REGOLAMENT TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2023/203

tas-27 ta’ Ottubru 2022

li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti tal-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664, u għall-awtoritajiet kompetenti koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012, (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340 u (UE) Nru 139/2014, mir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u (UE) 2021/664

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill tal-4 ta’ Lulju 2018 dwar regoli komuni fil-qasam tal-avjazzjoni ċivili u li jistabbilixxi Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea, u li jemenda r-Regolamenti (KE) Nru 2111/2005, (KE) Nru 1008/2008, (UE) Nru 996/2010, (UE) Nru 376/2014 u d-Direttivi 2014/30/UE u 2014/53/UE tal-Parlament Ewropew u tal-Kunsill, u li jħassar ir-Regolamenti (KE) Nru 552/2004 u (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill u r-Regolament tal-Kunsill (KEE) Nru 3922/91 (1), u b’mod partikolari l-Artikoli 17(1) il-punt (b), 27(1) il-punt (a), 31(1) il-punt (b), 43(1) il-punt (b), 53(1) il-punt (a), u 62(15) il-punt (c), tiegħu

Billi:

(1)

F’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness II, il-punt 3.1(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tal-ġestjoni tal-kontinwità tal-ajrunavigabbiltà u l-organizzazzjonijiet tal-manutenzjoni jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza.

(2)

Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness IV, il-punt 3.3(b) u l-punt 5(b), tar-Regolament (UE) 2018/1139, l-organizzazzjonijiet tat-taħriġ tal-bdoti, l-organizzazzjonijiet tat-taħriġ tal-ekwipaġġ tal-kabina, iċ-ċentri ajrumediċi tal-ekwipaġġ tal-ajru, u l-operaturi tal-apparati tat-taħriġ tas-simulazzjoni tat-titjir iridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza.

(3)	Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness V, il-punt 8.1(c), tar-Regolament (UE) 2018/1139, l-operaturi tal-ajru jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza.

(4)

Barra minn hekk, f’konformità mar-rekwiżiti essenzjali stabbiliti fl-Anness VIII, il-punt 5.1(c) u l-punt 5.4(b), tar-Regolament (UE) 2018/1139, il-fornituri tas-servizzi tal-ġestjoni tat-traffiku tal-ajru u tan-navigazzjoni tal-ajru, il-fornituri tas-servizzi tal-Uspazju u l-fornituri tas-servizzi tal-informazzjoni komuni uniċi, u l-organizzazzjonijiet tat-taħriġ u ċ-ċentri ajrumediċi għall-kontrollur tat-traffiku tal-ajru jridu jimplimentaw u jħaddmu sistema tal-ġestjoni biex jimmaniġġjaw ir-riskji għas-sikurezza.

(5)

Dawk ir-riskji għas-sikurezza jistgħu jiġu minn sorsi differenti, bħal difetti fid-disinn u fil-manutenzjoni, aspetti ta’ prestazzjoni umana, theddid ambjentali u theddid għas-sigurtà tal-informazzjoni. Għalhekk, is-sistemi tal-ġestjoni implimentati mill-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea (“l-Aġenzija”) u mill-awtoritajiet u l-organizzazzjonijiet nazzjonali kompetenti msemmija fil-premessi hawn fuq jenħtieġ li jqisu mhux biss ir-riskji għas-sikurezza li jirriżultaw minn avvenimenti każwali, iżda anki r-riskji għas-sikurezza maħluqa mit-theddid għas-sigurtà tal-informazzjoni meta xi difetti eżistenti jiġu sfruttati minn individwi b’intenzjoni malizzjuża. Dawk ir-riskji għas-sigurtà tal-informazzjoni qed jiżdiedu b’mod kostanti fl-ambjent tal-avjazzjoni ċivili, hekk kif is-sistemi tal-informazzjoni attwali qed isiru aktar u aktar interkonnessi, u qed isiru dejjem aktar il-mira ta’ atturi malizzjużi.

