This document is an excerpt from the EUR-Lex website
Document 32023R0203
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
2022 m. spalio 27 d. Komisijos įgyvendinimo reglamentas (ES) 2023/203, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
2022 m. spalio 27 d. Komisijos įgyvendinimo reglamentas (ES) 2023/203, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
C/2022/7215
OL L 31, 2023 2 2, p. 1–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 05/10/2023
2023 2 2 |
LT |
Europos Sąjungos oficialusis leidinys |
L 31/1 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2023/203
2022 m. spalio 27 d.
kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373 ir (ES) 2021/664 nurodytoms organizacijoms ir Komisijos reglamentuose (ES) Nr. 748/2012, (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Komisijos įgyvendinimo reglamentuose (ES) 2017/373, (ES) Nr. 139/2014 ir (ES) 2021/664 nurodytoms kompetentingoms institucijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir Komisijos įgyvendinimo reglamentai (ES) 2017/373 ir (ES) 2021/664
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2018 m. liepos 4 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1139 dėl bendrųjų civilinės aviacijos taisyklių, ir kuriuo įsteigiama Europos Sąjungos aviacijos saugos agentūra, iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 2111/2005, (EB) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 ir direktyvos 2014/30/ES ir 2014/53/ES bei panaikinami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 552/2004 ir (EB) Nr. 216/2008 bei Tarybos reglamentas (EEB) Nr. 3922/91 (1), ypač į jo 17 straipsnio 1 dalies b punktą, 27 straipsnio 1 dalies a punktą, 31 straipsnio 1 dalies b punktą, 43 straipsnio 1 dalies b punktą, 53 straipsnio 1 dalies a punktą ir 62 straipsnio 15 dalies c punktą,
kadangi:
(1) |
pagal Reglamento (ES) 2018/1139 II priedo 3.1 punkto b papunktyje nustatytus esminius reikalavimus, nepertraukiamąjį tinkamumą skraidyti užtikrinančios organizacijos ir techninės priežiūros organizacijos turi taikyti ir nuolat atnaujinti saugos rizikos valdymo sistemą; |
(2) |
be to, pagal Reglamento (ES) 2018/1139 IV priedo 3.3 punkto b papunktyje ir 5 punkto b papunktyje nustatytus esminius reikalavimus, pilotų mokymo organizacijos, keleivių salono įgulos narių mokymo organizacijos, orlaivių įguloms skirti aviacijos medicinos centrai ir imituojamo skrydžio treniruoklių naudotojai turi taikyti ir nuolat atnaujinti saugos rizikos valdymo sistemą; |
(3) |
taip pat, pagal Reglamento (ES) 2018/1139 V priedo 8.1 punkto c papunktyje nustatytus esminius reikalavimus, oro vežėjai turi taikyti ir nuolat atnaujinti saugos rizikos valdymo sistemą; |
(4) |
be to, pagal Reglamento (ES) 2018/1139 VIII priedo 5.1 punkto c papunktyje ir 5.4 punkto b papunktyje nustatytus esminius reikalavimus, oro eismo valdymo ir oro navigacijos paslaugų teikėjai, sistemos „U-space“ paslaugų teikėjai ir vieninteliai bendrų informacijos paslaugų teikėjai, skrydžių vadovų mokymo organizacijos ir skrydžių vadovams skirti aviacijos medicinos centrai turi taikyti ir nuolat atnaujinti saugos rizikos valdymo sistemą; |
(5) |
tos saugos rizikos šaltiniai gali būti įvairūs, pavyzdžiui, projektavimo ir techninės priežiūros trūkumai, su žmogaus galimybėmis susiję aspektai, su aplinka ir informacijos saugumu susijusios grėsmės. Todėl Europos Sąjungos aviacijos saugos agentūros (toliau – Agentūra) ir nacionalinių kompetentingų institucijų bei organizacijų, nurodytų ankstesnėse konstatuojamosiose dalyse, taikomose valdymo sistemose turėtų būti atsižvelgiama ne tik į saugos riziką, kylančią dėl atsitiktinių įvykių, bet ir į saugos riziką, kylančią dėl grėsmių informacijos saugumui, kai esamais trūkumais gali pasinaudoti piktavališkų ketinimų turintys asmenys. Civilinės aviacijos aplinkoje ši informacijos saugumo rizika nuolat didėja, nes dabartinės informacinės sistemos tampa vis labiau tarpusavyje susijusios, be to, į jas vis dažniau taikosi piktavališki subjektai; |
(6) |
su šiomis informacinėmis sistemomis susijusi rizika neapsiriboja galimais išpuoliais kibernetinėje erdvėje, bet apima ir grėsmes, kurios gali turėti įtakos procesams ir procedūroms, taip pat žmonių galimybėms; |
(7) |
kad užtikrintų skaitmeninės informacijos ir duomenų saugumą, daug organizacijų jau taiko tarptautinius standartus (pavyzdžiui, ISO 27001). Tie standartai gali apimti ne visus civilinės aviacijos ypatumus; todėl tikslinga nustatyti informacijos saugumo rizikos, kuri gali turėti įtakos aviacijos saugai, valdymo reikalavimus; |
(8) |
labai svarbu, kad tie reikalavimai apimtų visas aviacijos sritis ir jų sąsajas, nes aviacija yra iš itin glaudžiai sujungtų sistemų sudaryta sistema. Todėl jie turėtų būti taikomi visoms organizacijoms ir kompetentingoms institucijoms, kurioms taikomi Komisijos reglamentai (ES) Nr. 748/2012 (2), (ES) Nr. 1321/2014 (3), (ES) Nr. 965/2012 (4), (ES) Nr. 1178/2011 (5), (ES) 2015/340 (6), (ES) Nr. 139/2014 (7) ir Komisijos įgyvendinimo reglamentas (ES) 2021/664 (8), taip pat toms organizacijoms ir kompetentingoms institucijoms, kurios pagal galiojančius Sąjungos aviacijos saugos teisės aktus jau turi turėti valdymo sistemą. Tačiau kai kurios organizacijos neturėtų būti įtrauktos į šio reglamento taikymo sritį, kad būtų užtikrintas tinkamas proporcingumas mažesnei informacijos saugumo rizikai, kurią jos kelia aviacijos sistemai; |
(9) |
šiame reglamente nustatytais reikalavimais turėtų būti užtikrinamas nuoseklus įgyvendinimas visose aviacijos srityse, kartu darant kuo mažesnį poveikį tose srityse jau taikomiems Sąjungos aviacijos saugos teisės aktams; |
(10) |
šiame reglamente nustatytais reikalavimais neturėtų būti daromas poveikis informacijos saugumo ir kibernetinio saugumo reikalavimams, nustatytiems Komisijos įgyvendinimo reglamento (ES) 2015/1998 (9) priedo 1.7 punkte ir Europos Parlamento ir Tarybos direktyvos (ES) 2016/1148 (10) 14 straipsnyje; |
(11) |
Europos Parlamento ir Tarybos reglamento (ES) 2021/696 (11) V antraštinės dalies „Programos saugumas“ 33–43 straipsniuose nustatyti saugumo reikalavimai laikomi lygiaverčiais šiame reglamente nustatytiems reikalavimams, išskyrus šio reglamento II priedo IS.I.OR.230 punkte nustatytus reikalavimus, kurių turėtų būti laikomasi; |
(12) |
