. 965/2012 III priedo (ORO dalis) taikymo sritį įtrauktiems oro vežėjams, išskyrus tuos, kurie naudoja tik kuriuos nors iš toliau nurodytų orlaivių:
ELA2 orlaivį, apibrėžtą Reglamento (ES) Nr. 748/2012 1 straipsnio 2 dalies j punkte;
sraigtinius vieno variklio lėktuvus, kurių didžiausia eksploatacinė keleivių krėslų konfigūracija yra ne didesnė kaip 5 ir kurie nepriskiriami prie sudėtingų varikliu varomų orlaivių, jei jie kyla ir tupia tame pačiame aerodrome ar skrydžių aikštelėje ir skrydžius vykdo pagal dienos metu vykdomų vizualiųjų skrydžių taisykles (VFR);
vieno variklio sraigtasparnius, kurių didžiausia eksploatacinė keleivių krėslų konfigūracija yra ne didesnė kaip 5 ir kurie nepriskiriami prie sudėtingų varikliu varomų orlaivių, jei jie kyla ir tupia tame pačiame aerodrome ar skrydžių aikštelėje ir skrydžius vykdo pagal dienos metu vykdomų vizualiųjų skrydžių taisykles (VFR);
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktoms patvirtintoms mokymo organizacijoms (ATO), išskyrus tas, kurios vykdo tik su orlaiviu ELA2, apibrėžtu Reglamento (ES) Nr. 748/2012 1 straipsnio 2 dalies j punkte, susijusią mokymo veiklą arba vykdo tik teorinio mokymo veiklą;
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktiems orlaivių įguloms skirtiems aviacijos medicinos centrams;
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktiems imituojamo skrydžio treniruoklių (FSTD) naudotojams, išskyrus tuos, kurie naudoja tik su orlaiviu ELA2, apibrėžtu Reglamento (ES) Nr. 748/2012 1 straipsnio 2 dalies j punkte, susijusius FSTD;
į Reglamento (ES) 2015/340 III priedo (ATCO.OR dalies) taikymo sritį įtrauktoms skrydžių vadovų mokymo organizacijoms (ATCO TO) ir skrydžių vadovams skirtiems aviacijos medicinos centrams;
į Įgyvendinimo reglamento (ES) 2017/373 III priedo (ATM/ANS.OR dalies) taikymo sritį įtrauktoms organizacijoms, išskyrus šiuos paslaugų teikėjus:
oro navigacijos paslaugų teikėjus, turinčius ribotos taikymo srities pažymėjimą pagal to priedo ATM/ ANS.OR.A.010 punktą;
skrydžių informacijos paslaugų teikėjus, deklaruojančius savo veiklą pagal to priedo ATM/ANS.OR.A.015 dalį;
į Įgyvendinimo reglamento (ES) 2021/664 taikymo sritį įtrauktiems sistemos „U-space“ paslaugų teikėjams ir vieninteliams bendrų informacijos paslaugų teikėjams;
patvirtintoms organizacijoms, vykdančioms OEV/ONP sistemų ir OEV/ONP sudedamųjų dalių, kurioms taikomas Komisijos įgyvendinimo reglamentas (ES) 2023/1769 ( 1 ), projektavimo arba gamybos veiklą.
3 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
informacijos saugumas – tinklų ir informacinių sistemų konfidencialumo, vientisumo, autentiškumo ir prieinamumo išlaikymas;
informacijos saugumo įvykis – nustatytas sistemos, paslaugos ar tinklo būklės įvykis, rodantis galimą informacijos saugumo politikos pažeidimą arba informacijos saugumo kontrolės triktį, arba dar nežinoma situacija, kuri gali būti svarbi informacijos saugumui;
incidentas – faktinį neigiamą poveikį tinklų ir informacinių sistemų saugumui turintis įvykis, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 7 punkte;
informacijos saugumo rizika – dėl informacijos saugumo įvykio galimybės kylanti rizika organizacinėms civilinės aviacijos operacijoms, turtui, asmenims ir kitoms organizacijoms. Informacijos saugumo rizika yra susijusi su galimybe, kad, kilus grėsmei, bus pasinaudota informacinio turto arba informacinių išteklių grupės pažeidžiamumu;
grėsmė – galimas informacijos saugumo pažeidimas, atsirandantis esant subjektui, aplinkybėms, veiksmui arba įvykiui, galintiems padaryti žalos;
pažeidžiamumas – turto, sistemos, procedūrų, projektavimo, įgyvendinimo ar informacijos saugumo priemonių trūkumas arba silpnoji vieta, kuriais būtų galima pasinaudoti ir dėl kurių būtų pažeista informacijos saugumo politika.
4 straipsnis
Organizacijoms ir kompetentingoms institucijoms taikomi reikalavimai
5 straipsnis
Iš kitų Sąjungos teisės aktų kylantys reikalavimai
6 straipsnis
Kompetentinga institucija
Nedarant poveikio Reglamento (ES) 2021/696 36 straipsnyje nurodytai Saugumo akreditavimo valdybai pavestoms užduotims, už atitikties šiam reglamentui patvirtinimą ir priežiūrą atsakinga institucija yra:
2 straipsnio 1 dalies a punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1321/2014 II priedą (145 dalį);
2 straipsnio 1 dalies b punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1321/2014 Vc priedą (CAMO dalį);
2 straipsnio 1 dalies c punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 965/2012 III priedą (ORO dalį);
2 straipsnio 1 dalies d–f punktuose nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1178/2011 VII priedą (ORA dalį);
2 straipsnio 1 dalies g punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) 2015/340 6 straipsnio 2 dalį;
2 straipsnio 1 dalies h punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Įgyvendinimo reglamento (ES) 2017/373 4 straipsnio 1 dalį;
2 straipsnio 1 dalies i punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal atitinkamai Įgyvendinimo reglamento (ES) 2021/664 14 straipsnio 1 arba 2 dalį;
2 straipsnio 1 dalies j punkte nurodytų organizacijų – kompetentinga institucija, paskira pagal Įgyvendinimo reglamento (ES) 2023/1769 3 straipsnio 1 dalį.
7 straipsnis
Atitinkamos informacijos teikimas TIS kompetentingoms institucijoms
Kompetentingos institucijos pagal šį reglamentą nedelsdamos informuoja pagal Direktyvos (ES) 2016/1148 8 straipsnį paskirtą bendrąjį informacinį centrą apie visą svarbią informaciją, įtrauktą į pranešimus, kuriuos pagal šio reglamento II priedo IS.I.OR.230 dalį ir Deleguotojo reglamento (ES) 2022/1645 I priedo IS.D.OR.230 dalį teikia esminių paslaugų operatoriai, identifikuoti pagal Direktyvos (ES) 2016/1148 5 straipsnį.
8 straipsnis
Reglamento (ES) Nr. 1178/2011 pakeitimai
Reglamento (ES) Nr. 1178/2011 VI priedas (ARA dalis) ir VII priedas (ORA dalis) iš dalies keičiami pagal šio reglamento III priedą.
9 straipsnis
Reglamento (ES) Nr. 748/2012 pakeitimai
Reglamento (ES) Nr. 748/2012 I priedas (21 dalis) iš dalies keičiamas pagal šio reglamento IV priedą.
10 straipsnis
Reglamento (ES) Nr. 965/2012 pakeitimai
Reglamento (ES) Nr. 965/2012 II priedas (ARO dalis) ir III priedas (ORO dalis) iš dalies keičiami pagal šio reglamento V priedą.
11 straipsnis
Reglamento (ES) Nr. 139/2014 pakeitimai
Reglamento (ES) Nr. 139/2014 II priedas (ADR.AR dalis) iš dalies keičiamas pagal šio reglamento VI priedą.
12 straipsnis
Reglamento (ES) Nr. 1321/2014 pakeitimai
Reglamento (ES) Nr. 1321/2014 II priedas (145 dalis), III priedas (66 dalis) ir Vc priedas (CAMO dalis) iš dalies keičiami pagal šio reglamento VII priedą.
13 straipsnis
Reglamento (ES) 2015/340 pakeitimai
Reglamento (ES) 2015/340 II priedas (ATCO.AR dalis) ir III priedas (ATCO.OR dalis) iš dalies keičiami pagal šio reglamento VIII priedą.
14 straipsnis
Įgyvendinimo reglamento (ES) 2017/373 pakeitimai
Įgyvendinimo reglamento (ES) 2017/373 II priedas (ATM/ANS.AR dalis) ir III priedas (ATM/ANS.OR dalis) iš dalies keičiami pagal šio reglamento IX priedą.
15 straipsnis
Įgyvendinimo reglamento (ES) 2021/664 pakeitimai
Įgyvendinimo reglamentas (ES) 2021/664 iš dalies keičiamas taip:
15 straipsnio 1 dalies f punktas pakeičiamas taip:
taiko ir nuolat atnaujina saugumo valdymo sistemą pagal Įgyvendinimo reglamento (ES) 2017/373 III priedo D skyriaus ATM/ANS.OR.D.010 dalį ir informacijos saugumo valdymo sistemą pagal Įgyvendinimo reglamento (ES) 2023/203 II priedą (IS.I.OR dalį);“;
18 straipsnis papildomas l punktu:
parengia, taiko ir nuolat atnaujina informacijos saugumo valdymo sistemą pagal Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį).“
16 straipsnis
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Jis taikomas nuo 2026 m. vasario 22 d.
