This document is an excerpt from the EUR-Lex website
Document 32023R0203
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
Regolament ta’ implimentazzjoni tal-kummissjoni (UE) 2023/203 tas-27 ta’ Ottubru 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti tal-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664, u għall-awtoritajiet kompetenti koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012, (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340 u (UE) Nru 139/2014, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664
Regolament ta’ implimentazzjoni tal-kummissjoni (UE) 2023/203 tas-27 ta’ Ottubru 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti tal-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664, u għall-awtoritajiet kompetenti koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012, (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340 u (UE) Nru 139/2014, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664
C/2022/7215
ĠU L 31, 2.2.2023, p. 1–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 05/10/2023
2.2.2023 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 31/1 |
REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2023/203
tas-27 ta’ Ottubru 2022
li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti tal-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664, u għall-awtoritajiet kompetenti koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012, (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340 u (UE) Nru 139/2014, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2018 dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (1), u b’mod partikolari l-Artikoli 17(1) il-punt (b), 27(1) il-punt (a), 31(1) il-punt (b), 43(1) il-punt (b), 53(1) il-punt (a), u 62(15) il-punt (c), tiegħu
Billi:
(1) |
F’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness II, il-punt 3.1(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tal-ġestjoni tal-kontinwità tal-ajrunavigabbiltà u l-organizzazzjonijiet tal-manutenzjoni jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza. |
(2) |
Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness IV, il-punt 3.3(b) u l-punt 5(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tat-taħriġ tal-bdoti, l-organizzazzjonijiet tat-taħriġ tal-ekwipaġġ tal-kabina, iċ-ċentri ajrumediċi tal-ekwipaġġ tal-ajru, u l-operaturi tal-apparati tat-taħriġ tas-simulazzjoni tat-titjir iridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza. |
(3) |
Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness V, il-punt 8.1(c), tar-Regolament (UE) 2018/1139, l-operaturi tal-ajru jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza. |
(4) |
Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness VIII, il-punt 5.1(c) u l-punt 5.4(b), tar-Regolament (UE) 2018/1139, il-fornituri tas-servizzi tal-ġestjoni tat-traffiku tal-ajru u tan-navigazzjoni tal-ajru, il-fornituri tas-servizzi tal-Uspazju u l-fornituri tas-servizzi tal-informazzjoni komuni uniċi, u l-organizzazzjonijiet tat-taħriġ u ċ-ċentri ajrumediċi għall-kontrollur tat-traffiku tal-ajru jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza. |
(5) |
Dawk ir-riskji għas-sikurezza jistgħu jiġu minn sorsi differenti, bħal difetti fid-disinn u fil-manutenzjoni, aspetti ta’ prestazzjoni umana, theddid ambjentali u theddid għas-sigurtà tal-informazzjoni. Għalhekk, is-sistemi tal-ġestjoni implimentati mill-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea (“l-Aġenzija”) u mill-awtoritajiet u l-organizzazzjonijiet nazzjonali kompetenti msemmija fil-premessi hawn fuq jenħtieġ li jqisu mhux biss ir-riskji għas-sikurezza li jirriżultaw minn avvenimenti każwali, iżda anki r-riskji għas-sikurezza maħluqa mit-theddid għas-sigurtà tal-informazzjoni meta xi difetti eżistenti jiġu sfruttati minn individwi b’intenzjoni malizzjuża. Dawk ir-riskji għas-sigurtà tal-informazzjoni qed jiżdiedu b’mod kostanti fl-ambjent tal-avjazzjoni ċivili, hekk kif is-sistemi tal-informazzjoni attwali qed isiru aktar u aktar interkonnessi, u qed isiru dejjem aktar il-mira ta’ atturi malizzjużi. |
(6) |
Ir-riskji assoċjati ma’ dawk is-sistemi tal-informazzjoni mhumiex limitati għal attakki possibbli għaċ-ċiberspazju, iżda jinkludu theddid, li jista’ jaffettwa l-proċessi u l-proċeduri, kif ukoll il-prestazzjoni umana. |
(7) |
Bosta organizzazzjonijiet diġà qed jużaw l-istandards internazzjonali, bħall-ISO 27001, biex jindirizzaw is-sigurtà tal-informazzjoni u d-data diġitali. Dawk l-istandards jaf ma jindirizzawx għalkollox l-ispeċifiċitajiet kollha tal-avjazzjoni ċivili. Għalhekk, jixraq jiġu stabbiliti rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni. |
(8) |
Hu essenzjali li dawk ir-rekwiżiti jkopru l-oqsma kollha tal-avjazzjoni u l-interfaċċji tagħhom, għax l-avjazzjoni hi sistema interkonnessa ħafna ta’ sistemi. Għalhekk, dawn jenħtieġ li japplikaw għall-organizzazzjonijiet u l-awtoritajiet kompetenti kollha koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 (2), (UE) Nru 1321/2014 (3), (UE) Nru 965/2012 (4), (UE) Nru 1178/2011 (5), (UE) 2015/340 (6), (UE) Nru 139/2014 (7) u mir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 (8), kif ukoll dawk li diġà jeħtieġ ikollhom sistema tal-ġestjoni f’konformità mal-leġiżlazzjoni eżistenti tal-Unjoni dwar is-sikurezza tal-avjazzjoni. Madankollu, xi organizzazzjonijiet jenħtieġ li jiġu esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament biex tkun żgurata proporzjonalità xierqa għar-riskji inqas serji għas-sigurtà tal-informazzjoni li dawn joħolqu għas-sistema tal-avjazzjoni. |
(9) |
Ir-rekwiżiti stipulati f’dan ir-Regolament jenħtieġ li jiżguraw implimentazzjoni konsistenti fl-oqsma kollha tal-avjazzjoni, filwaqt li joħolqu impatt minimu fuq il-leġiżlazzjoni tal-Unjoni dwar is-sikurezza tal-avjazzjoni diġà applikabbli għal dawk l-oqsma. |
(10) |
Ir-rekwiżiti stipulati f’dan ir-Regolament jenħtieġ li jkunu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stipulati fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 (9) u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 (10) tal-Parlament Ewropew u tal-Kunsill. |
(11) |
Ir-rekwiżiti tas-sigurtà stipulati fl-Artikoli 33 sa 43 tat-Titolu V “Sigurtà tal-Programm” tar-Regolament (UE) 2021/696 (11) tal-Parlament Ewropew u tal-Kunsill jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li jenħtieġ li jkun hemm konformità magħhom. |