siekiant užtikrinti teisinį tikrumą, šiame reglamente apibrėžto termino „informacijos saugumas“ aiškinimas, atspindintis jo bendrą vartoseną civilinės aviacijos srityje pasaulio mastu, turėtų būti laikomas derančiu su Direktyvos (ES) 2016/1148 4 straipsnio 2 dalyje apibrėžto termino „tinklų ir informacinių sistemų saugumas“ aiškinimu. Šiame reglamente vartojamo termino „informacijos saugumas“ apibrėžtis neturėtų būti aiškinama kaip besiskirianti nuo Direktyvoje (ES) 2016/1148 pateiktos termino „tinklų ir informacinių sistemų saugumas“ apibrėžties; |
(13) |
siekiant išvengti teisinių reikalavimų dubliavimosi, tais atvejais, kai į šio reglamento taikymo sritį įtrauktoms organizacijoms jau taikomi (10) ir 11 konstatuojamojoje dalyje nurodytais Sąjungos aktais nustatyti saugumo reikalavimai, kurių poveikis yra lygiavertis šio reglamento nuostatoms, atitiktis tiems saugumo reikalavimams turėtų būti laikoma atitiktimi šiame reglamente nustatytiems reikalavimams; |
(14) |
į šio reglamento taikymo sritį įtrauktos organizacijos, kurioms jau taikomi Įgyvendinimo reglamente (ES) 2015/1998 arba Reglamente (ES) 2021/696 (ar abiejuose) nustatyti saugumo reikalavimai, taip pat turėtų laikytis šio reglamento II priedo (IS.I.OR.230 dalies „Informacijos saugumo išorės pranešimų teikimo sistema“) reikalavimų, nes minėtuose reglamentuose nėra nuostatų, susijusių su išorės pranešimų apie informacijos saugumo incidentus teikimu; |
(15) |
siekiant išsamumo, reglamentai (ES) Nr. 1178/2011, (ES) Nr. 748/2012, (ES) Nr. 965/2012, (ES) Nr. 139/2014, (ES) Nr. 1321/2014, (ES) 2015/340 ir įgyvendinimo reglamentai (ES) 2017/373 (12) ir (ES) 2021/664 turėtų būti iš dalies pakeisti, t. y. į juos įtraukti šiame reglamente nustatyti reikalavimai, susiję su informacijos saugumo valdymo sistema, kartu su juose nustatytomis valdymo sistemomis, ir nustatyti kompetentingoms institucijoms keliami reikalavimai, susiję su pirmiau minėtus informacijos saugumo valdymo reikalavimus vykdančių organizacijų priežiūra; |
(16) |
siekiant organizacijoms suteikti pakankamai laiko užtikrinti atitiktį naujoms taisyklėms ir procedūroms, šis reglamentas turėtų būti pradėtas taikyti praėjus 3 metams nuo jo įsigaliojimo, išskyrus Europos geostacionarinės navigacinės tinklo sistemos (EGNOS) oro navigacijos paslaugų teikėjo, apibrėžto Įgyvendinimo reglamente (ES) 2017/373, atvejį: dėl EGNOS sistemos ir paslaugų saugumo akreditavimo, tebevykdomo pagal Reglamentą (ES) 2021/696, tokiems oro navigacijos paslaugų teikėjams reglamentas turėtų būti taikomas nuo 2026 m. sausio 1 d.; |
(17) |
šiame reglamente nustatyti reikalavimai grindžiami Nuomone Nr. 03/2021 (13), kurią Agentūra paskelbė pagal Reglamento (ES) 2018/1139 75 straipsnio 2 dalies b ir c punktus ir 76 straipsnio 1 dalį; |
(18) |
šiame reglamente nustatyti reikalavimai atitinka pagal Reglamento (ES) 2018/1139 127 straipsnį įsteigto Bendrųjų saugos taisyklių taikymo civilinės aviacijos srityje komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
Dalykas
Šiame reglamente nustatomi reikalavimai, kurių organizacijos ir kompetentingos institucijos turi laikytis tam, kad:
a) |
nustatytų ir valdytų informacijos saugumo riziką, galinčią daryti poveikį aviacijos saugai ir turėti įtakos civilinės aviacijos tikslais naudojamoms informacinių ir ryšių technologijų sistemoms bei duomenims, |
b) |
aptiktų informacijos saugumo įvykius ir nustatytų įvykius, laikomus informacijos saugumo incidentais, galinčiais turėti įtakos aviacijos saugai, |
c) |
reaguotų į tuos informacijos saugumo incidentus ir atkurtų veiklą po tokių incidentų. |
2 straipsnis
Taikymo sritis
1. Šis reglamentas taikomas šioms organizacijoms:
a) |
į Reglamento (ES) Nr. 1321/2014 II priedo (145 dalies) A skirsnio taikymo sritį įtrauktoms techninės priežiūros organizacijoms, išskyrus tas, kurios vykdo tik orlaivių techninės priežiūros veiklą pagal Reglamento (ES) Nr. 1321/2014 Vb priedą (ML dalį); |
b) |
į Reglamento (ES) Nr. 1321/2014 Vc priedo (CAMO dalies) A skyriaus taikymo sritį įtrauktoms nepertraukiamąjį tinkamumą skraidyti užtikrinančioms organizacijoms (CAMO), išskyrus tas, kurios vykdo tik orlaivių nepertraukiamojo tinkamumo skraidyti užtikrinimo veiklą pagal Reglamento (ES) Nr. 1321/2014 Vb priedą (ML dalį); |
c) |
į Reglamento (ES) Nr. 965/2012 III priedo (ORO dalis) taikymo sritį įtrauktiems oro vežėjams, išskyrus tuos, kurie naudoja tik kuriuos nors iš toliau nurodytų orlaivių:
|
d) |
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktoms patvirtintoms mokymo organizacijoms (ATO), išskyrus tas, kurios vykdo tik su orlaiviu ELA2, apibrėžtu Reglamento (ES) Nr. 748/2012 1 straipsnio 2 dalies j punkte, susijusią mokymo veiklą arba vykdo tik teorinio mokymo veiklą; |
e) |
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktiems orlaivių įguloms skirtiems aviacijos medicinos centrams; |
f) |
į Reglamento (ES) Nr. 1178/2011 VII priedo (ORA dalies) taikymo sritį įtrauktiems imituojamo skrydžio treniruoklių (FSTD) naudotojams, išskyrus tuos, kurie naudoja tik su orlaiviu ELA2, apibrėžtu Reglamento (ES) Nr. 748/2012 1 straipsnio 2 dalies j punkte, susijusius FSTD; |
g) |
į Reglamento (ES) 2015/340 III priedo (ATCO.OR dalies) taikymo sritį įtrauktoms skrydžių vadovų mokymo organizacijoms (ATCO TO) ir skrydžių vadovams skirtiems aviacijos medicinos centrams; |
h) |
į Įgyvendinimo reglamento (ES) 2017/373 III priedo (ATM/ANS.OR dalies) taikymo sritį įtrauktoms organizacijoms, išskyrus šiuos paslaugų teikėjus:
|
i) |
į Įgyvendinimo reglamento (ES) 2021/664 taikymo sritį įtrauktiems sistemos „U-space“ paslaugų teikėjams ir vieninteliams bendrų informacijos paslaugų teikėjams. |
2. Šis reglamentas taikomas kompetentingoms institucijoms, įskaitant Europos Sąjungos aviacijos saugos agentūrą (toliau – Agentūra), nurodytoms šio reglamento 6 straipsnyje ir Komisijos deleguotojo reglamento (ES) 2022/1645 (14) 5 straipsnyje.
3. Šis reglamentas taip pat taikomas kompetentingai institucijai, atsakingai už orlaivių techninės priežiūros licencijų išdavimą, pratęsimą, keitimą, galiojimo sustabdymą arba atšaukimą pagal Reglamento (ES) Nr. 1321/2014 III priedą (66 dalį).
4. Šis reglamentas nedaro poveikio informacijos saugumo ir kibernetinio saugumo reikalavimams, nustatytiems Įgyvendinimo reglamento (ES) 2015/1998 priedo 1.7 punkte ir Direktyvos (ES) 2016/1148 14 straipsnyje.