Tačiau EGNOS oro navigacijos paslaugų teikėjui, kuriam taikomas Įgyvendinimo reglamentas (ES) 2017/373, jis taikomas nuo 2026 m. sausio 1 d.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
I PRIEDAS
INFORMACIJOS SAUGUMAS. INSTITUCIJOMS TAIKOMI REIKALAVIMAI
[IS.AR DALIS]
IS.AR.100. |
Taikymo sritis |
IS.AR.200. |
Informacijos saugumo valdymo sistema (ISVS) |
IS.AR.205. |
Informacijos saugumo rizikos vertinimas |
IS.AR.210. |
Veiksmai su informacijos saugumo rizika |
IS.AR.215. |
Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas |
IS.AR.220. |
Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas |
IS.AR.225. |
Darbuotojų reikalavimai |
IS.AR.230. |
Įrašų saugojimas |
IS.AR.235. |
Tęstinis tobulinimas |
IS.AR.100. Taikymo sritis
Šioje dalyje nustatomi reikalavimai, kurių turi laikytis šio reglamento 2 straipsnio 2 dalyje nurodytos kompetentingos institucijos.
Reikalavimai, kuriuos turi atitikti tos kompetentingos institucijos, kad galėtų vykdyti sertifikavimo, priežiūros ir vykdymo užtikrinimo veiklą, nustatyti šio reglamento 2 straipsnio 1 dalyje ir Deleguotojo reglamento (ES) 2022/1645 2 straipsnyje nurodytuose reglamentuose.
IS.AR.200. Informacijos saugumo valdymo sistema (ISVS)
Siekdama 1 straipsnyje nustatytų tikslų, kompetentinga institucija sukuria, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą (ISVS), kuria užtikrinama, kad kompetentinga institucija:
parengtų informacijos saugumo politiką, kurioje būtų nustatyti bendrieji kompetentingos institucijos principai, susiję su galimu informacijos saugumo rizikos poveikiu aviacijos saugai;
pagal IS.AR.205 dalį nustatytų ir peržiūrėtų informacijos saugumo riziką;
pagal IS.AR.210 dalį parengtų ir įgyvendintų veiksmų su informacijos saugumo rizika priemones;
pagal IS.AR.215 dalį parengtų ir įgyvendintų informacijos saugumo įvykiams aptikti skirtas priemones, nustatytų įvykius, kurie laikomi incidentais, galinčiais turėti įtakos aviacijos saugai, ir imtųsi reagavimo į tuos informacijos saugumo incidentus priemonių ir atkurtų veiklą;
su kitomis organizacijomis sudarydama sutartis dėl bet kurios IS.AR.200 dalyje nurodytos veiklos dalies laikytųsi IS.AR.220 dalyje nustatytų reikalavimų;
laikytųsi IS.AR.225 dalyje nustatytų darbuotojų reikalavimų;
laikytųsi IS.AR.230 dalyje nustatytų įrašų saugojimo reikalavimų;
stebėtų, kaip jos pačios organizacija laikosi šio reglamento reikalavimų, ir IS.AR.225 dalies a punkte nurodytam asmeniui teiktų grįžtamąją informaciją apie nustatytus faktus, kad būtų užtikrintas veiksmingas taisomųjų veiksmų įgyvendinimas;
saugotų visos informacijos, kurią kompetentinga institucija gali turėti, susijusios su organizacijomis, kurioms taikoma jos priežiūra, ir informacijos, gautos per organizacijos išorės pranešimų teikimo sistemas, nustatytas pagal šio reglamento II priedo (IS.I.OR dalies) IS.I.OR.230 dalį ir Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.230 dalį, konfidencialumą;
praneštų Agentūrai apie pokyčius, turinčius įtakos kompetentingos institucijos gebėjimui atlikti savo užduotis ir vykdyti šiame reglamente nustatytas pareigas;
nustatytų ir įgyvendintų procedūras, pagal kurias, kai tinkama, praktiškai ir laiku dalijamasi aktualia informacija, siekiant padėti kitoms kompetentingoms institucijoms ir agentūroms, taip pat organizacijoms, kurioms taikomas šis reglamentas, atlikti veiksmingus su jų veikla susijusius saugumo rizikos vertinimus.
Siekdama nuolat atitikti 1 straipsnyje nurodytus reikalavimus, kompetentinga institucija pagal IS.AR.235 dalį įgyvendina nuolatinio tobulinimo procesą.
Kompetentinga institucija dokumentais įformina visus pagrindinius procesus, procedūras, funkcijas ir atsakomybę, kurių reikia, kad būtų laikomasi IS.AR.200 dalies a punkto reikalavimų, ir nustato tų dokumentų keitimo tvarką.
Procesai, procedūros, funkcijos ir atsakomybė, kuriuos kompetentinga institucija nustatė siekdama laikytis IS.AR.200 dalies a punkto reikalavimų, turi atitikti jos veiklos pobūdį ir sudėtingumą, atsižvelgiant į tai veiklai būdingos informacijos saugumo rizikos vertinimą, ir gali būti integruoti į kitas esamas organizacijos jau įdiegtas valdymo sistemas.
IS.AR.205. Informacijos saugumo rizikos vertinimas
Kompetentinga institucija nustato visus savo organizacijos elementus, kuriems gali kelti grėsmę informacijos saugumo rizika. Tai apima:
kompetentingos institucijos veiklą, infrastruktūrą ir išteklius, taip pat paslaugas, kurias kompetentinga institucija valdo, teikia, gauna ar prižiūri;
įrangą, sistemas, duomenis ir informaciją, kurie padeda užtikrinti 1 punkte išvardytų elementų veikimą.
Kompetentinga institucija nustato turimas savo organizacijos sąsajas su kitomis organizacijomis, dėl kurių jai ir toms organizacijoms gali kelti grėsmę informacijos saugumo rizika.
Kiek tai susiję su a ir b punktuose nurodytais elementais ir sąsajomis, kompetentinga institucija nustato informacijos saugumo riziką, kuri gali turėti įtakos aviacijos saugai.
Dėl kiekvienos nustatytos rizikos kompetentinga institucija:
nustato rizikos lygį pagal kompetentingos institucijos nustatytą iš anksto parengtą klasifikaciją;
kiekvieną riziką ir jos lygį susieja su atitinkamu elementu arba sąsaja, nustatytais pagal a ir b punktus.
1 punkte nurodytoje iš anksto parengtoje klasifikacijoje atsižvelgiama į galimą grėsmės scenarijaus atsiradimą ir jo pasekmių saugai sunkumą. Remdamasi ta klasifikacija ir atsižvelgdama į tai, ar yra įsidiegusi struktūrizuotą ir kartotinį veiklos rizikos valdymo procesą, kompetentinga institucija turi gebėti nustatyti, ar rizika yra priimtina, ar reikia imtis veiksmų su rizika pagal IS.AR.210 dalį.
Siekiant palengvinti abipusį rizikos vertinimų palyginimą, nustatant rizikos lygį pagal 1 punktą, atsižvelgiama į aktualią informaciją, gautą koordinuojant veiksmus su b punkte nurodytomis organizacijomis.
Kompetentinga institucija peržiūri ir atnaujina pagal a, b ir c punktus atliktą rizikos vertinimą bet kuriuo iš šių atvejų:
pasikeitus elementams, kuriems gali kelti grėsmę informacijos saugumo rizika;
pasikeitus kompetentingos institucijos organizacijos ir kitų organizacijų sąsajoms arba rizikai, apie kurią pranešė kitos organizacijos;
pasikeitus informacijai ar žinioms, naudojamoms rizikai nustatyti, analizuoti ir klasifikuoti;
įgijus patirties vykdant informacijos saugumo incidentų analizę.
IS.AR.210. Veiksmai su informacijos saugumo rizika
Kompetentinga institucija parengia pagal IS.AR.205 dalį nustatytos nepriimtinos rizikos mažinimo priemones, jas laiku įgyvendina ir nuolat tikrina jų veiksmingumą. Tos priemonės kompetentingai institucijai turi suteikti galimybę:
kontroliuoti aplinkybes, kurios prisideda prie faktinio grėsmės scenarijaus atsiradimo;
sumažinti su grėsmės scenarijaus išsipildymu susijusias pasekmes aviacijos saugai;
išvengti rizikos.
Tos priemonės neturi kelti jokios naujos galimos nepriimtinos rizikos aviacijos saugai.
IS.AR.225 dalies a punkte nurodytas asmuo ir kiti susiję kompetentingos institucijos darbuotojai informuojami apie rizikos vertinimo, atlikto pagal IS.AR.205 dalį, rezultatus, atitinkamus grėsmės scenarijus ir įgyvendintinas priemones.
Kompetentinga institucija taip pat informuoja organizacijas, su kuriomis ji turi sąsają pagal IS.AR.205 dalies b punktą, apie kompetentingai institucijai ir organizacijai bendrą riziką.
IS.AR.215. Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas
Remdamasi pagal IS.AR.205 dalį atlikto rizikos vertinimo rezultatais ir pagal IS.AR.210 punktą atliktų veiksmų su rizika rezultatais, kompetentinga institucija įgyvendina įvykių, kurie rodo galimą nepriimtinos rizikos pasireiškimą ir kurie gali turėti įtakos aviacijos saugai, aptikimo priemones. Tos aptikimo priemonės kompetentingai institucijai turi suteikti galimybę:
nustatyti nuokrypius nuo iš anksto nustatytų funkcinio veiksmingumo bazinių verčių;
aktyvuoti įspėjimus, kad bet kokio nuokrypio atveju būtų taikomos tinkamos reagavimo priemonės.
