32022R1645

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Deleģētā regula - 2022/1645 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32022R1645

Komisijas Deleģētā regula (ES) 2022/1645 (2022. gada 14. jūlijs), ar ko paredz noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 piemērošanu attiecībā uz prasībām par tādu informācijas drošības risku pārvaldību, kuri spēj ietekmēt aviācijas drošumu, kas noteiktas organizācijām, uz kurām attiecas Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014, un ar ko groza Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014

C/2022/4882

OV L 248, 26.9.2022, p. 18–31 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj

HTML

PDF

Official Journal

26.9.2022

Eiropas Savienības Oficiālais Vēstnesis

L 248/18

KOMISIJAS DELEĢĒTĀ REGULA (ES) 2022/1645

(2022. gada 14. jūlijs),

ar ko paredz noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 piemērošanu attiecībā uz prasībām par tādu informācijas drošības risku pārvaldību, kuri spēj ietekmēt aviācijas drošumu, kas noteiktas organizācijām, uz kurām attiecas Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014, un ar ko groza Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2018/1139 (2018. gada 4. jūlijs) par kopīgiem noteikumiem civilās aviācijas jomā un ar ko izveido Eiropas Savienības Aviācijas drošības aģentūru, un ar ko groza Eiropas Parlamenta un Padomes Regulas (EK) Nr. 2111/2005, (EK) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 un Direktīvas 2014/30/ES un 2014/53/ES, un atceļ Eiropas Parlamenta un Padomes Regulas (EK) Nr. 552/2004 un (EK) Nr. 216/2008 un Padomes Regulu (EEK) Nr. 3922/91 (1), un jo īpaši tās 19. panta 1. punkta g) apakšpunktu un 39. panta 1. punkta b) apakšpunktu,

tā kā:

(1)	Saskaņā ar Regulas (ES) 2018/1139 II pielikuma 3.1. punkta b) apakšpunktā noteiktajām pamatprasībām projektēšanas un ražošanas organizācijām ir jāievieš un jāuztur pārvaldības sistēma drošuma risku pārvaldībai.

(2)	Turklāt saskaņā ar Regulas (ES) 2018/1139 VII pielikuma 2.2.1. un 5.2. punktā noteiktajām pamatprasībām lidlauku ekspluatantiem un organizācijām, kas atbild par perona pārvaldības pakalpojumu sniegšanu, ir jāievieš un jāuztur pārvaldības sistēma drošuma risku pārvaldībai.

(3)

Drošuma riskus, kas minēti 1. un 2. apsvērumā, var izraisīt dažādi cēloņi, tostarp konstrukcijas un tehniskās apkopes nepilnības, cilvēka darbības aspekti, vidiskie apdraudējumi un informācijas drošības apdraudējumi. Tāpēc organizāciju ieviestajās pārvaldības sistēmās, kas minētas 1. un 2. apsvērumā, būtu jāņem vērā ne tikai drošuma riski, kuri izriet no nejaušiem notikumiem, bet arī drošuma riski, ko izraisa informācijas drošības apdraudējumi, ja pastāvošās nepilnības var izmantot indivīdi, kuru nolūki ir ļaunprātīgi. Šie informācijas drošības riski civilās aviācijas vidē pastāvīgi pieaug, jo aizvien vairāk un vairāk palielinās pašreizējo informācijas sistēmu savstarpējā savienotība un šīs sistēmas aizvien biežāk kļūst par ļaunprātīgu personu mērķi.

(4)	Ar šīm informācijas sistēmām saistītie riski neaprobežojas tikai ar iespējamiem uzbrukumiem kibertelpai, bet ietver arī apdraudējumus, kas var ietekmēt procesus un procedūras, kā arī cilvēku darbību.

(5)	Lai risinātu digitālās informācijas un datu drošības jautājumus, ievērojams skaits organizāciju jau izmanto starptautiskos standartus, piemēram, ISO 27001. Tomēr šajos standartos var nebūt pilnībā ņemtas vērā visas civilās aviācijas īpatnības.

(6)	Tāpēc ir lietderīgi noteikt prasības tādu informācijas drošības risku pārvaldībai, kuri spēj ietekmēt aviācijas drošumu.

(7)

Ir ļoti svarīgi, lai šīs prasības attiektos uz dažādām aviācijas jomām un to saskarnēm, jo aviācija ir savstarpēji ļoti cieši savienotu sistēmu sistēma. Tāpēc šīs prasības būtu jāpiemēro visām organizācijām, kurām jau prasīts ieviest pārvaldības sistēmu saskaņā ar spēkā esošajiem Savienības aviācijas drošuma tiesību aktiem.

(8)	Šajā regulā noteiktās prasības būtu konsekventi jāpiemēro visās aviācijas jomās, vienlaikus minimāli ietekmējot Savienības aviācijas drošuma tiesību aktus, kas jau ir piemērojami minētajās jomās.

(9)	Šajā regulā noteiktajām prasībām nebūtu jāskar informācijas drošības un kiberdrošības prasības, kas noteiktas Komisijas Īstenošanas regulas (ES) 2015/1998 (2) pielikuma 1.7. punktā un Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/1148 (3) 14. pantā.

(10)	Šajā tiesību aktā izmantotā informācijas drošības definīcija nebūtu jāinterpretē kā atšķirīga no Direktīvā 2016/1148 noteiktās tīklu un informācijas sistēmu drošības definīcijas.

(11)

Lai novērstu juridisko prasību dublēšanos gadījumā, kad uz organizācijām, uz kurām attiecas šī regula, jau attiecas drošības prasības, kuras izriet no citiem 9. apsvērumā minētajiem Savienības tiesību aktiem un kuru iedarbība ir līdzvērtīga šajā regulā paredzētajiem noteikumiem, atbilstība minētajām drošības prasībām būtu jāuzskata par atbilstību šajā regulā noteiktajām prasībām.

(12)

Organizācijām, uz kurām attiecas šī regula un uz kurām jau attiecas drošības prasības, kas izriet no Īstenošanas regulas (ES) 2015/1998, būtu jāizpilda arī šīs regulas I pielikuma (IS.D.OR.230. punkta “Sistēma ārējai ziņošanai par informācijas drošību”) prasības, jo Regulā (ES) 2015/1998 nav noteikumu, kas attiektos uz ārējo ziņošanu par informācijas drošības incidentiem.

(13)	Komisijas Regulas (ES) Nr. 748/2012 (4) un (ES) Nr. 139/2014 (5) būtu jāgroza, lai izveidotu saikni starp iepriekš minētajās regulās noteiktajām pārvaldības sistēmām un šajā regulā noteiktajām informācijas drošības pārvaldības prasībām.