3 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
1) |
informacijos saugumas – tinklų ir informacinių sistemų konfidencialumo, vientisumo, autentiškumo ir prieinamumo išlaikymas; |
2) |
informacijos saugumo įvykis – nustatytas sistemos, paslaugos ar tinklo būklės įvykis, rodantis galimą informacijos saugumo politikos pažeidimą arba informacijos saugumo kontrolės triktį, arba dar nežinoma situacija, kuri gali būti svarbi informacijos saugumui; |
3) |
incidentas – faktinį neigiamą poveikį tinklų ir informacinių sistemų saugumui turintis įvykis, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 7 punkte; |
4) |
informacijos saugumo rizika – dėl informacijos saugumo įvykio galimybės kylanti rizika organizacinėms civilinės aviacijos operacijoms, turtui, asmenims ir kitoms organizacijoms. Informacijos saugumo rizika yra susijusi su galimybe, kad, kilus grėsmei, bus pasinaudota informacinio turto arba informacinių išteklių grupės pažeidžiamumu; |
5) |
grėsmė – galimas informacijos saugumo pažeidimas, atsirandantis esant subjektui, aplinkybėms, veiksmui arba įvykiui, galintiems padaryti žalos; |
6) |
pažeidžiamumas – turto, sistemos, procedūrų, projektavimo, įgyvendinimo ar informacijos saugumo priemonių trūkumas arba silpnoji vieta, kuriais būtų galima pasinaudoti ir dėl kurių būtų pažeista informacijos saugumo politika. |
4 straipsnis
Organizacijoms ir kompetentingoms institucijoms taikomi reikalavimai
1. 2 straipsnio 1 dalyje nurodytos organizacijos laikosi šio reglamento II priedo (IS.I.OR dalies) reikalavimų.
2. 2 straipsnio 2 ir 3 dalyse nurodytos kompetentingos institucijos laikosi šio reglamento I priedo (IS.AR dalies) reikalavimų.
5 straipsnis
Iš kitų Sąjungos teisės aktų kylantys reikalavimai
1. Jei 2 straipsnio 1 dalyje nurodyta organizacija atitinka Direktyvos (ES) 2016/1148 14 straipsnyje nustatytus saugumo reikalavimus, kurie yra lygiaverčiai šiame reglamente nustatytiems reikalavimams, atitiktis tiems saugumo reikalavimams laikoma atitiktimi šiame reglamente nustatytiems reikalavimams.
2. Jei 2 straipsnio 1 dalyje nurodyta organizacija yra operatorius arba subjektas, nurodytas valstybių narių nacionalinėse civilinės aviacijos saugumo programose, parengtose pagal Europos Parlamento ir Tarybos reglamento (EB) Nr. 300/2008 (15) 10 straipsnį, Įgyvendinimo reglamento (ES) 2015/1998 priedo 1.7 punkte nustatyti kibernetinio saugumo reikalavimai laikomi lygiaverčiais šiame reglamente nustatytiems reikalavimams, išskyrus šio reglamento II priedo IS.I.OR.230 dalį, kurios turi būti laikomasi.
3. Jei 2 straipsnio 1 dalyje nurodyta organizacija yra Reglamente (ES) 2021/696 nurodytos Europos geostacionarinės navigacinės tinklo sistemos (EGNOS) oro navigacijos paslaugų teikėja, to reglamento V antraštinės dalies 33–43 straipsniuose nustatyti saugumo reikalavimai laikomi lygiaverčiais šiame reglamente nustatytiems reikalavimams, išskyrus šio reglamento II priedo IS.I.OR.230 dalyje nustatytus reikalavimus, kurių turi būti laikomasi.
4. Komisija, pasikonsultavusi su Agentūra ir Direktyvos (ES) 2016/1148 11 straipsnyje nurodyta Bendradarbiavimo grupe, gali paskelbti šiame reglamente ir Direktyvoje (ES) 2016/1148 nustatytų reikalavimų lygiavertiškumo vertinimo gaires.
6 straipsnis
Kompetentinga institucija
1. Nedarant poveikio Reglamento (ES) 2021/696 36 straipsnyje nurodytai Saugumo akreditavimo valdybai pavestoms užduotims, už atitikties šiam reglamentui patvirtinimą ir priežiūrą atsakinga institucija yra:
a) |
2 straipsnio 1 dalies a punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1321/2014 II priedą (145 dalį); |
b) |
2 straipsnio 1 dalies b punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1321/2014 Vc priedą (CAMO dalį); |
c) |
2 straipsnio 1 dalies c punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 965/2012 III priedą (ORO dalį); |
d) |
2 straipsnio 1 dalies d–f punktuose nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) Nr. 1178/2011 VII priedą (ORA dalį); |
e) |
2 straipsnio 1 dalies g punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Reglamento (ES) 2015/340 6 straipsnio 2 dalį; |
f) |
2 straipsnio 1 dalies h punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal Įgyvendinimo reglamento (ES) 2017/373 4 straipsnio 1 dalį; |
g) |
2 straipsnio 1 dalies i punkte nurodytų organizacijų – kompetentinga institucija, paskirta pagal atitinkamai Įgyvendinimo reglamento (ES) 2021/664 14 straipsnio 1 arba 2 dalį. |
2. Šio reglamento tikslais valstybės narės gali paskirti nepriklausomą ir savarankišką subjektą, kuris atliktų 1 dalyje nurodytoms kompetentingoms institucijoms paskirtą funkciją ir pareigas. Tokiu atveju, siekiant užtikrinti veiksmingą visų reikalavimų, kuriuos turi atitikti organizacija, priežiūrą, nustatomos to subjekto ir 1 dalyje nurodytų kompetentingų institucijų veiklos koordinavimo priemonės.
3. Agentūra, visapusiškai laikydamasi taikytinų slaptumo, asmens duomenų apsaugos ir įslaptintos informacijos apsaugos taisyklių, bendradarbiauja su Europos Sąjungos kosmoso programos agentūra (EUSPA) ir Reglamento (ES) 2021/696 36 straipsnyje nurodyta SAV, kad būtų užtikrinta veiksminga EGNOS oro navigacijos paslaugų teikėjui taikomų reikalavimų priežiūra.
7 straipsnis
Atitinkamos informacijos teikimas TIS kompetentingoms institucijoms
Kompetentingos institucijos pagal šį reglamentą nedelsdamos informuoja pagal Direktyvos (ES) 2016/1148 8 straipsnį paskirtą bendrąjį informacinį centrą apie visą svarbią informaciją, įtrauktą į pranešimus, kuriuos pagal šio reglamento II priedo IS.I.OR.230 dalį ir Deleguotojo reglamento (ES) 2022/1645 I priedo IS.D.OR.230 dalį teikia esminių paslaugų operatoriai, identifikuoti pagal Direktyvos (ES) 2016/1148 5 straipsnį.
8 straipsnis
Reglamento (ES) Nr. 1178/2011 pakeitimai
Reglamento (ES) Nr. 1178/2011 VI priedas (ARA dalis) ir VII priedas (ORA dalis) iš dalies keičiami pagal šio reglamento III priedą.
9 straipsnis
Reglamento (ES) Nr. 748/2012 pakeitimai
Reglamento (ES) Nr. 748/2012 I priedas (21 dalis) iš dalies keičiamas pagal šio reglamento IV priedą.
10 straipsnis
Reglamento (ES) Nr. 965/2012 pakeitimai
Reglamento (ES) Nr. 965/2012 II priedas (ARO dalis) ir III priedas (ORO dalis) iš dalies keičiami pagal šio reglamento V priedą.
11 straipsnis
Reglamento (ES) Nr. 139/2014 pakeitimai
Reglamento (ES) Nr. 139/2014 II priedas (ADR.AR dalis) iš dalies keičiamas pagal šio reglamento VI priedą.
