EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R1645
Commission Delegated Regulation (EU) 2022/1645 of 14 July 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 748/2012 and (EU) No 139/2014 and amending Commission Regulations (EU) No 748/2012 and (EU) No 139/2014
Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014
Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014
C/2022/4882
ĠU L 248, 26.9.2022, p. 18–31
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
26.9.2022 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
L 248/18 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2022/1645
tal-14 ta’ Lulju 2022
li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2018 dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (1), u b’mod partikolari l-Artikoli 19(1), il-punt (g) u l-Artikolu 39(1), il-punt (b) tiegħu.
Billi:
(1) |
F’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness II, il-punt 3.1(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tad-disinn u tal-produzzjoni għandhom jimplimentaw u jmantnu sistema ta’ ġestjoni għall-ġestjoni tar-riskji għas-sikurezza. |
(2) |
Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness VII, il-punti 2.2.1 u 5.2, tar-Regolament (UE) 2018/1139, l-operaturi u l-organizzazzjonijiet tal-ajrudromi responsabbli għall-forniment tas-servizzi ta’ ġestjoni tar-rampa għandhom jimplimentaw u jżommu sistema ta’ ġestjoni għall-ġestjoni tar-riskji għas-sikurezza. |
(3) |
Ir-riskji għas-sikurezza msemmija fil-premessi (1) u (2) jistgħu jirriżultaw minn sorsi differenti, inklużi nuqqasijiet fid-disinn u fil-manutenzjoni, aspetti tal-prestazzjoni umana, theddid ambjentali u theddid għas-sigurtà tal-informazzjoni. Għalhekk, is-sistemi ta’ ġestjoni implimentati mill-organizzazzjonijiet kif imsemmi fil-premessi (1) u (2), jenħtieġ li jqisu mhux biss ir-riskji għas-sikurezza li jirriżultaw minn avvenimenti każwali, iżda wkoll ir-riskji għas-sikurezza li jirriżultaw minn theddid għas-sigurtà tal-informazzjoni fejn in-nuqqasijiet eżistenti jistgħu jiġu sfruttati minn individwi b’intenzjoni malizzjuża. Dawk ir-riskji għas-sigurtà tal-informazzjoni qegħdin jiżdiedu b’mod kostanti fl-ambjent tal-avjazzjoni ċivili peress li s-sistemi ta’ informazzjoni attwali qegħdin isiru dejjem aktar interkonnessi, u qegħdin isiru dejjem aktar il-mira ta’ atturi malizzjużi. |
(4) |
Ir-riskji assoċjati ma’ dawk is-sistemi ta’ informazzjoni ma humiex limitati għal attakki possibbli għaċ-ċiberspazju, iżda jinkludu wkoll theddid li jista’ jaffettwa l-proċessi u l-proċeduri kif ukoll il-prestazzjoni umana. |
(5) |
Għadd sinifikanti ta’ organizzazzjonijiet diġà jużaw standards internazzjonali, bħall-ISO 27001, sabiex jindirizzaw is-sigurtà tal-informazzjoni u tad-data diġitali. Dawn l-istandards jistgħu ma jindirizzawx bis-sħiħ l-ispeċifiċitajiet kollha tal-avjazzjoni ċivili. |
(6) |
Għalhekk, huwa xieraq li jiġu stabbiliti rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni. |
(7) |
Huwa essenzjali li dawk ir-rekwiżiti jkopru l-oqsma differenti tal-avjazzjoni u l-interfaċċi tagħhom peress li l-avjazzjoni hija sistema ta’ sistemi interkonnessa ħafna. Għalhekk, dawn jenħtieġ li japplikaw għall-organizzazzjonijiet kollha li diġà huma meħtieġa li jkollhom sistema ta’ ġestjoni f’konformità mal-leġiżlazzjoni dwar is-sikurezza tal-avjazzjoni tal-Unjoni eżistenti. |
(8) |
Ir-rekwiżiti stabbiliti f’dan ir-Regolament jenħtieġ li jiġu applikati b’mod konsistenti fl-oqsma kollha tal-avjazzjoni, filwaqt li jinħoloq impatt minimu fuq il-leġiżlazzjoni dwar is-sikurezza tal-avjazzjoni tal-Unjoni diġà applikabbli għal dawk l-oqsma. |
(9) |
Ir-rekwiżiti stabbiliti f’dan ir-Regolament jenħtieġ li jkunu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stabbiliti fl-Anness, il-punt 1.7 tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 (2) u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill (3). |
