32022R1645

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Regolament delegat - 2022/1645 - EN - EUR-Lex

Document 32022R1645

Help

Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014

C/2022/4882

ĠU L 248, 26.9.2022, p. 18–31 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj

Date of document:: 14/07/2022; Data ta' adozzjoni
Date of effect:: 16/10/2022; Dħul fis-seħħ Data tal-pubblikazzjoni +20 Ara Art. 8
Date of effect:: 16/10/2025; Applikazzjoni Ara Art. 8
Date of end of validity:: No end date

Author:: Il-Kummissjoni Ewropea, Id-Direttorat Ġenerali għall-Mobbiltà u t-Trasport
Responsible body:: Directorate-General for Mobility and Transport, MOVE
Form:: Regolament delegat

Treaty:

Trattat dwar il-Funzjonament tal-Unjoni Ewropea

Legal basis:

32018R1139 - A19P1PTG) 32018R1139 - A39P1PTB)

Link

Select all documents mentioning this document

Modifies:

Relation	Act	Comment	Subdivision concerned	From
Modifies	32012R0748	Żieda	anness I parti 21 punt 21.A.139A	16/10/2025
Modifies	32012R0748	Żieda	anness I parti 21 punt 21.A.239A	16/10/2025
Modifies	32012R0748	Sostituzzjoni	anness I parti 21 Test	16/10/2025
Modifies	32014R0139	Żieda	anness III punt ADR.OR.D.005A	16/10/2025
Modifies	32014R0139	Sostituzzjoni	anness III punt ADR.OR.D.007	16/10/2025
Modifies	32014R0139	Żieda	anness III punt ADR.OR.F.045A	16/10/2025

Modified by:

Relation	Act	Comment	Subdivision concerned	From	To
Corrected by	32022R1645R(01)	(BG)

Instruments cited:

Link

EUROVOC descriptor:

Subject matter:

Trasport

Directory code:

07.40.30.00 Politika tat-trasport / Trasport bl-ajru / Sikurezza tal-ajru

HTML

PDF

Official Journal

26.9.2022

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 248/18

REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2022/1645

tal-14 ta’ Lulju 2022

li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2018 dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (1), u b’mod partikolari l-Artikoli 19(1), il-punt (g) u l-Artikolu 39(1), il-punt (b) tiegħu.

Billi:

(1)	F’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness II, il-punt 3.1(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tad-disinn u tal-produzzjoni għandhom jimplimentaw u jmantnu sistema ta’ ġestjoni għall-ġestjoni tar-riskji għas-sikurezza.

(2)

Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness VII, il-punti 2.2.1 u 5.2, tar-Regolament (UE) 2018/1139, l-operaturi u l-organizzazzjonijiet tal-ajrudromi responsabbli għall-forniment tas-servizzi ta’ ġestjoni tar-rampa għandhom jimplimentaw u jżommu sistema ta’ ġestjoni għall-ġestjoni tar-riskji għas-sikurezza.

(3)

Ir-riskji għas-sikurezza msemmija fil-premessi (1) u (2) jistgħu jirriżultaw minn sorsi differenti, inklużi nuqqasijiet fid-disinn u fil-manutenzjoni, aspetti tal-prestazzjoni umana, theddid ambjentali u theddid għas-sigurtà tal-informazzjoni. Għalhekk, is-sistemi ta’ ġestjoni implimentati mill-organizzazzjonijiet kif imsemmi fil-premessi (1) u (2), jenħtieġ li jqisu mhux biss ir-riskji għas-sikurezza li jirriżultaw minn avvenimenti każwali, iżda wkoll ir-riskji għas-sikurezza li jirriżultaw minn theddid għas-sigurtà tal-informazzjoni fejn in-nuqqasijiet eżistenti jistgħu jiġu sfruttati minn individwi b’intenzjoni malizzjuża. Dawk ir-riskji għas-sigurtà tal-informazzjoni qegħdin jiżdiedu b’mod kostanti fl-ambjent tal-avjazzjoni ċivili peress li s-sistemi ta’ informazzjoni attwali qegħdin isiru dejjem aktar interkonnessi, u qegħdin isiru dejjem aktar il-mira ta’ atturi malizzjużi.

(4)	Ir-riskji assoċjati ma’ dawk is-sistemi ta’ informazzjoni ma humiex limitati għal attakki possibbli għaċ-ċiberspazju, iżda jinkludu wkoll theddid li jista’ jaffettwa l-proċessi u l-proċeduri kif ukoll il-prestazzjoni umana.

(5)	Għadd sinifikanti ta’ organizzazzjonijiet diġà jużaw standards internazzjonali, bħall-ISO 27001, sabiex jindirizzaw is-sigurtà tal-informazzjoni u tad-data diġitali. Dawn l-istandards jistgħu ma jindirizzawx bis-sħiħ l-ispeċifiċitajiet kollha tal-avjazzjoni ċivili.

(6)	Għalhekk, huwa xieraq li jiġu stabbiliti rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni.

(7)

Huwa essenzjali li dawk ir-rekwiżiti jkopru l-oqsma differenti tal-avjazzjoni u l-interfaċċi tagħhom peress li l-avjazzjoni hija sistema ta’ sistemi interkonnessa ħafna. Għalhekk, dawn jenħtieġ li japplikaw għall-organizzazzjonijiet kollha li diġà huma meħtieġa li jkollhom sistema ta’ ġestjoni f’konformità mal-leġiżlazzjoni dwar is-sikurezza tal-avjazzjoni tal-Unjoni eżistenti.

(8)	Ir-rekwiżiti stabbiliti f’dan ir-Regolament jenħtieġ li jiġu applikati b’mod konsistenti fl-oqsma kollha tal-avjazzjoni, filwaqt li jinħoloq impatt minimu fuq il-leġiżlazzjoni dwar is-sikurezza tal-avjazzjoni tal-Unjoni diġà applikabbli għal dawk l-oqsma.

(9)

Ir-rekwiżiti stabbiliti f’dan ir-Regolament jenħtieġ li jkunu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stabbiliti fl-Anness, il-punt 1.7 tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 (2) u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (3).

(10)	Jenħtieġ li d-definizzjoni dwar is-sigurtà tal-informazzjoni użata għall-finijiet ta’ dan l-att legali ma tiġix interpretata bħala diverġenti mid-definizzjoni tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni stabbilita fid-Direttiva 2016/1148.

(11)

Sabiex tiġi evitata d-duplikazzjoni tar-rekwiżiti legali, meta l-organizzazzjonijiet koperti minn dan ir-Regolament ikunu diġà soġġetti għal rekwiżiti ta’ sigurtà li jirriżultaw minn atti oħra tal-Unjoni msemmija fil-premessa (9), li huma, fl-effett tagħhom ekwivalenti għad-dispożizzjonijiet stabbiliti f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti ta’ sigurtà jenħtieġ li titqies li tikkostitwixxi konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament.