12 straipsnis
Reglamento (ES) Nr. 1321/2014 pakeitimai
Reglamento (ES) Nr. 1321/2014 II priedas (145 dalis), III priedas (66 dalis) ir Vc priedas (CAMO dalis) iš dalies keičiami pagal šio reglamento VII priedą.
13 straipsnis
Reglamento (ES) 2015/340 pakeitimai
Reglamento (ES) 2015/340 II priedas (ATCO.AR dalis) ir III priedas (ATCO.OR dalis) iš dalies keičiami pagal šio reglamento VIII priedą.
14 straipsnis
Įgyvendinimo reglamento (ES) 2017/373 pakeitimai
Įgyvendinimo reglamento (ES) 2017/373 II priedas (ATM/ANS.AR dalis) ir III priedas (ATM/ANS.OR dalis) iš dalies keičiami pagal šio reglamento IX priedą.
15 straipsnis
Įgyvendinimo reglamento (ES) 2021/664 pakeitimai
Įgyvendinimo reglamentas (ES) 2021/664 iš dalies keičiamas taip:
1) |
15 straipsnio 1 dalies f punktas pakeičiamas taip:
|
2) |
18 straipsnis papildomas l punktu:
|
16 straipsnis
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Jis taikomas nuo 2026 m. vasario 22 d.
Tačiau EGNOS oro navigacijos paslaugų teikėjui, kuriam taikomas Įgyvendinimo reglamentas (ES) 2017/373, jis taikomas nuo 2026 m. sausio 1 d.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2022 m. spalio 27 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 212, 2018 8 22, p. 1.
(2) 2012 m. rugpjūčio 3 d. Komisijos reglamentas (ES) Nr. 748/2012, kuriuo nustatomos orlaivio tinkamumo skraidyti sertifikavimo, orlaivio ir susijusių gaminių, dalių bei prietaisų aplinkosauginio sertifikavimo, taip pat projektavimo ir gamybinių organizacijų sertifikavimo įgyvendinimo taisyklės (OL L 224, 2012 8 21, p. 1)
(3) 2014 m. lapkričio 26 d. Komisijos Reglamentas (ES) Nr. 1321/2014 dėl orlaivių nepertraukiamojo tinkamumo skraidyti ir aviacijos produktų, dalių bei prietaisų tinkamumo naudoti ir šias užduotis atliekančių organizacijų bei darbuotojų patvirtinimo (OL L 362, 2014 12 17, p. 1).
(4) 2012 m. spalio 5 d. Komisijos reglamentas (ES) Nr. 965/2012, kuriuo pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 216/2008 nustatomi su orlaivių naudojimu skrydžiams susiję techniniai reikalavimai ir administracinės procedūros (OL L 296, 2012 10 25, p. 1).
(5) 2011 m. lapkričio 3 d. Komisijos reglamentas (ES) Nr. 1178/2011, kuriuo pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 216/2008 nustatomi su civilinės aviacijos orlaivių įgula susiję techniniai reikalavimai ir administracinės procedūros (OL L 311, 2011 11 25, p. 1).
(6) 2015 m. vasario 20 d. Komisijos reglamentas (ES) 2015/340, kuriuo pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 216/2008 nustatomi su skrydžių vadovų licencijomis ir pažymėjimais susiję techniniai reikalavimai ir administracinės procedūros, iš dalies keičiamas Komisijos įgyvendinimo reglamentas (ES) Nr. 923/2012 ir panaikinamas Komisijos reglamentas (ES) Nr. 805/2011 (OL L 63, 2015 3 6, p. 1).
(7) 2014 m. vasario 12 d. Komisijos reglamentas (ES) Nr. 139/2014, kuriuo pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 216/2008 nustatomi su aerodromais susiję reikalavimai ir administracinės procedūros (OL L 44, 2014 2 14, p. 1).
(8) Komisijos įgyvendinimo reglamentas (ES) 2021/664 2021 m. balandžio 22 d. dėl sistemos „U-space“ reglamentavimo sistemos (OL L 139, 2021 4 23, p. 161).
(9) 2015 m. lapkričio 5 d. Komisijos įgyvendinimo reglamentas (ES) 2015/1998, kuriuo nustatomos išsamios bendrųjų pagrindinių aviacijos saugumo standartų įgyvendinimo priemonės (OL L 299, 2015 11 14, p. 1).
(10) 2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1).
(11) 2021 m. balandžio 28 d. Europos Parlamento ir Tarybos reglamentas (ES) 2021/696, kuriuo sudaroma Sąjungos kosmoso programa, įsteigiama Europos Sąjungos kosmoso programos agentūra ir panaikinami reglamentai (ES) Nr. 912/2010, (ES) Nr. 1285/2013 bei (ES) Nr. 377/2014 ir Sprendimas Nr. 541/2014/ES (OL L 170, 2021 5 12, p. 69).
(12) 2017 m. kovo 1 d. Komisijos įgyvendinimo reglamentas (ES) 2017/373, kuriuo nustatomi oro eismo valdymo ir oro navigacijos paslaugų teikėjų, kitų oro eismo valdymo tinklo funkcijų vykdytojų ir tų subjektų priežiūros bendrieji reikalavimai, panaikinamas Reglamentas (EB) Nr. 482/2008, įgyvendinimo reglamentai (ES) Nr. 1034/2011, (ES) Nr. 1035/2011 ir (ES) 2016/1377 ir iš dalies keičiamas Reglamentas (ES) Nr. 677/2011 (OL L 62, 2017 3 8, p. 1).
(13) https://www.easa.europa.eu/document-library/opinions
(14) Komisijos deleguotasis reglamentas (ES) 2022/1645 2022 m. liepos 14 d. kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2018/1139 taikymo taisyklės, susijusios su Komisijos reglamentuose (ES) Nr. 748/2012 ir (ES) Nr. 139/2014 nurodytoms organizacijoms taikytinais informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, valdymo reikalavimais, ir kuriuo iš dalies keičiami Komisijos reglamentai (ES) Nr. 748/2012 ir (ES) Nr. 139/2014 (OL L 248, 2022 9 26, p. 18).
(15) 2008 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 300/2008 dėl civilinės aviacijos saugumo bendrųjų taisyklių ir panaikinantis Reglamentą (EB) Nr. 2320/2002 (OL L 97, 2008 4 9, p. 72).
I PRIEDAS
INFORMACIJOS SAUGUMAS. INSTITUCIJOMS TAIKOMI REIKALAVIMAI
[IS.AR DALIS]
IS.AR.100. |
Taikymo sritis |
IS.AR.200. |
Informacijos saugumo valdymo sistema (ISVS) |
IS.AR.205. |
Informacijos saugumo rizikos vertinimas |
IS.AR.210. |
Veiksmai su informacijos saugumo rizika |
IS.AR.215. |
Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas |
IS.AR.220. |
Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas |
IS.AR.225. |
Darbuotojų reikalavimai |
IS.AR.230. |
Įrašų saugojimas |
IS.AR.235. |
Tęstinis tobulinimas |
IS.AR.100. Taikymo sritis
Šioje dalyje nustatomi reikalavimai, kurių turi laikytis šio reglamento 2 straipsnio 2 dalyje nurodytos kompetentingos institucijos.
Reikalavimai, kuriuos turi atitikti tos kompetentingos institucijos, kad galėtų vykdyti sertifikavimo, priežiūros ir vykdymo užtikrinimo veiklą, nustatyti šio reglamento 2 straipsnio 1 dalyje ir Deleguotojo reglamento (ES) 2022/1645 2 straipsnyje nurodytuose reglamentuose.