(12) |
Biex tingħata ċ-ċertezza legali, l-interpretazzjoni tat-terminu “sigurtà tal-informazzjoni” kif definit f’dan ir-Regolament, li tirrifletti l-użu komuni tiegħu fl-avjazzjoni ċivili madwar id-dinja, jenħtieġ li titqies konsistenti ma’ dik tat-terminu “sigurtà tan-networks u tas-sistemi tal-informazzjoni” kif definit fl-Artikolu 4(2) tad-Direttiva (UE) 2016/1148. Id-definizzjoni ta’ “sigurtà tal-informazzjoni” użata għall-finijiet ta’ dan ir-Regolament jenħtieġ li ma tiġix interpretata bħala diverġenti mid-definizzjoni ta’ “sigurtà tan-networks u tas-sistemi tal-informazzjoni” stipulata fid-Direttiva (UE) 2016/1148. |
(13) |
Biex tiġi evitata d-duplikazzjoni tar-rekwiżiti legali, meta l-organizzazzjonijiet koperti minn dan ir-Regolament ikunu diġà soġġetti għar-rekwiżiti tas-sigurtà li joħorġu mill-atti tal-Unjoni msemmija fil-premessi (10) u (11) li fl-effett tagħhom huma ekwivalenti għad-dispożizzjonijiet stipulati f’dan ir-Regolament, jenħtieġ li l-konformità ma’ dawk ir-rekwiżiti tas-sigurtà titqies bħala li tikkostitwixxi konformità mar-rekwiżiti stipulati f’dan ir-Regolament. |
(14) |
L-organizzazzjonijiet koperti minn dan ir-Regolament li diġà huma soġġetti għar-rekwiżiti tas-sigurtà stabbiliti mir-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jew mir-Regolament (UE) 2021/696, jew mit-tnejn, jenħtieġ li jikkonformaw ukoll mar-rekwiżiti tal-Anness II (Parti IS.I.OR.230 “Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni”) ta’ dan ir-Regolament, għax l-ebda Regolament ma fih dispożizzjonijiet relatati mar-rapportar estern ta’ inċidenti tas-sigurtà tal-informazzjoni. |
(15) |
Għal raġunijiet ta’ kompletezza, ir-Regolamenti (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni (UE) 2017/373 (12) u (UE) 2021/664 jenħtieġ li jiġu emendati biex jiddaħħlu r-rekwiżiti tas-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni preskritti f’dan ir-Regolament flimkien mas-sistemi tal-ġestjoni stabbiliti fih, u biex jiġu stabbiliti r-rekwiżiti tal-awtoritajiet kompetenti b’rabta mas-sorveljanza tal-organizzazzjonijiet li jimplimentaw ir-rekwiżiti tal-ġestjoni tas-sigurtà tal-informazzjoni msemmija hawn fuq. |
(16) |
Biex l-organizzazzjonijiet jingħataw biżżejjed żmien biex jiżguraw il-konformità mar-regoli u l-proċeduri l-ġodda, dan ir-Regolament jenħtieġ li japplika wara tliet (3) snin mid-dħul fis-seħħ tiegħu, għajr għall-fornitur tas-servizzi tan-navigazzjoni bl-ajru tas-Sistema Ewropea ta’ Navigazzjoni b’Kopertura Ġeostazzjonarja (EGNOS) definit fir-Regolament ta’ Implimentazzjoni (UE) 2017/373 li, minħabba l-akkreditazzjoni tas-sigurtà pendenti tas-sistema u tas-servizzi tal-EGNOS f’konformità mar-Regolament (UE) 2021/696, jenħtieġ li jibda japplika mill-1 ta’ Jannar 2026. |
(17) |
Ir-rekwiżiti stipulati f’dan ir-Regolament huma bbażati fuq l-Opinjoni Nru 03/2021 (13), maħruġa mill-Aġenzija f’konformità mal-Artikolu 75(2), il-punti (b) u (c), u mal-Artikolu 76(1) tar-Regolament (UE) 2018/1139. |
(18) |
Ir-rekwiżiti stipulati f’dan ir-Regolament huma konformi mal-opinjoni tal-Kumitat għall-applikazzjoni ta’ regoli komuni tas-sikurezza fil-qasam tal-avjazzjoni ċivili stabbiliti mill-Artikolu 127 tar-Regolament (UE) 2018/1139, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament jistabbilixxi r-rekwiżiti li għandhom jissodisfaw l-organizzazzjonijiet u l-awtoritajiet kompetenti biex:
(a) |
jidentifikaw u jimmaniġġjaw ir-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jistgħu jaffettwaw is-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data użati għal skopijiet ta’ avjazzjoni ċivili, |
(b) |
jidentifikaw l-avvenimenti tas-sigurtà tal-informazzjoni u jidentifikaw dawk li jitqiesu bħala inċidenti tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni, |
(c) |
jirrispondu għal dawk l-inċidenti tas-sigurtà tal-informazzjoni u jirkupraw minnhom. |
Artikolu 2
Kamp ta’ applikazzjoni
1. Dan ir-Regolament japplika għall-organizzazzjonijiet li ġejjin:
(a) |
organizzazzjonijiet tal-manutenzjoni soġġetti għat-Taqsima A tal-Anness II (Parti-145) tar-Regolament (UE) Nru 1321/2014, għajr dawk involuti biss fil-manutenzjoni tal-inġenji tal-ajru f’konformità mal-Anness Vb (Parti-ML) tar-Regolament (UE) Nru 1321/2014; |
(b) |
l-organizzazzjonijiet tal-ġestjoni tal-kontinwità tal-ajrunavigabbiltà (CAMOs) soġġetti għat-Taqsima A tal-Anness Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014, għajr dawk involuti biss fil-ġestjoni tal-kontinwità tal-ajrunavigabbiltà tal-inġenji tal-ajru f’konformità mal-Anness Vb (Parti-ML) tar-Regolament (UE) Nru 1321/2014; |
(c) |
l-operaturi tal-ajru soġġetti għall-Anness III (Parti-ORO) tar-Regolament (UE) Nru 965/2012, għajr dawk involuti biss fl-operat ta’ xi wieħed minn dawn li ġejjin:
|
(d) |
organizzazzjonijiet tat-taħriġ approvati (ATOs) soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011, għajr dawk involuti biss fl-attivitajiet ta’ taħriġ tal-inġenji tal-ajru ELA2 kif definiti fil-punt (j) tal-Artikolu 1(2) tar-Regolament (UE) Nru 748/2012, jew dawk involuti biss f’taħriġ teoretiku; |
(e) |
ċentri ajrumediċi tal-ekwipaġġ tal-ajru soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011; |
(f) |
operaturi tal-apparat tat-taħriġ tas-simulazzjoni tat-titjir (FSTD) soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011, għajr dawk involuti biss fl-operat tal-FSTDs għall-inġenji tal-ajru ELA2 kif definit fil-punt (j) tal-Artikolu 1(2) tar-Regolament (UE) Nru 748/2012; |
(g) |
organizzazzjonijiet ta’ taħriġ tal-kontrolluri tat-traffiku tal-ajru (ATCO TOs) u ċentri ajrumediċi tal-ATCO soġġetti għall-Anness III (Parti ATCO.OR) tar-Regolament (UE) 2015/340; |
(h) |
organizzazzjonijiet soġġetti għall-Anness III (Parti-ATM/ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373, għajr il-fornituri tas-servizzi li ġejjin:
|
(i) |
fornituri tas-servizzi tal-Uspazju u fornituri tas-servizzi tal-informazzjoni komuni uniċi soġġetti għar-Regolament ta’ Implimentazzjoni (UE) 2021/664. |
2. Dan ir-Regolament japplika għall-awtoritajiet kompetenti, inkluż l-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea (“l-Aġenzija”), imsemmija fl-Artikolu 6 ta’ dan ir-Regolament u fl-Artikolu 5 tar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (14).