(12)

L-organizzazzjonijiet koperti minn dan ir-Regolament li diġà huma soġġetti għal rekwiżiti ta’ sigurtà li jirriżultaw mir-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jenħtieġ li jikkonformaw ukoll mar-rekwiżiti tal-Anness I (il-Parti IS.D.OR.230 “Skema ta’ rapportar estern tas-sigurtà tal-informazzjoni”) ta’ dan ir-Regolament peress li r-Regolament ta’ Implimentazzjoni (UE) 2015/1998 ma fih l-ebda dispożizzjoni relatata mar-rapportar estern ta’ inċidenti tas-sigurtà tal-informazzjoni.

(13)	Ir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 (4) u (UE) Nru 139/2014 (5) jenħtieġ li jiġu emendati sabiex tiġi stabbilita r-rabta bejn is-sistemi ta’ ġestjoni stabbiliti fir-regolamenti elenkati hawn fuq u r-rekwiżiti ta’ ġestjoni tas-sigurtà tal-informazzjoni stabbiliti minn dan ir-Regolament.

(14)	Sabiex l-organizzazzjonijiet jingħataw biżżejjed żmien biex jiżguraw il-konformità mar-regoli u l-proċeduri l-ġodda introdotti minn dan ir-Regolament, dan ir-Regolament jenħtieġ li japplika minn tliet snin wara d-data tad-dħul fis-seħħ.

(15)	Ir-rekwiżiti stabbiliti minn dan ir-Regolament huma bbażati fuq l-Opinjoni Nru 03/2021 (6), maħruġa mill-Aġenzija f’konformità mal-Artikolu 75(2) il-punti (b) u (c) u l-Artikolu 76(1) tar-Regolament (UE) 2018/1139.

(16)	F’konformità mal-Artikolu 128(4) tar-Regolament (UE) 2018/1139, il-Kummissjoni kkonsultat esperti nominati minn kull Stat Membru f’konformità mal-prinċipji stabbiliti fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (7),

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Suġġett

Dan ir-Regolament jistabbilixxi r-rekwiżiti li jridu jiġu ssodisfati mill-organizzazzjonijiet imsemmija fl-Artikolu 2 sabiex jiġu identifikati u ġestiti r-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jistgħu jaffettwaw is-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data użata għal skopijiet ta’ avjazzjoni ċivili u biex jiġu individwati l-avvenimenti relatati mas-sigurtà tal-informazzjoni u identifikati dawk li jitqiesu bħala inċidenti tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni u jingħata rispons lil, u rkupru minn, dawk l-inċidenti tas-sigurtà tal-informazzjoni.

Artikolu 2

Kamp ta’ applikazzjoni

1. Dan ir-Regolament japplika għall-organizzazzjonijet li ġejjin:

(a)

l-organizzazzjonijiet tal-produzzjoni u l-organizzazzjonijiet tad-disinn soġġetti għall-Anness I (il-Parti 21), it-Taqsima A, is-Subpartijiet G u J tar-Regolament (UE) Nru 748/2012, ħlief l-organizzazzjonijiet tad-disinn u tal-produzzjoni li huma involuti biss fid-disinn u/jew fil-produzzjoni ta’ inġenji tal-ajru ELA2 kif iddefiniti fl-Artikolu 1(2), il-punt (j) tar-Regolament (UE) Nru 748/2012;

(b)	l-operaturi tal-ajrudromi u l-fornituri tas-servizzi ta’ ġestjoni tar-rampa soġġetti għall-Anness III “Parti Rekwiżiti tal-Organizzazzjoni (Parti-ADR.OR)” tar-Regolament (UE) Nru 139/2014.

2. Dan ir-Regolament huwa mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stabbiliti fl-Anness, il-punt 1.7 tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148.

Artikolu 3

Definizzjonijiet

Għall-fini ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:

(1)	“sigurtà tal-informazzjoni” tfisser il-preservazzjoni tal-kunfidenzjalità, tal-integrità, tal-awtentiċità u tad-disponibbiltà tan-network u tas-sistemi tal-informazzjoni;

(2)

“avveniment relatat mas-sigurtà tal-informazzjoni” tfisser okkorrenza identifikata ta’ sistema, ta’ servizz jew ta’ stat tan-network li tindika ksur possibbli tal-politika tas-sigurtà tal-informazzjoni jew nuqqas ta’ kontrolli tas-sigurtà tal-informazzjoni, jew sitwazzjoni li qabel ma kinitx magħrufa li tista’ tkun rilevanti għas-sigurtà tal-informazzjoni;

(3)	“inċident” tfisser kwalunkwe avveniment li jkollu effett negattiv fuq is-sigurtà tan-network u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 4(7) tad-Direttiva (UE) 2016/1148;

(4)

“riskju għas-sigurtà tal-informazzjoni” tfisser ir-riskju għall-operazzjonijiet organizzattivi tal-avjazzjoni ċivili, l-assi, l-individwi u organizzazzjonijiet oħra, minħabba l-potenzjal ta’ avveniment relatat mas-sigurtà tal-informazzjoni. Ir-riskji għas-sigurtà tal-informazzjoni huma assoċjati mal-potenzjal li t-theddid jisfrutta l-vulnerabbiltajiet ta’ assi ta’ informazzjoni jew ta’ grupp ta’ assi ta’ informazzjoni;

(5)	“theddida” tfisser ksur potenzjali tas-sigurtà tal-informazzjoni li jeżisti meta jkun hemm entità, ċirkostanza, azzjoni jew avveniment li jista’ jikkawża dannu;

(6)	“vulnerabbiltà” tfisser difett jew dgħufija f’assi jew f’sistema, fi proċeduri, f’disinn, f’implimentazzjoni, jew f’miżuri ta’ sigurtà tal-informazzjoni li jistgħu jiġu sfruttati u li jirriżultaw fi ksur jew f’vjolazzjoni tal-politika dwar is-sigurtà tal-informazzjoni.

Artikolu 4

Rekwiżiti li jirriżultaw minn leġiżlazzjoni oħra tal-Unjoni

1. Meta organizzazzjoni msemmija fl-Artikolu 2 tikkonforma mar-rekwiżiti ta’ sigurtà stabbiliti fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 li huma ekwivalenti għar-rekwiżiti stabbiliti f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti ta’ sigurtà għandha titqies li tikkostitwixxi konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament.