(14)	Lai organizācijām dotu pietiekami daudz laika nodrošināt atbilstību jaunajiem noteikumiem un jaunajām procedūrām, kas ieviestas ar šo regulu, šī regula būtu jāsāk piemērot 3 gadus pēc tās spēkā stāšanās dienas.

(15)	Šajā regulā noteikto prasību pamatā ir Atzinums Nr. 03/2021 (6), ko Aģentūra izdevusi saskaņā ar Regulas (ES) 2018/1139 75. panta 2. punkta b) un c) apakšpunktu un 76. panta 1. punktu.

(16)	Saskaņā ar Regulas (ES) 2018/1139 128. panta 4. punktu Komisija apspriedās ar ekspertiem, kurus katra dalībvalsts iecēlusi saskaņā ar principiem, kas noteikti 2016. gada 13. aprīļa Iestāžu nolīgumā par labāku likumdošanas procesu (7),

IR PIEŅĒMUSI ŠO REGULU.

1. pants

Priekšmets

Šajā regulā ir izklāstītas prasības, kas 2. pantā minētajām organizācijām jāizpilda, lai identificētu un pārvaldītu informācijas drošības riskus, kuri spēj ietekmēt aviācijas drošumu un var skart informācijas un komunikācijas tehnoloģiju sistēmas un datus, ko izmanto civilajā aviācijā, un lai atklātu informācijas drošības notikumus un identificētu tos notikumus, kas uzskatāmi par informācijas drošības incidentiem, kuri spēj ietekmēt aviācijas drošumu, reaģētu uz minētajiem informācijas drošības incidentiem un novērstu to sekas.

2. pants

Piemērošanas joma

1. Šo regulu piemēro šādām organizācijām:

ražošanas organizācijām un projektēšanas organizācijām, uz kurām attiecas Regulas (ES) Nr. 748/2012 I pielikuma (21. daļas) A iedaļas G un J apakšiedaļa, izņemot projektēšanas un ražošanas organizācijas, kuras iesaistītas vienīgi Regulas (ES) Nr. 748/2012 1. panta 2. punkta j) apakšpunktā definēto ELA2 gaisa kuģu projektēšanā un/vai ražošanā.

b)	lidlauku ekspluatantiem un perona pārvaldības pakalpojumu sniedzējiem, uz kuriem attiecas Regulas (ES) Nr. 139/2014 III pielikums “Organizācijām piemērojamās prasības (Part-ADR.OR)”.

2. Šī regula neskar informācijas drošības un kiberdrošības prasības, kas noteiktas Īstenošanas regulas (ES) 2015/1998 pielikuma 1.7. punktā un Direktīvas (ES) 2016/1148 14. pantā.

3. pants

Definīcijas

Šajā regulā piemēro šādas definīcijas:

1)	“informācijas drošība” ir tīklu un informācijas sistēmu konfidencialitātes, integritātes, autentiskuma un darbgatavības saglabāšana;

2)	“informācijas drošības notikums” ir identificēta sistēmas, pakalpojuma vai tīkla stāvokļa rašanās, norādot uz iespējamu informācijas drošības politikas neievērošanu vai informācijas drošības kontroles kļūdu, vai iepriekš nezināma situācija, kas var būt svarīga informācijas drošībai;

3)	“incidents” ir jebkāds notikums, kas nelabvēlīgi ietekmē tīklu un informācijas sistēmu drošību, kā definēts Direktīvas (ES) 2016/1148 4. panta 7. punktā;

“informācijas drošības risks” ir risks, kas informācijas drošības notikuma iespējamības dēļ apdraud organizācijas civilās aviācijas darbības, aktīvus, indivīdus un citas organizācijas. Informācijas drošības riski ir saistīti ar apdraudējumu spēju izmantot informācijas aktīva vai informācijas aktīvu grupas ievainojamības;

5)	“apdraudējums” ir informācijas drošības pārkāpuma iespējamība, kas pastāv, ja ir subjekts, apstāklis, darbība vai notikums, kas varētu radīt kaitējumu;

6)	“ievainojamība” ir aktīva vai sistēmas, procedūru, projekta, īstenošanas vai informācijas drošības pasākumu nepilnība vai trūkums, ko varētu izmantot un izraisīt informācijas drošības politikas neievērošanu vai pārkāpumu.

4. pants

No citiem Savienības tiesību aktiem izrietošās prasības

1. Ja 2. pantā minētā organizācija atbilst drošības prasībām, kas noteiktas Direktīvas (ES) 2016/1148 14. pantā un ir līdzvērtīgas šajā regulā noteiktajām prasībām, atbilstību minētajām drošības prasībām uzskata par atbilstību šajā regulā noteiktajām prasībām.

2. Ja 2. pantā minētā organizācija ir ekspluatants vai struktūra, kas minēta dalībvalstu valsts civilās aviācijas drošības programmās, kuras noteiktas saskaņā ar Eiropas Parlamenta un Padomes Regulas (EK) Nr. 300/2008 (8) 10. pantu, Īstenošanas regulas (ES) 2015/1998 pielikuma 1.7. punktā ietvertās kiberdrošības prasības uzskata par līdzvērtīgām šajā regulā noteiktajām prasībām, izņemot attiecībā uz šīs regulas pielikuma IS.D.OR.230. punkta prasībām, kuras ir jāizpilda.

3. Komisija pēc apspriešanās ar EASA un Direktīvas (ES) 2016/1148 11. pantā minēto sadarbības grupu var izdot vadlīnijas šajā regulā un Direktīvā (ES) 2016/1148 noteikto prasību līdzvērtības novērtēšanai.

5. pants

Kompetentā iestāde

1. Iestāde, kuras pienākums ir apliecināt un pārraudzīt atbilstību šai regulai, ir:

a)	attiecībā uz 2. panta a) punktā minētajām organizācijām – kompetentā iestāde, kas izraudzīta saskaņā ar Regulas (ES) Nr. 748/2012 I pielikumu (21. daļu);

b)	attiecībā uz 2. panta b) punktā minētajām organizācijām – kompetentā iestāde, kas izraudzīta saskaņā ar Regulas (ES) Nr. 139/2014 III pielikumu (Part-ADR.OR).

2. Dalībvalstis šīs regulas vajadzībām var izraudzīties neatkarīgu un autonomu struktūru, kas pildītu 1. punktā minētajām kompetentajām iestādēm uzticētās funkcijas un pienākumus. Šādā gadījumā nosaka pasākumus koordinācijai starp minēto struktūru un kompetentajām iestādēm, kas minētas 1. punktā, lai nodrošinātu visu to prasību efektīvu pārraudzību, kuras organizācijai ir jāizpilda.