(6)	Ir-riskji assoċjati ma’ dawk is-sistemi tal-informazzjoni mhumiex limitati għal attakki possibbli għaċ-ċiberspazju, iżda jinkludu theddid, li jista’ jaffettwa l-proċessi u l-proċeduri, kif ukoll il-prestazzjoni umana.

(7)

Bosta organizzazzjonijiet diġà qed jużaw l-istandards internazzjonali, bħall-ISO 27001, biex jindirizzaw is-sigurtà tal-informazzjoni u d-data diġitali. Dawk l-istandards jaf ma jindirizzawx għalkollox l-ispeċifiċitajiet kollha tal-avjazzjoni ċivili. Għalhekk, jixraq jiġu stabbiliti rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni.

(8)

Hu essenzjali li dawk ir-rekwiżiti jkopru l-oqsma kollha tal-avjazzjoni u l-interfaċċji tagħhom, għax l-avjazzjoni hi sistema interkonnessa ħafna ta’ sistemi. Għalhekk, dawn jenħtieġ li japplikaw għall-organizzazzjonijiet u l-awtoritajiet kompetenti kollha koperti mir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 (2), (UE) Nru 1321/2014 (3), (UE) Nru 965/2012 (4), (UE) Nru 1178/2011 (5), (UE) 2015/340 (6), (UE) Nru 139/2014 (7) u mir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 (8), kif ukoll dawk li diġà jeħtieġ ikollhom sistema tal-ġestjoni f’konformità mal-leġiżlazzjoni eżistenti tal-Unjoni dwar is-sikurezza tal-avjazzjoni. Madankollu, xi organizzazzjonijiet jenħtieġ li jiġu esklużi mill-kamp ta’ applikazzjoni ta’ dan ir-Regolament biex tkun żgurata proporzjonalità xierqa għar-riskji inqas serji għas-sigurtà tal-informazzjoni li dawn joħolqu għas-sistema tal-avjazzjoni.

(9)	Ir-rekwiżiti stipulati f’dan ir-Regolament jenħtieġ li jiżguraw implimentazzjoni konsistenti fl-oqsma kollha tal-avjazzjoni, filwaqt li joħolqu impatt minimu fuq il-leġiżlazzjoni tal-Unjoni dwar is-sikurezza tal-avjazzjoni diġà applikabbli għal dawk l-oqsma.

(10)

Ir-rekwiżiti stipulati f’dan ir-Regolament jenħtieġ li jkunu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stipulati fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 (9) u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148 (10) tal-Parlament Ewropew u tal-Kunsill.

(11)

Ir-rekwiżiti tas-sigurtà stipulati fl-Artikoli 33 sa 43 tat-Titolu V “Sigurtà tal-Programm” tar-Regolament (UE) 2021/696 (11) tal-Parlament Ewropew u tal-Kunsill jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li jenħtieġ li jkun hemm konformità magħhom.

(12)

Biex tingħata ċ-ċertezza legali, l-interpretazzjoni tat-terminu “sigurtà tal-informazzjoni” kif definit f’dan ir-Regolament, li tirrifletti l-użu komuni tiegħu fl-avjazzjoni ċivili madwar id-dinja, jenħtieġ li titqies konsistenti ma’ dik tat-terminu “sigurtà tan-networks u tas-sistemi tal-informazzjoni” kif definit fl-Artikolu 4(2) tad-Direttiva (UE) 2016/1148. Id-definizzjoni ta’ “sigurtà tal-informazzjoni” użata għall-finijiet ta’ dan ir-Regolament jenħtieġ li ma tiġix interpretata bħala diverġenti mid-definizzjoni ta’ “sigurtà tan-networks u tas-sistemi tal-informazzjoni” stipulata fid-Direttiva (UE) 2016/1148.

(13)

Biex tiġi evitata d-duplikazzjoni tar-rekwiżiti legali, meta l-organizzazzjonijiet koperti minn dan ir-Regolament ikunu diġà soġġetti għar-rekwiżiti tas-sigurtà li joħorġu mill-atti tal-Unjoni msemmija fil-premessi (10) u (11) li fl-effett tagħhom huma ekwivalenti għad-dispożizzjonijiet stipulati f’dan ir-Regolament, jenħtieġ li l-konformità ma’ dawk ir-rekwiżiti tas-sigurtà titqies bħala li tikkostitwixxi konformità mar-rekwiżiti stipulati f’dan ir-Regolament.

