REGOLAMENT TA' IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2019/1583

tal-25 ta' Settembru 2019

li jemenda r-Regolament ta' Implimentazzjoni (UE) 2015/1998 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni, fir-rigward tal-miżuri taċ-ċibersigurtà

(Test b'rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta' Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (1), u b'mod partikolari l-Artikoli 1 u 4(3) tiegħu,

Billi:

(1)

Wieħed mill-objettivi ewlenin tar-Regolament (KE) Nru 300/2008 huwa li jipprovdi l-bażi għal interpretazzjoni komuni tal-Anness 17 (l-Anness dwar is-Sigurtà) tal-Konvenzjoni dwar l-Avjazzjoni Ċivili Internazzjonali (2) tas-7 ta' Diċembru 1944, l-10 edizzjoni, 2017 li għaliha l-Istati Membri kollha tal-UE huma firmatarji.

(2)	Il-mezzi biex jintlaħqu l-objettivi huma (a) l-istabbiliment ta' regoli komuni u ta' standards bażiċi komuni dwar is-sigurtà tal-avjazzjoni u (b) mekkaniżmi għall-monitoraġġ tal-konformità.

(3)

L-iskop tal-emenda tal-leġiżlazzjoni ta' implimentazzjoni huwa li jiġu appoġġati l-Istati Membri fl-iżgurar tal-konformità sħiħa mal-aktar emenda reċenti (l-Emenda 16) tal-Anness 17 tal-Konvenzjoni dwar l-Avjazzjoni Ċivili Internazzjonali, li introduċiet standards ġodda skont il-Kapitolu 3.1.4 relatat mal-organizzazzjoni nazzjonali u l-awtorità xierqa u l-Kapitolu 4.9.1 relatat mal-miżuri preventivi taċ-ċibersigurtà.

(4)

Bit-traspożizzjoni ta' dawn l-istandards fil-leġiżlazzjoni ta' implimentazzjoni dwar is-sigurtà tal-avjazzjoni mifruxa fl-UE kollha, se jiġi żgurat li l-awtoritajiet xierqa jistabbilixxu u jimplimentaw proċeduri biex, kif xieraq u b'mod prattiku u f'waqtu, jikkondividu informazzjoni rilevanti biex jgħinu lil awtoritajiet u aġenziji nazzjonali oħra, operaturi tal-ajruporti, trasportaturi tal-ajru u entitajiet oħra kkonċernati, iwettqu valutazzjonijiet effettivi tar-riskju tas-sigurtà relatati mal-operazzjonijiet tagħhom u b'dak il-mod jappoġġaw lil dawn l-entitajiet fit-twettiq ta' valutazzjonijiet effettivi tar-riskju tas-sigurtà relatati, fost l-oħrajn, maċ-ċibersigurtà u jimplimentaw miżuri li jindirizzaw it-theddid ċibernetiku.

(5)

Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (id-Direttiva NIS) tistabbilixxi miżuri bil-ħsieb li jinkiseb livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni fl-Unjoni (3) sabiex jitjieb il-funzjonament tas-suq intern. Il-miżuri li jirriżultaw mid-Direttiva NIS u dan ir-Regolament jenħtieġ li jiġu kkoordinati fil-livelli nazzjonali sabiex jiġu evitati l-lakuni u d-duplikazzjonijiet tal-obbligi.

(6)	Għalhekk, jenħtieġ li r-Regolament ta' Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 (4) jiġi emendat skont dan.

(7)	Il-miżuri previsti f'dan ir-Regolament huma skont l-opinjoni tal-Kumitat dwar is-Sigurtà tal-Avjazzjoni Ċivili stabbilit skont l-Artikolu 19(1) tar-Regolament (KE) Nru 300/2008,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

L-Anness tar-Regolament ta' Implimentazzjoni (UE) 2015/1998 huwa emendat f'konformità mal-Anness ta' dan ir-Regolament.

Artikolu 2

Dan ir-Regolament għandu jidħol fis-seħħ fil-31 ta' Diċembru 2020.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, il-25 ta' Settembru 2019.

Għall-Kummissjoni

Il-President

Jean-Claude JUNCKER

(1) ĠU L 97, 9.4.2008, p. 72.

(2) https://icao.int/publications/pages/doc7300.aspx

(3) Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta' Lulju 2016 dwar miżuri għal livell għoli komuni ta' sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).

(4) Ir-Regolament ta' Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 tal-5 ta' Novembru 2015 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni (ĠU L 299, 14.11.2015, p. 1).

ANNESS

L-Anness tar-Regolament ta' Implimentazzjoni (UE) 2015/1998 huwa emendat kif ġej:

(1)

Jiżdied il-punt 1.0.6 li ġej:

“1.0.6.

L-awtorità xierqa għandha tistabbilixxi u timplimenta proċeduri biex, kif xieraq u b'mod prattiku u f'waqtu, tikkondividi informazzjoni rilevanti biex tgħin lil awtoritajiet u aġenziji nazzjonali oħra, operaturi tal-ajruporti, trasportaturi tal-ajru u entitajiet oħra kkonċernati, iwettqu valutazzjonijiet effettivi tar-riskju tas-sigurtà relatati mal-operazzjonijiet tagħhom.”;

(2)

Jiżdied il-punt 1.7 li ġej:

“1.7 IDENTIFIKAZZJONI U PROTEZZJONI TAS-SISTEMI TAT-TEKNOLOĠIJA TAL-INFORMAZZJONI U TAL-KOMUNIKAZZJONI TAL-AVJAZZJONI ĊIVILI U TAD-DATA KRITIĊI MIT-THEDDIDIET ĊIBERNETIĊI

1.7.1.