6. pants

Grozījumi Regulā (ES) Nr. 748/2012

Regulas (ES) Nr. 748/2012 I pielikumu (21. daļu) groza šādi:

satura rādītāju groza šādi:

pēc 21.A.139. punkta iekļauj šādu virsrakstu:

“21.A.139.A

”Informācijas drošības pārvaldības sistēma;

pēc 21.A.239. punkta iekļauj šādu virsrakstu:

“21.A.239.A

Informācijas drošības pārvaldības sistēma”;

pēc 21.A.139. punkta iekļauj šādu 21.A.139.A punktu:

“21.A.139.A

Informācijas drošības pārvaldības sistēma

Lai nodrošinātu tādu informācijas drošības risku pienācīgu pārvaldību, kuri var ietekmēt aviācijas drošumu, papildus 21.A.139. punktā prasītajai ražošanas pārvaldības sistēmai ražošanas organizācija izveido, īsteno un uztur informācijas drošības pārvaldības sistēmu saskaņā ar Komisijas Deleģēto regulu (ES) 2022/1645 (*1).

(*1) Komisijas Deleģētā regula (ES) 2022/1645 (2022. gada 14. jūlijs), ar ko paredz noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 piemērošanu attiecībā uz prasībām par tādu informācijas drošības risku pārvaldību, kuri spēj ietekmēt aviācijas drošumu, kas noteiktas organizācijām, uz kurām attiecas Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014, un ar ko groza Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014 (OV L 248, 26.9.2022., 18.. lpp.).”;"

pēc 21.A.239. punkta iekļauj šādu 21.A.239.A punktu:

“21.A.239.A

Informācijas drošības pārvaldības sistēma

Lai nodrošinātu tādu informācijas drošības risku pienācīgu pārvaldību, kuri var ietekmēt aviācijas drošumu, papildus 21.A.239. punktā prasītajai projekta nodrošināšanas sistēmai projektēšanas organizācija izveido, īsteno un uztur informācijas drošības pārvaldības sistēmu saskaņā ar Deleģēto regulu (ES) 2022/1645.”

7. pants

Grozījumi Regulā (ES) Nr. 139/2014

Regulas (ES) Nr. 139/2014 III pielikumu (Part-ADR.OR) groza šādi:

pēc ADR.OR.D.005. punkta iekļauj šādu ADR.OR.D.005.A punktu:

“ADR.OR.D.005.A

Informācijas drošības pārvaldības sistēma

Lai nodrošinātu tādu informācijas drošības risku pienācīgu pārvaldību, kuri var ietekmēt aviācijas drošumu, lidlauka ekspluatants izveido, īsteno un uztur informācijas drošības pārvaldības sistēmu saskaņā ar Komisijas Deleģēto regulu (ES) 2022/1645 (*2).

(*2) Komisijas Deleģētā regula (ES) 2022/1645 (2022. gada 14. jūlijs), ar ko paredz noteikumus par Eiropas Parlamenta un Padomes Regulas (ES) 2018/1139 piemērošanu attiecībā uz prasībām par tādu informācijas drošības risku pārvaldību, kuri spēj ietekmēt aviācijas drošumu, kas noteiktas organizācijām, uz kurām attiecas Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014, un ar ko groza Komisijas Regulas (ES) Nr. 748/2012 un (ES) Nr. 139/2014 (OV L 248, 26.9.2022., 18.. lpp.).”;"

pielikuma ADR.OR.D.007. punktu aizstāj ar šādu:

“ADR.OR.D.007.

Aeronavigācijas datu un aeronavigācijas informācijas pārvaldība

Kā daļu no savas pārvaldības sistēmas lidlauka ekspluatants īsteno un uztur kvalitātes vadības sistēmu, kas aptver šādas darbības:

1)	tā darbības saistībā ar aeronavigācijas datiem;

2)	tā darbības saistībā ar aeronavigācijas informācijas sniegšanu.

b)	Kā daļu no savas pārvaldības sistēmas lidlauka ekspluatants izveido drošības pārvaldības sistēmu, lai nodrošinātu to ekspluatācijas datu drošību, kurus tas saņem vai sagatavo, vai izmanto citādi, lai piekļuve šādiem ekspluatācijas datiem būtu tikai pilnvarotām personām.

Drošības pārvaldības sistēma definē šādus elementus:

1)	procedūras attiecībā uz datu drošības riska novērtējumu un mazināšanu, drošības uzraudzību un uzlabošanu, drošības pārskatiem un gūtās pieredzes izplatīšanu;

2)	līdzekļus, kas nepieciešami, lai konstatētu drošības pārkāpumus un pievērstu personāla uzmanību attiecīgajiem drošības brīdinājumiem;

3)	līdzekļus, ar kuriem kontrolē drošības pārkāpumu ietekmi un nosaka seku novēršanas darbības un riska mazināšanas procedūras, kuru mērķis ir novērst situācijas atkārtošanos.

d)	Lidlauka ekspluatants gādā par to, lai tiktu veiktas tā personāla drošības pārbaudes attiecībā uz aeronavigācijas datu drošību.

e)	Ar informācijas drošību saistītos aspektus pārvalda saskaņā ar ADR.OR.D.005.A punktu.”;

pēc ADR.OR.F.045. punkta iekļauj šādu ADR.OR.F.045.A punktu:

“ADR.OR.F.045.A

Informācijas drošības pārvaldības sistēma

Lai nodrošinātu tādu informācijas drošības risku pienācīgu pārvaldību, kuri var ietekmēt aviācijas drošumu, organizācija, kas atbild par perona pārvaldības pakalpojumu sniegšanu, izveido, īsteno un uztur informācijas drošības pārvaldības sistēmu saskaņā ar Deleģēto regulu (ES) 2022/1645.”

8. pants

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

To piemēro no 2025. gada 16. oktobra.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 2022. gada 14. jūlijā

Komisijas vārdā –

priekšsēdētāja

Ursula VON DER LEYEN

(1) OV L 212, 22.8.2018. 1. lpp..

(2) Komisijas Īstenošanas regula (ES) 2015/1998 (2015. gada 5. novembris), ar ko nosaka sīki izstrādātus pasākumus kopīgu pamatstandartu īstenošanai aviācijas drošības jomā (OV L 299, 14.11.2015., 1. lpp.).

(3) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194, 19.7.2016., 1. lpp.).