IS.AR.200. Informacijos saugumo valdymo sistema (ISVS)
a) |
Siekdama 1 straipsnyje nustatytų tikslų, kompetentinga institucija sukuria, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą (ISVS), kuria užtikrinama, kad kompetentinga institucija:
|
b) |
Siekdama nuolat atitikti 1 straipsnyje nurodytus reikalavimus, kompetentinga institucija pagal IS.AR.235 dalį įgyvendina nuolatinio tobulinimo procesą. |
c) |
Kompetentinga institucija dokumentais įformina visus pagrindinius procesus, procedūras, funkcijas ir atsakomybę, kurių reikia, kad būtų laikomasi IS.AR.200 dalies a punkto reikalavimų, ir nustato tų dokumentų keitimo tvarką. |
d) |
Procesai, procedūros, funkcijos ir atsakomybė, kuriuos kompetentinga institucija nustatė siekdama laikytis IS.AR.200 dalies a punkto reikalavimų, turi atitikti jos veiklos pobūdį ir sudėtingumą, atsižvelgiant į tai veiklai būdingos informacijos saugumo rizikos vertinimą, ir gali būti integruoti į kitas esamas organizacijos jau įdiegtas valdymo sistemas. |
IS.AR.205. Informacijos saugumo rizikos vertinimas
a) |
Kompetentinga institucija nustato visus savo organizacijos elementus, kuriems gali kelti grėsmę informacijos saugumo rizika. Tai apima:
|
b) |
Kompetentinga institucija nustato turimas savo organizacijos sąsajas su kitomis organizacijomis, dėl kurių jai ir toms organizacijoms gali kelti grėsmę informacijos saugumo rizika. |
c) |
Kiek tai susiję su a ir b punktuose nurodytais elementais ir sąsajomis, kompetentinga institucija nustato informacijos saugumo riziką, kuri gali turėti įtakos aviacijos saugai. Dėl kiekvienos nustatytos rizikos kompetentinga institucija:
1 punkte nurodytoje iš anksto parengtoje klasifikacijoje atsižvelgiama į galimą grėsmės scenarijaus atsiradimą ir jo pasekmių saugai sunkumą. Remdamasi ta klasifikacija ir atsižvelgdama į tai, ar yra įsidiegusi struktūrizuotą ir kartotinį veiklos rizikos valdymo procesą, kompetentinga institucija turi gebėti nustatyti, ar rizika yra priimtina, ar reikia imtis veiksmų su rizika pagal IS.AR.210 dalį. Siekiant palengvinti abipusį rizikos vertinimų palyginimą, nustatant rizikos lygį pagal 1 punktą, atsižvelgiama į aktualią informaciją, gautą koordinuojant veiksmus su b punkte nurodytomis organizacijomis. |
d) |
Kompetentinga institucija peržiūri ir atnaujina pagal a, b ir c punktus atliktą rizikos vertinimą bet kuriuo iš šių atvejų:
|
IS.AR.210. Veiksmai su informacijos saugumo rizika
a) |
Kompetentinga institucija parengia pagal IS.AR.205 dalį nustatytos nepriimtinos rizikos mažinimo priemones, jas laiku įgyvendina ir nuolat tikrina jų veiksmingumą. Tos priemonės kompetentingai institucijai turi suteikti galimybę:
Tos priemonės neturi kelti jokios naujos galimos nepriimtinos rizikos aviacijos saugai. |
b) |
IS.AR.225 dalies a punkte nurodytas asmuo ir kiti susiję kompetentingos institucijos darbuotojai informuojami apie rizikos vertinimo, atlikto pagal IS.AR.205 dalį, rezultatus, atitinkamus grėsmės scenarijus ir įgyvendintinas priemones. Kompetentinga institucija taip pat informuoja organizacijas, su kuriomis ji turi sąsają pagal IS.AR.205 dalies b punktą, apie kompetentingai institucijai ir organizacijai bendrą riziką. |
IS.AR.215. Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas
a) |
Remdamasi pagal IS.AR.205 dalį atlikto rizikos vertinimo rezultatais ir pagal IS.AR.210 punktą atliktų veiksmų su rizika rezultatais, kompetentinga institucija įgyvendina įvykių, kurie rodo galimą nepriimtinos rizikos pasireiškimą ir kurie gali turėti įtakos aviacijos saugai, aptikimo priemones. Tos aptikimo priemonės kompetentingai institucijai turi suteikti galimybę:
|
b) |
Kompetentinga institucija įgyvendina priemones, kurios padeda reaguoti į bet kokias pagal a punktą nustatytas įvykio aplinkybes, kurios gali nulemti arba nulėmė informacijos saugumo incidentą. Tos reagavimo priemonės kompetentingai institucijai turi suteikti galimybę:
|
c) |
Kompetentinga institucija įgyvendina priemones, kuriomis siekiama atkurti veiklą po informacijos saugumo incidentų, įskaitant, jei reikia, neatidėliotinas priemones. Tos veiklos atkūrimo priemonės kompetentingai institucijai turi suteikti galimybę:
|
IS.AR.220. Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas
Kompetentinga institucija užtikrina, kad tais atvejais, kai su kitomis organizacijomis sudaromos sutartys dėl bet kurios IS.AR.200 dalyje nurodytos veiklos dalies, veikla, dėl kurios sudaryta sutartis, atitiktų šio reglamento reikalavimus, o organizacija, su kuria sudaryta sutartis, veiktų jos prižiūrima. Kompetentinga institucija užtikrina, kad rizika, susijusi su veikla, dėl kurios sudaryta sutartis, būtų tinkamai valdoma.
IS.AR.225. Darbuotojų reikalavimai
Kompetentinga institucija:
a) |
turi asmenį, turintį įgaliojimus nustatyti ir prižiūrėti šiam reglamentui įgyvendinti būtinas organizacines struktūras, politiką, procesus ir procedūras. Šis asmuo:
|
b) |
turi nustatytą procesą, kuriuo užtikrinama, kad jis turėtų pakankamą skaičių darbuotojų šiame priede nurodytai veiklai vykdyti; |
c) |
turi nustatytą procesą, kuriuo užtikrinama, kad b punkte nurodyti darbuotojai turėtų reikiamą kompetenciją savo užduotims atlikti; |
d) |
turi nustatytą procesą, kuriuo užtikrinama, kad darbuotojai pripažintų savo pareigas, susijusias su jiems pavestomis funkcijomis ir užduotimis; |
e) |
užtikrina, kad būtų tinkamai nustatyta darbuotojų, turinčių prieigą prie informacinių sistemų ir duomenų, kuriems taikomi šio reglamento reikalavimai, tapatybė ir patikimumas. |
IS.AR.230. Įrašų saugojimas
a) |
Kompetentinga institucija registruoja savo informacijos saugumo valdymo veiklą.
|
b) |
Kompetentinga institucija saugo įrašus, susijusius su savo darbuotojų, vykdančių informacijos saugumo valdymo veiklą, kvalifikacija ir patirtimi.