Kompetentinga institucija įgyvendina priemones, kurios padeda reaguoti į bet kokias pagal a punktą nustatytas įvykio aplinkybes, kurios gali nulemti arba nulėmė informacijos saugumo incidentą. Tos reagavimo priemonės kompetentingai institucijai turi suteikti galimybę:
inicijuoti jos pačios organizacijos reakciją į a punkto 2 papunktyje nurodytus įspėjimus, aktyvuojant iš anksto nustatytus išteklius ir veiksmų seką;
sustabdyti išpuolio plitimą ir išvengti visiško grėsmės scenarijaus išsipildymo;
kontroliuoti IS.AR.205 dalies a punkte nustatytų paveiktų elementų veikimą trikties režimu.
Kompetentinga institucija įgyvendina priemones, kuriomis siekiama atkurti veiklą po informacijos saugumo incidentų, įskaitant, jei reikia, neatidėliotinas priemones. Tos veiklos atkūrimo priemonės kompetentingai institucijai turi suteikti galimybę:
pašalinti incidentą sukėlusią aplinkybę arba apriboti ją iki toleruotino lygio;
per jos pačios organizacijos iš anksto nustatytą veiklos atkūrimo laiką užtikrinti, kad paveiktų elementų, nustatytų IS.AR.205 dalies a punkte, būklė būtų saugi.
IS.AR.220. Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas
Kompetentinga institucija užtikrina, kad tais atvejais, kai su kitomis organizacijomis sudaromos sutartys dėl bet kurios IS.AR.200 dalyje nurodytos veiklos dalies, veikla, dėl kurios sudaryta sutartis, atitiktų šio reglamento reikalavimus, o organizacija, su kuria sudaryta sutartis, veiktų jos prižiūrima. Kompetentinga institucija užtikrina, kad rizika, susijusi su veikla, dėl kurios sudaryta sutartis, būtų tinkamai valdoma.
IS.AR.225. Darbuotojų reikalavimai
Kompetentinga institucija:
turi asmenį, turintį įgaliojimus nustatyti ir prižiūrėti šiam reglamentui įgyvendinti būtinas organizacines struktūras, politiką, procesus ir procedūras.
Šis asmuo:
turi įgaliojimus visapusiškai naudotis ištekliais, kurių reikia, kad kompetentinga institucija galėtų atlikti visas šiame reglamente nustatytas užduotis;
gali perduoti galias, kurių reikia paskirtoms pareigoms atlikti;
turi nustatytą procesą, kuriuo užtikrinama, kad jis turėtų pakankamą skaičių darbuotojų šiame priede nurodytai veiklai vykdyti;
turi nustatytą procesą, kuriuo užtikrinama, kad b punkte nurodyti darbuotojai turėtų reikiamą kompetenciją savo užduotims atlikti;
turi nustatytą procesą, kuriuo užtikrinama, kad darbuotojai pripažintų savo pareigas, susijusias su jiems pavestomis funkcijomis ir užduotimis;
užtikrina, kad būtų tinkamai nustatyta darbuotojų, turinčių prieigą prie informacinių sistemų ir duomenų, kuriems taikomi šio reglamento reikalavimai, tapatybė ir patikimumas.
IS.AR.230. Įrašų saugojimas
Kompetentinga institucija registruoja savo informacijos saugumo valdymo veiklą.
Kompetentinga institucija užtikrina, kad būtų archyvuojami ir atsekami šie įrašai:
sutartys dėl veiklos, nurodytos IS.AR.200 dalies a punkto 5 papunktyje;
įrašai apie IS.AR.200 dalies d punkte nurodytus pagrindinius procesus;
įrašai apie IS.AR.205 dalyje nurodytame rizikos vertinime nustatytą riziką ir IS.AR.210 dalyje nurodytas susijusias rizikos priežiūros priemones;
įrašai apie informacijos saugumo įvykius, kuriuos gali reikėti iš naujo įvertinti, kad būtų atskleisti neaptikti informacijos saugumo incidentai ar pažeidžiamumas.
1 punkto i papunktyje nurodyti įrašai saugomi bent 5 metus nuo sutarties pakeitimo arba nutraukimo.
1 punkto ii ir iii papunkčiuose nurodyti įrašai saugomi bent 5 metus.
1 punkto iv papunktyje nurodyti įrašai saugomi tol, kol tie informacijos saugumo įvykiai bus pakartotinai įvertinti kompetentingos institucijos nustatytoje procedūroje numatytu periodiškumu.
Kompetentinga institucija saugo įrašus, susijusius su savo darbuotojų, vykdančių informacijos saugumo valdymo veiklą, kvalifikacija ir patirtimi.
Įrašai apie darbuotojų kvalifikaciją ir patirtį saugomi tol, kol asmuo dirba kompetentingoje institucijoje, ir ne trumpiau kaip 3 metus po to, kai asmuo paliko kompetentingą instituciją.
Jei darbuotojai paprašo, jiems suteikiama prieiga prie jų individualių įrašų. Be to, jei prieš palikdami kompetentingą instituciją jie pateikia prašymą, kompetentinga institucija jiems pateikia jų individualių įrašų kopiją.
Kokiu formatu saugomi įrašai, nurodoma kompetentingos institucijos tvarkoje.
Įrašai saugomi taip, kad būtų užtikrinta jų apsauga pažeidimo, pakeitimų ir vagystės, o informacija, kai reikia, žymima nurodant jos slaptumo žymos laipsnį. Kompetentinga institucija užtikrina, kad įrašai būtų saugomi naudojant priemones, kuriomis užtikrinamas vientisumas, autentiškumas ir leidžiama prieiga.
IS.AR.235. Tęstinis tobulinimas
Kompetentinga institucija įvertina, naudodama adekvačius veiklos rezultatų rodiklius, savo ISVS veiksmingumą ir išbaigtumą. Vertinimas atliekamas pagal kompetentingos institucijos iš anksto nustatytą tvarkaraštį arba po informacijos saugumo incidento.
Jei atlikus vertinimą pagal a punktą nustatoma trūkumų, kompetentinga institucija imasi būtinų tobulinimo priemonių, siekdama užtikrinti, kad ISVS toliau atitiktų taikomus reikalavimus ir padėtų išlaikyti priimtiną informacijos saugumo rizikos lygį. Be to, kompetentinga institucija iš naujo įvertina tuos ISVS elementus, kuriems padarė poveikį priimtos priemonės.
II PRIEDAS
INFORMACIJOS SAUGUMAS. ORGANIZACIJOMS TAIKOMI REIKALAVIMAI
[IS.I.OR DALIS]
IS.I.OR.100. |
Taikymo sritis |
IS.I.OR.200. |
Informacijos saugumo valdymo sistema (ISVS) |
IS.I.OR.205. |
Informacijos saugumo rizikos vertinimas |
IS.I.OR.210. |
Veiksmai su informacijos saugumo rizika |
IS.I.OR.215. |
Informacijos saugumo vidaus pranešimų teikimo sistema |
IS.I.OR.220. |
Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas |
IS.I.OR.225. |
Reagavimas į pažeidimus, apie kuriuos pranešė kompetentinga institucija |
IS.I.OR.230. |
Informacijos saugumo išorės pranešimų teikimo sistema |
IS.I.OR.235. |
Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas |
IS.I.OR.240. |
Darbuotojų reikalavimai |
IS.I.OR.245. |
Įrašų saugojimas |
IS.I.OR.250. |
Informacijos saugumo valdymo vadovas (ISVV) |
IS.I.OR.255. |
Informacijos saugumo valdymo sistemos pakeitimai |
IS.I.OR.260. |
Tęstinis tobulinimas |
IS.I.OR.100. Taikymo sritis
Šioje dalyje nustatomi reikalavimai, kurių turi laikytis šio reglamento 2 straipsnio 1 dalyje nurodytos organizacijos.
IS.I.OR.200. Informacijos saugumo valdymo sistema (ISVS)
Siekdama 1 straipsnyje nustatytų tikslų, organizacija sukuria, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą (ISVS), kuria užtikrinama, kad organizacija:
parengtų informacijos saugumo politiką, kurioje būtų nustatyti bendrieji organizacijos principai, susiję su galimu informacijos saugumo rizikos poveikiu aviacijos saugai;
pagal IS.I.OR.205 dalį nustatytų ir peržiūrėtų informacijos saugumo riziką;
pagal IS.I.OR.210 dalį parengtų ir įgyvendintų veiksmų su informacijos saugumo rizika priemones;
pagal IS.I.OR.215 dalį įdiegtų informacijos saugumo vidaus pranešimų teikimo sistemą;
pagal IS.I.OR.220 dalį parengtų ir įgyvendintų informacijos saugumo įvykiams aptikti skirtas priemones, nustatytų įvykius, kurie laikomi incidentais, galinčiais turėti įtakos aviacijos saugai, išskyrus leidžiamus atvejus pagal IS.I.OR.205 dalies e punktą, imtųsi reagavimo į tuos informacijos saugumo incidentus priemonių ir atkurtų veiklą;
įgyvendintų neatidėliotino reagavimo į informacijos saugumo incidentą arba pažeidžiamumą, darantį poveikį aviacijos saugai, priemones, apie kurias pranešė kompetentinga institucija;
pagal IS.I.OR.225 dalį imtųsi tinkamų veiksmų, kad pašalintų pažeidimus, apie kuriuos pranešė kompetentinga institucija;
pagal IS.I.OR.230 dalį įdiegtų išorės pranešimų teikimo sistemą, kad kompetentinga institucija galėtų imtis tinkamų veiksmų;
su kitomis organizacijomis sudarydama sutartis dėl kurios nors IS.I.OR.200 dalyje nurodytos veiklos dalies laikytųsi IS.I.OR.235 dalyje nustatytų reikalavimų;
laikytųsi IS.I.OR.240 dalyje nustatytų darbuotojų reikalavimų;
laikytųsi IS.I.OR.245 dalyje nustatytų įrašų saugojimo reikalavimų;
stebėtų, kaip organizacija laikosi šio reglamento reikalavimų, ir atsakingam vadovui teiktų grįžtamąją informaciją apie nustatytus faktus, kad būtų užtikrintas veiksmingas taisomųjų veiksmų įgyvendinimas;
nedarydama poveikio taikytiniems pranešimo apie incidentus reikalavimams, saugotų bet kokios informacijos, kurią organizacija gavo iš kitų organizacijų, konfidencialumą, atsižvelgdama į jos slaptumo lygį.