(10) |
Jenħtieġ li d-definizzjoni dwar is-sigurtà tal-informazzjoni użata għall-finijiet ta’ dan l-att legali ma tiġix interpretata bħala diverġenti mid-definizzjoni tas-sigurtà tan-networks u tas-sistemi tal-informazzjoni stabbilita fid-Direttiva 2016/1148. |
(11) |
Sabiex tiġi evitata d-duplikazzjoni tar-rekwiżiti legali, meta l-organizzazzjonijiet koperti minn dan ir-Regolament ikunu diġà soġġetti għal rekwiżiti ta’ sigurtà li jirriżultaw minn atti oħra tal-Unjoni msemmija fil-premessa (9), li huma, fl-effett tagħhom ekwivalenti għad-dispożizzjonijiet stabbiliti f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti ta’ sigurtà jenħtieġ li titqies li tikkostitwixxi konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament. |
(12) |
L-organizzazzjonijiet koperti minn dan ir-Regolament li diġà huma soġġetti għal rekwiżiti ta’ sigurtà li jirriżultaw mir-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jenħtieġ li jikkonformaw ukoll mar-rekwiżiti tal-Anness I (il-Parti IS.D.OR.230 “Skema ta’ rapportar estern tas-sigurtà tal-informazzjoni”) ta’ dan ir-Regolament peress li r-Regolament ta’ Implimentazzjoni (UE) 2015/1998 ma fih l-ebda dispożizzjoni relatata mar-rapportar estern ta’ inċidenti tas-sigurtà tal-informazzjoni. |
(13) |
Ir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 (4) u (UE) Nru 139/2014 (5) jenħtieġ li jiġu emendati sabiex tiġi stabbilita r-rabta bejn is-sistemi ta’ ġestjoni stabbiliti fir-regolamenti elenkati hawn fuq u r-rekwiżiti ta’ ġestjoni tas-sigurtà tal-informazzjoni stabbiliti minn dan ir-Regolament. |
(14) |
Sabiex l-organizzazzjonijiet jingħataw biżżejjed żmien biex jiżguraw il-konformità mar-regoli u l-proċeduri l-ġodda introdotti minn dan ir-Regolament, dan ir-Regolament jenħtieġ li japplika minn tliet snin wara d-data tad-dħul fis-seħħ. |
(15) |
Ir-rekwiżiti stabbiliti minn dan ir-Regolament huma bbażati fuq l-Opinjoni Nru 03/2021 (6), maħruġa mill-Aġenzija f’konformità mal-Artikolu 75(2) il-punti (b) u (c) u l-Artikolu 76(1) tar-Regolament (UE) 2018/1139. |
(16) |
F’konformità mal-Artikolu 128(4) tar-Regolament (UE) 2018/1139, il-Kummissjoni kkonsultat esperti nominati minn kull Stat Membru f’konformità mal-prinċipji stabbiliti fil-Ftehim Interistituzzjonali tat-13 ta’ April 2016 dwar it-Tfassil Aħjar tal-Liġijiet (7), |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Suġġett
Dan ir-Regolament jistabbilixxi r-rekwiżiti li jridu jiġu ssodisfati mill-organizzazzjonijiet imsemmija fl-Artikolu 2 sabiex jiġu identifikati u ġestiti r-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jistgħu jaffettwaw is-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data użata għal skopijiet ta’ avjazzjoni ċivili u biex jiġu individwati l-avvenimenti relatati mas-sigurtà tal-informazzjoni u identifikati dawk li jitqiesu bħala inċidenti tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni u jingħata rispons lil, u rkupru minn, dawk l-inċidenti tas-sigurtà tal-informazzjoni.
Artikolu 2
Kamp ta’ applikazzjoni
1. Dan ir-Regolament japplika għall-organizzazzjonijet li ġejjin:
(a) |
l-organizzazzjonijiet tal-produzzjoni u l-organizzazzjonijiet tad-disinn soġġetti għall-Anness I (il-Parti 21), it-Taqsima A, is-Subpartijiet G u J tar-Regolament (UE) Nru 748/2012, ħlief l-organizzazzjonijiet tad-disinn u tal-produzzjoni li huma involuti biss fid-disinn u/jew fil-produzzjoni ta’ inġenji tal-ajru ELA2 kif iddefiniti fl-Artikolu 1(2), il-punt (j) tar-Regolament (UE) Nru 748/2012; |
(b) |
l-operaturi tal-ajrudromi u l-fornituri tas-servizzi ta’ ġestjoni tar-rampa soġġetti għall-Anness III “Parti Rekwiżiti tal-Organizzazzjoni (Parti-ADR.OR)” tar-Regolament (UE) Nru 139/2014. |
2. Dan ir-Regolament huwa mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stabbiliti fl-Anness, il-punt 1.7 tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148.