2. Meta organizzazzjoni msemmija fl-Artikolu 2 tkun operatur jew entità msemmija fil-programmi tas-sigurtà tal-avjazzjoni ċivili nazzjonali tal-Istati Membri stabbiliti f’konformità mal-Artikolu 10 tar-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill (8), ir-rekwiżiti taċ-ċibersigurtà li jinsabu fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jitqiesu bħala ekwivalenti għar-rekwiżiti stabbiliti f’dan ir-Regolament, ħlief fir-rigward tal-punt IS.D.OR.230 tal-Anness ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu.

3. Il-Kummissjoni, wara li tikkonsulta lill-EASA u lill-Grupp ta’ Kooperazzjoni msemmi fl-Artikolu 11 tad-Direttiva (UE) 2016/1148, tista’ toħroġ linji gwida għall-valutazzjoni tal-ekwivalenza tar-rekwiżiti stabbiliti f’dan ir-Regolament u fid-Direttiva (UE) 2016/1148.

Artikolu 5

Awtorità kompetenti

1. L-awtorità responsabbli għaċ-ċertifikazzjoni u għas-sorveljanza tal-konformità ma’ dan ir-Regolament għandha tkun:

(a)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2, il-punt (a), l-awtorità kompetenti maħtura f’konformità mal-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012;

(b)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2, il-punt (b), l-awtorità kompetenti maħtura f’konformità mal-Anness III (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014.

2. L-Istati Membri jistgħu, għall-finijiet ta’ dan ir-Regolament, jaħtru entità indipendenti u awtonoma biex taqdi r-rwol u r-responsabbiltajiet assenjati lill-awtoritajiet kompetenti msemmija fil-paragrafu 1. F’dak il-każ, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn dik l-entità u l-awtoritajiet kompetenti, kif imsemmija fil-paragrafu 1, sabiex tiġi żgurata sorveljanza effettiva tar-rekwiżiti kollha li għandhom jiġu ssodisfati mill-organizzazzjoni.

Artikolu 6

Emenda għar-Regolament (UE) Nru 748/2012

L-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat kif ġej:

(1)

il-Werrej huwa emendat kif ġej:

(a)

l-intestatura li ġejja tiddaħħal wara l-intestatura 21.A.139:

“21.A.139 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(b)

l-intestatura li ġejja tiddaħħal wara l-intestatura 21.A.239:

“21.A.239 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(2)

il-punt 21.A.139 A li ġej jiddaħħal wara l-punt 21.A.139:

“21.A.139 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni tal-produzzjoni meħtieġa mill-punt 21.A. 139, l-organizzazzjoni tal-produzzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (*1)sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.

(*1) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18)”;"

(3)

il-punt 21.A.239 A li ġej jiddaħħal wara l-punt 21.A.239:

“21.A.239 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni tad-disinn meħtieġa mill-punt 21.A.239, l-organizzazzjoni tad-disinn għandha tistabbilixxi, timplimenta u tmantni sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat (UE) 2022/1645 sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.”.

Artikolu 7

Emenda għar-Regolament (UE) Nru 139/2014

L-Anness III (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014 huwa emendat kif ġej:

(1)

il-punt ADR.OR.D.005 A li ġej jiddaħħal wara l-punt ADR.OR.D.005:

“ADR.OR.D.005 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

L-operatur tal-ajrudrom għandu jistabbilixxi, jimplimenta u jżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (*2) sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.

(*2) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18)”;"

(2)

il-punt ADR.OR.D.007 huwa ssostitwit b’dan li ġej:

“ADR.OR.D.007

Ġestjoni ta’ data ajrunawtika u ta’ informazzjoni ajrunawtika

(a)

Bħala parti mis-sistema ta’ ġestjoni tiegħu, l-operatur tal-ajrudrom għandu jimplimenta u jmantni sistema ta’ ġestjoni tal-kwalità li tkopri l-attivitajiet li ġejjin:

(1)	l-attivitajiet tiegħu dwar id-data ajrunawtika;

(2)	l-attivitajiet tiegħu ta’ forniment ta’ informazzjoni ajrunawtika.

(b)

Bħala parti mis-sistema ta’ ġestjoni tiegħu, l-operatur tal-ajrudrom għandu jistabbilixxi sistema ta’ ġestjoni tas-sigurtà sabiex jiżgura s-sigurtà tad-data operazzjonali li jirċievi, jew jipproduċi, jew iħaddem b’xi mod ieħor, sabiex l-aċċess għal dik id-data operazzjonali jkun ristrett biss għal dawk awtorizzati.

(c)

Is-sistema ta’ ġestjoni tas-sigurtà għandha tiddefinixxi l-elementi li ġejjin:

(1)	il-proċeduri marbutin mal-valutazzjoni u mal-mitigazzjoni tar-riskji għas-sigurtà tad-data, mal-monitoraġġ u t-titjib tas-sigurtà, mar-rieżamijiet tas-sigurtà u mat-tixrid tal-għarfien miksub;

(2)	il-mezzi ddisinjati ta’ detezzjoni ta’ ksur tas-sigurtà u biex jiġbdu l-attenzjoni tal-persunal bi twissijiet xierqa dwar is-sigurtà;

(3)	il-mezzi kif jiġu kkontrollati l-effetti tal-ksur tas-sigurtà u kif jiġu identifikati l-azzjoni ta’ rkupru u l-proċeduri ta’ mitigazzjoni sabiex jiġi evitat milli jerġgħu jseħħu.

(d)	L-operatur tal-ajrudrom għandu jiżgura l-approvazzjoni tas-sigurtà tal-persunal tiegħu fir-rigward tas-sigurtà tad-data ajrunawtika.

(e)	L-aspetti relatati mas-sigurtà tal-informazzjoni għandhom jiġu ġestiti f’konformità mal-punt ADR.OR.D.005 A.”;

(3)

il-punt ADR.OR.F.045 A li ġej jiddaħħal wara l-punt ADR.OR.F.045:

“ADR.OR.F.045 A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

L-organizzazzjoni responsabbli għall-forniment tal-AMS għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat (UE) 2022/1645 sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.”.

Artikolu 8

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Għandu japplika mis-16 ta’ Ottubru 2025.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, l-14 ta’ Lulju 2022.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 212, 22.8.2018, p. 1.

(2) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 tal-5 ta’ Novembru 2015 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni (ĠU L 299, 14.11.2015, p. 1).

(3) Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).

(4) Ir-Regolament tal-Kummissjoni (UE) Nru 748/2012 tat-3 ta’ Awwissu 2012 li jistabbilixxi regoli ta’ implimentazzjoni għaċ-ċertifikazzjoni tal-airworthiness u ambjentali ta’ inġenji tal-ajru u ta’ prodotti, partijiet u tagħmir relatati, kif ukoll għaċ-ċertifikazzjoni ta’ organizzazzjonijiet relatati mad-disinn u l-produzzjoni (ĠU L 224, 21.8.2012, p. 1).