Siekdama nuolat atitikti 1 straipsnyje nurodytus reikalavimus, organizacija pagal IS.I.OR.260 dalį įgyvendina nuolatinio tobulinimo procesą.
Organizacija pagal IS.I.OR.250 punktą dokumentais įformina visus pagrindinius procesus, procedūras, funkcijas ir atsakomybę, kurių reikia, kad būtų laikomasi IS.I.OR.200 dalies a punkto, ir nustato tų dokumentų keitimo tvarką. Tų procesų, procedūrų, funkcijų ir atsakomybės pakeitimai tvarkomi pagal IS.I.OR.255 dalį.
Procesai, procedūros, funkcijos ir atsakomybė, kuriuos organizacija nustatė siekdama laikytis IS.I.OR.200 dalies a punkto reikalavimų, turi atitikti jos veiklos pobūdį ir sudėtingumą, atsižvelgiant į tai veiklai būdingos informacijos saugumo rizikos vertinimą, ir gali būti integruoti į kitas esamas organizacijos jau įdiegtas valdymo sistemas.
Nedarydama poveikio pareigai laikytis pranešimų teikimo reikalavimų, nustatytų Reglamente (ES) Nr. 376/2014, ir IS.I.OR.200 dalies a punkto 13 papunktyje nustatytų reikalavimų, kompetentinga institucija organizacijai gali suteikti patvirtinimą nevykdyti a–d punktuose nurodytų reikalavimų ir susijusių IS.I.OR.205–IS.I.OR.260 dalyse pateiktų reikalavimų, jei ji tai institucijai priimtinu būdu įrodo, kad jos veikla, infrastruktūra ir ištekliai, taip pat jos valdomos, teikiamos, gaunamos ir prižiūrimos paslaugos nekelia jokios informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, nei jai pačiai, nei kitoms organizacijoms. Patvirtinimas turi būti grindžiamas dokumentais pagrįstu informacijos saugumo rizikos vertinimu, kurį organizacija arba trečioji šalis atliko pagal IS.I.OR.205 dalį, o jį peržiūrėjo ir patvirtino jos kompetentinga institucija.
Tęstinį to patvirtinimo galiojimą kompetentinga institucija peržiūrės užbaigusi taikytiną priežiūros audito ciklą ir kas kartą, kai bus atliekami organizacijos darbo apimties pakeitimai.
IS.I.OR.205. Informacijos saugumo rizikos vertinimas
Organizacija nustato visus savo elementus, kuriems gali kelti grėsmę informacijos saugumo rizika. Tie elementai apima:
organizacijos veiklą, įrenginius ir išteklius, taip pat paslaugas, kurias organizacija valdo, teikia, gauna ar prižiūri;
įrangą, sistemas, duomenis ir informaciją, kurie padeda užtikrinti 1 punkte išvardytų elementų veikimą.
Organizacija nustato su kitomis organizacijomis turimas sąsajas, dėl kurių jai ir toms organizacijoms gali kelti grėsmę informacijos saugumo rizika.
Kiek tai susiję su a ir b punktuose nurodytais elementais ir sąsajomis, organizacija nustato informacijos saugumo riziką, kuri gali turėti įtakos aviacijos saugai. Dėl kiekvienos nustatytos rizikos organizacija:
nustato rizikos lygį pagal organizacijos nustatytą iš anksto parengtą klasifikaciją;
kiekvieną riziką ir jos lygį susieja su atitinkamu elementu arba sąsaja, nustatytais pagal a ir b punktus.
1 punkte nurodytoje iš anksto parengtoje klasifikacijoje atsižvelgiama į galimą grėsmės scenarijaus atsiradimą ir jo pasekmių saugai sunkumą. Remdamasi ta klasifikacija ir atsižvelgdama į tai, ar yra įsidiegusi struktūrizuotą ir kartotinį veiklos rizikos valdymo procesą, organizacija turi gebėti nustatyti, ar rizika yra priimtina, arba tai, ar reikia imtis veiksmų su rizika pagal IS.I.OR.210 dalį.
Siekiant palengvinti abipusį rizikos vertinimų palyginamumą, nustatant rizikos lygį pagal 1 punktą atsižvelgiama į atitinkamą informaciją, gautą koordinuojant veiksmus su b punkte nurodytomis organizacijomis.
Organizacija peržiūri ir atnaujina pagal a, b ir, jei taikoma, c arba e punktą atliktą rizikos vertinimą bet kuriuo iš šių atvejų:
pasikeitus elementams, kuriems gali kelti grėsmę informacijos saugumo rizika;
pasikeitus organizacijos ir kitų organizacijų sąsajoms arba rizikai, apie kurią pranešė kitos organizacijos;
pasikeitus informacijai ar žinioms, naudojamoms rizikai nustatyti, analizuoti ir klasifikuoti;
įgijus patirties vykdant informacijos saugumo incidentų analizę.
Nukrypstant nuo c punkto, organizacijos, kurios turi laikytis Įgyvendinimo reglamento (ES) 2017/373 III priedo (ATM/ANS.OR dalies) C poskyrio, poveikio aviacijos saugai analizę pakeičia poveikio jų paslaugoms analize, kaip reikalaujama atliekant tinkamumo saugos atžvilgiu vertinimą, kurio reikalaujama ATM/ANS.OR.C.005 dalyje. Šis tinkamumo saugos atžvilgiu vertinimas pateikiamas oro eismo paslaugų teikėjams, kuriems organizacija teikia paslaugas, o tie oro eismo paslaugų teikėjai yra atsakingi už poveikio aviacijos saugai vertinimą.
IS.I.OR.210. Veiksmai su informacijos saugumo rizika
Organizacija parengia pagal IS.I.OR.205 dalį nustatytos nepriimtinos rizikos mažinimo priemones, jas laiku įgyvendina ir nuolat tikrina jų veiksmingumą. Tos priemonės organizacijai turi suteikti galimybę:
kontroliuoti aplinkybes, kurios prisideda prie faktinio grėsmės scenarijaus atsiradimo;
sumažinti su grėsmės scenarijaus išsipildymu susijusias pasekmes aviacijos saugai;
išvengti rizikos.
Tos priemonės neturi kelti jokios naujos galimos nepriimtinos rizikos aviacijos saugai.
IS.I.OR.240 dalies a ir b punktuose nurodytas asmuo ir kiti susiję organizacijos darbuotojai informuojami apie rizikos vertinimo, atlikto pagal IS.I.OR.205 dalį, rezultatus, atitinkamus grėsmės scenarijus ir įgyvendintinas priemones.
Organizacija taip pat informuoja organizacijas, su kuriomis ji turi sąsają pagal IS.I.OR.205 dalies b punktą, apie joms bendrą riziką.
IS.I.OR.215. Informacijos saugumo vidaus pranešimų teikimo sistema
Organizacija sukuria vidaus pranešimų teikimo sistemą, kad būtų galima rinkti informaciją apie informacijos saugumo įvykius ir vertinti tuos įvykius, įskaitant įvykius, apie kuriuos turi būti pranešama pagal IS.I.OR.230 dalį.
Ta sistema ir IS.I.OR.220 dalyje nurodytas procesas turi suteikti organizacijai galimybę:
nustatyti, kurie iš įvykių, apie kuriuos pranešta pagal a punktą, laikomi informacijos saugumo incidentais arba pažeidžiamumu, galinčiais turėti įtakos aviacijos saugai;
identifikuoti pagal 1 punktą nustatytų informacijos saugumo incidentų ir pažeidžiamumo priežastis ir juos lemiančius veiksnius, taip pat juos pašalinti taikant informacijos saugumo rizikos valdymo procesą pagal IS.I.OR.205 ir IS.I.OR.220 dalis;
užtikrinti, kad visa žinoma svarbi informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, nustatytais pagal 1 punktą, būtų įvertinta;
užtikrinti, kad prireikus būtų taikomas informacijos vidaus platinimo metodas.
Bet kuri organizacija, su kuria sudaroma sutartis ir dėl kurios organizacijai gali kilti informacijos saugumo rizika, galinti turėti įtakos aviacijos saugai, privalo pranešti organizacijai apie informacijos saugumo įvykius. Tie pranešimai teikiami taikant konkrečiuose sutartimi įformintuose susitarimuose nustatytas procedūras ir vertinami pagal b punktą.
Tyrimų srityje organizacija bendradarbiauja su kiekviena kita organizacija, kurios indėlis į jos veiklos informacijos saugumą yra reikšmingas.
Organizacija gali sujungti tą pranešimų teikimo sistemą su kitomis jau įsidiegtomis pranešimų teikimo sistemomis.
IS.I.OR.220. Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas
Remdamasi pagal IS.I.OR.205 dalį atlikto rizikos vertinimo rezultatais ir pagal IS.I.OR.210 dalį atliktų veiksmų su rizika rezultatais, organizacija įgyvendina incidentų ir pažeidžiamumo, kurie rodo galimą nepriimtinos rizikos pasireiškimą ir kurie gali turėti įtakos aviacijos saugai, aptikimo priemones. Tomis aptikimo priemonėmis organizacijai suteikiama galimybė:
nustatyti nuokrypius nuo iš anksto nustatytų funkcinio veiksmingumo bazinių verčių;
aktyvuoti įspėjimus, kad bet kokio nuokrypio atveju būtų taikomos tinkamos reagavimo priemonės.