Artikolu 3
Definizzjonijiet
Għall-fini ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:
(1) |
“sigurtà tal-informazzjoni” tfisser il-preservazzjoni tal-kunfidenzjalità, tal-integrità, tal-awtentiċità u tad-disponibbiltà tan-network u tas-sistemi tal-informazzjoni; |
(2) |
“avveniment relatat mas-sigurtà tal-informazzjoni” tfisser okkorrenza identifikata ta’ sistema, ta’ servizz jew ta’ stat tan-network li tindika ksur possibbli tal-politika tas-sigurtà tal-informazzjoni jew nuqqas ta’ kontrolli tas-sigurtà tal-informazzjoni, jew sitwazzjoni li qabel ma kinitx magħrufa li tista’ tkun rilevanti għas-sigurtà tal-informazzjoni; |
(3) |
“inċident” tfisser kwalunkwe avveniment li jkollu effett negattiv fuq is-sigurtà tan-network u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 4(7) tad-Direttiva (UE) 2016/1148; |
(4) |
“riskju għas-sigurtà tal-informazzjoni” tfisser ir-riskju għall-operazzjonijiet organizzattivi tal-avjazzjoni ċivili, l-assi, l-individwi u organizzazzjonijiet oħra, minħabba l-potenzjal ta’ avveniment relatat mas-sigurtà tal-informazzjoni. Ir-riskji għas-sigurtà tal-informazzjoni huma assoċjati mal-potenzjal li t-theddid jisfrutta l-vulnerabbiltajiet ta’ assi ta’ informazzjoni jew ta’ grupp ta’ assi ta’ informazzjoni; |
(5) |
“theddida” tfisser ksur potenzjali tas-sigurtà tal-informazzjoni li jeżisti meta jkun hemm entità, ċirkostanza, azzjoni jew avveniment li jista’ jikkawża dannu; |
(6) |
“vulnerabbiltà” tfisser difett jew dgħufija f’assi jew f’sistema, fi proċeduri, f’disinn, f’implimentazzjoni, jew f’miżuri ta’ sigurtà tal-informazzjoni li jistgħu jiġu sfruttati u li jirriżultaw fi ksur jew f’vjolazzjoni tal-politika dwar is-sigurtà tal-informazzjoni. |
Artikolu 4
Rekwiżiti li jirriżultaw minn leġiżlazzjoni oħra tal-Unjoni
1. Meta organizzazzjoni msemmija fl-Artikolu 2 tikkonforma mar-rekwiżiti ta’ sigurtà stabbiliti fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 li huma ekwivalenti għar-rekwiżiti stabbiliti f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti ta’ sigurtà għandha titqies li tikkostitwixxi konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament.
2. Meta organizzazzjoni msemmija fl-Artikolu 2 tkun operatur jew entità msemmija fil-programmi tas-sigurtà tal-avjazzjoni ċivili nazzjonali tal-Istati Membri stabbiliti f’konformità mal-Artikolu 10 tar-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill (8), ir-rekwiżiti taċ-ċibersigurtà li jinsabu fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jitqiesu bħala ekwivalenti għar-rekwiżiti stabbiliti f’dan ir-Regolament, ħlief fir-rigward tal-punt IS.D.OR.230 tal-Anness ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu.
3. Il-Kummissjoni, wara li tikkonsulta lill-EASA u lill-Grupp ta’ Kooperazzjoni msemmi fl-Artikolu 11 tad-Direttiva (UE) 2016/1148, tista’ toħroġ linji gwida għall-valutazzjoni tal-ekwivalenza tar-rekwiżiti stabbiliti f’dan ir-Regolament u fid-Direttiva (UE) 2016/1148.