(14)

L-organizzazzjonijiet koperti minn dan ir-Regolament li diġà huma soġġetti għar-rekwiżiti tas-sigurtà stabbiliti mir-Regolament ta’ Implimentazzjoni (UE) 2015/1998 jew mir-Regolament (UE) 2021/696, jew mit-tnejn, jenħtieġ li jikkonformaw ukoll mar-rekwiżiti tal-Anness II (Parti IS.I.OR.230 “Skema ta’ rapportar estern dwar is-sigurtà tal-informazzjoni”) ta’ dan ir-Regolament, għax l-ebda Regolament ma fih dispożizzjonijiet relatati mar-rapportar estern ta’ inċidenti tas-sigurtà tal-informazzjoni.

(15)

Għal raġunijiet ta’ kompletezza, ir-Regolamenti (UE) Nru 1178/2011, (UE) Nru 748/2012, (UE) Nru 965/2012, (UE) Nru 139/2014, (UE) Nru 1321/2014, (UE) 2015/340, u r-Regolamenti ta’ Implimentazzjoni (UE) 2017/373 (12) u (UE) 2021/664 jenħtieġ li jiġu emendati biex jiddaħħlu r-rekwiżiti tas-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni preskritti f’dan ir-Regolament flimkien mas-sistemi tal-ġestjoni stabbiliti fih, u biex jiġu stabbiliti r-rekwiżiti tal-awtoritajiet kompetenti b’rabta mas-sorveljanza tal-organizzazzjonijiet li jimplimentaw ir-rekwiżiti tal-ġestjoni tas-sigurtà tal-informazzjoni msemmija hawn fuq.

(16)

Biex l-organizzazzjonijiet jingħataw biżżejjed żmien biex jiżguraw il-konformità mar-regoli u l-proċeduri l-ġodda, dan ir-Regolament jenħtieġ li japplika wara tliet (3) snin mid-dħul fis-seħħ tiegħu, għajr għall-fornitur tas-servizzi tan-navigazzjoni bl-ajru tas-Sistema Ewropea ta’ Navigazzjoni b’Kopertura Ġeostazzjonarja (EGNOS) definit fir-Regolament ta’ Implimentazzjoni (UE) 2017/373 li, minħabba l-akkreditazzjoni tas-sigurtà pendenti tas-sistema u tas-servizzi tal-EGNOS f’konformità mar-Regolament (UE) 2021/696, jenħtieġ li jibda japplika mill-1 ta’ Jannar 2026.

(17)	Ir-rekwiżiti stipulati f’dan ir-Regolament huma bbażati fuq l-Opinjoni Nru 03/2021 (13), maħruġa mill-Aġenzija f’konformità mal-Artikolu 75(2), il-punti (b) u (c), u mal-Artikolu 76(1) tar-Regolament (UE) 2018/1139.

(18)	Ir-rekwiżiti stipulati f’dan ir-Regolament huma konformi mal-opinjoni tal-Kumitat għall-applikazzjoni ta’ regoli komuni tas-sikurezza fil-qasam tal-avjazzjoni ċivili stabbiliti mill-Artikolu 127 tar-Regolament (UE) 2018/1139,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Suġġett

Dan ir-Regolament jistabbilixxi r-rekwiżiti li għandhom jissodisfaw l-organizzazzjonijiet u l-awtoritajiet kompetenti biex:

(a)	jidentifikaw u jimmaniġġjaw ir-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jistgħu jaffettwaw is-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni u d-data użati għal skopijiet ta’ avjazzjoni ċivili,

(b)	jidentifikaw l-avvenimenti tas-sigurtà tal-informazzjoni u jidentifikaw dawk li jitqiesu bħala inċidenti tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni,

(c)	jirrispondu għal dawk l-inċidenti tas-sigurtà tal-informazzjoni u jirkupraw minnhom.