Organizacija įgyvendina priemones, kurios padeda reaguoti į bet kokias pagal a punktą nustatytas įvykio aplinkybes, kurios gali nulemti arba nulėmė informacijos saugumo incidentą. Tos reagavimo priemonės organizacijai turi suteikti galimybę:
inicijuoti reakciją į a punkto 2 papunktyje nurodytus įspėjimus, aktyvuojant iš anksto nustatytus išteklius ir veiksmų seką;
sustabdyti išpuolio plitimą ir išvengti visiško grėsmės scenarijaus išsipildymo;
kontroliuoti IS.I.OR.205 dalies a punkte nustatytų paveiktų elementų veikimą trikties režimu.
Organizacija įgyvendina priemones, kuriomis siekiama atkurti veiklą po informacijos saugumo incidentų, įskaitant, jei reikia, neatidėliotinas priemones. Tos veiklos atkūrimo priemonės organizacijai turi suteikti galimybę:
pašalinti incidentą sukėlusią aplinkybę arba apriboti ją iki toleruotino lygio;
per organizacijos iš anksto nustatytą veiklos atkūrimo laiką užtikrinti, kad paveiktų elementų, kurie apibrėžti IS.I.OR.205 dalies a punkte, būklė būtų saugi.
IS.I.OR.225. Reagavimas į pažeidimus, apie kuriuos pranešė kompetentinga institucija
Gavusi kompetentingos institucijos pranešimą apie pažeidimus, organizacija:
nustato pagrindinę neatitikties priežastį (-is) bei tos neatitikties veiksnius;
parengia taisomųjų veiksmų planą;
kompetentingai institucijai priimtinu būdu įrodo, kad neatitiktis yra pašalinta.
A punkte nurodyti veiksmai atliekami per laikotarpį, dėl kurio susitarta su kompetentinga institucija.
IS.I.OR.230. Informacijos saugumo išorės pranešimų teikimo sistema
Organizacija įdiegia informacijos saugumo pranešimų sistemą, atitinkančią Reglamente (ES) Nr. 376/2014 ir jo deleguotuosiuose bei įgyvendinimo aktuose, jei tas reglamentas taikomas organizacijai, nustatytus reikalavimus.
Nedarant poveikio Reglamente (ES) Nr. 376/2014 nustatytoms pareigoms, organizacija užtikrina, kad apie bet kokį informacijos saugumo incidentą ar pažeidžiamumą, kurie gali kelti didelę riziką aviacijos saugai, būtų pranešama jos kompetentingai institucijai. Be to:
jei toks incidentas ar pažeidžiamumas daro poveikį orlaiviui arba susijusiai sistemai ar komponentui, organizacija apie tai taip pat praneša projekto patvirtinimo turėtojui;
jei toks incidentas ar pažeidžiamumas daro poveikį organizacijos naudojamai sistemai ar sudedamajai daliai, organizacija apie tai praneša organizacijai, atsakingai už sistemos ar sudedamosios dalies projektavimą.
Apie b punkte nurodytas aplinkybes organizacija praneša taip:
pranešimas pateikiamas kompetentingai institucijai ir, jei taikoma, projekto patvirtinimo turėtojui arba organizacijai, atsakingai už sistemos ar sudedamosios dalies projektavimą, kai tik organizacija sužino apie aplinkybę;
pranešimas pateikiamas kompetentingai institucijai ir, jei taikoma, projekto patvirtinimo turėtojui arba už sistemos ar sudedamosios dalies projektavimą atsakingai organizacijai kuo greičiau ir ne vėliau kaip per 72 valandas nuo momento, kai organizacija sužinojo apie aplinkybę, nebent tai būtų neįmanoma dėl išskirtinių sąlygų.
Pranešimas parengiamas kompetentingos institucijos nustatyta forma ir jame pateikiama visa svarbi informacija apie organizacijai žinomą aplinkybę;
kompetentingai institucijai ir, jei taikoma, projekto patvirtinimo turėtojui arba už sistemos ar sudedamosios dalies projektavimą atsakingai organizacijai pateikiama tolesnių veiksmų ataskaita, kurioje pateikiama išsami informacija apie veiksmus, kurių organizacija ėmėsi arba ketina imtis, kad atkurtų veiklą po incidento, ir apie veiksmus, kurių ji ketina imtis, kad ateityje užkirstų kelią panašiems informacijos saugumo incidentams.
Tolesnių veiksmų ataskaita pateikiama iš karto, kai tik nustatomi tie veiksmai, ir parengiama kompetentingos institucijos nustatyta forma.
IS.I.OR.235. Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas
Organizacija užtikrina, kad tais atvejais, kai su kitomis organizacijomis sudaromos sutartys dėl bet kurios IS.I.OR.200 dalyje nurodytos veiklos dalies, veikla, dėl kurios sudaryta sutartis, atitiktų šio reglamento reikalavimus, o organizacija, su kuria sudaryta sutartis, veiktų jos prižiūrima. Organizacija užtikrina, kad rizika, susijusi su veikla, dėl kurios sudaryta sutartis, būtų tinkamai valdoma.
Organizacija užtikrina, kad pateikusi prašymą kompetentinga institucija galėtų kreiptis į organizaciją, su kuria sudaryta sutartis, kad nustatytų, ar tebesilaikoma šiame reglamente nustatytų taikytinų reikalavimų.
IS.I.OR.240. Darbuotojų reikalavimai
Pagal reglamentus (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Įgyvendinimo reglamentą (ES) 2017/373 arba Įgyvendinimo reglamentą (ES) 2021/664, kaip nurodyta šio reglamento 2 straipsnio 1 dalyje, paskirtos organizacijos atsakingas vadovas turi turėti tarnybinius įgaliojimus užtikrinti, kad visa pagal šį reglamentą reikalaujama veikla galėtų būti finansuojama ir vykdoma. Tas asmuo:
užtikrina, kad būtų prieinami visi šio reglamento reikalavimams įvykdyti būtini ištekliai;
parengia S.I.OR.200 dalies a punkto 1 papunktyje nurodytą informacijos saugumo politiką ir skatina ją taikyti;
įrodo, kad yra iš esmės susipažinęs su šiuo reglamentu.
Atsakingas vadovas paskiria asmenį arba asmenų grupę, kurie užtikrintų, kad organizacija laikytųsi šio reglamento reikalavimų, ir nustato jų įgaliojimų apimtį. Tas asmuo ar asmenų grupė tiesiogiai atsiskaito atsakingam vadovui ir turi atitinkamų žinių, kvalifikaciją ir patirties, kad galėtų vykdyti savo pareigas. Procedūrose nustatoma, kas pavaduoja tam tikrą asmenį, jeigu jo ilgą laiką nebūtų.
Atsakingas vadovas paskiria asmenį arba asmenų grupę, kuriems pavedama administruoti IS.I.OR.200 dalies a punkto 12 papunktyje nurodytą atitikties stebėsenos funkciją.
Jeigu organizacijos informacijos saugumo organizacinės struktūros, politika, procesai ir procedūros bendrai naudojami su kitomis organizacijomis arba pačios organizacijos dalyse, kurios nėra įtrauktos į patvirtinimą ar deklaraciją, atsakingas vadovas gali pavesti savo veiklą bendram atsakingam asmeniui.
Tokiu atveju, siekiant užtikrinti tinkamą informacijos saugumo valdymo integravimą organizacijoje, tarp atsakingo organizacijos vadovo ir bendro atsakingo asmens nustatomos veiksmų koordinavimo priemonės.
Atsakingas vadovas arba d punkte nurodytas bendras atsakingas asmuo turi turėti tarnybinius įgaliojimus kurti ir nuolat atnaujinti IS.I.OR.200 daliai įgyvendinti būtinas organizacines struktūras, politiką, procesus ir procedūras.
Organizacija įdiegia procesą, kuriuo užtikrinamas pakankamas skaičius darbuotojų, galinčių vykdyti šiame priede nurodytą veiklą.
Organizacija įdiegia procesą, kuriuo užtikrinama, kad f punkte nurodyti darbuotojai turėtų reikiamą kompetenciją savo užduotims atlikti.
Organizacija įdiegia procesą, kuriuo užtikrinama, kad darbuotojai būtų informuoti apie atsakomybę, susijusią su jiems pavestomis funkcijomis ir užduotimis.
Organizacija užtikrina, kad būtų tinkamai nustatyta darbuotojų, turinčių prieigą prie informacinių sistemų ir duomenų, kuriems taikomi šio reglamento reikalavimai, tapatybė ir patikimumas.
IS.I.OR.245. Įrašų saugojimas
Organizacija registruoja savo informacijos saugumo valdymo veiklą.
Organizacija užtikrina, kad būtų archyvuojami ir atsekami šie įrašai:
visi gauti patvirtinimai ir visi susiję informacijos saugumo rizikos vertinimai pagal IS.I.OR.200 dalies e punktą;
sutartys dėl veiklos, nurodytos IS.I.OR.200 dalies a punkto 9 papunktyje;
įrašai apie IS.I.OR.200 dalies d punkte nurodytus pagrindinius procesus;
įrašai apie IS.I.OR.205 dalyje nurodytame rizikos vertinime nustatytą riziką ir IS.I.OR.210 dalyje nurodytas susijusias veiksmų su rizika priemones;
įrašai apie informacijos saugumo incidentus ir pažeidžiamumą, apie kuriuos pranešta pagal IS.I.OR.215 ir IS.I.OR.230 dalyse nurodytas pranešimo sistemas;
įrašai apie informacijos saugumo įvykius, kuriuos gali reikėti iš naujo įvertinti, kad būtų atskleisti neaptikti informacijos saugumo incidentai ar pažeidžiamumas.