3. Dan ir-Regolament japplika wkoll għall-awtorità kompetenti responsabbli għall-ħruġ, il-kontinwazzjoni, it-tibdil, is-sospensjoni jew ir-revoka ta’ liċenzji tal-manutenzjoni tal-inġenji tal-ajru f’konformità mal-Anness III (Parti-66) tar-Regolament (UE) Nru 1321/2014.
4. Dan ir-Regolament hu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stipulati fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148.
Artikolu 3
Definizzjonijiet
Għall-fini ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:
(1) |
“sigurtà tal-informazzjoni” tfisser il-preservazzjoni tal-kunfidenzjalità, tal-integrità, tal-awtentiċità u tad-disponibbiltà tan-network u tas-sistemi tal-informazzjoni; |
(2) |
“avveniment tas-sigurtà tal-informazzjoni” tfisser okkorrenza identifikata ta’ sistema, servizz jew stat tan-network li tindika ksur possibbli tal-politika dwar is-sigurtà tal-informazzjoni jew nuqqas ta’ kontrolli tas-sigurtà tal-informazzjoni, jew sitwazzjoni li qabel ma kinitx magħrufa li tista’ tkun rilevanti għas-sigurtà tal-informazzjoni; |
(3) |
“inċident” tfisser avveniment li jkollu effett negattiv reali fuq is-sigurtà tan-network u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 4(7) tad-Direttiva (UE) 2016/1148; |
(4) |
“riskju għas-sigurtà tal-informazzjoni” tfisser ir-riskju għall-operazzjonijiet, l-assi, l-individwi tal-operazzjonijiet tal-avjazzjoni ċivili organizzazzjonali, u organizzazzjonijiet oħrajn, minħabba l-potenzjal ta’ avveniment tas-sigurtà tal-informazzjoni. Ir-riskji għas-sigurtà tal-informazzjoni huma assoċjati mal-potenzjal li t-theddidiet jisfruttaw il-vulnerabbiltajiet tal-assi tal-informazzjoni jew ta’ grupp ta’ assi tal-informazzjoni; |
(5) |
“theddida” tfisser ksur potenzjali tas-sigurtà tal-informazzjoni li jeżisti meta jkun hemm entità, ċirkostanza, azzjoni jew avveniment li jista’ jikkawża dannu; |
(6) |
“vulnerabbiltà” tfisser difett jew dgħufija f’assi jew f’sistema, fi proċeduri, f’disinn, f’implimentazzjoni, jew f’miżuri tas-sigurtà tal-informazzjoni li jistgħu jiġu sfruttati u li jikkawżaw ksur jew vjolazzjoni tal-politika dwar is-sigurtà tal-informazzjoni. |
Artikolu 4
Rekwiżiti għall-organizzazzjonijiet u għall-awtoritajiet kompetenti
1. L-organizzazzjonijiet imsemmija fl-Artikolu 2(1) għandhom jikkonformaw mar-rekwiżiti tal-Anness II (Parti-IS.I.OR) ta’ dan ir-Regolament.
2. L-awtoritajiet kompetenti msemmija fl-Artikolu 2(2) u (3) għandhom jikkonformaw mar-rekwiżiti tal-Anness I (Parti-IS.AR) ta’ dan ir-Regolament.
Artikolu 5
Rekwiżiti li joħorġu minn leġiżlazzjoni oħra tal-Unjoni
1. Meta organizzazzjoni msemmija fl-Artikolu 2(1) tikkonforma mar-rekwiżiti tas-sigurtà stipulati f’konformità mal-Artikolu 14 tad-Direttiva (UE) 2016/1148 li huma ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti tas-sigurtà għandha titqies li tikkostitwixxi konformità mar-rekwiżiti stipulati f’dan ir-Regolament.
2. Meta organizzazzjoni msemmija fl-Artikolu 2(1) tkun operatur jew entità msemmija fil-programmi tas-sigurtà tal-avjazzjoni ċivili nazzjonali tal-Istati Membri stipulati f’konformità mal-Artikolu 10 tar-Regolament (KE) Nru 300/2008 (15) tal-Parlament Ewropew u tal-Kunsill, ir-rekwiżiti taċ-ċibersigurtà li jinsabu fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 għandhom jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu bħala tali.
3. Meta l-organizzazzjoni msemmija fl-Artikolu 2(1) tkun il-fornitur tas-servizzi tan-navigazzjoni bl-ajru tas-Servizz Ewropew ta’ Navigazzjoni b’Kopertura Ġeostazzjonarja (EGNOS) imsemmi fir-Regolament (UE) 2021/696, ir-rekwiżiti tas-sigurtà li hemm fl-Artikoli 33 sa 43 tat-Titolu V ta’ dak ir-Regolament jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu bħala tali.
4. Il-Kummissjoni, wara li tikkonsulta lill-Aġenzija u lill-Grupp ta’ Kooperazzjoni msemmi fl-Artikolu 11 tad-Direttiva (UE) 2016/1148, tista’ toħroġ linji gwida għall-valutazzjoni tal-ekwivalenza tar-rekwiżiti stipulati f’dan ir-Regolament u fid-Direttiva (UE) 2016/1148.
Artikolu 6
Awtorità kompetenti
1. Mingħajr preġudizzju għall-kompiti fdati lill-Bord għall-Akkreditazzjoni tas-Sigurtà (SAB) imsemmi fl-Artikolu 36 tar-Regolament (UE) 2021/696, l-awtorità responsabbli għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità ma’ dan ir-Regolament għandha tkun:
(a) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (a), tal-awtorità kompetenti maħtura f’konformità mal-Anness II (Parti-145) tar-Regolament (UE) Nru 1321/2014; |
(b) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (b), tal-awtorità kompetenti maħtura f’konformità mal-Anness Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014; |
(c) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (c), tal-awtorità kompetenti maħtura f’konformità mal-Anness III (Parti-ORO) tar-Regolament (UE) Nru 965/2012; |
(d) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punti minn (d) sa (f), tal-awtorità kompetenti maħtura f’konformità mal-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011; |
(e) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (g), tal-awtorità kompetenti maħtura f’konformità mal-Artikolu 6(2) tar-Regolament (UE) 2015/340; |
(f) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (h), tal-awtorità kompetenti maħtura f’konformità mal-Artikolu 4(1) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373; |
(g) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (i), l-awtorità kompetenti maħtura f’konformità mal-Artikolu 14(1) jew 14(2), kif applikabbli, tar-Regolament ta’ Implimentazzjoni (UE) 2021/664. |
2. L-Istati Membri jistgħu, għall-finijiet ta’ dan ir-Regolament, jaħtru entità indipendenti u awtonoma biex tissodisfa r-rwol u r-responsabbiltajiet assenjati tal-awtoritajiet kompetenti msemmija fil-paragrafu 1. F’dak il-każ, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn dik l-entità u l-awtoritajiet kompetenti, kif imsemmi fil-paragrafu 1, biex tiġi żgurata sorveljanza effettiva tar-rekwiżiti kollha li għandha tissodisfa l-organizzazzjoni.