L-awtorità xierqa għandha tiżgura li l-operaturi tal-ajruporti, it-trasportaturi tal-ajru u l-entitajiet kif definit fil-programm nazzjonali tas-sigurtà tal-avjazzjoni ċivili jidentifikaw u jipproteġu s-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data kritiċi tagħhom miċ-ċiberattakki li jistgħu jaffettwaw is-sigurtà tal-avjazzjoni ċivili.

1.7.2.

Fil-programm tas-sigurtà tagħhom, jew fi kwalunkwe dokument rilevanti b'kontroreferenza fil-programm tas-sigurtà, l-operaturi tal-ajruporti, it-trasportaturi tal-ajru u l-entitajiet għandhom jidentifikaw is-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data kritiċi deskritti fil-punt 1.7.1.

Il-programm tas-sigurtà, jew kwalunkwe dokument rilevanti b'kontroreferenza fil-programm tas-sigurtà għandu jippreżenta l-miżuri fid-dettall li jiżguraw il-protezzjoni miċ-ċiberattakki, id-detezzjoni tagħhom, ir-rispons għalihom u l-irkupru minn dawn iċ-ċiberattakki, kif deskritt fil-punt 1.7.1.

1.7.3.

Il-miżuri dettaljati li jipproteġu dawn is-sistemi u d-data minn interferenza illegali għandhom jiġu identifikati, żviluppati u implimentati skont valutazzjoni tar-riskju mwettqa mill-operatur tal-ajruport, mit-trasportatur tal-ajru jew mill-entità kif xieraq.

1.7.4.

Meta awtorità jew aġenzija speċifika tkun kompetenti għal miżuri relatati mat-theddid ċibernetiku fi Stat Membru wieħed, din l-awtorità jew din l-aġenzija tista' tiġi nnominata bħala kompetenti għall-koordinazzjoni u/jew il-monitoraġġ tad-dispożizzjonijiet relatati maċ-ċibernetika f'dan ir-Regolament.

1.7.5.

Meta l-operaturi tal-ajruporti, it-trasportaturi tal-ajru u l-entitajiet kif definiti fil-programm nazzjonali tas-sigurtà tal-avjazzjoni ċivili jkunu soġġetti għal rekwiżiti separati dwar iċ-ċibersigurtà li jirriżultaw minn leġiżlazzjoni nazzjonali jew tal-UE oħra, l-awtorità xierqa tista' tissostitwixxi l-konformità mar-rekwiżiti ta' dan ir-Regolament bil-konformità mal-elementi fil-leġiżlazzjoni tal-UE jew fil-leġiżlazzjoni nazzjonali l-oħra. L-awtorità xierqa għandha tikkoordina ma' kwalunkwe awtorità kompetenti rilevanti oħra sabiex tiżgura reġimi tas-sorveljanza koordinati jew kompatibbli.”;

(3)

Il-punt 11.1.2 huwa sostitwit b'dan li ġej:

“11.1.2

Il-persunal li ġej għandu jkun wettaq b'suċċess kontroll tal-isfond imtejjeb jew standard:

(a)	Il-persuni li jiġu rreklutati biex jimplimentaw, jew biex ikunu responsabbli għall-implimentazzjoni tal-iskrinjar, il-kontroll fuq l-aċċess jew kontrolli tas-sigurtà oħra f'post ieħor għajr f'żona ristretta tas-sigurtà;

(b)

Il-persuni li jkollhom aċċess mingħajr skorta għall-merkanzija u l-posta tal-ajru, għall-posta tat-trasportaturi tal-ajru u għall-materjal tat-trasportaturi tal-ajru, għall-provvisti għal matul it-titjira u għall-provvisti tal-ajruporti li għalihom ikunu ġew applikati l-kontrolli tas-sigurtà meħtieġa;

(c)

Il-persuni li jkollhom drittijiet ta' amministratur jew aċċess mhux sorveljat u mhux limitat għas-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data kritiċi użati għall-iskopijiet ta' sigurtà tal-avjazzjoni ċivili kif deskritt fil-punt 1.7.1 skont il-programm nazzjonali tas-sigurtà tal-avjazzjoni, jew li jkunu ġew identifikati b'mod ieħor fil-valutazzjoni tar-riskju skont il-punt 1.7.3.

Sakemm ma jkunx ġie speċifikat mod ieħor f'dan ir-Regolament, l-awtorità xierqa għandha tiddetermina jekk għandux isir kontroll tal-isfond imtejjeb jew standard skont ir-regoli nazzjonali applikabbli.”;

(4)

Jiżdied il-punt 11.2.8 li ġej:

“11.2.8. It-taħriġ tal-persunal bi rwoli u responsabbiltajiet relatati mat-theddidiet ċibernetiċi

11.2.8.1.

Il-persuni li jimplimentaw il-miżuri kif stipulat fil-punt 1.7.2 għandu jkollhom il-ħiliet u l-aptitudnijiet meħtieġa biex iwettqu l-kompiti mogħtija lilhom b'mod effettiv. Għandhom jiġu mgħarrfa dwar ir-riskji ċibernetiċi rilevanti fuq bażi ta' ħtieġa ta' għarfien.

11.2.8.2.

Il-persuni li jkollhom aċċess għad-data jew għas-sistemi għandhom jirċievu taħriġ xieraq u speċifiku relatat mal-impjieg li jkun proporzjonat mar-rwol u mar-responsabbiltajiet tagħhom, inkluż li jiġu mgħarrfa dwar ir-riskji rilevanti meta l-funzjoni tal-impjieg tagħhom teħtieġ dan. L-awtorità xierqa, jew l-awtorità jew l-aġenzija kif stabbilit fil-punt 1.7.4 għandha tispeċifika jew tapprova l-kontenut tal-kors.”.