(5) Ir-Regolament tal-Kummissjoni (UE) Nru 139/2014 tat-12 ta’ Frar 2014 li jistabbilixxi rekwiżiti u proċeduri amministrattivi b’rabta mal-ajrudromi skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 44, 14.2.2014, p. 1).

(6) https://www.easa.europa.eu/document-library/opinions

(7) ĠU L 123, 12.5.2016, p. 1.

(8) Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, 9.4.2008, p. 72).

ANNESS

SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-ORGANIZZAZZJONI

[PART-IS.D.OR]

IS.D.OR.100

Kamp ta’ applikazzjoni

IS.D.OR.200

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.D.OR.205

Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

IS.D.OR.210

Trattament tar-riskju għas-sigurtà tal-informazzjoni

IS.D.OR.215

Skema ta’ rapportar intern dwar is-sigurtà tal-informazzjoni

IS.D.OR.220

Inċidenti ta’ sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru

IS.D.OR.225

Rispons għas-sejbiet innotifikati mill-awtorità kompetenti

IS.D.OR.230

Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni

IS.D.OR.235

Kuntrattar ta’ attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.D.OR.240

Rekwiżiti tal-persunal

IS.D.OR.245

Żamma ta’ rekords

IS.D.OR.250

Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)

IS.D.OR.255

Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.D.OR.260

Titjib kontinwu

IS.D.OR.100 Kamp ta’ applikazzjoni

Din il-Parti tistabbilixxi r-rekwiżiti li għandhom jiġu ssodisfati mill-organizzazzjonijiet imsemmija fl-Artikolu 2 ta’ dan ir-Regolament.

IS.D.OR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)

(a)

Sabiex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-organizzazzjoni:

(1)	tistabbilixxi politika dwar is-sigurtà tal-informazzjoni li tistabbilixxi l-prinċipji ġenerali tal-organizzazzjoni fir-rigward tal-impatt potenzjali tar-riskji għas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni;

(2)	tidentifika u tirrevedi r-riskji għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.D.OR.205;

(3)	tiddefinixxi u timplimenta miżuri ta’ trattament tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.D.OR.210;

(4)	timplimenta skema ta’ rapportar intern dwar is-sigurtà tal-informazzjoni f’konformità mal-punt IS.D.OR.215;

(5)

tiddefinixxi u timplimenta, f’konformità mal-punt IS.D.OR.220, il-miżuri meħtieġa biex tidentifika avvenimenti relatati mas-sigurtà tal-informazzjoni, tidentifika dawk l-avvenimenti li jitqiesu inċidenti b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni ħlief kif permess mill-punt IS.D.OR.205(e), u twieġeb għal, u tirkupra minn, dawk l-inċidenti tas-sigurtà tal-informazzjoni;

(6)	timplimenta l-miżuri li jkunu ġew innotifikati mill-awtorità kompetenti bħala reazzjoni immedjata għal inċident jew vulnerabbiltà relatati mas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni;

(7)	tieħu azzjoni xierqa, f’konformità mal-punt IS.D.OR.225, biex tindirizza s-sejbiet notifikati mill-awtorità kompetenti;

(8)	timplimenta skema ta’ rapportar estern f’konformità mal-punt IS.D.OR.230 sabiex tippermetti lill-awtorità kompetenti tieħu azzjonijiet xierqa;

(9)	tikkonforma mar-rekwiżiti li jinsabu fil-punt IS.D.OR.235 meta tikkuntratta kwalunkwe parti mill-attivitajiet imsemmija fil-punt IS.D.OR.200 lil organizzazzjonijiet oħrajn;

(10)	tikkonforma mar-rekwiżiti tal-persunal stabbiliti fil-punt IS.D.OR.240;

(11)	tikkonforma mar-rekwiżiti taż-żamma tar-rekords stabbiliti fil-punt IS.D.OR.245;

(12)

timmonitorja l-konformità tal-organizzazzjoni mar-rekwiżiti ta’ dan ir-Regolament u tipprovdi feedback dwar is-sejbiet lill-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, lill-kap tal-organizzazzjoni tad-disinn, sabiex tiżgura l-implimentazzjoni effettiva tal-azzjonijiet korrettivi;

(13)	tipproteġi, mingħajr preġudizzju għar-rekwiżiti applikabbli ta’ rapportar tal-inċidenti, il-kunfidenzjalità ta’ kwalunkwe informazzjoni li l-organizzazzjoni setgħet irċeviet mingħand organizzazzjonijiet oħrajn, skont il-livell ta’ sensittività tagħha.

(b)	Sabiex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-organizzazzjoni għandha timplimenta proċess ta’ titjib kontinwu f’konformità mal-punt IS.D.OR.260.

(c)

L-organizzazzjoni għandha tiddokumenta, f’konformità mal-punt IS.D.OR.250, il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.D.OR.200(a) u tistabbilixxi proċess għall-emendar ta’ dik id-dokumentazzjoni. Il-bidliet f’dawk il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet għandhom jiġu ġestiti f’konformità mal-punt IS.D.OR.255.

(d)

Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-organizzazzjoni sabiex tikkonforma mal-punt IS.D.OR.200(a) għandhom jikkorrispondu man-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati fi ħdan sistemi ta’ ġestjoni eżistenti oħrajn diġà implimentati mill-organizzazzjoni.

(e)

Mingħajr preġudizzju għall-obbligu ta’ konformità mar-rekwiżiti ta’ rapportar li jinsabu fir-Regolament (UE) Nru 376/2014 tal-Parlament Ewropew u tal-Kunsill (1) u r-rekwiżiti tal-punt IS.D.OR.200 (a) (13), l-organizzazzjoni tista’ tingħata approvazzjoni mill-awtorità kompetenti biex ma timplimentax ir-rekwiżiti msemmija fil-punti (a) sa (d) u r-rekwiżiti relatati li jinsabu fil-punti IS.D.OR.205 sa IS.D.OR.260, jekk turi għas-sodisfazzjon ta’ dik l-awtorità li l-attivitajiet, il-faċilitajiet u r-riżorsi tagħha, kif ukoll is-servizzi li topera, tipprovdi, tirċievi u żżomm, ma joħolqu l-ebda riskju għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni la għaliha nnifisha u lanqas għal organizzazzjonijiet oħrajn. L-approvazzjoni għandha tkun ibbażata fuq valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni dokumentata mwettqa mill-organizzazzjoni jew minn parti terza f’konformità mal-punt IS.D.OR.205 u riveduta u approvata mill-awtorità kompetenti tagħha.