3. L-Aġenzija għandha tikkoopera bis-sħiħ mar-regoli applikabbli dwar is-segretezza, il-protezzjoni tad-data personali u l-protezzjoni tal-informazzjoni klassifikata mal-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali (EUSPA), u l-SAB imsemmi fl-Artikolu 36 tar-Regolament (UE) 2021/696 biex tiġi żgurata sorveljanza effettiva tar-rekwiżiti applikabbli għall-fornitur tas-servizzi tan-navigazzjoni bl-ajru tal-EGNOS.
Artikolu 7
Sottomissjoni ta’ informazzjoni rilevanti lill-awtoritajiet kompetenti tal-NIS
L-awtoritajiet kompetenti skont dan ir-Regolament għandhom jinformaw, mingħajr dewmien żejjed, lill-punt uniku ta’ kuntatt maħtur f’konformità mal-Artikolu 8 tad-Direttiva (UE) 2016/1148 dwar kull informazzjoni rilevanti inkluża fin-notifiki sottomessi skont il-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament u l-punt IS.D.OR.230 tal-Anness I tar-Regolament Delegat 2022/1645 mill-operaturi tas-servizzi essenzjali identifikati f’konformità mal-Artikolu 5 tad-Direttiva (UE) 2016/1148.
Artikolu 8
Emendi għar-Regolament (UE) Nru 1178/2011
L-Annessi VI (Parti-ARA) u VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011 huma emendati f’konformità mal-Anness III ta’ dan ir-Regolament.
Artikolu 9
Emendi għar-Regolament (UE) Nru 748/2012
L-Anness I (Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat f’konformità mal-Anness IV ta’ dan ir-Regolament.
Artikolu 10
Emendi għar-Regolament (UE) Nru 965/2012
L-Annessi II (Parti-ARO) u III (Parti-ORO) tar-Regolament (UE) Nru 965/2012 huma emendati f’konformità mal-Anness V ta’ dan ir-Regolament.
Artikolu 11
Emendi għar-Regolament (UE) Nru 139/2014
L-Anness II (Parti-ADR.AR) tar-Regolament (UE) Nru 139/2014 huwa emendat f’konformità mal-Anness VI ta’ dan ir-Regolament.
Artikolu 12
Emendi għar-Regolament (UE) Nru 1321/2014
L-Annessi II (Parti-145), III (Parti-66) u Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014 huma emendati f’konformità mal-Anness VII ta’ dan ir-Regolament.
Artikolu 13
Emendi għar-Regolament (UE) 2015/340
L-Annessi II (Parti-ATCO.AR) u III (Parti-ATCO.OR) tar-Regolament (UE) 2015/340 huma emendati f’konformità mal-Anness VIII ta’ dan ir-Regolament.
Artikolu 14
Emendi għar-Regolament ta’ Implimentazzjoni (UE) 2017/373
L-Annessi II (Parti-ATM/ANS.AR) u III (Parti-ATM/ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373 huma emendati f’konformità mal-Anness IX ta’ dan ir-Regolament.
Artikolu 15
Emendi għar-Regolament ta’ Implimentazzjoni (UE) 2021/664
Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 huwa emendat kif ġej:
(1) |
fl-Artikolu 15(1), il-punt (f) huwa sostitwit b’dan li ġej:
|
(2) |
fl-Artikolu 18, jiżdied il-punt (l) li ġej:
|
Artikolu 16
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Għandu japplika mit-22 ta’ Frar 2026.
Madankollu, fir-rigward tal-każ tal-fornitur tas-servizzi tan-navigazzjoni bl-ajru tal-EGNOS soġġett għar-Regolament ta’ Implimentazzjoni (UE) 2017/373, dan għandu japplika mill-1 ta’ Jannar 2026.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, is-27 ta’ Ottubru 2022.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 212, 22.8.2018, p. 1.
(2) Ir-Regolament tal-Kummissjoni (UE) Nru 748/2012 tat-3 ta’ Awwissu 2012 li jistabbilixxi regoli ta’ implimentazzjoni għaċ-ċertifikazzjoni tal-airworthiness u ambjentali ta’ inġenji tal-ajru u ta’ prodotti, partijiet u tagħmir relatati, kif ukoll għaċ-ċertifikazzjoni ta’ organizzazzjonijiet relatati mad-disinn u l-produzzjoni (ĠU L 224, 21.8.2012, p. 1).
(3) Ir-Regolament tal-Kummissjoni (UE) Nru 1321/2014 tas-26 ta’ Novembru 2014 dwar il-kontinwità tal-ajrunavigabbiltà ta’ inġenji tal-ajru u prodotti, partijiet u tagħmir ajrunawtiċi, u dwar l-approvazzjoni ta’ organizzazzjonijiet u persunal involut f’dan ix-xogħol (Riformulazzjoni) (ĠU L 362, 17.12.2014, p. 1).
(4) Ir-Regolament tal-Kummissjoni (UE) Nru 965/2012 tal-5 ta’ Ottubru 2012 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati mal-operazzjonijiet bl-ajru skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 296, 25.10.2012, p. 1).
(5) Ir-Regolament tal-Kummissjoni (UE) Nru 1178/2011 tat-3 ta’ Novembru 2011 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati mal-ekwipaġġi tal-ajruplani tal-avjazzjoni ċivili skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 311, 25.11.2011, p. 1).
(6) Ir-Regolament tal-Kummissjoni (UE) 2015/340 tal-20 ta’ Frar 2015 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati maċ-ċertifikati u l-liċenzji tal-kontrolluri tat-traffiku tal-ajru skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill, li jemenda r-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) Nru 923/2012 u li jħassar ir-Regolament tal-Kummissjoni (UE) Nru 805/2011 (ĠU L 63, 6.3.2015, p. 1).
(7) Ir-Regolament tal-Kummissjoni (UE) Nru 139/2014 tat-12 ta’ Frar 2014 li jistabbilixxi rekwiżiti u proċeduri amministrattivi b’rabta mal-ajrudromi skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 44, 14.2.2014, p. 1).
(8) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 tat-22 ta’ April 2021 dwar qafas regolatorju għall-U-space (ĠU L 139, 23.4.2021, p. 161).
(9) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 tal-5 ta’ Novembru 2015 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni (ĠU L 299, 14.11.2015, p. 1).
(10) Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).
(11) Ir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill tat-28 ta’ April 2021 li jistabbilixxi l-Programm Spazjali tal-Unjoni u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali u li jħassar ir-Regolamenti (UE) Nru 912/2010, (UE) Nru 1285/2013 u, (UE) Nru 377/2014 u d-Deċiżjoni Nru 541/2014/UE (ĠU L 170, 12.5.2021, p. 69).
(12) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 tal-1 ta’ Marzu 2017 li jistabbilixxi r-rekwiżiti komuni għall-fornituri ta’ servizzi fil-ġestjoni tat-traffiku tal-ajru/tas-servizzi tan-navigazzjoni bl-ajru u funzjonijiet oħrajn tan-network tal-ġestjoni tat-traffiku tal-ajru u s-sorveljanza tagħhom, iħassar ir-Regolament (KE) Nru 482/2008, ir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) Nru 1034/2011, (UE) Nru 1035/2011 u (UE) 2016/1377 u jemenda r-Regolament (UE) Nru 677/2011 (ĠU L 62, 8.3.2017, p. 1).
(13) https://www.easa.europa.eu/en/document-library/opinions/opinion-032021
(14) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18).
(15) Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, 9.4.2008, p. 72).