Artikolu 2

Kamp ta’ applikazzjoni

1. Dan ir-Regolament japplika għall-organizzazzjonijiet li ġejjin:

(a)	organizzazzjonijiet tal-manutenzjoni soġġetti għat-Taqsima A tal-Anness II (Parti-145) tar-Regolament (UE) Nru 1321/2014, għajr dawk involuti biss fil-manutenzjoni tal-inġenji tal-ajru f’konformità mal-Anness Vb (Parti-ML) tar-Regolament (UE) Nru 1321/2014;

(b)

l-organizzazzjonijiet tal-ġestjoni tal-kontinwità tal-ajrunavigabbiltà (CAMOs) soġġetti għat-Taqsima A tal-Anness Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014, għajr dawk involuti biss fil-ġestjoni tal-kontinwità tal-ajrunavigabbiltà tal-inġenji tal-ajru f’konformità mal-Anness Vb (Parti-ML) tar-Regolament (UE) Nru 1321/2014;

(c)

l-operaturi tal-ajru soġġetti għall-Anness III (Parti-ORO) tar-Regolament (UE) Nru 965/2012, għajr dawk involuti biss fl-operat ta’ xi wieħed minn dawn li ġejjin:

(i)	inġenju tal-ajru tal-ELA 2 kif definit fil-punt (j) tal-Artikolu 1(2) tar-Regolament (UE) Nru 748/2012;

(ii)

ajruplani b’magna waħda li jaħdmu bl-iskrejjen b’Konfigurazzjoni Operattiva Massima ta’ Sits tal-Passiġġieri ta’ 5 jew inqas li mhumiex klassifikati bħala inġenji tal-ajru kumplessi li jaħdmu bil-magni, meta jitilqu u jinżlu fl-istess ajrudrom jew sit tal-operat u joperaw skont ir-Regoli tat-Titjir Viżwali (VFR) bir-regoli ta’ matul il-jum;

(iii)

ħelikopters b’magna waħda b’Konfigurazzjoni Operattiva Massima ta’ Sits tal-Passiġġieri ta’ 5 jew inqas li mhumiex klassifikati bħala inġenji tal-ajru kumplessi li jaħdmu bil-magni, meta jitilqu u jinżlu fl-istess ajrudrom jew sit tal-operat u joperaw skont il-VFR bir-regoli ta’ matul il-jum.

(d)

organizzazzjonijiet tat-taħriġ approvati (ATOs) soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011, għajr dawk involuti biss fl-attivitajiet ta’ taħriġ tal-inġenji tal-ajru ELA2 kif definiti fil-punt (j) tal-Artikolu 1(2) tar-Regolament (UE) Nru 748/2012, jew dawk involuti biss f’taħriġ teoretiku;

(e)	ċentri ajrumediċi tal-ekwipaġġ tal-ajru soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011;

(f)	operaturi tal-apparat tat-taħriġ tas-simulazzjoni tat-titjir (FSTD) soġġetti għall-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011, għajr dawk involuti biss fl-operat tal-FSTDs għall-inġenji tal-ajru ELA2 kif definit fil-punt (j) tal-Artikolu 1(2) tar-Regolament (UE) Nru 748/2012;

(g)	organizzazzjonijiet ta’ taħriġ tal-kontrolluri tat-traffiku tal-ajru (ATCO TOs) u ċentri ajrumediċi tal-ATCO soġġetti għall-Anness III (Parti ATCO.OR) tar-Regolament (UE) 2015/340;

(h)

organizzazzjonijiet soġġetti għall-Anness III (Parti-ATM/ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373, għajr il-fornituri tas-servizzi li ġejjin:

(i)	fornituri tas-servizzi tan-navigazzjoni bl-ajru li jkollhom ċertifikat limitat f’konformità mal-punt ATM/ ANS.OR.A.010 ta’ dak l-Anness;

(ii)	fornituri tas-servizzi tal-informazzjoni dwar it-titjir li jiddikjaraw l-attivitajiet tagħhom f’konformità mal-punt ATM/ANS.OR.A.015 ta’ dak l-Anness;

(i)	fornituri tas-servizzi tal-Uspazju u fornituri tas-servizzi tal-informazzjoni komuni uniċi soġġetti għar-Regolament ta’ Implimentazzjoni (UE) 2021/664.