Il-validità kontinwa ta’ dik l-approvazzjoni se tiġi riveduta mill-awtorità kompetenti wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fil-kamp ta’ applikazzjoni tal-ħidma tal-organizzazzjoni.

IS.D.OR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tidentifika l-elementi kollha tagħha, li jistgħu jkunu esposti għar-riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:

(1)	l-attivitajiet, il-faċilitajiet u r-riżorsi tal-organizzazzjoni, kif ukoll is-servizzi li l-organizzazzjoni topera, tipprovdi, tirċievi jew iżżomm;

(2)	it-tagħmir, is-sistemi, id-data u l-informazzjoni li jikkontribwixxu għall-funzjonament tal-elementi elenkati fil-punt (1).

(b)	L-organizzazzjoni għandha tidentifika l-interfaċċi li għandha ma’ organizzazzjonijiet oħrajn, u li jistgħu jirriżultaw fl-esponiment reċiproku għar-riskji għas-sigurtà tal-informazzjoni.

(c)

Fir-rigward tal-elementi u l-interfaċċi msemmija fil-punti (a) u (b), l-organizzazzjoni għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Għal kull riskju identifikat, l-organizzazzjoni għandha:

(1)	tassenja livell ta’ riskju skont klassifikazzjoni predefinita stabbilita mill-organizzazzjoni;

(2)	tassoċja kull riskju u l-livell tiegħu mal-element jew l-interfaċċa korrispondenti identifikati f’konformità mal-punti (a) u (b).

Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju ta’ theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-organizzazzjoni għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-organizzazzjoni għandha tkun tista’ tistabbilixxi jekk ir-riskju huwiex aċċettabbli jew jeħtiġx li jiġi ttrattat f’konformità mal-punt IS.D.OR.210.

Sabiex tiġi ffaċilitata l-komparabbiltà reċiproka tal-valutazzjonijiet tar-riskji, l-assenjazzjoni tal-livell ta’ riskju skont il-punt (1) għandha tqis l-informazzjoni rilevanti miksuba f’koordinazzjoni mal-organizzazzjonijiet imsemmija fil-punt (b).

(d)

L-organizzazzjoni għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u (c) fi kwalunkwe waħda mis-sitwazzjonijiet li ġejjin:

(1)	ikun hemm bidla fl-elementi soġġetti għal riskji għas-sigurtà tal-informazzjoni;

(2)	ikun hemm bidla fl-interfaċċi bejn l-organizzazzjoni u organizzazzjonijiet oħrajn, jew fir-riskji kkomunikati mill-organizzazzjonijiet l-oħra;

(3)	ikun hemm bidla fl-informazzjoni jew fl-għarfien użati għall-identifikazzjoni, l-analiżi u l-klassifikazzjoni tar-riskji;

(4)	ikun hemm tagħlimiet meħuda mill-analiżi tal-inċidenti tas-sigurtà tal-informazzjoni.

IS.D.OR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.D.OR.205, timplimentahom fil-ħin u tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-organizzazzjoni:

(1)	tikkontrolla ċ-ċirkostanzi li jikkontribwixxu għall-okkorrenza effettiva tax-xenarju ta’ theddida;

(2)	tnaqqas il-konsegwenzi fuq is-sikurezza tal-avjazzjoni assoċjati mal-materjalizzazzjoni tax-xenarju ta’ theddida;

(3)	tevita r-riskji.

Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni.

(b)

Il-persuna msemmija fil-punt IS.D.OR.240(a) u (b) u persunal affettwat ieħor tal-organizzazzjoni għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.D.OR.205, ix-xenarji ta’ theddid korrispondenti u l-miżuri li għandhom jiġu implimentati.

L-organizzazzjoni għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċa f’konformità mal-punt IS.D.OR.205(b) bi kwalunkwe riskju kondiviż bejn iż-żewġ organizzazzjonijiet.

IS.D.OR.215 Skema ta’ rapportar intern dwar is-sigurtà tal-informazzjoni

(a)	L-organizzazzjoni għandha tistabbilixxi skema ta’ rapportar intern li tippermetti l-ġbir u l-evalwazzjoni ta’ avvenimenti relatati mas-sigurtà tal-informazzjoni, inklużi dawk li għandhom jiġu rrapportati skont il-punt IS.D.OR.230.

(b)

Dik l-iskema u l-proċess imsemmi fil-punt IS.D.OR.220 għandhom jippermettu lill-organizzazzjoni:

(1)	tidentifika liema mill-avvenimenti rrapportati skont il-punt (a) jitqiesu bħala inċidenti jew vulnerabbiltajiet tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni;

(2)	tidentifika l-kawżi tal-inċidenti u l-vulnerabbiltajiet tas-sigurtà tal-informazzjoni identifikati f’konformità mal-punt (1), u tindirizzahom bħala parti mill-proċess ta’ ġestjoni tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punti IS.D.OR.205 u IS.D.OR.220;

(3)	tiżgura evalwazzjoni tal-inċidenti u l-vulnerabbiltajiet kollha magħrufa u rilevanti relatati mas-sigurtà tal-informazzjoni identifikati f’konformità mal-punt (1);

(4)	tiżgura l-implimentazzjoni ta’ metodu għad-distribuzzjoni interna tal-informazzjoni kif meħtieġ.

(c)

Kwalunkwe organizzazzjoni kuntrattata li tista’ tesponi lill-organizzazzjoni għal riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għandha tkun meħtieġa tirrapporta avvenimenti relatati mas-sigurtà tal-informazzjoni lill-organizzazzjoni. Dawk ir-rapporti għandhom jiġu ppreżentati bl-użu tal-proċeduri stabbiliti fl-arranġamenti kuntrattwali speċifiċi u għandhom jiġu evalwati f’konformità mal-punt (b).

(d)	L-organizzazzjoni għandha tikkoopera fl-investigazzjonijiet ma’ kwalunkwe organizzazzjoni oħra li jkollha kontribut sinifikanti għas-sigurtà tal-informazzjoni tal-attivitajiet tagħha stess.

(e)	L-organizzazzjoni tista’ tintegra dik l-iskema ta’ rapportar ma’ skemi oħra ta’ rapportar li tkun diġà implimentat.

IS.D.OR.220 Inċidenti ta’ sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru

(a)

Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.D.OR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.D.OR.210, l-organizzazzjoni għandha timplimenta miżuri biex jiġu identifikati inċidenti u vulnerabbiltajiet li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ detezzjoni għandhom jippermettu lill-organizzazzjoni:

(1)	tidentifika devjazzjonijiet mil-linji bażi predeterminati tal-prestazzjoni funzjonali;

(2)	tiskatta twissijiet biex jiġu attivati miżuri ta’ rispons xierqa, f’każ ta’ kwalunkwe devjazzjoni.