ANNESS I
SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-AWTORITÀ
[PARTI-IS.AR]
IS.AR.100 |
Kamp ta’ applikazzjoni |
IS.AR.200 |
Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) |
IS.AR.205 |
Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni |
IS.AR.210 |
Trattament tar-riskju għas-sigurtà tal-informazzjoni |
IS.AR.215 |
Inċidenti tas-sigurtà tal-informazzjoni — detezzjoni, rispons u rkupru |
IS.AR.220 |
Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.AR.225 |
Rekwiżiti tal-persunal |
IS.AR.230 |
Żamma tar-rekords |
IS.AR.235 |
Titjib kontinwu |
IS.AR.100 Kamp ta’ applikazzjoni
Din il-Parti tistabbilixxi r-rekwiżiti ta’ ġestjoni li jridu jissodisfaw l-awtoritajiet kompetenti msemmija fl-Artikolu 2(2) ta’ dan ir-Regolament.
Ir-rekwiżiti li jridu jissodisfaw dawk l-awtoritajiet kompetenti għat-twettiq tal-attivitajiet tagħhom ta’ ċertifikazzjoni, sorveljanza u infurzar jinsabu fir-Regolamenti msemmija fl-Artikolu 2(1) ta’ dan ir-Regolament u fl-Artikolu 2 tar-Regolament Delegat (UE) 2022/1645.
IS.AR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)
(a) |
Biex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-awtorità kompetenti għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-awtorità kompetenti:
|
(b) |
Biex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-awtorità kompetenti għandha twettaq proċess ta’ titjib kontinwu f’konformità mal-punt IS.AR.235. |
(c) |
L-awtorità kompetenti għandha tiddokumenta l-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.AR.200(a) u tistabbilixxi proċess għall-emendar ta’ din id-dokumentazzjoni. |
(d) |
Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-awtorità kompetenti biex tikkonforma mal-punt IS.AR.200(a) għandhom jikkorrespondu għan-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati f’sistemi ta’ ġestjoni eżistenti oħrajn li diġà implimentat l-awtorità kompetenti. |
IS.AR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-awtorità kompetenti għandha tidentifika l-elementi kollha tal-organizzazzjoni tagħha stess li jistgħu jkunu esposti għal riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:
|
(b) |
L-awtorità kompetenti għandha tidentifika l-interfaċċji li l-organizzazzjoni tagħha stess għandha ma’ organizzazzjonijiet oħra, u li jistgħu joħolqu l-esponiment reċiproku għal riskji għas-sigurtà tal-informazzjoni. |
(c) |
Għall-elementi u l-interfaċċji msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Għal kull riskju identifikat, l-awtorità kompetenti għandha:
Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju ta’ theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-awtorità kompetenti għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-awtorità kompetenti għandha tkun tista’ tistabbilixxi jekk ir-riskju hux aċċettabbli jew jekk jeħtieġx jiġi ttrattat f’konformità mal-punt IS.AR.210. Biex jiffaċilita l-komparabbiltà reċiproka tal-valutazzjonijiet tar-riskji, l-assenjar tal-livell tar-riskju skont il-punt (1) għandu jqis l-informazzjoni rilevanti miksuba b’koordinazzjoni mal-organizzazzjonijiet imsemmija fil-punt (b). |
(d) |
L-awtorità kompetenti għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u (c) f’kull każ li ġej, jiġifieri meta:
|
IS.AR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-awtorità kompetenti għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.AR.205, għandha timplimentahom fil-ħin u għandha tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-awtorità kompetenti:
Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni. |
(b) |
Il-persuna msemmija fil-punt IS.AR.225 (a) u persunal affettwat ieħor tal-awtorità kompetenti għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.AR.205, ix-xenarji tat-theddid korrispondenti u l-miżuri li jridu jiġu implimentati. L-awtorità kompetenti għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċja f’konformità mal-punt IS.AR.205 (b) b’kull riskju kondiviż bejn l-awtorità kompetenti u l-organizzazzjoni. |
IS.AR.215 Inċidenti tas-sigurtà tal-informazzjoni — identifikazzjoni, rispons u rkupru
(a) |
Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.AR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.AR.210, l-awtorità kompetenti għandha timplimenta miżuri biex tidentifika avvenimenti li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ identifikazzjoni għandhom jippermettu lill-awtorità kompetenti:
|
(b) |
L-awtorità kompetenti għandha timplimenta miżuri biex tirrispondi għal kull kundizzjoni ta’ avveniment identifikata f’konformità mal-punt (a) li tista’ ssir jew tkun saret inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-awtorità kompetenti:
|
(c) |
L-awtorità kompetenti għandha timplimenta miżuri mmirati għall-irkupru minn inċidenti tas-sigurtà tal-informazzjoni, inkluż miżuri ta’ emerġenza, jekk ikunu meħtieġa. Dawk il-miżuri tal-irkupru għandhom jippermettu lill-awtorità kompetenti:
|
IS.AR.220 Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
L-awtorità kompetenti għandha tiżgura li meta tikkuntratta xi parti mill-attivitajiet imsemmija fil-punt IS.AR.200 lil organizzazzjonijiet oħra, l-attivitajiet ikkuntrattati jkunu konformi mar-rekwiżiti ta’ dan ir-Regolament u li l-organizzazzjoni kkuntrattata tkun topera fis-sorveljanza tagħha. L-awtorità kompetenti għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti kif xieraq.
IS.AR.225 Rekwiżiti tal-persunal
L-awtorità kompetenti:
(a) |
għandu jkollha persuna bl-awtorità li tistabbilixxi u żżomm l-istrutturi, il-politiki, il-proċessi u l-proċeduri organizzattivi meħtieġa biex timplimenta dan ir-Regolament. Din il-persuna:
|
(b) |
għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal biex iwettaq l-attivitajiet koperti minn dan l-Anness; |
(c) |
għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (b) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu; |
(d) |
għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jagħraf ir-responsabbiltajiet assoċjati mar-rwoli u l-kompiti assenjati; |
(e) |
għandha tiżgura li l-identità u l-affidabbiltà tal-persunal b’aċċess għas-sistemi tal-informazzjoni u tad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament, ikunu stabbiliti kif xieraq. |
IS.AR.230 Żamma tar-rekords
(a) |
L-awtorità kompetenti għandha żżomm rekords tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha
|
(b) |
L-awtorità kompetenti għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
(c) |
Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-awtorità kompetenti. |
(d) |
Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni minn ħsara, tibdil u serq, bi information being identified, when required, according to its security classification level. L-awtorità kompetenti għandha tiżgura li r-rekords jinħażnu b’mezzi li jiżguraw l-integrità, l-awtentiċità u l-aċċess awtorizzat. |
IS.AR.235 Titjib kontinwu
(a) |
L-awtorità kompetenti għandha tivvaluta l-effettività u l-maturità tal-ISMS tagħha stess, b’indikaturi tal-prestazzjoni adegwati. Il-valutazzjoni għandha ssir skont skeda kalendarja predefinita kif ikun definit mill-awtorità kompetenti jew wara inċident tas-sigurtà tal-informazzjoni. |
(b) |
Jekk wara l-valutazzjoni mwettqa f’konformità mal-punt (a) jinstabu xi defiċjenzi, l-awtorità kompetenti għandha tieħu l-miżuri tat-titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-awtorità kompetenti għandha tirrivaluta dawk l-elementi tal-ISMS affettwati mill-miżuri adottati. |
ANNESS II
SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-ORGANIZZAZZJONI
[PARTI-IS.I.OR]
IS.I.OR.100 |
Kamp ta’ applikazzjoni |
IS.I.OR.200 |
Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) |
IS.I.OR.205 |
Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni |
IS.I.OR.210 |
Trattament tar-riskju għas-sigurtà tal-informazzjoni |
IS.I.OR.215 |
Skema tar-rapportar intern dwar is-sigurtà tal-informazzjoni |
IS.I.OR.220 |
Inċidenti tas-sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru |
IS.I.OR.225 |
Rispons għas-sejbiet notifikati mill-awtorità kompetenti |
IS.I.OR.230 |
Skema tar-rapportar estern dwar is-sigurtà tal-informazzjoni |
IS.I.OR.235 |
Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.I.OR.240 |
Rekwiżiti tal-persunal |
IS.I.OR.245 |
Żamma tar-rekords |
IS.I.OR.250 |
Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) |
IS.I.OR.255 |
Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.I.OR.260 |
Titjib kontinwu |
IS.I.OR.100 Kamp ta’ applikazzjoni
Din il-Parti tistabbilixxi r-rekwiżiti li jridu jissodisfaw l-organizzazzjonijiet imsemmija fl-Artikolu 2(1) ta’ dan ir-Regolament.