|
c) |
Kokiu formatu saugomi įrašai, nurodoma kompetentingos institucijos tvarkoje. |
d) |
Įrašai saugomi taip, kad būtų užtikrinta jų apsauga pažeidimo, pakeitimų ir vagystės, o informacija, kai reikia, žymima nurodant jos slaptumo žymos laipsnį. Kompetentinga institucija užtikrina, kad įrašai būtų saugomi naudojant priemones, kuriomis užtikrinamas vientisumas, autentiškumas ir leidžiama prieiga. |
IS.AR.235. Tęstinis tobulinimas
a) |
Kompetentinga institucija įvertina, naudodama adekvačius veiklos rezultatų rodiklius, savo ISVS veiksmingumą ir išbaigtumą. Vertinimas atliekamas pagal kompetentingos institucijos iš anksto nustatytą tvarkaraštį arba po informacijos saugumo incidento. |
b) |
Jei atlikus vertinimą pagal a punktą nustatoma trūkumų, kompetentinga institucija imasi būtinų tobulinimo priemonių, siekdama užtikrinti, kad ISVS toliau atitiktų taikomus reikalavimus ir padėtų išlaikyti priimtiną informacijos saugumo rizikos lygį. Be to, kompetentinga institucija iš naujo įvertina tuos ISVS elementus, kuriems padarė poveikį priimtos priemonės. |
II PRIEDAS
INFORMACIJOS SAUGUMAS. ORGANIZACIJOMS TAIKOMI REIKALAVIMAI
[IS.I.OR DALIS]
IS.I.OR.100. |
Taikymo sritis |
IS.I.OR.200. |
Informacijos saugumo valdymo sistema (ISVS) |
IS.I.OR.205. |
Informacijos saugumo rizikos vertinimas |
IS.I.OR.210. |
Veiksmai su informacijos saugumo rizika |
IS.I.OR.215. |
Informacijos saugumo vidaus pranešimų teikimo sistema |
IS.I.OR.220. |
Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas |
IS.I.OR.225. |
Reagavimas į pažeidimus, apie kuriuos pranešė kompetentinga institucija |
IS.I.OR.230. |
Informacijos saugumo išorės pranešimų teikimo sistema |
IS.I.OR.235. |
Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas |
IS.I.OR.240. |
Darbuotojų reikalavimai |
IS.I.OR.245. |
Įrašų saugojimas |
IS.I.OR.250. |
Informacijos saugumo valdymo vadovas (ISVV) |
IS.I.OR.255. |
Informacijos saugumo valdymo sistemos pakeitimai |
IS.I.OR.260. |
Tęstinis tobulinimas |
IS.I.OR.100. Taikymo sritis
Šioje dalyje nustatomi reikalavimai, kurių turi laikytis šio reglamento 2 straipsnio 1 dalyje nurodytos organizacijos.
IS.I.OR.200. Informacijos saugumo valdymo sistema (ISVS)
a) |
Siekdama 1 straipsnyje nustatytų tikslų, organizacija sukuria, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą (ISVS), kuria užtikrinama, kad organizacija:
|
b) |
Siekdama nuolat atitikti 1 straipsnyje nurodytus reikalavimus, organizacija pagal IS.I.OR.260 dalį įgyvendina nuolatinio tobulinimo procesą. |
c) |
Organizacija pagal IS.I.OR.250 punktą dokumentais įformina visus pagrindinius procesus, procedūras, funkcijas ir atsakomybę, kurių reikia, kad būtų laikomasi IS.I.OR.200 dalies a punkto, ir nustato tų dokumentų keitimo tvarką. Tų procesų, procedūrų, funkcijų ir atsakomybės pakeitimai tvarkomi pagal IS.I.OR.255 dalį. |
d) |
Procesai, procedūros, funkcijos ir atsakomybė, kuriuos organizacija nustatė siekdama laikytis IS.I.OR.200 dalies a punkto reikalavimų, turi atitikti jos veiklos pobūdį ir sudėtingumą, atsižvelgiant į tai veiklai būdingos informacijos saugumo rizikos vertinimą, ir gali būti integruoti į kitas esamas organizacijos jau įdiegtas valdymo sistemas. |
e) |
Nedarydama poveikio pareigai laikytis pranešimų teikimo reikalavimų, nustatytų Reglamente (ES) Nr. 376/2014, ir IS.I.OR.200 dalies a punkto 13 papunktyje nustatytų reikalavimų, kompetentinga institucija organizacijai gali suteikti patvirtinimą nevykdyti a–d punktuose nurodytų reikalavimų ir susijusių IS.I.OR.205–IS.I.OR.260 dalyse pateiktų reikalavimų, jei ji tai institucijai priimtinu būdu įrodo, kad jos veikla, infrastruktūra ir ištekliai, taip pat jos valdomos, teikiamos, gaunamos ir prižiūrimos paslaugos nekelia jokios informacijos saugumo rizikos, galinčios turėti įtakos aviacijos saugai, nei jai pačiai, nei kitoms organizacijoms. Patvirtinimas turi būti grindžiamas dokumentais pagrįstu informacijos saugumo rizikos vertinimu, kurį organizacija arba trečioji šalis atliko pagal IS.I.OR.205 dalį, o jį peržiūrėjo ir patvirtino jos kompetentinga institucija. Tęstinį to patvirtinimo galiojimą kompetentinga institucija peržiūrės užbaigusi taikytiną priežiūros audito ciklą ir kas kartą, kai bus atliekami organizacijos darbo apimties pakeitimai. |
IS.I.OR.205. Informacijos saugumo rizikos vertinimas
a) |
Organizacija nustato visus savo elementus, kuriems gali kelti grėsmę informacijos saugumo rizika. Tie elementai apima:
|
b) |
Organizacija nustato su kitomis organizacijomis turimas sąsajas, dėl kurių jai ir toms organizacijoms gali kelti grėsmę informacijos saugumo rizika. |
c) |
Kiek tai susiję su a ir b punktuose nurodytais elementais ir sąsajomis, organizacija nustato informacijos saugumo riziką, kuri gali turėti įtakos aviacijos saugai. Dėl kiekvienos nustatytos rizikos organizacija:
1 punkte nurodytoje iš anksto parengtoje klasifikacijoje atsižvelgiama į galimą grėsmės scenarijaus atsiradimą ir jo pasekmių saugai sunkumą. Remdamasi ta klasifikacija ir atsižvelgdama į tai, ar yra įsidiegusi struktūrizuotą ir kartotinį veiklos rizikos valdymo procesą, organizacija turi gebėti nustatyti, ar rizika yra priimtina, arba tai, ar reikia imtis veiksmų su rizika pagal IS.I.OR.210 dalį. Siekiant palengvinti abipusį rizikos vertinimų palyginamumą, nustatant rizikos lygį pagal 1 punktą atsižvelgiama į atitinkamą informaciją, gautą koordinuojant veiksmus su b punkte nurodytomis organizacijomis. |
d) |
Organizacija peržiūri ir atnaujina pagal a, b ir, jei taikoma, c arba e punktą atliktą rizikos vertinimą bet kuriuo iš šių atvejų:
|
e) |
Nukrypstant nuo c punkto, organizacijos, kurios turi laikytis Įgyvendinimo reglamento (ES) 2017/373 III priedo (ATM/ANS.OR dalies) C poskyrio, poveikio aviacijos saugai analizę pakeičia poveikio jų paslaugoms analize, kaip reikalaujama atliekant tinkamumo saugos atžvilgiu vertinimą, kurio reikalaujama ATM/ANS.OR.C.005 dalyje. Šis tinkamumo saugos atžvilgiu vertinimas pateikiamas oro eismo paslaugų teikėjams, kuriems organizacija teikia paslaugas, o tie oro eismo paslaugų teikėjai yra atsakingi už poveikio aviacijos saugai vertinimą. |
IS.I.OR.210. Veiksmai su informacijos saugumo rizika
a) |
Organizacija parengia pagal IS.I.OR.205 dalį nustatytos nepriimtinos rizikos mažinimo priemones, jas laiku įgyvendina ir nuolat tikrina jų veiksmingumą. Tos priemonės organizacijai turi suteikti galimybę:
Tos priemonės neturi kelti jokios naujos galimos nepriimtinos rizikos aviacijos saugai. |
b) |