Artikolu 5
Awtorità kompetenti
1. L-awtorità responsabbli għaċ-ċertifikazzjoni u għas-sorveljanza tal-konformità ma’ dan ir-Regolament għandha tkun:
(a) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2, il-punt (a), l-awtorità kompetenti maħtura f’konformità mal-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012; |
(b) |
fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2, il-punt (b), l-awtorità kompetenti maħtura f’konformità mal-Anness III (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014. |
2. L-Istati Membri jistgħu, għall-finijiet ta’ dan ir-Regolament, jaħtru entità indipendenti u awtonoma biex taqdi r-rwol u r-responsabbiltajiet assenjati lill-awtoritajiet kompetenti msemmija fil-paragrafu 1. F’dak il-każ, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn dik l-entità u l-awtoritajiet kompetenti, kif imsemmija fil-paragrafu 1, sabiex tiġi żgurata sorveljanza effettiva tar-rekwiżiti kollha li għandhom jiġu ssodisfati mill-organizzazzjoni.
Artikolu 6
Emenda għar-Regolament (UE) Nru 748/2012
L-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat kif ġej:
(1) |
il-Werrej huwa emendat kif ġej:
|
(2) |
il-punt 21.A.139 A li ġej jiddaħħal wara l-punt 21.A.139:
Minbarra s-sistema ta’ ġestjoni tal-produzzjoni meħtieġa mill-punt 21.A. 139, l-organizzazzjoni tal-produzzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (*1)sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni. (*1) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18)”;" |
(3) |
il-punt 21.A.239 A li ġej jiddaħħal wara l-punt 21.A.239:
Minbarra s-sistema ta’ ġestjoni tad-disinn meħtieġa mill-punt 21.A.239, l-organizzazzjoni tad-disinn għandha tistabbilixxi, timplimenta u tmantni sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat (UE) 2022/1645 sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.”. |
Artikolu 7
Emenda għar-Regolament (UE) Nru 139/2014
L-Anness III (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014 huwa emendat kif ġej:
(1) |
il-punt ADR.OR.D.005 A li ġej jiddaħħal wara l-punt ADR.OR.D.005:
L-operatur tal-ajrudrom għandu jistabbilixxi, jimplimenta u jżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (*2) sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni. (*2) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18)”;" |
(2) |
il-punt ADR.OR.D.007 huwa ssostitwit b’dan li ġej:
|
(3) |
il-punt ADR.OR.F.045 A li ġej jiddaħħal wara l-punt ADR.OR.F.045:
L-organizzazzjoni responsabbli għall-forniment tal-AMS għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament Delegat (UE) 2022/1645 sabiex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt fuq is-sikurezza tal-avjazzjoni.”. |
Artikolu 8
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Għandu japplika mis-16 ta’ Ottubru 2025.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, l-14 ta’ Lulju 2022.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 212, 22.8.2018, p. 1.
(2) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 tal-5 ta’ Novembru 2015 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni (ĠU L 299, 14.11.2015, p. 1).
(3) Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).
(4) Ir-Regolament tal-Kummissjoni (UE) Nru 748/2012 tat-3 ta’ Awwissu 2012 li jistabbilixxi regoli ta’ implimentazzjoni għaċ-ċertifikazzjoni tal-airworthiness u ambjentali ta’ inġenji tal-ajru u ta’ prodotti, partijiet u tagħmir relatati, kif ukoll għaċ-ċertifikazzjoni ta’ organizzazzjonijiet relatati mad-disinn u l-produzzjoni (ĠU L 224, 21.8.2012, p. 1).
(5) Ir-Regolament tal-Kummissjoni (UE) Nru 139/2014 tat-12 ta’ Frar 2014 li jistabbilixxi rekwiżiti u proċeduri amministrattivi b’rabta mal-ajrudromi skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 44, 14.2.2014, p. 1).
(6) https://www.easa.europa.eu/document-library/opinions
(7) ĠU L 123, 12.5.2016, p. 1.
(8) Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, 9.4.2008, p. 72).