IS.I.OR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)
(a) |
Biex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-organizzazzjoni:
|
(b) |
Biex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-organizzazzjoni għandha timplimenta proċess tat-titjib kontinwu f’konformità mal-punt IS.I.OR.260. |
(c) |
L-organizzazzjoni għandha tiddokumenta, f’konformità mal-punt IS.I.OR.250, il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.I.OR.200(a) u tistabbilixxi proċess għall-emendar ta’ dik id-dokumentazzjoni. Il-bidliet f’dawk il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet għandhom jiġu ġestiti f’konformità mal-punt IS.I.OR.255. |
(d) |
Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-organizzazzjoni biex tikkonforma mal-punt IS.I.OR.200(a) għandhom jikkorrespondu għan-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati f’sistemi ta’ ġestjoni eżistenti oħra li diġà implimentat l-organizzazzjoni. |
(e) |
Mingħajr preġudizzju għall-obbligu ta’ konformità mar-rekwiżiti tar-rapportar stipulati fir-Regolament (UE) Nru 376/2014 u mar-rekwiżiti stipulati fil-punt IS.I.OR.200(a)(13), l-organizzazzjoni tista’ tiġi approvata mill-awtorità kompetenti biex ma timplimentax ir-rekwiżiti msemmija fil-punti minn (a) sa (d) u r-rekwiżiti relatati li hemm fil-punti IS.I.OR.205 sa IS.I.OR.260, jekk din turi għas-sodisfazzjon ta’ dik l-awtorità li l-attivitajiet, il-faċilitajiet u r-riżorsi tagħha, kif ukoll is-servizzi li topera, tipprovdi, tirċievi u żżomm, ma joħolqu l-ebda riskju għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni la għaliha nnifisha u lanqas għal organizzazzjonijiet oħrajn. L-approvazzjoni għandha tkun ibbażata fuq valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni dokumentata u mwettqa mill-organizzazzjoni jew minn parti terza f’konformità mal-punt IS.I.OR.205 u riveduta u approvata mill-awtorità kompetenti tagħha. Il-validità kontinwa ta’ dik l-approvazzjoni se tiġi riveduta mill-awtorità kompetenti wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni. |
IS.I.OR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tidentifika l-elementi kollha tagħha li jistgħu jkunu esposti għar-riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:
|
(b) |
L-organizzazzjoni għandha tidentifika l-interfaċċji li għandha ma’ organizzazzjonijiet oħra, u li jistgħu joħolqu l-esponiment reċiproku għal riskji għas-sigurtà tal-informazzjoni. |
(c) |
Fir-rigward tal-elementi u l-interfaċċji msemmija fil-punti (a) u (b), l-organizzazzjoni għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Għal kull riskju identifikat, l-organizzazzjoni għandha:
Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju tat-theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-organizzazzjoni għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-organizzazzjoni għandha tkun tista’ tistabbilixxi jekk ir-riskju hux aċċettabbli jew jekk jeħtieġx jiġi ttrattat f’konformità mal-punt IS.I.OR.210. Biex jiffaċilita l-komparabbiltà reċiproka tal-valutazzjonijiet tar-riskji, l-assenjar tal-livell tar-riskju skont il-punt (1) għandu jqis l-informazzjoni rilevanti miksuba b’koordinazzjoni mal-organizzazzjonijiet imsemmija fil-punt (b). |
(d) |
L-organizzazzjoni għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u, kif applikabbli, mal-punti (c) jew (e), f’kull każ li ġej, jiġifieri meta:
|
(e) |
B’deroga mill-punt (c), l-organizzazzjonijiet li jeħtieġ jikkonformaw mas-Subparti C tal-Anness III (Parti-ATM/ ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373 għandhom jissostitwixxu l-analiżi tal-impatt fuq is-sikurezza tal-avjazzjoni b’analiżi tal-impatt fuq is-servizzi tagħhom skont il-valutazzjoni tal-appoġġ għas-sikurezza meħtieġa mill-punt ATM/ANS.OR.C.005. Din il-valutazzjoni tal-appoġġ għas-sikurezza għandha ssir disponibbli għall-fornituri tas-servizzi tat-traffiku tal-ajru li lilhom jipprovdu servizzi, u dawk il-fornituri tas-servizzi tat-traffiku tal-ajru għandhom ikunu responsabbli għall-evalwazzjoni tal-impatt fuq is-sikurezza tal-avjazzjoni. |
IS.I.OR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.I.OR.205, timplimentahom fil-ħin u tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-organizzazzjoni:
Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni. |
(b) |
Il-persuna msemmija fil-punt IS.I.OR.240 (a) u (b) u persunal affettwat ieħor tal-organizzazzjoni għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.I.OR.205, bix-xenarji tat-theddid korrispondenti u bil-miżuri li jridu jiġu implimentati. L-organizzazzjoni għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċja f’konformità mal-punt IS.I.OR.205(b) b’kull riskju kondiviż bejn iż-żewġ organizzazzjonijiet. |
IS.I.OR.215 Skema tar-rapportar intern dwar is-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tistabbilixxi skema tar-rapportar intern li tippermetti l-ġbir u l-evalwazzjoni tal-avvenimenti tas-sigurtà tal-informazzjoni, inkluż dawk li jridu jiġu rrapportati skont il-punt IS.I.OR.230. |
(b) |
Dik l-iskema u l-proċess imsemmi fil-punt IS.I.OR.220 għandhom jippermettu lill-organizzazzjoni:
|
(c) |
Kull organizzazzjoni kuntrattata li tista’ tesponi lill-organizzazzjoni għal riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għandha tkun meħtieġa tirrapporta l-avvenimenti tas-sigurtà tal-informazzjoni lill-organizzazzjoni. Dawk ir-rapporti għandhom jiġu ppreżentati permezz tal-proċeduri stabbiliti fl-arranġamenti kuntrattwali speċifiċi u għandhom jiġu evalwati f’konformità mal-punt (b). |
(d) |
L-organizzazzjoni għandha tikkoopera fejn jidħlu l-investigazzjonijiet ma’ xi organizzazzjoni oħra li jkollha kontribut sinifikanti għas-sigurtà tal-informazzjoni tal-attivitajiet tagħha stess. |
(e) |