IS.I.OR.240 dalies a ir b punktuose nurodytas asmuo ir kiti susiję organizacijos darbuotojai informuojami apie rizikos vertinimo, atlikto pagal IS.I.OR.205 dalį, rezultatus, atitinkamus grėsmės scenarijus ir įgyvendintinas priemones. Organizacija taip pat informuoja organizacijas, su kuriomis ji turi sąsają pagal IS.I.OR.205 dalies b punktą, apie joms bendrą riziką. |
IS.I.OR.215. Informacijos saugumo vidaus pranešimų teikimo sistema
a) |
Organizacija sukuria vidaus pranešimų teikimo sistemą, kad būtų galima rinkti informaciją apie informacijos saugumo įvykius ir vertinti tuos įvykius, įskaitant įvykius, apie kuriuos turi būti pranešama pagal IS.I.OR.230 dalį. |
b) |
Ta sistema ir IS.I.OR.220 dalyje nurodytas procesas turi suteikti organizacijai galimybę:
|
c) |
Bet kuri organizacija, su kuria sudaroma sutartis ir dėl kurios organizacijai gali kilti informacijos saugumo rizika, galinti turėti įtakos aviacijos saugai, privalo pranešti organizacijai apie informacijos saugumo įvykius. Tie pranešimai teikiami taikant konkrečiuose sutartimi įformintuose susitarimuose nustatytas procedūras ir vertinami pagal b punktą. |
d) |
Tyrimų srityje organizacija bendradarbiauja su kiekviena kita organizacija, kurios indėlis į jos veiklos informacijos saugumą yra reikšmingas. |
e) |
Organizacija gali sujungti tą pranešimų teikimo sistemą su kitomis jau įsidiegtomis pranešimų teikimo sistemomis. |
IS.I.OR.220. Informacijos saugumo incidentai. Aptikimas, reagavimas ir veiklos atkūrimas
a) |
Remdamasi pagal IS.I.OR.205 dalį atlikto rizikos vertinimo rezultatais ir pagal IS.I.OR.210 dalį atliktų veiksmų su rizika rezultatais, organizacija įgyvendina incidentų ir pažeidžiamumo, kurie rodo galimą nepriimtinos rizikos pasireiškimą ir kurie gali turėti įtakos aviacijos saugai, aptikimo priemones. Tomis aptikimo priemonėmis organizacijai suteikiama galimybė:
|
b) |
Organizacija įgyvendina priemones, kurios padeda reaguoti į bet kokias pagal a punktą nustatytas įvykio aplinkybes, kurios gali nulemti arba nulėmė informacijos saugumo incidentą. Tos reagavimo priemonės organizacijai turi suteikti galimybę:
|
c) |
Organizacija įgyvendina priemones, kuriomis siekiama atkurti veiklą po informacijos saugumo incidentų, įskaitant, jei reikia, neatidėliotinas priemones. Tos veiklos atkūrimo priemonės organizacijai turi suteikti galimybę:
|
IS.I.OR.225. Reagavimas į pažeidimus, apie kuriuos pranešė kompetentinga institucija
a) |
Gavusi kompetentingos institucijos pranešimą apie pažeidimus, organizacija:
|
b) |
A punkte nurodyti veiksmai atliekami per laikotarpį, dėl kurio susitarta su kompetentinga institucija. |
IS.I.OR.230. Informacijos saugumo išorės pranešimų teikimo sistema
a) |
Organizacija įdiegia informacijos saugumo pranešimų sistemą, atitinkančią Reglamente (ES) Nr. 376/2014 ir jo deleguotuosiuose bei įgyvendinimo aktuose, jei tas reglamentas taikomas organizacijai, nustatytus reikalavimus. |
b) |
Nedarant poveikio Reglamente (ES) Nr. 376/2014 nustatytoms pareigoms, organizacija užtikrina, kad apie bet kokį informacijos saugumo incidentą ar pažeidžiamumą, kurie gali kelti didelę riziką aviacijos saugai, būtų pranešama jos kompetentingai institucijai. Be to:
|
c) |
Apie b punkte nurodytas aplinkybes organizacija praneša taip:
|
IS.I.OR.235. Sutarčių dėl informacijos saugumo valdymo veiklos sudarymas
a) |
Organizacija užtikrina, kad tais atvejais, kai su kitomis organizacijomis sudaromos sutartys dėl bet kurios IS.I.OR.200 dalyje nurodytos veiklos dalies, veikla, dėl kurios sudaryta sutartis, atitiktų šio reglamento reikalavimus, o organizacija, su kuria sudaryta sutartis, veiktų jos prižiūrima. Organizacija užtikrina, kad rizika, susijusi su veikla, dėl kurios sudaryta sutartis, būtų tinkamai valdoma. |
b) |
Organizacija užtikrina, kad pateikusi prašymą kompetentinga institucija galėtų kreiptis į organizaciją, su kuria sudaryta sutartis, kad nustatytų, ar tebesilaikoma šiame reglamente nustatytų taikytinų reikalavimų. |
IS.I.OR.240. Darbuotojų reikalavimai
a) |
Pagal reglamentus (ES) Nr. 1321/2014, (ES) Nr. 965/2012, (ES) Nr. 1178/2011, (ES) 2015/340, Įgyvendinimo reglamentą (ES) 2017/373 arba Įgyvendinimo reglamentą (ES) 2021/664, kaip nurodyta šio reglamento 2 straipsnio 1 dalyje, paskirtos organizacijos atsakingas vadovas turi turėti tarnybinius įgaliojimus užtikrinti, kad visa pagal šį reglamentą reikalaujama veikla galėtų būti finansuojama ir vykdoma. Tas asmuo:
|
b) |
Atsakingas vadovas paskiria asmenį arba asmenų grupę, kurie užtikrintų, kad organizacija laikytųsi šio reglamento reikalavimų, ir nustato jų įgaliojimų apimtį. Tas asmuo ar asmenų grupė tiesiogiai atsiskaito atsakingam vadovui ir turi atitinkamų žinių, kvalifikaciją ir patirties, kad galėtų vykdyti savo pareigas. Procedūrose nustatoma, kas pavaduoja tam tikrą asmenį, jeigu jo ilgą laiką nebūtų. |
c) |
Atsakingas vadovas paskiria asmenį arba asmenų grupę, kuriems pavedama administruoti IS.I.OR.200 dalies a punkto 12 papunktyje nurodytą atitikties stebėsenos funkciją. |
d) |
Jeigu organizacijos informacijos saugumo organizacinės struktūros, politika, procesai ir procedūros bendrai naudojami su kitomis organizacijomis arba pačios organizacijos dalyse, kurios nėra įtrauktos į patvirtinimą ar deklaraciją, atsakingas vadovas gali pavesti savo veiklą bendram atsakingam asmeniui. Tokiu atveju, siekiant užtikrinti tinkamą informacijos saugumo valdymo integravimą organizacijoje, tarp atsakingo organizacijos vadovo ir bendro atsakingo asmens nustatomos veiksmų koordinavimo priemonės. |
e) |
Atsakingas vadovas arba d punkte nurodytas bendras atsakingas asmuo turi turėti tarnybinius įgaliojimus kurti ir nuolat atnaujinti IS.I.OR.200 daliai įgyvendinti būtinas organizacines struktūras, politiką, procesus ir procedūras. |
f) |
Organizacija įdiegia procesą, kuriuo užtikrinamas pakankamas skaičius darbuotojų, galinčių vykdyti šiame priede nurodytą veiklą. |
g) |
Organizacija įdiegia procesą, kuriuo užtikrinama, kad f punkte nurodyti darbuotojai turėtų reikiamą kompetenciją savo užduotims atlikti. |
h) |
Organizacija įdiegia procesą, kuriuo užtikrinama, kad darbuotojai būtų informuoti apie atsakomybę, susijusią su jiems pavestomis funkcijomis ir užduotimis. |
i) |
Organizacija užtikrina, kad būtų tinkamai nustatyta darbuotojų, turinčių prieigą prie informacinių sistemų ir duomenų, kuriems taikomi šio reglamento reikalavimai, tapatybė ir patikimumas. |
IS.I.OR.245. Įrašų saugojimas
a) |
Organizacija registruoja savo informacijos saugumo valdymo veiklą.
|
b) |
Organizacija saugo įrašus, susijusius su savo darbuotojų, vykdančių informacijos saugumo valdymo veiklą, kvalifikacija ir patirtimi.