(b)

L-organizzazzjoni għandha timplimenta miżuri biex tirrispondi għal kwalunkwe kundizzjoni ta’ avveniment identifikata f’konformità mal-punt (a) li tista’ tiżviluppa jew tkun żviluppat f’inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-organizzazzjoni:

(1)	tibda r-reazzjoni għat-twissijiet imsemmija fil-punt (a)(2) billi tattiva riżorsi predefiniti u kors ta’ azzjonijiet;

(2)	tikkontrolla t-tixrid ta’ attakk u tevita l-materjalizzazzjoni sħiħa ta’ xenarju ta’ theddida;

(3)	tikkontrolla l-modalità ta’ ħsara tal-elementi affettwati ddefiniti fil-punt IS.D.OR.205(a).

(c)

L-organizzazzjoni għandha timplimenta miżuri mmirati lejn l-irkupru minn inċidenti ta’ sigurtà tal-informazzjoni, inklużi miżuri ta’ emerġenza, jekk ikun meħtieġ. Dawk il-miżuri ta’ rkupru għandhom jippermettu lill-organizzazzjoni:

(1)	tneħħi l-kundizzjoni li kkawżat l-inċident, jew tillimitaha għal livell tollerabbli;

(2)	tilħaq stat sikur tal-elementi affettwati ddefiniti fil-punt IS.D.OR.205(a) fi żmien ta’ rkupru definit qabel mill-organizzazzjoni.

IS.D.OR.225 Risposta għas-sejbiet innotifikati mill-awtorità kompetenti

(a)

Wara li tirċievi n-notifika tas-sejbiet sottomessi mill-awtorità kompetenti, l-organizzazzjoni għandha:

(1)	tidentifika l-kawża jew il-kawżi fundamentali tan-nonkonformità, u l-fatturi li jikkontribwixxu għaliha;

(2)	tfassal pjan ta’ azzjoni korrettiva;

(3)	turi l-korrezzjoni tan-nonkonformità għas-sodisfazzjon tal-awtorità kompetenti.

(b)	L-azzjonijiet imsemmija fil-punt (a) għandhom jitwettqu fil-perjodu miftiehem mal-awtorità kompetenti.

IS.D.OR.230 Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni

(a)	L-organizzazzjoni għandha timplimenta sistema ta’ rapportar tas-sigurtà tal-informazzjoni li tikkonforma mar-rekwiżiti stabbiliti fir-Regolament (UE) Nru 376/2014 u l-atti delegati u ta’ implimentazzjoni tiegħu jekk dak ir-Regolament ikun applikabbli għall-organizzazzjoni.

(b)

Mingħajr preġudizzju għall-obbligi tar-Regolament (UE) Nru 376/2014, l-organizzazzjoni għandha tiżgura li kwalunkwe inċident jew vulnerabbiltà għas-sigurtà tal-informazzjoni, li jistgħu jirrappreżentaw riskju sinifikanti għas-sikurezza tal-avjazzjoni, jiġu rrapportati lill-awtorità kompetenti tagħhom. Barra minn hekk:

(1)	meta tali inċident jew vulnerabbiltà taffettwa inġenju tal-ajru jew sistema jew komponent assoċjat, l-organizzazzjoni għandha tirrapportaha wkoll lid-detentur tal-approvazzjoni tad-disinn;

(2)	meta tali inċident jew vulnerabbiltà taffettwa sistema jew kostitwent użat mill-organizzazzjoni, l-organizzazzjoni għandha tirrapportaha lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent.

(c)

L-organizzazzjoni għandha tirrapporta l-kundizzjonijiet imsemmija fil-punt (b) kif ġej:

(1)	notifika għandha tiġi sottomessa lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, malli l-kundizzjoni ssir magħrufa mill-organizzazzjoni;

(2)

rapport għandu jiġi ppreżentat lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, mill-aktar fis possibbli, iżda mhux aktar minn 72 siegħa minn meta l-kundizzjoni ssir magħrufa mill-organizzazzjoni, sakemm ċirkostanzi eċċezzjonali ma jipprevjenux dan.

Ir-rapport għandu jsir fil-forma ddefinita mill-awtorità kompetenti u għandu jkun fih l-informazzjoni rilevanti kollha dwar il-kundizzjoni magħrufa mill-organizzazzjoni;

(3)

għandu jiġi ppreżentat rapport ta’ segwitu lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, li jipprovdi dettalji tal-azzjonijiet li l-organizzazzjoni tkun ħadet jew li tkun beħsiebha tieħu biex tirkupra mill-inċident u l-azzjonijiet li biħsiebha tieħu biex tipprevjeni inċidenti simili tas-sigurtà tal-informazzjoni fil-futur.

Ir-rapport ta’ segwitu għandu jiġi ppreżentat hekk kif dawk l-azzjonijiet ikunu ġew identifikati, u għandu jiġi prodott fil-forma ddefinita mill-awtorità kompetenti.

IS.D.OR.235 Kuntrattar ta’ attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tiżgura li meta tikkuntratta kwalunkwe parti mill-attivitajiet imsemmija fil-punt IS.D.OR.200 lil organizzazzjonijiet oħrajn, l-attivitajiet kuntrattati jikkonformaw mar-rekwiżiti ta’ dan ir-Regolament u l-organizzazzjoni kuntrattata taħdem taħt is-sorveljanza tagħha. L-organizzazzjoni għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti b’mod xieraq.

(b)	L-organizzazzjoni għandha tiżgura li l-awtorità kompetenti jista’ jkollha aċċess fuq talba lill-organizzazzjoni kuntrattata biex tiddetermina l-konformità kontinwa mar-rekwiżiti applikabbli stabbiliti f’dan ir-Regolament.

IS.D.OR.240 Rekwiżiti tal-persunal

(a)

Il-maniġer responsabbli tal-organizzazzjoni jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, maħtur f’konformità mar-Regolament (UE) Nru 748/2012 u r-Regolament (UE) Nru 139/2014 kif imsemmi fil-punti 1(a) u (b) tal-Artikolu 2 ta’ dan ir-Regolament, għandu jkollu awtorità korporattiva biex jiżgura li l-attivitajiet kollha meħtieġa minn dan ir-Regolament ikunu jistgħu jiġu ffinanzjati u mwettqa. Dik il-persuna għandha:

(1)	tiżgura li r-riżorsi kollha meħtieġa jkunu disponibbli biex jikkonformaw mar-rekwiżiti ta’ dan ir-Regolament;

(2)	tistabbilixxi u tippromwovi l-politika dwar is-sigurtà tal-informazzjoni msemmija fil-punt IS.D.OR.200(a)(1);

(3)	juri fehim bażiku ta’ dan ir-Regolament.