1 punkto i papunktyje nurodyti įrašai saugomi bent 5 metus nuo patvirtinimo galiojimo pabaigos.
1 punkto ii papunktyje nurodyti įrašai saugomi bent 5 metus nuo sutarties pakeitimo arba nutraukimo.
1 punkto iii, iv ir v papunkčiuose nurodyti įrašai saugomi bent 5 metus.
1 punkto vi papunktyje nurodyti įrašai saugomi tol, kol tie informacijos saugumo įvykiai bus pakartotinai įvertinti organizacijos nustatytoje tvarkoje numatytu periodiškumu.
Organizacija saugo įrašus, susijusius su savo darbuotojų, vykdančių informacijos saugumo valdymo veiklą, kvalifikacija ir patirtimi.
Įrašai apie darbuotojų kvalifikaciją ir patirtį saugomi tol, kol asmuo dirba organizacijoje, ir ne trumpiau kaip 3 metus po to, kai asmuo paliko organizaciją.
Jei darbuotojai paprašo, jiems suteikiama prieiga prie jų individualių įrašų. Be to, jei prieš palikdami organizaciją jie pateikia prašymą, organizacija jiems pateikia jų individualių įrašų kopiją.
Kokiu formatu saugomi įrašai, nurodoma organizacijos tvarkoje.
Įrašai saugomi taip, kad būtų užtikrinta jų apsauga pažeidimo, pakeitimų ir vagystės, o informacija, kai reikia, žymima nurodant jos slaptumo žymos laipsnį. Organizacija užtikrina, kad įrašai būtų saugomi naudojant priemones, kuriomis užtikrinamas vientisumas, autentiškumas ir leidžiama prieiga.
IS.I.OR.250. Informacijos saugumo valdymo vadovas (ISVV)
Organizacija pateikia kompetentingai institucijai informacijos saugumo valdymo vadovą (ISVV) ir, kai taikoma, visus jame minimus susijusius vadovus ir procedūras; tame ISVV pateikiama:
atsakingo vadovo pasirašytas pareiškimas, kuriuo patvirtinama, kad organizacija visą laiką dirbs pagal šio priedo ir ISVV reikalavimus. Jei atsakingas vadovas nėra organizacijos vykdomasis direktorius (CEO), pareiškimą pasirašo vykdomasis direktorius;
IS.I.OR.240 dalies b ir c punktuose nurodyto asmens (-ų) vardas (-ai) ir pavardė (-ės), pareigos, atskaitomybė, atsakomybė ir įgaliojimai;
jei taikoma, IS.I.OR.240 dalies d punkte nurodyto bendro asmens vardas, pavardė, pareigos, atskaitomybė, atsakomybė ir įgaliojimai;
organizacijos informacijos saugumo politika, nurodyta IS.I.OR.200 dalies a punkto 1 papunktyje;
bendras turimų darbuotojų skaičiaus, jų kategorijų bei apsirūpinimo darbuotojais planavimo sistemos, reikalaujamos IS.I.OR.240 dalyje, aprašymas;
pagrindinių asmenų, atsakingų už IS.I.OR.200 dalies įgyvendinimą, įskaitant asmenį (-is), atsakingą (-us) už atitikties stebėsenos funkciją, nurodytą IS.I.OR.200 dalies a punkto 12 papunktyje, pareigos, atskaitomybė, atsakomybė ir įgaliojimai;
organizacijos struktūros schema, kurioje nurodyti susiję 2 ir 6 punktuose nurodytų asmenų atskaitomybės ir atsakomybės ryšiai;
vidaus pranešimų teikimo sistemos, nurodytos IS.I.OR.215 dalyje, aprašymas;
procedūros, kuriomis nustatoma, kaip organizacija užtikrina atitiktį šiai daliai, visų pirma:
IS.I.OR.200 dalies c punkte nurodyti dokumentai;
procedūros, kuriomis nustatoma, kaip organizacija kontroliuoja bet kokią pagal sutartį vykdomą veiklą, nurodytą IS.I.OR.200 dalies a punkto 9 papunktyje;
ISVV keitimo procedūra, nurodyta c punkte;
išsami informacija apie esamas patvirtintas alternatyvias atitikties užtikrinimo priemones.
Pirminį ISVV išdavimą patvirtina ir ISVV kopiją pasilieka kompetentinga institucija. ISVV, jeigu būtina, turi būti keičiamas siekiant užtikrinti, kad jame visa laiką būtų naujausi duomenys apie organizacijos ISVS. Visų ISVV pakeitimų kopijos pateikiamos kompetentingai institucijai.
ISVV pakeitimai tvarkomi organizacijos nustatyta tvarka. Visus pakeitimus, kurie nepatenka į šios procedūros taikymo sritį, ir visus pakeitimus, susijusius su IS.I.OR.255 dalies b punkte nurodytais pakeitimais, tvirtina kompetentinga institucija.
Organizacija gali integruoti ISVV su kitais savo turimais valdymo žinynais ar vadovais, jei yra aiški kryžminė nuoroda, kurios valdymo žinyno ar vadovo dalys atitinka įvairius šiame priede nustatytus reikalavimus.
IS.I.OR.255. Informacijos saugumo valdymo sistemos pakeitimai
ISVS pakeitimai gali būti administruojami ir apie juos gali būti pranešama kompetentingai institucijai pagal organizacijos parengtą procedūrą. Šią procedūrą tvirtina kompetentinga institucija.
Dėl ISVS pakeitimų, kuriems netaikoma a punkte nurodyta procedūra, organizacija kompetentingai institucijai turi pateikti prašymą dėl patvirtinimo ir jį gauti.
Dėl tų pakeitimų:
prašymas pateikiamas prieš įgyvendinant tokį pakeitimą, kad kompetentinga institucija galėtų nustatyti, ar tebesilaikoma šio reglamento, ir, jei reikia, iš dalies pakeisti organizacijos pažymėjimą ir atitinkamas prie jo pridėto patvirtinimo sąlygas.
organizacija pateikia kompetentingai institucijai visą informaciją, kurios ji prašo pakeitimui įvertinti;
pakeitimas įgyvendinamas tik gavus oficialų kompetentingos institucijos patvirtinimą;
tokių pakeitimų įgyvendinimo metu organizacija veikia kompetentingos institucijos nustatytomis sąlygomis.
IS.I.OR.260. Tęstinis tobulinimas
Organizacija, naudodama tinkamus veiklos rezultatų rodiklius, įvertina ISVS veiksmingumą ir brandumą. Tas vertinimas atliekamas pagal organizacijos iš anksto nustatytą grafiką arba po informacijos saugumo incidento.
Jei atlikus vertinimą pagal a punktą nustatoma trūkumų, organizacija imasi būtinų tobulinimo priemonių, siekdama užtikrinti, kad ISVS toliau atitiktų taikomus reikalavimus ir padėtų išlaikyti priimtiną informacijos saugumo rizikos lygį. Be to, organizacija iš naujo įvertina tuos ISVS elementus, kuriems padarė poveikį priimtos priemonės.