(4) Komisijas Regula (ES) Nr. 748/2012 (2012. gada 3. augusts), ar ko paredz īstenošanas noteikumus par sertifikāciju attiecībā uz gaisa kuģu un ar tiem saistīto ražojumu, daļu un ierīču lidojumderīgumu un atbilstību vides aizsardzības prasībām, kā arī projektēšanas un ražošanas organizāciju sertifikāciju (OV L 224, 21.8.2012., 1. lpp.).

(5) Komisijas Regula (ES) Nr. 139/2014 (2014. gada 12. februāris), ar ko nosaka prasības un administratīvās procedūras saistībā ar lidlaukiem atbilstīgi Eiropas Parlamenta un Padomes Regulai (EK) Nr. 216/2008 (OV L 44, 14.2.2014., 1. lpp.).

(6) https://www.easa.europa.eu/document-library/opinions

(7) OV L 123, 12.5.2016., 1. lpp.

(8) Eiropas Parlamenta un Padomes Regula (EK) Nr. 300/2008 (2008. gada 11. marts) par kopīgiem noteikumiem civilās aviācijas drošības jomā un ar ko atceļ Regulu (EK) Nr. 2320/2002 (OV L 97, 9.4.2008., 72. lpp.).

PIELIKUMS

INFORMĀCIJAS DROŠĪBA – PRASĪBAS ORGANIZĀCIJĀM

[PART-IS.D.OR]

IS.D.OR.100.

Darbības joma

IS.D.OR.200.

Informācijas drošības pārvaldības sistēma

IS.D.OR.205.

Informācijas drošības riska novērtējums

IS.D.OR.210.

Informācijas drošības riska risināšana

IS.D.OR.215.

Sistēma iekšējai ziņošanai par informācijas drošību

IS.D.OR.220.

Informācijas drošības incidenti – atklāšana, reaģēšana un seku novēršana

IS.D.OR.225.

Reaģēšana uz kompetentās iestādes paziņotajiem konstatējumiem

IS.D.OR.230.

Sistēma ārējai ziņošanai par informācijas drošību

IS.D.OR.235.

Informācijas drošības pārvaldības darbību līguma slēgšana

IS.D.OR.240.

Prasības personālam

IS.D.OR.245.

Reģistrācija

IS.D.OR.250.

Informācijas drošības pārvaldības rokasgrāmata (IDPR)

IS.D.OR.255.

Informācijas drošības pārvaldības sistēmas izmaiņas

IS.D.OR.260.

Pastāvīgi uzlabojumi

IS.D.OR.100. Darbības joma

Šajā daļā paredzētas prasības, kas jāizpilda šīs regulas 2. pantā minētajām organizācijām.

IS.D.OR.200. Informācijas drošības pārvaldības sistēma (IDPS)

Lai sasniegtu 1. pantā noteiktos mērķus, organizācija izveido, īsteno un uztur informācijas drošības pārvaldības sistēmu (IDPS), kas nodrošina, ka organizācija:

1)	izveido informācijas drošības politiku, kurā izklāstīti organizācijas vispārējie principi, kas attiecas uz informācijas drošības risku iespējamo ietekmi uz aviācijas drošumu;

2)	identificē un pārskata informācijas drošības riskus saskaņā ar IS.D.OR.205. punktu;

3)	nosaka un īsteno informācijas drošības riska risināšanas pasākumus saskaņā ar IS.D.OR.210. punktu;

4)	īsteno sistēmu iekšējai ziņošanai par informācijas drošību saskaņā ar IS.D.OR.215. punktu;

saskaņā ar IS.D.OR.220. punktu nosaka un īsteno pasākumus, kas vajadzīgi, lai atklātu informācijas drošības notikumus, identificē tos notikumus, kuri uzskatāmi par incidentiem, kas spēj ietekmēt aviācijas drošumu, neskarot izņēmumus, kuri atļauti saskaņā ar IS.D.OR.205. punkta e) apakšpunktu, reaģē uz minētajiem informācijas drošības incidentiem un novērš to sekas;

6)	īsteno kompetentās iestādes paziņotos pasākumus kā tūlītēju reakciju uz informācijas drošības incidentu vai ievainojamību, kas ietekmē aviācijas drošumu;

7)	lai reaģētu uz kompetentās iestādes paziņotajiem konstatējumiem, veic atbilstīgus pasākumus saskaņā ar IS.D.OR.225. punktu;

8)	lai kompetentā iestāde varētu veikt atbilstīgus pasākumus, īsteno ārējās ziņošanas sistēmu saskaņā ar IS.D.OR.230. punktu;

9)	ja tiek slēgts līgums ar citām organizācijām par jebkuru daļu no IS.D.OR.200. punktā minētajām darbībām, nodrošina atbilstību IS.D.OR.235. punktā ietvertajām prasībām;

10)	nodrošina atbilstību prasībām, kas IS.D.OR.240. punktā noteiktas attiecībā uz personālu;

11)	nodrošina atbilstību IS.D.OR.245. punktā noteiktajām reģistrācijas prasībām;

12)	uzrauga organizācijas atbilstību šīs regulas prasībām un sniedz atbildīgajam vadītājam vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājam atsauksmes par konstatējumiem, lai nodrošinātu korektīvo pasākumu efektīvu īstenošanu;

13)	neskarot ziņošanai par incidentiem piemērojamās prasības, aizsargā jebkuras tādas informācijas konfidencialitāti, ko organizācija, iespējams, ir saņēmusi no citām organizācijām, atkarībā no tās sensitivitātes līmeņa.

b)	Lai nodrošinātu pastāvīgu atbilstību 1. pantā minētajām prasībām, organizācija īsteno pastāvīgu uzlabojumu procesu saskaņā ar IS.D.OR.260. punktu.

Organizācija saskaņā ar IS.D.OR.250. punktu dokumentē visus galvenos procesus, procedūras, funkcijas un pienākumus, kas vajadzīgi, lai izpildītu IS.D.OR.200. punkta a) apakšpunkta prasības, un izveido minētās dokumentācijas grozījumu veikšanas procesu. Šo procesu, procedūru, funkciju un pienākumu izmaiņas pārvalda saskaņā ar IS.D.OR.255. punktu.

Procesi, procedūras, funkcijas un pienākumi, ko organizācija noteikusi, lai izpildītu IS.D.OR.200. punkta a) apakšpunkta prasības, atbilst tās darbību veidam un sarežģītībai, pamatojoties uz šīm darbībām raksturīgo informācijas drošības risku novērtējumu, un tos var integrēt citās esošās pārvaldības sistēmās, ko organizācija jau ir ieviesusi.