L-organizzazzjoni tista’ tintegra dik l-iskema tar-rapportar ma’ skemi oħra tar-rapportar li tkun diġà implimentat. |
IS.I.OR.220 Inċidenti tas-sigurtà tal-informazzjoni — identifikazzjoni, rispons u rkupru
(a) |
Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.I.OR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.I.OR.210, l-organizzazzjoni għandha timplimenta miżuri biex jiġu identifikati inċidenti u vulnerabbiltajiet li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ identifikazzjoni għandhom jippermettu lill-organizzazzjoni:
|
(b) |
L-organizzazzjoni għandha timplimenta miżuri biex tirrispondi għal kull kundizzjoni tal-avveniment identifikata f’konformità mal-punt (a) li tista’ ssir jew tkun saret inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-organizzazzjoni:
|
(c) |
L-organizzazzjoni għandha timplimenta miżuri mmirati għall-irkupru mill-inċidenti tas-sigurtà tal-informazzjoni, inkluż miżuri ta’ emerġenza, jekk ikun meħtieġ. Dawk il-miżuri tal-irkupru għandhom jippermettu lill-organizzazzjoni:
|
IS.I.OR.225 Rispons għas-sejbiet notifikati mill-awtorità kompetenti
(a) |
Malli tirċievi n-notifika tas-sejbiet sottomessi mill-awtorità kompetenti, l-organizzazzjoni għandha:
|
(b) |
L-azzjonijiet imsemmija fil-punt (a) għandhom isiru fil-perjodu miftiehem mal-awtorità kompetenti. |
IS.I.OR.230 Skema tar-rapportar estern dwar is-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha timplimenta sistema tar-rapportar tas-sigurtà tal-informazzjoni li tikkonforma mar-rekwiżiti stipulati fir-Regolament (UE) Nru 376/2014 u mal-atti delegati u ta’ implimentazzjoni tiegħu, jekk dak ir-Regolament ikun applikabbli għall-organizzazzjoni. |
(b) |
Mingħajr preġudizzju għall-obbligi tar-Regolament (UE) Nru 376/2014, l-organizzazzjoni għandha tiżgura li kull inċident jew vulnerabbiltà għas-sigurtà tal-informazzjoni li jistgħu jirrappreżentaw riskju sinifikanti għas-sikurezza tal-avjazzjoni, jiġu rrapportati lill-awtorità kompetenti tagħhom. Barra minn hekk:
|
(c) |
L-organizzazzjoni għandha tirrapporta l-kundizzjonijiet imsemmija fil-punt (b) kif ġej:
|
IS.I.OR.235 Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tiżgura li meta tikkuntratta xi parti mill-attivitajiet imsemmija fil-punt IS.I.OR.200 lil organizzazzjonijiet oħra, l-attivitajiet kuntrattati jkunu konformi mar-rekwiżiti ta’ dan ir-Regolament u li l-organizzazzjoni kuntrattata topera fis-sorveljanza tagħha. L-organizzazzjoni għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti kif xieraq. |
(b) |
L-organizzazzjoni għandha tiżgura li l-awtorità kompetenti jista’ jkollha aċċess, meta titlob dan lill-organizzazzjoni kuntrattata, biex tiddetermina l-konformità kontinwa mar-rekwiżiti applikabbli stabbiliti f’dan ir-Regolament. |
IS.I.OR.240 Rekwiżiti tal-persunal
(a) |
Il-meniġer responsabbli tal-organizzazzjoni maħtura f’konformità mar-Regolamenti (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mar-Regolament ta’ Implimentazzjoni (UE) 2017/373 jew mar-Regolament ta’ Implimentazzjoni (UE) 2021/664, kif applikabbli, imsemmija fl-Artikolu 2(1) ta’ dan ir-Regolament, għandu jkollu l-awtorità korporattiva biex jiżgura li l-attivitajiet kollha meħtieġa minn dan ir-Regolament ikunu jistgħu jiġu ffinanzjati u mwettqa. Dik il-persuna għandha:
|
(b) |
Il-meniġer responsabbli għandu jaħtar persuna jew grupp ta’ persuni biex jiżguraw li l-organizzazzjoni tkun konformi mar-rekwiżiti ta’ dan ir-Regolament, u għandu jiddefinixxi l-firxa tal-awtorità tagħhom. Dik il-persuna jew dak il-grupp ta’ persuni għandhom jirrapportaw direttament lill-meniġer responsabbli u għandu jkollhom l-għarfien, l-isfond u l-esperjenza xierqa biex iwettqu r-responsabbiltajiet tagħhom. Il-proċeduri għandhom jiddeterminaw min jidher f’isem persuna partikolari fil-każ ta’ assenza twila ta’ dik il-persuna. |
(c) |
Il-meniġer responsabbli għandu jaħtar persuna jew grupp ta’ persuni bir-responsabbiltà li jimmaniġġjaw il-funzjoni ta’ monitoraġġ tal-konformità msemmija fil-punt IS.I.OR.200(a)(12). |
(d) |
Meta l-organizzazzjoni tikkondividi strutturi, politiki, proċessi u proċeduri organizzattivi tas-sigurtà tal-informazzjoni ma’ organizzazzjonijiet oħra jew ma’ taqsimiet tal-organizzazzjoni tagħha stess li mhumiex parti mill-approvazzjoni jew mid-dikjarazzjoni, il-meniġer responsabbli jista’ jiddelega l-attivitajiet tiegħu lil persuna responsabbli komuni. F’każ bħal dan, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn il-meniġer responsabbli tal-organizzazzjoni u l-persuna responsabbli komuni biex tiġi żgurata integrazzjoni adegwata tal-ġestjoni tas-sigurtà tal-informazzjoni fi ħdan l-organizzazzjoni. |
(e) |
Il-meniġer responsabbli jew il-persuna responsabbli komuni msemmija fil-punt (d) għandu jkollhom awtorità korporattiva biex jistabbilixxu u jżommu l-istrutturi, il-politiki, il-proċessi u l-proċeduri organizzattivi meħtieġa għall-implimentazzjoni tal-punt IS.I.OR.200. |
(f) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal biex iwettaq l-attivitajiet koperti minn dan l-Anness. |
(g) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (f) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu. |
(h) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jagħraf ir-responsabbiltajiet assoċjati mar-rwoli u l-kompiti assenjati. |
(i) |
L-organizzazzjoni għandha tiżgura li l-identità u l-affidabbiltà tal-persunal b’aċċess għas-sistemi tal-informazzjoni u tad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament, ikunu stabbiliti kif xieraq. |
IS.I.OR.245 Żamma tar-rekords
(a) |
L-organizzazzjoni għandha żżomm rekords tal-attivitajiet tagħha ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
(b) |
L-organizzazzjoni għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
(c) |
Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-organizzazzjoni. |