2. Dan ir-Regolament japplika għall-awtoritajiet kompetenti, inkluż l-Aġenzija tas-Sikurezza tal-Avjazzjoni tal-Unjoni Ewropea (“l-Aġenzija”), imsemmija fl-Artikolu 6 ta’ dan ir-Regolament u fl-Artikolu 5 tar-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 (14).

3. Dan ir-Regolament japplika wkoll għall-awtorità kompetenti responsabbli għall-ħruġ, il-kontinwazzjoni, it-tibdil, is-sospensjoni jew ir-revoka ta’ liċenzji tal-manutenzjoni tal-inġenji tal-ajru f’konformità mal-Anness III (Parti-66) tar-Regolament (UE) Nru 1321/2014.

4. Dan ir-Regolament hu mingħajr preġudizzju għar-rekwiżiti tas-sigurtà tal-informazzjoni u taċ-ċibersigurtà stipulati fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 u fl-Artikolu 14 tad-Direttiva (UE) 2016/1148.

Artikolu 3

Definizzjonijiet

Għall-fini ta’ dan ir-Regolament, għandhom japplikaw id-definizzjonijiet li ġejjin:

(1)	“sigurtà tal-informazzjoni” tfisser il-preservazzjoni tal-kunfidenzjalità, tal-integrità, tal-awtentiċità u tad-disponibbiltà tan-network u tas-sistemi tal-informazzjoni;

(2)

“avveniment tas-sigurtà tal-informazzjoni” tfisser okkorrenza identifikata ta’ sistema, servizz jew stat tan-network li tindika ksur possibbli tal-politika dwar is-sigurtà tal-informazzjoni jew nuqqas ta’ kontrolli tas-sigurtà tal-informazzjoni, jew sitwazzjoni li qabel ma kinitx magħrufa li tista’ tkun rilevanti għas-sigurtà tal-informazzjoni;

(3)	“inċident” tfisser avveniment li jkollu effett negattiv reali fuq is-sigurtà tan-network u tas-sistemi tal-informazzjoni kif definit fl-Artikolu 4(7) tad-Direttiva (UE) 2016/1148;

(4)

“riskju għas-sigurtà tal-informazzjoni” tfisser ir-riskju għall-operazzjonijiet, l-assi, l-individwi tal-operazzjonijiet tal-avjazzjoni ċivili organizzazzjonali, u organizzazzjonijiet oħrajn, minħabba l-potenzjal ta’ avveniment tas-sigurtà tal-informazzjoni. Ir-riskji għas-sigurtà tal-informazzjoni huma assoċjati mal-potenzjal li t-theddidiet jisfruttaw il-vulnerabbiltajiet tal-assi tal-informazzjoni jew ta’ grupp ta’ assi tal-informazzjoni;

(5)	“theddida” tfisser ksur potenzjali tas-sigurtà tal-informazzjoni li jeżisti meta jkun hemm entità, ċirkostanza, azzjoni jew avveniment li jista’ jikkawża dannu;

(6)	“vulnerabbiltà” tfisser difett jew dgħufija f’assi jew f’sistema, fi proċeduri, f’disinn, f’implimentazzjoni, jew f’miżuri tas-sigurtà tal-informazzjoni li jistgħu jiġu sfruttati u li jikkawżaw ksur jew vjolazzjoni tal-politika dwar is-sigurtà tal-informazzjoni.

Artikolu 4

Rekwiżiti għall-organizzazzjonijiet u għall-awtoritajiet kompetenti

1. L-organizzazzjonijiet imsemmija fl-Artikolu 2(1) għandhom jikkonformaw mar-rekwiżiti tal-Anness II (Parti-IS.I.OR) ta’ dan ir-Regolament.

2. L-awtoritajiet kompetenti msemmija fl-Artikolu 2(2) u (3) għandhom jikkonformaw mar-rekwiżiti tal-Anness I (Parti-IS.AR) ta’ dan ir-Regolament.