Neskarot pienākumu nodrošināt atbilstību Eiropas Parlamenta un Padomes Regulā (ES) Nr. 376/2014 (1) ietvertajām ziņošanas prasībām un IS.D.OR.200. punkta a) apakšpunkta 13. punkta prasībām, kompetentā iestāde var organizācijai dot atļauju neīstenot prasības, kas minētas a) līdz d) apakšpunktā, un saistītās prasības, kas ietvertas IS.D.OR.205. līdz IS.D.OR.260. punktā, ja organizācija minētajai iestādei pārliecinoši pierāda, ka tās darbības, objekti un resursi, kā arī tās sniegtie, nodrošinātie, saņemtie un uzturētie pakalpojumi ne attiecīgajai organizācijai, ne citām organizācijām nerada informācijas drošības riskus, kas spēj ietekmēt aviācijas drošumu. Atļauja pamatojas uz dokumentētu informācijas drošības riska novērtējumu, ko organizācija vai trešā persona veikusi saskaņā ar IS.D.OR.205. punktu un ko pārskatījusi un apstiprinājusi tās kompetentā iestāde.

Pēc piemērojamā pārraudzības revīzijas cikla un ikreiz, kad tiek ieviestas organizācijas darbības jomas izmaiņas, kompetentā iestāde pārskatīs minētās atļaujas turpmāko derīgumu.

IS.D.OR.205. Informācijas drošības riska novērtējums

Organizācija identificē visus tās elementus, kas varētu būt pakļauti informācijas drošības riskiem. Tas ietver:

1)	organizācijas darbības, objektus un resursus, kā arī organizācijas sniegtos, nodrošinātos, saņemtos vai uzturētos pakalpojumus;

2)	iekārtas, sistēmas, datus un informāciju, kas veicina 1. punktā uzskaitīto elementu darbību.

b)	Organizācija identificē saskarnes, kas tai ir ar citām organizācijām un varētu radīt savstarpēju pakļautību informācijas drošības riskiem.

Attiecībā uz a) un b) apakšpunktā minētajiem elementiem un saskarnēm organizācija identificē informācijas drošības riskus, kas varētu spēt ietekmēt aviācijas drošumu. Attiecībā uz katru identificēto risku organizācija:

1)	nosaka riska līmeni saskaņā ar organizācijas iepriekšnoteiktu klasifikāciju;

2)	katru risku un tā līmeni sasaista ar attiecīgo elementu vai saskarni, ko identificē saskaņā ar a) un b) apakšpunktu.

Iepriekšnoteiktajā klasifikācijā, kas minēta 1. punktā, ņem vērā apdraudējuma scenārija īstenošanās iespējamību un to, cik smagi tā sekas ietekmētu drošumu. Pamatojoties uz minēto klasifikāciju un ņemot vērā to, vai organizācijā ir strukturēts un atkārtojams darbības riska pārvaldības process, organizācijai jāspēj noteikt, vai risks ir pieņemams, vai arī tas ir jārisina saskaņā ar IS.D.OR.210. punktu.

Lai veicinātu riska novērtējumu savstarpēju salīdzināmību, riska līmeņa noteikšanā saskaņā ar 1. punktu ņem vērā attiecīgo informāciju, kas iegūta koordinācijā ar b) apakšpunktā minētajām organizācijām.

Organizācija saskaņā ar a), b) un c) apakšpunktu veikto riska novērtējumu pārskata un atjaunina jebkurā no šādām situācijām:

1)	mainās elementi, uz kuriem attiecas informācijas drošības riski;

2)	mainās saskarnes starp attiecīgo organizāciju un citām organizācijām vai citu organizāciju paziņotie riski;

3)	mainās informācija vai zināšanas, ko izmanto risku identificēšanai, analīzei un klasifikācijai;

4)	ir gūta pieredze, kas izriet no informācijas drošības incidentu analīzes.

IS.D.OR.210. Informācijas drošības riska risināšana

Organizācija izstrādā pasākumus, ar kuriem novērst nepieņemamus riskus, kas identificēti saskaņā ar IS.D.OR.205. punktu, laikus īsteno tos un pārbauda to pastāvīgu rezultativitāti. Šie pasākumi organizācijai ļauj:

1)	saglabāt kontroli pār apstākļiem, kas veicina apdraudējuma scenārija faktisku īstenošanos;

2)	samazināt ietekmi uz aviācijas drošumu, kas saistīta ar apdraudējuma scenārija īstenošanos;

3)	novērst riskus.

Šie pasākumi nerada jaunus iespējami nepieņemamus riskus, kas apdraud aviācijas drošumu.

Personu, kas minēta IS.D.OR.240. punkta a) un b) apakšpunktā, un citu ietekmēto organizācijas personālu informē par saskaņā ar IS.D.OR.205. punktu veiktā riska novērtējuma rezultātiem, attiecīgajiem apdraudējuma scenārijiem un īstenojamajiem pasākumiem.

Organizācija arī informē organizācijas, ar kurām tai ir saskarne saskaņā ar IS.D.OR.205. punkta b) apakšpunktu, par visiem abu organizāciju dalītajiem riskiem.

IS.D.OR.215. Sistēma iekšējai ziņošanai par informācijas drošību

a)	Organizācija izveido iekšējās ziņošanas sistēmu, kas ļauj apkopot un izvērtēt informācijas drošības notikumus, tostarp notikumus, par kuriem jāziņo saskaņā ar IS.D.OR.230. punktu.

Minētā sistēma un IS.D.OR.220. punktā minētais process organizācijai ļauj:

1)	noteikt, kuri no notikumiem, par kuriem ziņots saskaņā ar a) apakšpunktu, ir uzskatāmi par informācijas drošības incidentiem vai ievainojamībām, kas spēj ietekmēt aviācijas drošumu;

2)	noskaidrot saskaņā ar 1. punktu noteikto informācijas drošības incidentu un ievainojamību cēloņus un veicinošos faktorus un pievērsties tiem informācijas drošības riska pārvaldības procesā saskaņā ar IS.D.OR.205. un IS.D.OR.220. punktu;

3)	nodrošināt, ka tiek izvērtēta visa zināmā un būtiskā informācija saistībā ar informācijas drošības incidentiem un ievainojamībām, kas noteikti saskaņā ar 1. punktu;

4)	nodrošināt, ka tiek ieviesta metode informācijas iekšējai izplatīšanai pēc vajadzības.