ANNESS
SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-ORGANIZZAZZJONI
[PART-IS.D.OR]
IS.D.OR.100 |
Kamp ta’ applikazzjoni |
IS.D.OR.200 |
Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.D.OR.205 |
Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni |
IS.D.OR.210 |
Trattament tar-riskju għas-sigurtà tal-informazzjoni |
IS.D.OR.215 |
Skema ta’ rapportar intern dwar is-sigurtà tal-informazzjoni |
IS.D.OR.220 |
Inċidenti ta’ sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru |
IS.D.OR.225 |
Rispons għas-sejbiet innotifikati mill-awtorità kompetenti |
IS.D.OR.230 |
Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni |
IS.D.OR.235 |
Kuntrattar ta’ attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.D.OR.240 |
Rekwiżiti tal-persunal |
IS.D.OR.245 |
Żamma ta’ rekords |
IS.D.OR.250 |
Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) |
IS.D.OR.255 |
Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni |
IS.D.OR.260 |
Titjib kontinwu |
IS.D.OR.100 Kamp ta’ applikazzjoni
Din il-Parti tistabbilixxi r-rekwiżiti li għandhom jiġu ssodisfati mill-organizzazzjonijiet imsemmija fl-Artikolu 2 ta’ dan ir-Regolament.
IS.D.OR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)
(a) |
Sabiex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-organizzazzjoni:
|
(b) |
Sabiex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-organizzazzjoni għandha timplimenta proċess ta’ titjib kontinwu f’konformità mal-punt IS.D.OR.260. |
(c) |
L-organizzazzjoni għandha tiddokumenta, f’konformità mal-punt IS.D.OR.250, il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.D.OR.200(a) u tistabbilixxi proċess għall-emendar ta’ dik id-dokumentazzjoni. Il-bidliet f’dawk il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet għandhom jiġu ġestiti f’konformità mal-punt IS.D.OR.255. |
(d) |
Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-organizzazzjoni sabiex tikkonforma mal-punt IS.D.OR.200(a) għandhom jikkorrispondu man-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati fi ħdan sistemi ta’ ġestjoni eżistenti oħrajn diġà implimentati mill-organizzazzjoni. |
(e) |
Mingħajr preġudizzju għall-obbligu ta’ konformità mar-rekwiżiti ta’ rapportar li jinsabu fir-Regolament (UE) Nru 376/2014 tal-Parlament Ewropew u tal-Kunsill (1) u r-rekwiżiti tal-punt IS.D.OR.200 (a) (13), l-organizzazzjoni tista’ tingħata approvazzjoni mill-awtorità kompetenti biex ma timplimentax ir-rekwiżiti msemmija fil-punti (a) sa (d) u r-rekwiżiti relatati li jinsabu fil-punti IS.D.OR.205 sa IS.D.OR.260, jekk turi għas-sodisfazzjon ta’ dik l-awtorità li l-attivitajiet, il-faċilitajiet u r-riżorsi tagħha, kif ukoll is-servizzi li topera, tipprovdi, tirċievi u żżomm, ma joħolqu l-ebda riskju għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni la għaliha nnifisha u lanqas għal organizzazzjonijiet oħrajn. L-approvazzjoni għandha tkun ibbażata fuq valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni dokumentata mwettqa mill-organizzazzjoni jew minn parti terza f’konformità mal-punt IS.D.OR.205 u riveduta u approvata mill-awtorità kompetenti tagħha. Il-validità kontinwa ta’ dik l-approvazzjoni se tiġi riveduta mill-awtorità kompetenti wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fil-kamp ta’ applikazzjoni tal-ħidma tal-organizzazzjoni. |
IS.D.OR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tidentifika l-elementi kollha tagħha, li jistgħu jkunu esposti għar-riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:
|
(b) |
L-organizzazzjoni għandha tidentifika l-interfaċċi li għandha ma’ organizzazzjonijiet oħrajn, u li jistgħu jirriżultaw fl-esponiment reċiproku għar-riskji għas-sigurtà tal-informazzjoni. |
(c) |
Fir-rigward tal-elementi u l-interfaċċi msemmija fil-punti (a) u (b), l-organizzazzjoni għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Għal kull riskju identifikat, l-organizzazzjoni għandha:
Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju ta’ theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-organizzazzjoni għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-organizzazzjoni għandha tkun tista’ tistabbilixxi jekk ir-riskju huwiex aċċettabbli jew jeħtiġx li jiġi ttrattat f’konformità mal-punt IS.D.OR.210. Sabiex tiġi ffaċilitata l-komparabbiltà reċiproka tal-valutazzjonijiet tar-riskji, l-assenjazzjoni tal-livell ta’ riskju skont il-punt (1) għandha tqis l-informazzjoni rilevanti miksuba f’koordinazzjoni mal-organizzazzjonijiet imsemmija fil-punt (b). |
(d) |
L-organizzazzjoni għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u (c) fi kwalunkwe waħda mis-sitwazzjonijiet li ġejjin:
|
IS.D.OR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.D.OR.205, timplimentahom fil-ħin u tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-organizzazzjoni:
Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni. |
(b) |
Il-persuna msemmija fil-punt IS.D.OR.240(a) u (b) u persunal affettwat ieħor tal-organizzazzjoni għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.D.OR.205, ix-xenarji ta’ theddid korrispondenti u l-miżuri li għandhom jiġu implimentati. L-organizzazzjoni għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċa f’konformità mal-punt IS.D.OR.205(b) bi kwalunkwe riskju kondiviż bejn iż-żewġ organizzazzjonijiet. |
IS.D.OR.215 Skema ta’ rapportar intern dwar is-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tistabbilixxi skema ta’ rapportar intern li tippermetti l-ġbir u l-evalwazzjoni ta’ avvenimenti relatati mas-sigurtà tal-informazzjoni, inklużi dawk li għandhom jiġu rrapportati skont il-punt IS.D.OR.230. |
(b) |
Dik l-iskema u l-proċess imsemmi fil-punt IS.D.OR.220 għandhom jippermettu lill-organizzazzjoni:
|
(c) |
Kwalunkwe organizzazzjoni kuntrattata li tista’ tesponi lill-organizzazzjoni għal riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għandha tkun meħtieġa tirrapporta avvenimenti relatati mas-sigurtà tal-informazzjoni lill-organizzazzjoni. Dawk ir-rapporti għandhom jiġu ppreżentati bl-użu tal-proċeduri stabbiliti fl-arranġamenti kuntrattwali speċifiċi u għandhom jiġu evalwati f’konformità mal-punt (b). |
(d) |
L-organizzazzjoni għandha tikkoopera fl-investigazzjonijiet ma’ kwalunkwe organizzazzjoni oħra li jkollha kontribut sinifikanti għas-sigurtà tal-informazzjoni tal-attivitajiet tagħha stess. |
(e) |
L-organizzazzjoni tista’ tintegra dik l-iskema ta’ rapportar ma’ skemi oħra ta’ rapportar li tkun diġà implimentat. |
IS.D.OR.220 Inċidenti ta’ sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru
(a) |
Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.D.OR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.D.OR.210, l-organizzazzjoni għandha timplimenta miżuri biex jiġu identifikati inċidenti u vulnerabbiltajiet li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ detezzjoni għandhom jippermettu lill-organizzazzjoni:
|
(b) |
L-organizzazzjoni għandha timplimenta miżuri biex tirrispondi għal kwalunkwe kundizzjoni ta’ avveniment identifikata f’konformità mal-punt (a) li tista’ tiżviluppa jew tkun żviluppat f’inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-organizzazzjoni:
|
(c) |
L-organizzazzjoni għandha timplimenta miżuri mmirati lejn l-irkupru minn inċidenti ta’ sigurtà tal-informazzjoni, inklużi miżuri ta’ emerġenza, jekk ikun meħtieġ. Dawk il-miżuri ta’ rkupru għandhom jippermettu lill-organizzazzjoni:
|
IS.D.OR.225 Risposta għas-sejbiet innotifikati mill-awtorità kompetenti
(a) |
Wara li tirċievi n-notifika tas-sejbiet sottomessi mill-awtorità kompetenti, l-organizzazzjoni għandha:
|
(b) |
L-azzjonijiet imsemmija fil-punt (a) għandhom jitwettqu fil-perjodu miftiehem mal-awtorità kompetenti. |