Artikolu 5

Rekwiżiti li joħorġu minn leġiżlazzjoni oħra tal-Unjoni

1. Meta organizzazzjoni msemmija fl-Artikolu 2(1) tikkonforma mar-rekwiżiti tas-sigurtà stipulati f’konformità mal-Artikolu 14 tad-Direttiva (UE) 2016/1148 li huma ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, il-konformità ma’ dawk ir-rekwiżiti tas-sigurtà għandha titqies li tikkostitwixxi konformità mar-rekwiżiti stipulati f’dan ir-Regolament.

2. Meta organizzazzjoni msemmija fl-Artikolu 2(1) tkun operatur jew entità msemmija fil-programmi tas-sigurtà tal-avjazzjoni ċivili nazzjonali tal-Istati Membri stipulati f’konformità mal-Artikolu 10 tar-Regolament (KE) Nru 300/2008 (15) tal-Parlament Ewropew u tal-Kunsill, ir-rekwiżiti taċ-ċibersigurtà li jinsabu fil-punt 1.7 tal-Anness tar-Regolament ta’ Implimentazzjoni (UE) 2015/1998 għandhom jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu bħala tali.

3. Meta l-organizzazzjoni msemmija fl-Artikolu 2(1) tkun il-fornitur tas-servizzi tan-navigazzjoni bl-ajru tas-Servizz Ewropew ta’ Navigazzjoni b’Kopertura Ġeostazzjonarja (EGNOS) imsemmi fir-Regolament (UE) 2021/696, ir-rekwiżiti tas-sigurtà li hemm fl-Artikoli 33 sa 43 tat-Titolu V ta’ dak ir-Regolament jitqiesu ekwivalenti għar-rekwiżiti stipulati f’dan ir-Regolament, għajr fir-rigward tal-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament li għandu jkun hemm konformità miegħu bħala tali.

4. Il-Kummissjoni, wara li tikkonsulta lill-Aġenzija u lill-Grupp ta’ Kooperazzjoni msemmi fl-Artikolu 11 tad-Direttiva (UE) 2016/1148, tista’ toħroġ linji gwida għall-valutazzjoni tal-ekwivalenza tar-rekwiżiti stipulati f’dan ir-Regolament u fid-Direttiva (UE) 2016/1148.

Artikolu 6

Awtorità kompetenti

1. Mingħajr preġudizzju għall-kompiti fdati lill-Bord għall-Akkreditazzjoni tas-Sigurtà (SAB) imsemmi fl-Artikolu 36 tar-Regolament (UE) 2021/696, l-awtorità responsabbli għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità ma’ dan ir-Regolament għandha tkun:

(a)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (a), tal-awtorità kompetenti maħtura f’konformità mal-Anness II (Parti-145) tar-Regolament (UE) Nru 1321/2014;

(b)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (b), tal-awtorità kompetenti maħtura f’konformità mal-Anness Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014;

(c)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (c), tal-awtorità kompetenti maħtura f’konformità mal-Anness III (Parti-ORO) tar-Regolament (UE) Nru 965/2012;

(d)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punti minn (d) sa (f), tal-awtorità kompetenti maħtura f’konformità mal-Anness VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011;

(e)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (g), tal-awtorità kompetenti maħtura f’konformità mal-Artikolu 6(2) tar-Regolament (UE) 2015/340;

(f)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (h), tal-awtorità kompetenti maħtura f’konformità mal-Artikolu 4(1) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373;

(g)	fir-rigward tal-organizzazzjonijiet imsemmija fl-Artikolu 2(1), il-punt (i), l-awtorità kompetenti maħtura f’konformità mal-Artikolu 14(1) jew 14(2), kif applikabbli, tar-Regolament ta’ Implimentazzjoni (UE) 2021/664.