Visām nolīgtām organizācijām, kuras var pakļaut attiecīgo organizāciju informācijas drošības riskiem, kas spēj ietekmēt aviācijas drošumu, ir pienākums ziņot organizācijai par informācijas drošības notikumiem. Minētos ziņojumus iesniedz, izmantojot procedūras, kas īpaši noteiktas līgumos, un tos izvērtē saskaņā ar b) apakšpunktu.

d)	Organizācija izmeklēšanas jomā sadarbojas ar visām citām organizācijām, kas sniedz būtisku ieguldījumu organizācijas darbību informācijas drošībā.

e)	Organizācija var minēto ziņošanas sistēmu integrēt ar citām ziņošanas sistēmām, ko tā jau ir ieviesusi.

IS.D.OR.220. Informācijas drošības incidenti – atklāšana, reaģēšana un seku novēršana

Pamatojoties uz saskaņā ar IS.D.OR.205. punktu veiktā riska novērtējuma rezultātiem, kā arī rezultātiem, kas gūti riska risināšanā saskaņā ar IS.D.OR.210. punktu, organizācija īsteno pasākumus, kuru mērķis ir atklāt incidentus un ievainojamības, kas norāda uz nepieņemamu risku iespējamo īstenošanos un spēj ietekmēt aviācijas drošumu. Šie incidentu atklāšanas pasākumi organizācijai ļauj:

1)	konstatēt novirzes no iepriekšnoteiktām funkcionālās veiktspējas bāzlīnijām;

2)	jebkādas novirzes gadījumā dot brīdinājumus, lai aktivizētu pienācīgus reaģēšanas pasākumus.

Organizācija īsteno pasākumus, kuru mērķis ir reaģēt uz visiem notikuma apstākļiem, kas konstatēti saskaņā ar a) apakšpunktu un var attīstīties vai ir attīstījušies par informācijas drošības incidentu. Šie reaģēšanas pasākumi organizācijai ļauj:

1)	sākt reaģēšanu uz a) apakšpunkta 2. punktā minētajiem brīdinājumiem, aktivizējot iepriekšnoteiktus resursus un darbību gaitu;

2)	ierobežot uzbrukuma izvēršanos un novērst apdraudējuma scenārija pilnīgu īstenošanos;

3)	vadīt IS.D.OR.205. punkta a) apakšpunktā noteikto skarto elementu atteices režīmu.

Organizācija īsteno pasākumus, kuru mērķis ir novērst informācijas drošības incidentu sekas, tostarp ārkārtas pasākumus vajadzības gadījumā. Šie seku novēršanas pasākumi organizācijai ļauj:

1)	novērst incidentu izraisījušo apstākli vai ierobežot to līdz pieļaujamam līmenim;

2)	atjaunošanās laikā, ko iepriekš noteikusi organizācija, sasniegt IS.D.OR.205. punkta a) apakšpunktā noteikto skarto elementu drošu stāvokli.

IS.D.OR.225. Reaģēšana uz kompetentās iestādes paziņotajiem konstatējumiem

Saņēmusi kompetentās iestādes iesniegto paziņojumu par konstatējumiem, organizācija:

1)	noskaidro neatbilstības pamatcēloni vai cēloņus un veicinošos faktorus;

2)	nosaka korektīvo pasākumu plānu;

3)	pierāda kompetentajai iestādei, ka neatbilstība ir novērsta.

b)	Šā punkta a) apakšpunktā minētās darbības veic laikposmā, par kuru panākta vienošanās ar kompetento iestādi.

IS.D.OR.230. Sistēma ārējai ziņošanai par informācijas drošību

a)	Organizācija ievieš informācijas drošības ziņošanas sistēmu, kas atbilst Regulā (ES) Nr. 376/2014 un tās deleģētajos un īstenošanas aktos noteiktajām prasībām, ja minētā regula ir piemērojama organizācijai.

Neskarot Regulā (ES) Nr. 376/2014 noteiktos pienākumus, organizācija nodrošina, ka par visiem informācijas drošības incidentiem un ievainojamībām, kas var radīt būtisku risku aviācijas drošumam, tiek ziņots tās kompetentajai iestādei. Turklāt:

1)	ja šāds incidents vai ievainojamība ietekmē gaisa kuģi vai ar to saistītu sistēmu vai sastāvdaļu, organizācija par to ziņo arī projekta apstiprinājuma turētājam;

2)	ja šāds incidents vai ievainojamība ietekmē organizācijas izmantotu sistēmu vai sastāvdaļu, organizācija par to ziņo organizācijai, kas atbild par sistēmas vai sastāvdaļas projektēšanu.

Organizācija par b) apakšpunktā minētajiem apstākļiem ziņo šādi:

1)	tiklīdz organizācija ir uzzinājusi par apstākli, tā iesniedz paziņojumu kompetentajai iestādei un attiecīgā gadījumā projekta apstiprinājuma turētājam vai organizācijai, kas atbild par sistēmas vai sastāvdaļas projektēšanu;

ja vien ārkārtas apstākļi to neliedz, cik drīz vien iespējams, bet ne vēlāk kā 72 stundas pēc tam, kad organizācija ir uzzinājusi par apstākli, tā iesniedz ziņojumu kompetentajai iestādei un attiecīgā gadījumā projekta apstiprinājuma turētājam vai organizācijai, kas atbild par sistēmas vai sastāvdaļas projektēšanu.

Ziņojumu sagatavo kompetentās iestādes noteiktā formā, un tajā iekļauj visu attiecīgo informāciju par apstākli, kas zināma organizācijai;

iesniedz paveiktā darba pārbaudes ziņojumu kompetentajai iestādei un attiecīgā gadījumā projekta apstiprinājuma turētājam vai organizācijai, kas atbild par sistēmas vai sastāvdaļas projektēšanu, ziņojumā sīki izklāstot informāciju par darbībām, ko organizācija ir veikusi vai plāno veikt, lai novērstu incidenta sekas, un par darbībām, ko tā plāno veikt, lai nākotnē novērstu līdzīgus informācijas drošības incidentus.

Paveiktā darba pārbaudes ziņojumu iesniedz, tiklīdz minētās darbības ir noteiktas, un to sagatavo kompetentās iestādes noteiktā formā.

IS.D.OR.235. Informācijas drošības pārvaldības darbību līguma slēgšana

Ja organizācija noslēdz līgumu ar citām organizācijām par kādu daļu no IS.D.OR.200. punktā minētajām darbībām, organizācija nodrošina, ka darbības, par kurām noslēgts līgums, atbilst šīs regulas prasībām un ka nolīgtā organizācija darbojas tās pārraudzībā. Organizācija nodrošina, ka riski, kas saistīti ar darbībām, par kurām noslēgts līgums, tiek pienācīgi pārvaldīti.

b)	Organizācija nodrošina, ka kompetentajai iestādei pēc pieprasījuma tiek dota piekļuve nolīgtajai organizācijai, lai kompetentā iestāde varētu pārliecināties par pastāvīgu atbilstību piemērojamajām prasībām, kas noteiktas šajā regulā.