|
c) |
Kokiu formatu saugomi įrašai, nurodoma organizacijos tvarkoje. |
d) |
Įrašai saugomi taip, kad būtų užtikrinta jų apsauga pažeidimo, pakeitimų ir vagystės, o informacija, kai reikia, žymima nurodant jos slaptumo žymos laipsnį. Organizacija užtikrina, kad įrašai būtų saugomi naudojant priemones, kuriomis užtikrinamas vientisumas, autentiškumas ir leidžiama prieiga. |
IS.I.OR.250. Informacijos saugumo valdymo vadovas (ISVV)
a) |
Organizacija pateikia kompetentingai institucijai informacijos saugumo valdymo vadovą (ISVV) ir, kai taikoma, visus jame minimus susijusius vadovus ir procedūras; tame ISVV pateikiama:
|
b) |
Pirminį ISVV išdavimą patvirtina ir ISVV kopiją pasilieka kompetentinga institucija. ISVV, jeigu būtina, turi būti keičiamas siekiant užtikrinti, kad jame visa laiką būtų naujausi duomenys apie organizacijos ISVS. Visų ISVV pakeitimų kopijos pateikiamos kompetentingai institucijai. |
c) |
ISVV pakeitimai tvarkomi organizacijos nustatyta tvarka. Visus pakeitimus, kurie nepatenka į šios procedūros taikymo sritį, ir visus pakeitimus, susijusius su IS.I.OR.255 dalies b punkte nurodytais pakeitimais, tvirtina kompetentinga institucija. |
d) |
Organizacija gali integruoti ISVV su kitais savo turimais valdymo žinynais ar vadovais, jei yra aiški kryžminė nuoroda, kurios valdymo žinyno ar vadovo dalys atitinka įvairius šiame priede nustatytus reikalavimus. |
IS.I.OR.255. Informacijos saugumo valdymo sistemos pakeitimai
a) |
ISVS pakeitimai gali būti administruojami ir apie juos gali būti pranešama kompetentingai institucijai pagal organizacijos parengtą procedūrą. Šią procedūrą tvirtina kompetentinga institucija. |
b) |
Dėl ISVS pakeitimų, kuriems netaikoma a punkte nurodyta procedūra, organizacija kompetentingai institucijai turi pateikti prašymą dėl patvirtinimo ir jį gauti. Dėl tų pakeitimų:
|
IS.I.OR.260. Tęstinis tobulinimas
a) |
Organizacija, naudodama tinkamus veiklos rezultatų rodiklius, įvertina ISVS veiksmingumą ir brandumą. Tas vertinimas atliekamas pagal organizacijos iš anksto nustatytą grafiką arba po informacijos saugumo incidento. |
b) |
Jei atlikus vertinimą pagal a punktą nustatoma trūkumų, organizacija imasi būtinų tobulinimo priemonių, siekdama užtikrinti, kad ISVS toliau atitiktų taikomus reikalavimus ir padėtų išlaikyti priimtiną informacijos saugumo rizikos lygį. Be to, organizacija iš naujo įvertina tuos ISVS elementus, kuriems padarė poveikį priimtos priemonės. |
III PRIEDAS
Reglamento (ES) Nr. 1178/2011 VI priedas (ARA dalis) ir VII priedas (ORA dalis) iš dalies keičiami taip:
1) |
VI priedas (ARA dalis) iš dalies keičiamas taip:
|
2) |
VII priedas (ORA dalis) iš dalies keičiamas taip: po ORA.GEN.200 dalies įterpiama ORA.GEN.200A dalis: „ORA.GEN.200A. Informacijos saugumo valdymo sistema Be ORA.GEN.200 dalyje nurodytos valdymo sistemos, organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“ |
IV PRIEDAS
Reglamento (ES) Nr. 748/2012 I priedas (21 dalis) iš dalies keičiamas taip:
(1) |
turinys iš dalies keičiamas taip:
|
(2) |
21.B.15 dalis papildoma c punktu:
|
(3) |
po 21.B.20 dalies įrašoma 21.B.20A dalis: „21.B.20A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
|
(4) |
21.B.25 dalis papildoma e punktu:
|
(5) |
21.B.30 dalis iš dalies keičiama taip:
|
(6) |
21.B.221 dalis papildoma g punktu:
|
(7) |
po 21.B.240 dalies įrašoma 21.B.240A dalis: „21.B.240A. Informacijos saugumo valdymo sistemos pakeitimai
|
(8) |
21.B.431 dalis papildoma d punktu:
|
(9) |
po 21.B.435 dalies įrašoma 21.B.435A dalis: „21.B.435A. Informacijos saugumo valdymo sistemos pakeitimai
|
V PRIEDAS
Reglamento (ES) Nr. 965/2012 II priedas (ARO dalis) ir III priedas (ORO dalis) iš dalies keičiami taip:
(1) |
II priedas (ARO dalis) iš dalies keičiamas taip:
|
(2) |
III priedas (ORO dalis) iš dalies keičiamas taip: po ORO.GEN.200 dalies įterpiama ORO.GEN.200A dalis: „ORO.GEN.200A. Informacijos saugumo valdymo sistema Be ORO.GEN.200 dalyje nurodytos valdymo sistemos, veiklos vykdytojas pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“ |
VI PRIEDAS
Reglamento (ES) Nr. 139/2014 II priedas (ADR.AR dalis) iš dalies keičiamas taip:
(1) |
ADR.AR.A.025 dalis papildoma c punktu:
|
(2) |
po ADR.AR.A.030 dalies įterpiama ADR.AR.A.030A dalis: „ADR.AR.A.030A. Neatidėliotinas reagavimas į informacijos saugumo incidentą arba pažeidžiamumą, darančius poveikį aviacijos saugai
|
(3) |
ADR.AR.B.005 dalis papildoma d punktu:
|
(4) |
ADR.AR.B.010 dalis iš dalies keičiama taip:
|
(5) |
ADR.AR.C.005 dalis papildoma f punktu:
|
(6) |
po ADR.AR.C.040 dalies įterpiama ADR.AR.C.040A dalis: „ADR.AR.C.040A. Informacijos saugumo valdymo sistemos pakeitimai
|
VII PRIEDAS
Reglamento (ES) Nr. 1321/2014 II priedas (145 dalis), III priedas (66 dalis) ir Vc priedas (CAMO dalis) iš dalies keičiami taip:
(1) |
II priedas (145 dalis) iš dalies keičiamas taip:
|
(2) |
III priedas (66 dalis) iš dalies keičiamas taip:
|
(3) |
Vc priedas (CAMO dalis) iš dalies keičiamas taip:
|
VIII PRIEDAS
Reglamento (ES) 2015/340 II priedas (ATCO.AR dalis) ir III priedas (ATCO.OR dalis) iš dalies keičiami taip:
(1) |
II priedas (ATCO.AR dalis) iš dalies keičiamas taip:
|
(2) |
III priedas (ATCO.OR dalis) iš dalies keičiamas taip: po ATCO.OR.C.001 dalies įterpiama ATCO.OR.C.001A dalis: „ATCO.OR.C.001A. Informacijos saugumo valdymo sistema Be ATCO.OR.C.001 dalyje nurodytos valdymo sistemos, mokymo organizacija pagal Įgyvendinimo reglamentą (ES) 2023/203 parengia, įdiegia ir nuolat atnaujina informacijos saugumo valdymo sistemą, kad užtikrintų tinkamą informacijos saugumo rizikos, kuri gali daryti poveikį aviacijos saugumui, valdymą.“ |
IX PRIEDAS
Įgyvendinimo reglamento (ES) 2017/373 II priedas (ATM/ANS.AR dalis) ir III priedas (ATM/ANS.OR dalis) iš dalies keičiami taip:
(1) |
II priedas (ATM/ANS.AR dalis) iš dalies keičiamas taip:
|
(2) |
III priedas (ATM/ANS.OR dalis) iš dalies keičiamas taip:
|