2. L-Istati Membri jistgħu, għall-finijiet ta’ dan ir-Regolament, jaħtru entità indipendenti u awtonoma biex tissodisfa r-rwol u r-responsabbiltajiet assenjati tal-awtoritajiet kompetenti msemmija fil-paragrafu 1. F’dak il-każ, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn dik l-entità u l-awtoritajiet kompetenti, kif imsemmi fil-paragrafu 1, biex tiġi żgurata sorveljanza effettiva tar-rekwiżiti kollha li għandha tissodisfa l-organizzazzjoni.

3. L-Aġenzija għandha tikkoopera bis-sħiħ mar-regoli applikabbli dwar is-segretezza, il-protezzjoni tad-data personali u l-protezzjoni tal-informazzjoni klassifikata mal-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali (EUSPA), u l-SAB imsemmi fl-Artikolu 36 tar-Regolament (UE) 2021/696 biex tiġi żgurata sorveljanza effettiva tar-rekwiżiti applikabbli għall-fornitur tas-servizzi tan-navigazzjoni bl-ajru tal-EGNOS.

Artikolu 7

Sottomissjoni ta’ informazzjoni rilevanti lill-awtoritajiet kompetenti tal-NIS

L-awtoritajiet kompetenti skont dan ir-Regolament għandhom jinformaw, mingħajr dewmien żejjed, lill-punt uniku ta’ kuntatt maħtur f’konformità mal-Artikolu 8 tad-Direttiva (UE) 2016/1148 dwar kull informazzjoni rilevanti inkluża fin-notifiki sottomessi skont il-punt IS.I.OR.230 tal-Anness II ta’ dan ir-Regolament u l-punt IS.D.OR.230 tal-Anness I tar-Regolament Delegat 2022/1645 mill-operaturi tas-servizzi essenzjali identifikati f’konformità mal-Artikolu 5 tad-Direttiva (UE) 2016/1148.

Artikolu 8

Emendi għar-Regolament (UE) Nru 1178/2011

L-Annessi VI (Parti-ARA) u VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011 huma emendati f’konformità mal-Anness III ta’ dan ir-Regolament.

Artikolu 9

Emendi għar-Regolament (UE) Nru 748/2012

L-Anness I (Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat f’konformità mal-Anness IV ta’ dan ir-Regolament.

Artikolu 10

Emendi għar-Regolament (UE) Nru 965/2012

L-Annessi II (Parti-ARO) u III (Parti-ORO) tar-Regolament (UE) Nru 965/2012 huma emendati f’konformità mal-Anness V ta’ dan ir-Regolament.

Artikolu 11

Emendi għar-Regolament (UE) Nru 139/2014

L-Anness II (Parti-ADR.AR) tar-Regolament (UE) Nru 139/2014 huwa emendat f’konformità mal-Anness VI ta’ dan ir-Regolament.

Artikolu 12

Emendi għar-Regolament (UE) Nru 1321/2014

L-Annessi II (Parti-145), III (Parti-66) u Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014 huma emendati f’konformità mal-Anness VII ta’ dan ir-Regolament.

Artikolu 13

Emendi għar-Regolament (UE) 2015/340

L-Annessi II (Parti-ATCO.AR) u III (Parti-ATCO.OR) tar-Regolament (UE) 2015/340 huma emendati f’konformità mal-Anness VIII ta’ dan ir-Regolament.

Artikolu 14

Emendi għar-Regolament ta’ Implimentazzjoni (UE) 2017/373

L-Annessi II (Parti-ATM/ANS.AR) u III (Parti-ATM/ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373 huma emendati f’konformità mal-Anness IX ta’ dan ir-Regolament.

Artikolu 15

Emendi għar-Regolament ta’ Implimentazzjoni (UE) 2021/664

Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 huwa emendat kif ġej:

(1)

fl-Artikolu 15(1), il-punt (f) huwa sostitwit b’dan li ġej:

“(f)

jimplimentaw u jħaddmu sistema tal-ġestjoni tas-sigurtà f’konformità mal-punt ATM/ANS.OR.D.010 fis-Subparti D tal-Anness III tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 u sistema tal-ġestjoni tas-sigurtà tal-informazzjoni f’konformità mal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203;”;

(2)

fl-Artikolu 18, jiżdied il-punt (l) li ġej:

“(l)	jistabbilixxu, jimplimentaw u jħaddmu sistema tal-ġestjoni tas-sigurtà tal-informazzjoni f’konformità mal-Anness I (Parti-IS.AR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203.”.