IS.D.OR.240. Prasības personālam

Organizācijas atbildīgajam vadītājam vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājam, kas norīkots saskaņā ar Regulu (ES) Nr. 748/2012 un Regulu (ES) Nr. 139/2014, kā minēts šīs regulas 2. panta 1. punkta a) un b) apakšpunktā, ir organizācijas dotas pilnvaras nodrošināt, ka visas šajā regulā paredzētās darbības ir iespējams finansēt un veikt. Minētā persona:

1)	nodrošina, ka ir pieejami visi šīs regulas prasību izpildei vajadzīgie resursi;

2)	izveido informācijas drošības politiku, kas minēta IS.D.OR.200. punkta a) apakšpunkta 1. punktā, un veicina tās īstenošanu;

3)	pierāda pamatizpratni par šo regulu.

Atbildīgais vadītājs vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājs ieceļ personu vai personu grupu, kas nodrošina, ka organizācija atbilst šīs regulas prasībām, un nosaka viņu pilnvaru apjomu. Minētā persona vai personu grupa ir tieši pakļauta atbildīgajam vadītājam vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājam, un tai ir pienākumu izpildei atbilstošas zināšanas, agrāka darbība un pieredze. Procedūrās nosaka, kas aizvieto konkrētu personu tās ilgstošas prombūtnes laikā.

c)	Atbildīgais vadītājs vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājs ieceļ personu vai personu grupu, kas atbild par IS.D.OR.200. punkta a) apakšpunkta 12. punktā minētās atbilstības uzraudzības funkcijas pārvaldību.

Ja organizācijas informācijas drošības organizatoriskās struktūras, politika, procesi un procedūras ir kopīgas ar citām organizācijām vai savas organizācijas jomām, kas nav apstiprinājuma vai deklarācijas daļa, atbildīgais vadītājs vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājs var deleģēt savas darbības kopīgai atbildīgajai personai.

Lai nodrošinātu informācijas drošības pārvaldības pienācīgu integrāciju organizācijā, šādā gadījumā nosaka pasākumus koordinācijai starp organizācijas atbildīgo vadītāju vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītāju un kopīgo atbildīgo personu.

e)	Atbildīgajam vadītājam vai projektēšanas organizācijas vadītājam, vai d) apakšpunktā minētajai kopīgajai atbildīgajai personai ir organizācijas dotas pilnvaras izveidot un uzturēt IS.D.OR.200. punkta īstenošanai vajadzīgās organizatoriskās struktūras, politiku, procesus un procedūras.

f)	Organizācijā ir ieviests process, ar ko nodrošināt, ka tai pietiek dežurējošo darbinieku šajā pielikumā izklāstīto darbību veikšanai.

g)	Organizācijā ir ieviests process, ar ko nodrošināt, ka f) apakšpunktā minētajiem darbiniekiem ir savu uzdevumu veikšanai vajadzīgā kompetence.

h)	Organizācijā ir ieviests process, ar ko nodrošināt, ka darbinieki atzīst pienākumus, kas saistīti ar tiem uzticētajām funkcijām un uzdevumiem.

i)	Organizācija nodrošina, ka tiek pienācīgi noteikta to darbinieku identitāte un uzticamība, kuriem ir piekļuve informācijas sistēmām un datiem, uz ko attiecas šīs regulas prasības.

IS.D.OR.245. Reģistrācija

Organizācija reģistrē savas informācijas drošības pārvaldības darbības.

Organizācija nodrošina, ka ir arhivēti un izsekojami šādi ieraksti:

i)	visi saņemtie apstiprinājumi un visi saistītie informācijas drošības riska novērtējumi saskaņā ar IS.D.OR.200. punkta e) apakšpunktu;

ii)	līgumi par darbībām, kas minēti IS.D.OR.200. punkta a) apakšpunkta 9. punktā;

iii)	ieraksti par galvenajiem procesiem, kas minēti IS.D.OR.200. punkta d) apakšpunktā;

iv)	ieraksti par IS.D.OR.205. punktā minētajā riska novērtējumā identificētajiem riskiem kopā ar saistītajiem IS.D.OR.210. punktā minētajiem riska risināšanas pasākumiem;

v)	ieraksti par informācijas drošības incidentiem un ievainojamībām, par ko ziņots saskaņā ar IS.D.OR.215. un IS.D.OR.230. punktā minētajām ziņošanas sistēmām;

vi)	ieraksti par informācijas drošības notikumiem, kuri varētu būt jāizvērtē atkārtoti, lai atklātu vēl neatklātus informācijas drošības incidentus vai ievainojamības.

2)	Ierakstus, kas minēti 1. punkta i) apakšpunktā, glabā vismaz 5 gadus pēc tam, kad apstiprinājums ir zaudējis derīgumu.

3)	Ierakstus, kas minēti 1. punkta ii) apakšpunktā, glabā vismaz 5 gadus pēc tam, kad līgums ir grozīts vai izbeigts.

4)	Ierakstus, kas minēti 1. punkta iii), iv) un v) apakšpunktā, glabā vismaz 5 gadus.

5)	Ierakstus, kas minēti 1. punkta vi) apakšpunktā, glabā tik ilgi, līdz šie informācijas drošības notikumi ir atkārtoti izvērtēti saskaņā ar organizācijas izveidotā procedūrā noteiktu periodiskumu.

Organizācija reģistrē savu informācijas drošības pārvaldības darbībās iesaistīto darbinieku kvalifikāciju un pieredzi.

1)	Ierakstus par darbinieka kvalifikāciju un pieredzi glabā tik ilgi, kamēr persona strādā organizācijā, un vismaz 3 gadus pēc tam, kad persona ir aizgājusi no darba organizācijā.

2)	Darbiniekiem pēc pieprasījuma dod piekļuvi viņu individuālajiem datiem. Turklāt pēc darbinieka pieprasījuma organizācija darbiniekam izsniedz viņa individuālo datu kopiju, kad darbinieks aiziet no darba organizācijā.

c)	Ierakstu formāts ir noteikts organizācijas procedūrās.

Ierakstus glabā veidā, kas nodrošina aizsardzību pret bojājumiem, pārveidošanu un zādzību, vajadzības gadījumā informāciju identificējot atbilstīgi tās drošības klasifikācijas līmenim. Organizācija nodrošina, ka ierakstus glabā, izmantojot līdzekļus, kas nodrošina integritāti, autentiskumu un atļautu piekļuvi.