III PRIEDAS
Reglamento (ES) Nr. 1178/2011 VI priedas (ARA dalis) ir VII priedas (ORA dalis) iš dalies keičiami taip:
VI priedas (ARA dalis) iš dalies keičiamas taip:
ARA.GEN.125 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po ARA.GEN.135 dalies įterpiama ARA.GEN.135A dalis:
„ ARA.GEN.135A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
Kompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal ARA.GEN.125 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
ARA.GEN.200 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
ARA.GEN.205 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
„ ARA.GEN.205. Užduočių paskirstymas “;
pridedamas c punktas:
Organizacijos sertifikavimo ir ORA.GEN.200A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal ARA.GEN.200 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
ARA.GEN.300 dalis papildoma g punktu:
Vykdydama organizacijos ORA.GEN.200A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–f punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po ARA.GEN.330 dalies įterpiama ARA.GEN.330A dalis:
„ ARA.GEN.330A. Informacijos saugumo valdymo sistemos pakeitimai
Dėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal ARA.GEN.300 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal ARA.GEN.350 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“;
VII priedas (ORA dalis) iš dalies keičiamas taip:
po ORA.GEN.200 dalies įterpiama ORA.GEN.200A dalis:
„ ORA.GEN.200A. Informacijos saugumo valdymo sistema
Be ORA.GEN.200 dalyje nurodytos valdymo sistemos, organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“
IV PRIEDAS
Reglamento (ES) Nr. 748/2012 I priedas (21 dalis) iš dalies keičiamas taip:
turinys iš dalies keičiamas taip:
po 21.B.20 antraštės įterpiama ši antraštė:
„21.B.20A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai“;
21.B.30 dalies antraštė pakeičiama taip:
„21.B.30. Užduočių paskirstymas“;
po 21.B.240 antraštės įterpiama ši antraštė:
„21.B.240A. Informacijos saugumo valdymo sistemos pakeitimai“;
po 21.B.435 antraštės įterpiama ši antraštė:
„21.B.435A. Informacijos saugumo valdymo sistemos pakeitimai“;
21.B.15 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.230 dalį.“;
po 21.B.20 dalies įrašoma 21.B.20A dalis:
„21.B.20A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
Kompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal 21.B.15 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
21.B.25 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugai, valdymas.“;
21.B.30 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
„21.B.30. Užduočių paskirstymas“;
pridedamas c punktas:
Organizacijos sertifikavimo ir 21.A.139A ir 21.A.239A dalių reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal 21.B.25 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
21.B.221 dalis papildoma g punktu:
Vykdydama organizacijos sertifikavimą ir 21.A.139A dalies reikalavimų laikymosi priežiūrą, kompetentinga institucija ne tik laikosi a–f punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po 21.B.240 dalies įrašoma 21.B.240A dalis:
„ 21.B.240A. Informacijos saugumo valdymo sistemos pakeitimai
Dėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal 21.B.221 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal 21.B.225 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“;
21.B.431 dalis papildoma d punktu:
Sertifikuodama organizaciją ir prižiūrėdama, kaip ji laikosi 21.A.239A dalies reikalavimų, kompetentinga institucija laikosi ne tik a–c punktų, bet ir šių principų:
kompetentinga institucija peržiūri sąsajas ir susijusią riziką, kurią pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.205 dalies b punktą nustatė kiekviena organizacija, kuriai taikoma jos priežiūra;
jei nustatoma tarpusavio sąsajų ir skirtingų organizacijų nustatytos susijusios rizikos neatitikimų, kompetentinga institucija juos peržiūri su paveiktomis organizacijomis ir, jei reikia, praneša atitinkamus pažeidimus, kad būtų užtikrintas taisomųjų veiksmų įgyvendinimas;
jei pagal 2 punktą peržiūrėti dokumentai rodo, kad esama didelės rizikos dėl sąsajų su organizacijomis, kurių priežiūrą vykdo kita tos pačios valstybės narės kompetentinga institucija, ši informacija pranešama atitinkamai kompetentingai institucijai.“;
po 21.B.435 dalies įrašoma 21.B.435A dalis:
„ 21.B.435A. Informacijos saugumo valdymo sistemos pakeitimai
Dėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal 21.B.431 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal 21.B.433 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“
V PRIEDAS
Reglamento (ES) Nr. 965/2012 II priedas (ARO dalis) ir III priedas (ORO dalis) iš dalies keičiami taip:
II priedas (ARO dalis) iš dalies keičiamas taip:
ARO.GEN.125 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po ARO.GEN.135 dalies įterpiama ARO.GEN.135A dalis:
Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugaiKompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal ARO.GEN.125 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
ARO.GEN.200 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
ARO.GEN.205 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
Užduočių paskirstymas“;
pridedamas c punktas:
Organizacijos sertifikavimo ir ORO.GEN.200A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal ARO.GEN.200 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
ARO.GEN.300 dalis papildoma g punktu:
Vykdydama organizacijos ORO.GEN.200A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–f punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po ARO.GEN.330 dalies įterpiama ARO.GEN.330A dalis:
Informacijos saugumo valdymo sistemos pakeitimaiDėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal ARO.GEN.300 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal ARO.GEN.350 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“;
III priedas (ORO dalis) iš dalies keičiamas taip:
po ORO.GEN.200 dalies įterpiama ORO.GEN.200A dalis:
Informacijos saugumo valdymo sistema Be ORO.GEN.200 dalyje nurodytos valdymo sistemos, veiklos vykdytojas pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“
VI PRIEDAS
Reglamento (ES) Nr. 139/2014 II priedas (ADR.AR dalis) iš dalies keičiamas taip:
ADR.AR.A.025 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.230 dalį.“;
po ADR.AR.A.030 dalies įterpiama ADR.AR.A.030A dalis:
„ ADR.AR.A.030A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
Kompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal ADR.AR.A.025 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
ADR.AR.B.005 dalis papildoma d punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
ADR.AR.B.010 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
„ ADR.AR.B.010. Užduočių paskirstymas “;
pridedamas c punktas:
Organizacijos sertifikavimo ir ADR.OR.D.005A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal ADR.AR.B.005 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
ADR.AR.C.005 dalis papildoma f punktu:
Vykdydama organizacijos ADR.OR.D.005A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–e punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po ADR.AR.C.040 dalies įterpiama ADR.AR.C.040A dalis:
„ ADR.AR.C.040A. Informacijos saugumo valdymo sistemos pakeitimai
Dėl pakeitimų, kurie administruojami ir apie kuriuos kompetentingai institucijai pranešama pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal ADR.AR.C.005 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal ADR.AR.C.055 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Deleguotojo reglamento (ES) 2022/1645 priedo (IS.D.OR dalies) IS.D.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“
VII PRIEDAS
Reglamento (ES) Nr. 1321/2014 II priedas (145 dalis), III priedas (66 dalis) ir Vc priedas (CAMO dalis) iš dalies keičiami taip:
II priedas (145 dalis) iš dalies keičiamas taip:
turinys iš dalies keičiamas taip:
po 145.A.200 antraštės įterpiama ši antraštė:
„145.A.200A. Informacijos saugumo valdymo sistema“;
po 145.B.135 antraštės įterpiama ši antraštė:
„145.B.135A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai“;
145.B.205 dalies antraštė pakeičiama taip:
„145.B.205. Užduočių paskirstymas“;
po 145.B.330 antraštės įterpiama ši antraštė:
„145.B.330A. Informacijos saugumo valdymo sistemos pakeitimai“;
po 145.A.200 dalies įrašoma 145.A.200A dalis:
Informacijos saugumo valdymo sistema Be 145.A.200 dalyje nurodytos valdymo sistemos, techninės priežiūros organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugai, valdymą.“;
145.B.125 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po 145.B.135 dalies įrašoma 145.B.135A dalis:
Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugaiKompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal 145.B.125 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
145.B.200 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugai, valdymas.“;
145.B.205 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
Užduočių paskirstymas“;
pridedamas c punktas:
Organizacijos sertifikavimo ir 145.A.200A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal 145.B.200 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
145.B.300 dalis papildoma g punktu:
Vykdydama organizacijos sertifikavimą ir 145.A.200A dalies reikalavimų laikymosi priežiūrą, kompetentinga institucija ne tik laikosi a–f punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po 145.B.330 dalies įrašoma 145.B.330A dalis:
Informacijos saugumo valdymo sistemos pakeitimaiDėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal 145.B.300 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal 145.B.350 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“
III priedas (66 dalis) iš dalies keičiamas taip:
turinyje po 66.B.10 antraštės įterpiama ši antraštė:
„66.B.15. Informacijos saugumo valdymo sistema“;
po 66.B.10 dalies įterpiama 66.B.15 dalis:
Informacijos saugumo valdymo sistema Kompetentinga institucija sukuria, įdiegia ir prižiūri informacijos saugumo valdymo sistemą pagal Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali turėti įtakos aviacijos saugai, valdymą.“;
Vc priedas (CAMO dalis) iš dalies keičiamas taip:
turinys iš dalies keičiamas taip:
po CAMO.A.200 antraštės įterpiama ši antraštė:
„CAMO.A.200A Informacijos saugumo valdymo sistema“;
po CAMO.B.135 antraštės įterpiama ši antraštė:
„CAMO.B.135A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai“;
CAMO.B.205 dalies antraštė pakeičiama taip:
„CAMO.B.205. Užduočių paskirstymas“;
po CAMO.B.330 antraštės įterpiama ši antraštė:
„CAMO.B.330A. Informacijos saugumo valdymo sistemos pakeitimai“;
po CAMO.A.200 dalies įterpiama CAMO.A.200A dalis:
Informacijos saugumo valdymo sistema Be CAMO.A.200 dalyje nurodytos valdymo sistemos, organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“;
CAMO.B.125 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po CAMO.B.135 dalies įterpiama CAMO.B.135A dalis:
Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugaiKompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal CAMO.B.125 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
CAMO.B.200 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
CAMO.B.205 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
Užduočių paskirstymas“;
pridedamas c punktas:
Organizacijos sertifikavimo ir CAMO.A.200A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal CAMO.B.200 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
CAMO.B.300 dalis papildoma g punktu:
Vykdydama organizacijos CAMO.A.200A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–f punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po CAMO.B.330 dalies įterpiama CAMO.B.330A dalis:
Informacijos saugumo valdymo sistemos pakeitimaiDėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal CAMO.B.300 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal CAMO.B.350 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“
VIII PRIEDAS
Reglamento (ES) 2015/340 II priedas (ATCO.AR dalis) ir III priedas (ATCO.OR dalis) iš dalies keičiami taip:
II priedas (ATCO.AR dalis) iš dalies keičiamas taip:
ATCO.AR.A.020 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po ATCO.AR.A.025 dalies įterpiama ATCO.AR.A.025A dalis:
Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugaiKompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal ATCO.AR.A.020 dalį, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
ATCO.AR.B.001 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
ATCO.AR.B.005 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
Užduočių paskirstymas“;
pridedamas c punktas:
Organizacijos sertifikavimo ir ATCO.OR.C.001A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal ATCO.AR.B.001 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
ATCO.AR.C.001 dalis papildoma f punktu:
Vykdydama organizacijos ATCO.OR.C.001A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–e punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po ATCO.AR.E.010 dalies įterpiama ATCO.AR.E.010A dalis:
Informacijos saugumo valdymo sistemos pakeitimaiDėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal ATCO.AR.C.001 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal ATCO.AR.C.010 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“;
III priedas (ATCO.OR dalis) iš dalies keičiamas taip:
po ATCO.OR.C.001 dalies įterpiama ATCO.OR.C.001A dalis:
Informacijos saugumo valdymo sistema Be ATCO.OR.C.001 dalyje nurodytos valdymo sistemos, mokymo organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“
IX PRIEDAS
Įgyvendinimo reglamento (ES) 2017/373 II priedas (ATM/ANS.AR dalis) ir III priedas (ATM/ANS.OR dalis) iš dalies keičiami taip:
II priedas (ATM/ANS.AR dalis) iš dalies keičiamas taip:
ATM/ANS.AR.A.020 dalis papildoma c punktu:
Valstybės narės kompetentinga institucija Agentūrai kuo greičiau pateikia saugos požiūriu svarbią informaciją, gautą iš informacijos saugumo ataskaitų, kurias ji gavo pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.230 dalį.“;
po ATM/ANS.AR.A.025 dalies įterpiama ATM/ANS.AR.A.025A dalis:
„ ATM/ANS.AR.A.025A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
Kompetentinga institucija įgyvendina sistemą, pagal kurią būtų tinkamai renkama, analizuojama ir skleidžiama informacija, susijusi su informacijos saugumo incidentais ir pažeidžiamumu, galinčiais turėti poveikį aviacijos saugai, apie kuriuos praneša organizacijos. Tai daroma koordinuojant veiksmus su visomis kitomis atitinkamomis institucijomis, atsakingomis už informacijos saugumą ar kibernetinį saugumą valstybėje narėje, kad būtų pagerintas pranešimų teikimo sistemų koordinavimas ir suderinamumas.