(d) |
Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni mill-ħsara, mit-tibdil u mis-serq. information being identified, when required, according to its security classification level. L-organizzazzjoni għandha tiżgura li r-rekords jinħażnu b’mezzi li jiżguraw l-integrità, l-awtentiċità u l-aċċess awtorizzat. |
IS.I.OR.250 Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)
(a) |
L-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) u, meta applikabbli, kwalunkwe manwal u proċedura assoċjati referenzjati, li jkun fihom:
|
(b) |
Il-ħruġ inizjali tal-ISMM għandu jiġi approvat u għandha tinżamm kopja mill-awtorità kompetenti. L-ISMM għandu jiġi emendat kif meħtieġ biex jibqa’ jkun deskrizzjoni aġġornata tal-ISMS tal-organizzazzjoni. L-awtorità kompetenti għandha tingħata kopja ta’ kull emenda għall-ISMM. |
(c) |
L-emendi għall-ISMM għandhom jiġu ġestiti bi proċedura stabbilita mill-organizzazzjoni. Kull emenda li ma tkunx inkluża fl-ambitu ta’ din il-proċedura u kull emenda relatata mal-bidliet imsemmija fil-punt IS.I.OR.255(b) għandhom jiġu approvati mill-awtorità kompetenti. |
(d) |
L-organizzazzjoni tista’ tintegra l-ISMM ma’ espożizzjonijiet jew manwali ta’ ġestjoni oħra li jkollha, diment li jkun hemm kontroreferenza ċara li tindika liema porzjonijiet mill-espożizzjoni jew mill-manwal ta’ ġestjoni jikkorrespondu għar-rekwiżiti differenti li hawn f’dan l-Anness. |
IS.I.OR.255 Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni
(a) |
Il-bidliet fl-ISMS jistgħu jiġu ġestiti u notifikati lill-awtorità kompetenti bi proċedura żviluppata mill-organizzazzjoni. Din il-proċedura għandha tapprovaha l-awtorità kompetenti. |
(b) |
Fir-rigward tal-bidliet fl-ISMS li mhumiex koperti mill-proċedura msemmija fil-punt (a), l-organizzazzjoni għandha tapplika għal u tikseb approvazzjoni maħruġa mill-awtorità kompetenti. Fir-rigward ta’ dawk il-bidliet:
|
IS.I.OR.260 Titjib kontinwu
(a) |
L-organizzazzjoni għandha tivvaluta l-effettività u l-maturità tal-ISMS b’indikaturi tal-prestazzjoni adegwati. Dik il-valutazzjoni għandha ssir skont skeda kalendarja predefinita mill-organizzazzjoni jew wara inċident tas-sigurtà tal-informazzjoni. |
(b) |
Jekk wara l-valutazzjoni mwettqa f’konformità mal-punt (a) jinstabu xi defiċjenzi, l-organizzazzjoni għandha tieħu l-miżuri tat-titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-organizzazzjoni għandha tirrivaluta dawk l-elementi tal-ISMS affettwati mill-miżuri adottati. |
ANNESS III
L-Annessi VI (Parti-ARA) u VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011 huma emendati kif ġej:
(1) |
L-Anness VI (Parti-ARA) huwa emendat kif ġej:
|
(2) |
L-Anness VII (Parti-ORA) huwa emendat kif ġej: Il-punt ORA.GEN.200 A li ġej jiddaħħal wara l-punt ORA.GEN.200: “ORA.GEN.200 A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ORA.GEN.200, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”. |
ANNESS IV
L-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat kif ġej:
(1) |
il-Werrej huwa emendat kif ġej:
|
(2) |
fil-punt 21.B.15, jiżdied il-punt (c) li ġej:
|
(3) |
il-punt 21.B.20A li ġej jiddaħħal wara l-punt 21.B.20: “21.B.20A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni
|
(4) |
fil-punt 21.B.25, jiżdied il-punt (e) li ġej:
|
(5) |
il-punt 21.B.30 huwa emendat kif ġej:
|
(6) |
fil-punt 21.B.221, jiżdied il-punt (g) li ġej:
|
(7) |
il-punt 21.B.240 A li ġej jiddaħħal wara l-punt 21.B.240: “21.B.240A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni
|
(8) |
fil-punt 21.B.431, jiżdied il-punt (d) li ġej:
|
(9) |
il-punt 21.B.435A li ġej jiddaħħal wara l-punt 21.B.435: “21.B.435A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
ANNESS V
L-Annessi II (Parti-ARO) u III (Parti-ORO) tar-Regolament (UE) Nru 965/2012 huma emendati kif ġej:
(1) |
L-Anness II (Parti-ARO) huwa emendat kif ġej:
|
(2) |
L-Anness III (Parti-ORO) huwa emendat kif ġej: il-punt ORO.GEN.200 A li ġej jiddaħħal wara l-punt ORO.GEN.200: “ORO.GEN.200 A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ORO.GEN.200, l-operatur għandu jistabbilixxi, jimplimenta u jżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”. |
ANNESS VI
L-Anness II (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014 huwa emendat kif ġej:
(1) |
fil-punt ADR.AR.A.025, jiżdied il-punt (c) li ġej:
|
(2) |
il-punt ADR.AR.A.030 A li ġej jiddaħħal wara l-punt ADR.AR.A.030: “ADR.AR.A.030 A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni
|
(3) |
fil-punt ADR.AR.B.005, jiżdied il-punt (d) li ġej:
|
(4) |
il-punt ADR.AR.B.010 huwa emendat kif ġej:
|
(5) |
fil-punt ADR.AR.C.005, jiżdied il-punt (f) li ġej:
|
(6) |
il-punt ADR.AR.C.040A li ġej jiddaħħal wara l-punt ADR.AR.C.040: “ADR.AR.C.040A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni
|
ANNESS VII
L-Annessi II (Parti-145), III (Parti-66) u Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014 huma emendati kif ġej:
(1) |
L-Anness II (il-Parti-145) huwa emendat kif ġej:
|
(2) |
L-Anness III (Parti-66) huwa emendat kif ġej:
|
(3) |
L-Anness Vc (Parti-CAMO) huwa emendat kif ġej:
|
ANNESS VIII
L-Annessi II (Parti ATCO.AR) u III (Parti ATCO.OR) tar-Regolament (UE) 2015/340 huma emendati kif ġej:
(1) |
L-Anness II (Parti ATCO.AR) huwa emendat kif ġej:
|
(2) |
L-Anness III (Parti ATCO.OR) huwa emendat kif ġej: Il-punt ATCO.OR.C.001 A li ġej jiddaħħal wara l-punt ATCO.OR.C.001: “ATCO.OR.C.001A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ATCO.OR.C.001, l-organizzazzjoni tat-taħriġ għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”. |
ANNESS IX
L-Annessi II (Parti-ATM/ANS.AR) u III (Parti-ATM/ANS.OR) tar-Regolament (UE) 2017/373 huma emendati kif ġej:
(1) |
L-Anness II (Parti-ATM/ANS.AR) huwa emendat kif ġej:
|
(2) |
L-Anness III (Parti-ATM/ANS.OR) huwa emendat kif ġej:
|