(b)

Il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, għandu jaħtar persuna jew grupp ta’ persuni biex jiżgura li l-organizzazzjoni tkun konformi mar-rekwiżiti ta’ dan ir-Regolament, u għandu jiddefinixxi l-estent tal-awtorità tagħhom. Dik il-persuna jew grupp ta’ persuni għandhom jirrapportaw direttament lill-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, lill-kap tal-organizzazzjoni tad-disinn, u għandu jkollhom l-għarfien, il-kompetenzi u l-esperjenza xierqa biex iwettqu r-responsabbiltajiet tagħhom. Għandu jiġi ddeterminat fil-proċeduri min jidher f’isem persuna partikolari fil-każ ta’ assenza twila ta’ dik il-persuna.

(c)	Il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn għandu jaħtar persuna jew grupp ta’ persuni bir-responsabbiltà li jimmaniġġjaw il-funzjoni ta’ monitoraġġ tal-konformità msemmija fil-punt IS.D.OR.200(a)(12).

(d)

Meta l-organizzazzjoni taqsam strutturi organizzattivi, politiki, proċessi u proċeduri tas-sigurtà tal-informazzjoni, ma’ organizzazzjonijiet oħrajn jew ma’ oqsma tal-organizzazzjoni tagħha stess li ma humiex parti mill-approvazzjoni jew mid-dikjarazzjoni, il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, jista’ jiddelega l-attivitajiet tagħha lil persuna responsabbli komuni.

F’każ bħal dan, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn il-maniġer responsabbli tal-organizzazzjoni jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, u l-persuna responsabbli komuni biex tiġi żgurata integrazzjoni adegwata tal-ġestjoni tas-sigurtà tal-informazzjoni fi ħdan l-organizzazzjoni.

(e)

Il-maniġer responsabbli jew il-kap tal-organizzazzjoni, tad-disinn, jew il-persuna responsabbli komuni msemmija fil-punt (d), għandu jkollhom awtorità korporattiva biex jistabbilixxu u jżommu l-istrutturi organizzattivi, il-politiki, il-proċessi u l-proċeduri meħtieġa għall-implimentazzjoni tal-punt IS.D.OR.200.

(f)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal fid-dmir li twettaq l-attivitajiet koperti minn dan l-Anness.

(g)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (f) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu.

(h)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jirrikonoxxi r-responsabbiltajiet assoċjati mar-rwoli u mal-kompiti assenjati.

(i)	L-organizzazzjoni għandha tiżgura li l-identità u l-affidabbiltà tal-persunal li għandu aċċess għas-sistemi tal-informazzjoni u għad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament ikunu stabbiliti b’mod xieraq.

IS.D.OR.245 Żamma ta’ rekords

(a)

L-organizzazzjoni għandha żżomm rekords tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(1)

L-organizzazzjoni għandha tiżgura li r-rekords li ġejjin ikunu arkivjati u traċċabbli:

(i)	kwalunkwe approvazzjoni riċevuta u kwalunkwe valutazzjoni assoċjata tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.D.OR.200(e);

(ii)	kuntratti għall-attivitajiet imsemmija fil-punt IS.D.OR.200(a)(9);

(iii)

rekords tal-proċessi ewlenin imsemmija fil-punt IS.D.OR.200(d);

(iv)	rekords tar-riskji identifikati fil-valutazzjoni tar-riskju msemmija fil-punt IS.D.OR.205 flimkien mal-miżuri assoċjati tat-trattament tar-riskju msemmija fil-punt IS.D.OR.210;

(v)	rekords ta’ inċidenti u vulnerabbiltajiet tas-sigurtà tal-informazzjoni rrapportati f’konformità mal-iskemi ta’ rapportar imsemmija fil-punti IS.D.OR.215 u IS.D.OR.230;

(vi)	rekords ta’ dawk l-avvenimenti relatati mas-sigurtà tal-informazzjoni li jista’ jkollhom bżonn jiġu vvalutati mill-ġdid biex jiżvelaw inċidenti jew vulnerabbiltajiet ta’ sigurtà tal-informazzjoni mhux identifikati.

(2)	Ir-rekords imsemmija fil-punt (1)(i) għandhom jinżammu mill-inqas sa 5 snin wara li l-approvazzjoni tkun tilfet il-validità tagħha.

(3)	Ir-rekords imsemmija fil-punt (1)(ii) għandhom jinżammu mill-inqas sa 5 snin wara li l-kuntratt ikun ġie emendat jew itterminat.

(4)	Ir-rekords imsemmija fil-punt (1)(iii), (iv) u (v) għandhom jinżammu mill-inqas għal perjodu ta’ 5 snin.

(5)	Ir-rekords imsemmija fil-punt (1)(vi) għandhom jinżammu sakemm dawk l-avvenimenti relatati mas-sigurtà tal-informazzjoni jkunu ġew ivvalutati mill-ġdid f’konformità mal-perjodiċità definita fi proċedura stabbilita mill-organizzazzjoni.

(b)

L-organizzazzjoni għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha stess involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(1)	Ir-rekords tal-kwalifiki u tal-esperjenza tal-persunal jinżammu sakemm il-persuna taħdem għall-organizzazzjoni, u għal mill-inqas tliet snin wara li l-persuna tkun telqet mill-organizzazzjoni.

(2)	Il-membri tal-persunal għandhom, fuq talba tagħhom, jingħataw aċċess għar-rekords individwali tagħhom. Barra minn hekk, fuq talba tagħhom, l-organizzazzjoni għandha tfornihom b’kopja tar-rekords individwali tagħhom malli jitilqu mill-organizzazzjoni.

(c)	Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-organizzazzjoni.

(d)

Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni mill-ħsara, mit-tibdil u mis-serq, bl-informazzjoni tiġi identifikata, meta meħtieġ, skont il-livell tal-klassifikazzjoni tas-sigurtà tagħha. L-organizzazzjoni għandha tiżgura li r-rekords jinħażnu bl-użu ta’ mezzi biex jiġu żgurati l-integrità, l-awtentiċità u l-aċċess awtorizzat.