IS.D.OR.230 Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha timplimenta sistema ta’ rapportar tas-sigurtà tal-informazzjoni li tikkonforma mar-rekwiżiti stabbiliti fir-Regolament (UE) Nru 376/2014 u l-atti delegati u ta’ implimentazzjoni tiegħu jekk dak ir-Regolament ikun applikabbli għall-organizzazzjoni. |
(b) |
Mingħajr preġudizzju għall-obbligi tar-Regolament (UE) Nru 376/2014, l-organizzazzjoni għandha tiżgura li kwalunkwe inċident jew vulnerabbiltà għas-sigurtà tal-informazzjoni, li jistgħu jirrappreżentaw riskju sinifikanti għas-sikurezza tal-avjazzjoni, jiġu rrapportati lill-awtorità kompetenti tagħhom. Barra minn hekk:
|
(c) |
L-organizzazzjoni għandha tirrapporta l-kundizzjonijiet imsemmija fil-punt (b) kif ġej:
|
IS.D.OR.235 Kuntrattar ta’ attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
(a) |
L-organizzazzjoni għandha tiżgura li meta tikkuntratta kwalunkwe parti mill-attivitajiet imsemmija fil-punt IS.D.OR.200 lil organizzazzjonijiet oħrajn, l-attivitajiet kuntrattati jikkonformaw mar-rekwiżiti ta’ dan ir-Regolament u l-organizzazzjoni kuntrattata taħdem taħt is-sorveljanza tagħha. L-organizzazzjoni għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti b’mod xieraq. |
(b) |
L-organizzazzjoni għandha tiżgura li l-awtorità kompetenti jista’ jkollha aċċess fuq talba lill-organizzazzjoni kuntrattata biex tiddetermina l-konformità kontinwa mar-rekwiżiti applikabbli stabbiliti f’dan ir-Regolament. |
IS.D.OR.240 Rekwiżiti tal-persunal
(a) |
Il-maniġer responsabbli tal-organizzazzjoni jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, maħtur f’konformità mar-Regolament (UE) Nru 748/2012 u r-Regolament (UE) Nru 139/2014 kif imsemmi fil-punti 1(a) u (b) tal-Artikolu 2 ta’ dan ir-Regolament, għandu jkollu awtorità korporattiva biex jiżgura li l-attivitajiet kollha meħtieġa minn dan ir-Regolament ikunu jistgħu jiġu ffinanzjati u mwettqa. Dik il-persuna għandha:
|
(b) |
Il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, għandu jaħtar persuna jew grupp ta’ persuni biex jiżgura li l-organizzazzjoni tkun konformi mar-rekwiżiti ta’ dan ir-Regolament, u għandu jiddefinixxi l-estent tal-awtorità tagħhom. Dik il-persuna jew grupp ta’ persuni għandhom jirrapportaw direttament lill-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, lill-kap tal-organizzazzjoni tad-disinn, u għandu jkollhom l-għarfien, il-kompetenzi u l-esperjenza xierqa biex iwettqu r-responsabbiltajiet tagħhom. Għandu jiġi ddeterminat fil-proċeduri min jidher f’isem persuna partikolari fil-każ ta’ assenza twila ta’ dik il-persuna. |
(c) |
Il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn għandu jaħtar persuna jew grupp ta’ persuni bir-responsabbiltà li jimmaniġġjaw il-funzjoni ta’ monitoraġġ tal-konformità msemmija fil-punt IS.D.OR.200(a)(12). |
(d) |
Meta l-organizzazzjoni taqsam strutturi organizzattivi, politiki, proċessi u proċeduri tas-sigurtà tal-informazzjoni, ma’ organizzazzjonijiet oħrajn jew ma’ oqsma tal-organizzazzjoni tagħha stess li ma humiex parti mill-approvazzjoni jew mid-dikjarazzjoni, il-maniġer responsabbli jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, jista’ jiddelega l-attivitajiet tagħha lil persuna responsabbli komuni. F’każ bħal dan, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn il-maniġer responsabbli tal-organizzazzjoni jew, fil-każ ta’ organizzazzjonijiet tad-disinn, il-kap tal-organizzazzjoni tad-disinn, u l-persuna responsabbli komuni biex tiġi żgurata integrazzjoni adegwata tal-ġestjoni tas-sigurtà tal-informazzjoni fi ħdan l-organizzazzjoni. |
(e) |
Il-maniġer responsabbli jew il-kap tal-organizzazzjoni, tad-disinn, jew il-persuna responsabbli komuni msemmija fil-punt (d), għandu jkollhom awtorità korporattiva biex jistabbilixxu u jżommu l-istrutturi organizzattivi, il-politiki, il-proċessi u l-proċeduri meħtieġa għall-implimentazzjoni tal-punt IS.D.OR.200. |
(f) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal fid-dmir li twettaq l-attivitajiet koperti minn dan l-Anness. |