Agentūra įgyvendina sistemą, kad tinkamai išanalizuotų visą aktualią saugos požiūriu svarbią informaciją, gautą pagal ATM/ANS.AR.A.020 dalies c punktą, ir nepagrįstai nedelsdama pateiktų valstybėms narėms ir Komisijai visą informaciją, įskaitant rekomendacijas ar taisomuosius veiksmus, kurių reikia imtis, kad jos galėtų laiku reaguoti į informacijos saugumo incidentą arba pažeidžiamumą, galinčius turėti poveikį aviacijos saugai, susijusį su gaminiais, dalimis, kilnojamąja įranga, asmenimis ar organizacijomis, kuriems taikomas Reglamentas (ES) 2018/1139 ir jo deleguotieji ir įgyvendinimo aktai.
Gavusi a ir b punktuose nurodytos informacijos, kompetentinga institucija imasi tinkamų priemonių, kad pašalintų galimą informacijos saugumo incidento ar pažeidžiamumo poveikį aviacijos saugai.
Apie priemones, kurių imamasi pagal c punktą, nedelsiant pranešama visiems asmenims arba organizacijoms, kurie jas turi taikyti pagal Reglamentą (ES) 2018/1139 ir jo deleguotuosius bei įgyvendinimo aktus. Valstybės narės kompetentinga institucija apie šias priemones taip pat praneša Agentūrai ir, jei reikia imtis bendrų veiksmų, kitų susijusių valstybių narių kompetentingoms institucijoms.“;
ATM/ANS.AR.B.001 dalis papildoma e punktu:
Be a punkte nustatytų reikalavimų, kompetentingos institucijos sukurta ir prižiūrima valdymo sistema turi atitikti Įgyvendinimo reglamento (ES) 2023/203 I priedą (IS.AR dalį), kad būtų užtikrintas tinkamas informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymas.“;
ATM/ANS.AR.B.005 dalis iš dalies keičiama taip:
antraštė pakeičiama taip:
„ ATM/ANS.AR.B.005. Užduočių paskirstymas “;
pridedamas c punktas:
Organizacijos sertifikavimo ir ATM/ANS.OR.B.005A dalies reikalavimų laikymosi priežiūros užduotis kompetentinga institucija gali paskirti kompetentingiems subjektams pagal a punktą arba bet kuriai atitinkamai už informacijos saugumą ar kibernetinį saugumą valstybėje narėje atsakingai institucijai. Skirdama užduotis, kompetentinga institucija užtikrina, kad:
kompetentingas subjektas arba atitinkama institucija koordinuotų visus su aviacijos sauga susijusius aspektus ir į juos atsižvelgtų;
kompetentingo subjekto arba atitinkamos institucijos vykdomos sertifikavimo ir priežiūros veiklos rezultatai būtų įtraukti į bendras organizacijos sertifikavimo ir priežiūros bylas;
pagal ATM/ANS.AR.B.001 dalies e punktą sukurta jos pačios informacijos saugumo valdymo sistema apimtų visas jos vardu atliekamas sertifikavimo ir nuolatinės priežiūros užduotis.“;
ATM/ANS.AR.C.010 dalis papildoma d punktu:
Vykdydama organizacijos ATM/ANS.OR.B.005A dalies reikalavimų laikymosi sertifikavimą ir priežiūrą, kompetentinga institucija ne tik laikosi a–c punktų, bet ir peržiūri visus patvirtinimus, suteiktus pagal šio reglamento IS.I.OR.200 dalies e punktą arba Deleguotojo reglamento (ES) 2022/1645 IS.D.OR.200 dalies e punktą, po taikomo priežiūros audito ciklo ir visais atvejais, kai įgyvendinami organizacijos darbo apimties pakeitimai.“;
po ATM/ANS.AR.C.025 dalies įterpiama ATM/ANS.AR.C.025A dalis:
„ ATM/ANS.AR.C.025A. Informacijos saugumo valdymo sistemos pakeitimai
Dėl pakeitimų, kuriuos valdo kompetentinga institucija ir apie kuriuos jai pranešama pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies a punkte nustatytą procedūrą, kompetentinga institucija tokių pakeitimų peržiūrą įtraukia į savo nuolatinę priežiūrą pagal ATM/ANS.AR.C.010 dalyje išdėstytus principus. Jei nustatoma kokia nors neatitiktis, kompetentinga institucija apie tai praneša organizacijai, paprašo atlikti papildomus pakeitimus ir imasi veiksmų pagal ATM/ANS.AR.C.050 dalį.
Dėl kitų pakeitimų, dėl kurių reikia pateikti patvirtinimo paraišką pagal Įgyvendinimo reglamento (ES) 2023/203 II priedo (IS.I.OR dalies) IS.I.OR.255 dalies b punktą:
gavusi paraišką dėl pakeitimo, kompetentinga institucija, prieš suteikdama patvirtinimą, patikrina, ar organizacija laikosi taikomų reikalavimų;
kompetentinga institucija nustato sąlygas, kuriomis organizacija gali veikti įgyvendindama pakeitimą;
įsitikinusi, kad organizacija laikosi taikomų reikalavimų, kompetentinga institucija patvirtina pakeitimą.“;
III priedas (ATM/ANS.OR dalis) iš dalies keičiamas taip:
po ATM/ANS.OR.B.005 dalies įterpiama ATM/ANS.OR.B.005A dalis:
„ ATM/ANS.OR.B.005A. Informacijos saugumo valdymo sistema
Be ATM/ANS.OR.B.005 dalyje nurodytos valdymo sistemos, paslaugų teikėjas pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“;
ATM/ANS.OR.D.010 dalis pakeičiama taip:
„ ATM/ANS.OR.D.010. Saugumo valdymas
Oro navigacijos paslaugų ir oro eismo srautų valdymo paslaugų teikėjai ir tinklo valdytojas parengia saugumo valdymo sistemą, kuri yra neatsiejama pagal ATM/ANS.OR.B.005 taisyklę būtinos valdymo sistemos dalis, kad užtikrintų:
savo priemonių ir darbuotojų saugumą siekiant neleisti neteisėtai įsikišti į paslaugų teikimą;
gaunamų arba sukuriamų ar kitaip naudojamų veiklos duomenų saugumą, kad jie būtų prieinami tik atitinkamai įgaliotiems asmenims.
Saugumo valdymo sistemoje apibrėžiama:
procesas ir procedūros, susiję su saugumo rizikos vertinimu ir mažinimu, saugumo stebėjimu ir gerinimu, saugumo patikrinimais ir patirties sklaida;
priemonės, kurias naudojant identifikuojami, stebimi ir aptinkami saugumo pažeidimai ir atitinkamais saugumo signalais perspėjami darbuotojai;
saugumo pažeidimų poveikio valdymo ir taisomųjų veiksmų bei mažinimo procedūrų nustatymo priemonės, taikomos siekiant išvengti pažeidimų pasikartojimo.
Jei reikia, oro navigacijos paslaugų ir oro eismo srautų valdymo paslaugų teikėjai ir tinklo valdytojas užtikrina savo darbuotojų patikimumo kontrolę ir, siekdami užtikrinti savo priemonių, darbuotojų ir duomenų saugumą, koordinuoja šią veiklą su atitinkamomis civilinėmis ir karinėmis institucijomis.
Su informacijos saugumu susiję aspektai tvarkomi pagal ATM/ANS.OR.B.005A dalį.“
( 1 ) 2023 m. rugsėjo 12 d. Komisijos įgyvendinimo reglamentas (ES) 2023/1769, kuriuo nustatomi oro eismo valdymo ir (arba) oro navigacijos paslaugų sistemų ir sudedamųjų dalių projektavimo arba gamybos veiklą vykdančių organizacijų patvirtinimo techniniai reikalavimai ir administracinės procedūros ir iš dalies keičiamas Įgyvendinimo reglamentas (ES) 2023/203 (OL L 228, 2023 9 XX, p. 19).
( 2 ) Komisijos deleguotasis reglamentas (ES) 2022/1645 2022 m. liepos 14 d. kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 748/2012 ir (ES) Nr. 139/2014 nurodytoms organizacijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 748/2012 ir (ES) Nr. 139/2014 (OL L 248, 2022 9 26, p. 18).
( 3 ) 2008 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 300/2008 dėl civilinės aviacijos saugumo bendrųjų taisyklių ir panaikinantis Reglamentą (EB) Nr. 2320/2002 (OL L 97, 2008 4 9, p. 72).