IS.D.OR.250 Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)

(a)

L-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) u, fejn applikabbli, kwalunkwe manwal u proċedura assoċjati referenzjati, li jkun fih:

(1)

dikjarazzjoni ffirmata mill-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, mill-kap tal-organizzazzjoni tad-disinn, li tikkonferma li l-organizzazzjoni se taħdem f’kull ħin f’konformità ma’ dan l-Anness u mal-ISMM. Jekk il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, ma jkunx l-uffiċjal eżekuttiv ewlieni (CEO) tal-organizzazzjoni, dan is-CEO għandu jikkontrofirma d-dikjarazzjoni;

(2)	it-titolu/i, l-isem/ismijiet, id-dmirijiet, l-obbligi ta’ rendikont, ir-responsabbiltajiet u l-awtoritajiet tal-persuna jew tal-persuni msemmija fil-punt IS.D.OR.240(b) u (c);

(3)	it-titolu, l-isem, id-dmirijiet, l-obbligi ta’ rendikont, ir-responsabbiltajiet u l-awtoritajiet tal-persuna responsabbli komuni msemmija fil-punt IS.D.OR.240(d), jekk applikabbli;

(4)	il-politika dwar is-sigurtà tal-informazzjoni tal-organizzazzjoni kif imsemmija fil-punt IS.D.OR.200(a)(1);

(5)	deskrizzjoni ġenerali tan-numru u tal-kategorija tal-persunal u tas-sistema fis-seħħ biex tippjana d-disponibbiltà tal-persunal, kif meħtieġ mill-punt IS.D.OR.240;

(6)

it-titolu/i, l-isem/ismijiet, id-dmirijiet, l-obbligi ta’ rendikont, ir-responsabbiltajiet u l-awtoritajiet tal-persuni ewlenin responsabbli għall-implimentazzjoni tal-punt IS.D.OR.200, inkluża l-persuna jew il-persuni responsabbli għall-funzjoni ta’ monitoraġġ tal-konformità msemmija fil-punt IS.D.OR.200(a)(12);

(7)	organigramma li turi l-katini assoċjati ta’ obbligi ta’ rendikont u responsabbiltà għall-persuni msemmija fil-punti (2) u (6);

(8)	id-deskrizzjoni tal-iskema ta’ rapportar intern imsemmija fil-punt IS.D.OR.215;

(9)

il-proċeduri li jispeċifikaw kif l-organizzazzjoni tiżgura l-konformità ma’ din il-Parti, u b’mod partikolari:

(i)	il-punt tad-dokumentazzjoni IS.D.OR.200(c);

(ii)	il-proċeduri li jiddefinixxu kif l-organizzazzjoni tikkontrolla kwalunkwe attività kuntrattata msemmija fil-punt IS.D.OR.200(a)(9);

(iii)

il-proċedura ta’ emenda tal-ISMM definita fil-punt (c);

(10)	il-lista ta’ mezzi alternattivi ta’ konformità approvati bħalissa.

(b)	Il-ħruġ inizjali tal-ISMM għandu jiġi approvat u għandha tinżamm kopja mill-awtorità kompetenti. L-ISMM għandha tiġi emendata kif meħtieġ biex tibqa’ deskrizzjoni aġġornata tal-organizzazzjoni. Kopja ta’ kwalunkwe emenda għall-ISMM għandha tiġu pprovduta lill-awtorità kompetenti.

(c)	L-emendi għall-ISMM għandhom jiġu ġestiti fi proċedura stabbilita mill-organizzazzjoni. Kwalunkwe emenda li ma tkunx inkluża fil-kamp ta’ applikazzjoni tal-proċedura u kwalunkwe emenda relatata mal-bidliet msemmija fil-punt IS.D.OR.255(b), għandhom jiġu approvati mill-awtorità kompetenti.

(d)	L-organizzazzjoni tista’ tintegra l-ISMM ma’ espożizzjonijiet maniġerjali jew manwali oħra li jkollha, sakemm ikun hemm kontroreferenza ċara li tindika liema porzjonijiet mill-preżentazzjoni jew mill-manwal tal-ġestjoni jikkorrispondu għar-rekwiżiti differenti li jinsabu f’dan l-Anness.

IS.D.OR.255 Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)	Il-bidliet fl-ISMS jistgħu jiġu ġestiti u nnotifikati lill-awtorità kompetenti fi proċedura żviluppata mill-organizzazzjoni. Din il-proċedura għandha tiġi approvata mill-awtorità kompetenti.

(b)

Fir-rigward tal-bidliet fl-ISMS li ma humiex koperti mill-proċedura msemmija fil-punt (a), l-organizzazzjoni għandha tapplika għal u tikseb approvazzjoni maħruġa mill-awtorità kompetenti.

Fir-rigward ta’ dawn il-bidliet:

(1)	l-applikazzjoni għandha titressaq qabel ma ssir il-bidla, sabiex l-awtorità kompetenti tkun tista’ tiddetermina l-konformità kontinwa ma’ dan ir-Regolament, u sabiex temenda, jekk ikun meħtieġ, iċ-ċertifikat tal-organizzazzjoni tat-taħriġ u t-termini tal-approvazzjoni relatati mehmuża miegħu;

(2)	l-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti kwalunkwe informazzjoni li titlob biex tevalwa l-bidla;

(3)	it-tibdil għandu jiġi implimentat biss mal-wasla ta’ approvazzjoni formali mill-awtorità kompetenti;

(4)	l-organizzazzjoni għandha topera taħt il-kundizzjonijiet preskritti mill-awtorità kompetenti matul l-implimentazzjoni ta’ dawn il-bidliet.

IS.D.OR.260 Titjib kontinwu

(a)	L-organizzazzjoni għandha tivvaluta, bl-użu ta’ indikaturi ta’ prestazzjoni adegwati, l-effettività u l-maturità tal-ISMS. Dik il-valutazzjoni għandha titwettaq fuq bażi kalendarja predefinita mill-organizzazzjoni jew wara inċident tas-sigurtà tal-informazzjoni.

(b)

Jekk jinstabu nuqqasijiet wara l-valutazzjoni mwettqa f’konformità mal-punt (a), l-organizzazzjoni għandha tieħu l-miżuri ta’ titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-organizzazzjoni għandha tivvaluta mill-ġdid dawk l-elementi tal-ISMS affettwati mill-miżuri adottati.

(1) Ir-Regolament (UE) Nru 376/2014 tal-Parlament Ewropew u tal-Kunsill tat-3 ta’ April 2014 dwar ir-rappurtar, l-analiżi u s-segwitu ta’ okkorrenzi fl-avjazzjoni ċivili, li jemenda r-Regolament (UE) Nru 996/2010 tal-Parlament Ewropew u tal-Kunsill u li jħassar id-Direttiva 2003/42/KE tal-Parlament Ewropew u tal-Kunsill, u r-Regolamenti tal-Kummissjoni (KE) Nru 1321/2007 u (KE) Nru 1330/2007 (ĠU L 122, 24.4.2014, p. 18).

Top

All