(g) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (f) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu. |
(h) |
L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jirrikonoxxi r-responsabbiltajiet assoċjati mar-rwoli u mal-kompiti assenjati. |
(i) |
L-organizzazzjoni għandha tiżgura li l-identità u l-affidabbiltà tal-persunal li għandu aċċess għas-sistemi tal-informazzjoni u għad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament ikunu stabbiliti b’mod xieraq. |
IS.D.OR.245 Żamma ta’ rekords
(a) |
L-organizzazzjoni għandha żżomm rekords tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
(b) |
L-organizzazzjoni għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha stess involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni
|
(c) |
Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-organizzazzjoni. |
(d) |
Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni mill-ħsara, mit-tibdil u mis-serq, bl-informazzjoni tiġi identifikata, meta meħtieġ, skont il-livell tal-klassifikazzjoni tas-sigurtà tagħha. L-organizzazzjoni għandha tiżgura li r-rekords jinħażnu bl-użu ta’ mezzi biex jiġu żgurati l-integrità, l-awtentiċità u l-aċċess awtorizzat. |
IS.D.OR.250 Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)
(a) |
L-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) u, fejn applikabbli, kwalunkwe manwal u proċedura assoċjati referenzjati, li jkun fih:
|
(b) |
Il-ħruġ inizjali tal-ISMM għandu jiġi approvat u għandha tinżamm kopja mill-awtorità kompetenti. L-ISMM għandha tiġi emendata kif meħtieġ biex tibqa’ deskrizzjoni aġġornata tal-organizzazzjoni. Kopja ta’ kwalunkwe emenda għall-ISMM għandha tiġu pprovduta lill-awtorità kompetenti. |
(c) |
L-emendi għall-ISMM għandhom jiġu ġestiti fi proċedura stabbilita mill-organizzazzjoni. Kwalunkwe emenda li ma tkunx inkluża fil-kamp ta’ applikazzjoni tal-proċedura u kwalunkwe emenda relatata mal-bidliet msemmija fil-punt IS.D.OR.255(b), għandhom jiġu approvati mill-awtorità kompetenti. |
(d) |
L-organizzazzjoni tista’ tintegra l-ISMM ma’ espożizzjonijiet maniġerjali jew manwali oħra li jkollha, sakemm ikun hemm kontroreferenza ċara li tindika liema porzjonijiet mill-preżentazzjoni jew mill-manwal tal-ġestjoni jikkorrispondu għar-rekwiżiti differenti li jinsabu f’dan l-Anness. |
IS.D.OR.255 Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni
(a) |
Il-bidliet fl-ISMS jistgħu jiġu ġestiti u nnotifikati lill-awtorità kompetenti fi proċedura żviluppata mill-organizzazzjoni. Din il-proċedura għandha tiġi approvata mill-awtorità kompetenti. |
(b) |
Fir-rigward tal-bidliet fl-ISMS li ma humiex koperti mill-proċedura msemmija fil-punt (a), l-organizzazzjoni għandha tapplika għal u tikseb approvazzjoni maħruġa mill-awtorità kompetenti. Fir-rigward ta’ dawn il-bidliet:
|
IS.D.OR.260 Titjib kontinwu
(a) |
L-organizzazzjoni għandha tivvaluta, bl-użu ta’ indikaturi ta’ prestazzjoni adegwati, l-effettività u l-maturità tal-ISMS. Dik il-valutazzjoni għandha titwettaq fuq bażi kalendarja predefinita mill-organizzazzjoni jew wara inċident tas-sigurtà tal-informazzjoni. |
(b) |
Jekk jinstabu nuqqasijiet wara l-valutazzjoni mwettqa f’konformità mal-punt (a), l-organizzazzjoni għandha tieħu l-miżuri ta’ titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-organizzazzjoni għandha tivvaluta mill-ġdid dawk l-elementi tal-ISMS affettwati mill-miżuri adottati. |
(1) Ir-Regolament (UE) Nru 376/2014 tal-Parlament Ewropew u tal-Kunsill tat-3 ta’ April 2014 dwar ir-rappurtar, l-analiżi u s-segwitu ta’ okkorrenzi fl-avjazzjoni ċivili, li jemenda r-Regolament (UE) Nru 996/2010 tal-Parlament Ewropew u tal-Kunsill u li jħassar id-Direttiva 2003/42/KE tal-Parlament Ewropew u tal-Kunsill, u r-Regolamenti tal-Kummissjoni (KE) Nru 1321/2007 u (KE) Nru 1330/2007 (ĠU L 122, 24.4.2014, p. 18).