IS.D.OR.250. Informācijas drošības pārvaldības rokasgrāmata (IDPR)

Organizācija kompetentajai iestādei dara pieejamu informācijas drošības pārvaldības rokasgrāmatu (IDPR) un attiecīgā gadījumā visas saistītās rokasgrāmatas un procedūras, uz kurām ir sniegtas atsauces, un rokasgrāmatā ir:

paziņojums, ko parakstījis atbildīgais vadītājs vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājs, apstiprinot, ka organizācija vienmēr strādās saskaņā ar šo pielikumu un IDPR. Ja atbildīgais vadītājs vai – projektēšanas organizāciju gadījumā – projektēšanas organizācijas vadītājs nav organizācijas izpilddirektors, tad paziņojumu paraksta izpilddirektors;

2)	IS.D.OR.240. punkta b) un c) apakšpunktā minētās personas vai minēto personu amats, vārds un uzvārds, pienākumi, pakļautība, atbildība un pilnvaras;

3)	vajadzības gadījumā IS.D.OR.240. punkta d) apakšpunktā minētās kopīgās atbildīgās personas amats, vārds un uzvārds, pienākumi, pakļautība, atbildība un pilnvaras;

4)	organizācijas informācijas drošības politika, kas minēta IS.D.OR.200. punkta a) apakšpunkta 1. punktā;

5)	vispārīgs apraksts par darbinieku skaitu un kategorijām un par sistēmu, kas ieviesta personāla pieejamības plānošanai, kā prasīts IS.D.OR.240. punktā;

6)	galveno personu, kas atbild par IS.D.OR.200. punkta īstenošanu, tostarp personas vai personu, kas atbild par IS.D.OR.200. punkta a) apakšpunkta 12. punktā minēto atbilstības uzraudzības funkciju, amats, vārds un uzvārds, pienākumi, pakļautība, atbildība un pilnvaras;

7)	struktūrshēma, kurā parādītas ar 2. un 6. punktā minētajām personām saistītās pakļautības un atbildības ķēdes;

8)	IS.D.OR.215. punktā minētās iekšējās ziņošanas sistēmas apraksts;

procedūras, kas precizē, kā organizācija nodrošina atbilstību šai daļai, un jo īpaši:

i)	IS.D.OR.200. punkta c) apakšpunktā minētā dokumentācija;

ii)	procedūras, kas nosaka, kā organizācija kontrolē visas IS.D.OR.200. punkta a) apakšpunkta 9. punktā minētās darbības, par kurām noslēgts līgums;

iii)	IDPR grozījumu procedūra, kas noteikta c) apakšpunktā;

10)	sīka informācija par pašreizējiem apstiprinātajiem alternatīvajiem atbilstības nodrošināšanas līdzekļiem.

b)	Kompetentā iestāde apstiprina IDPR sākotnējo izdevumu un saglabā tās eksemplāru. IDPR vajadzības gadījumā groza, lai organizācijas IDPS apraksts vienmēr būtu atjaunināts. Visu IDPR grozījumu eksemplāru iesniedz kompetentajai iestādei.

c)	IDPR grozījumus pārvalda saskaņā ar organizācijas izveidotu procedūru. Visus grozījumus, kas nav iekļauti šīs procedūras darbības jomā, un visus grozījumus, kas saistīti ar IS.D.OR.255. punkta b) apakšpunktā minētajām izmaiņām, apstiprina kompetentā iestāde.

d)	Organizācija IDPR var integrēt ar citiem tās rīcībā esošiem pārvaldības pašraksturojumiem vai rokasgrāmatām, ja ir dota skaidra savstarpēja atsauce, kas norāda, kuras pārvaldības pašraksturojuma vai rokasgrāmatas daļas atbilst dažādām šajā pielikumā ietvertajām prasībām.

IS.D.OR.255. Informācijas drošības pārvaldības sistēmas izmaiņas

a)	IDPS izmaiņas var pārvaldīt un paziņot kompetentajai iestādei saskaņā ar organizācijas izstrādātu procedūru. Šo procedūru apstiprina kompetentā iestāde.

Attiecībā uz IDPS izmaiņām, uz kurām neattiecas a) apakšpunktā minētā procedūra, organizācija iesniedz pieteikumu un saņem kompetentās iestādes dotu apstiprinājumu.

Attiecībā uz šīm izmaiņām:

1)	pirms šādu izmaiņu veikšanas iesniedz pieteikumu, lai kompetentajai iestādei dotu iespēju pārliecināties par pastāvīgu atbilstību šai regulai un vajadzības gadījumā grozīt organizācijas sertifikātu un tam pievienotos attiecīgos apstiprinājuma noteikumus;

2)	organizācija kompetentajai iestādei dara pieejamu visu informāciju, ko tā pieprasa izmaiņu izvērtēšanai;

3)	izmaiņas īsteno tikai pēc kompetentās iestādes oficiāla apstiprinājuma saņemšanas;

4)	kamēr šādas izmaiņas tiek ieviestas, organizācija darbojas saskaņā ar nosacījumiem, ko noteikusi kompetentā iestāde.

IS.D.OR.260. Pastāvīgi uzlabojumi

a)	Organizācija, izmantojot atbilstīgus darbības rādītājus, novērtē IDPS efektivitāti un gatavību. Minēto novērtēšanu veic, pamatojoties uz organizācijas iepriekšnoteiktu kalendāro grafiku vai pēc informācijas drošības incidenta.

Ja pēc novērtēšanas, kas veikta saskaņā ar a) apakšpunktu, tiek konstatēti trūkumi, organizācija īsteno uzlabošanas pasākumus, kuri vajadzīgi, lai nodrošinātu, ka IDPS joprojām atbilst piemērojamajām prasībām un uztur informācijas drošības riskus pieņemamā līmenī. Turklāt organizācija atkārtoti izvērtē tos IDPS elementus, kurus ietekmē pieņemtie pasākumi.

(1) Eiropas Parlamenta un Padomes Regula (ES) Nr. 376/2014 (2014. gada 3. aprīlis) par ziņošanu, analīzi un turpmākajiem pasākumiem attiecībā uz atgadījumiem civilajā aviācijā un ar ko groza Eiropas Parlamenta un Padomes Regulu (ES) Nr. 996/2010 un atceļ Eiropas Parlamenta un Padomes Direktīvu 2003/42/EK, Komisijas Regulas (EK) Nr. 1321/2007 un (EK) Nr. 1330/2007 (OV L 122, 24.4.2014., 18. lpp.).

Top

Choose the experimental features you want to try