Artikolu 16

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Għandu japplika mit-22 ta’ Frar 2026.

Madankollu, fir-rigward tal-każ tal-fornitur tas-servizzi tan-navigazzjoni bl-ajru tal-EGNOS soġġett għar-Regolament ta’ Implimentazzjoni (UE) 2017/373, dan għandu japplika mill-1 ta’ Jannar 2026.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, is-27 ta’ Ottubru 2022.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 212, 22.8.2018, p. 1.

(2) Ir-Regolament tal-Kummissjoni (UE) Nru 748/2012 tat-3 ta’ Awwissu 2012 li jistabbilixxi regoli ta’ implimentazzjoni għaċ-ċertifikazzjoni tal-airworthiness u ambjentali ta’ inġenji tal-ajru u ta’ prodotti, partijiet u tagħmir relatati, kif ukoll għaċ-ċertifikazzjoni ta’ organizzazzjonijiet relatati mad-disinn u l-produzzjoni (ĠU L 224, 21.8.2012, p. 1).

(3) Ir-Regolament tal-Kummissjoni (UE) Nru 1321/2014 tas-26 ta’ Novembru 2014 dwar il-kontinwità tal-ajrunavigabbiltà ta’ inġenji tal-ajru u prodotti, partijiet u tagħmir ajrunawtiċi, u dwar l-approvazzjoni ta’ organizzazzjonijiet u persunal involut f’dan ix-xogħol (Riformulazzjoni) (ĠU L 362, 17.12.2014, p. 1).

(4) Ir-Regolament tal-Kummissjoni (UE) Nru 965/2012 tal-5 ta’ Ottubru 2012 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati mal-operazzjonijiet bl-ajru skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 296, 25.10.2012, p. 1).

(5) Ir-Regolament tal-Kummissjoni (UE) Nru 1178/2011 tat-3 ta’ Novembru 2011 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati mal-ekwipaġġi tal-ajruplani tal-avjazzjoni ċivili skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 311, 25.11.2011, p. 1).

(6) Ir-Regolament tal-Kummissjoni (UE) 2015/340 tal-20 ta’ Frar 2015 li jistabbilixxi rekwiżiti tekniċi u proċeduri amministrattivi relatati maċ-ċertifikati u l-liċenzji tal-kontrolluri tat-traffiku tal-ajru skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill, li jemenda r-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) Nru 923/2012 u li jħassar ir-Regolament tal-Kummissjoni (UE) Nru 805/2011 (ĠU L 63, 6.3.2015, p. 1).

(7) Ir-Regolament tal-Kummissjoni (UE) Nru 139/2014 tat-12 ta’ Frar 2014 li jistabbilixxi rekwiżiti u proċeduri amministrattivi b’rabta mal-ajrudromi skont ir-Regolament (KE) Nru 216/2008 tal-Parlament Ewropew u tal-Kunsill (ĠU L 44, 14.2.2014, p. 1).

(8) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/664 tat-22 ta’ April 2021 dwar qafas regolatorju għall-U-space (ĠU L 139, 23.4.2021, p. 161).

(9) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2015/1998 tal-5 ta’ Novembru 2015 li jistipula miżuri dettaljati għall-implimentazzjoni tal-istandards bażiċi komuni dwar is-sigurtà tal-avjazzjoni (ĠU L 299, 14.11.2015, p. 1).

(10) Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-networks u tas-sistemi tal-informazzjoni madwar l-Unjoni (ĠU L 194, 19.7.2016, p. 1).

(11) Ir-Regolament (UE) 2021/696 tal-Parlament Ewropew u tal-Kunsill tat-28 ta’ April 2021 li jistabbilixxi l-Programm Spazjali tal-Unjoni u l-Aġenzija tal-Unjoni Ewropea għall-Programm Spazjali u li jħassar ir-Regolamenti (UE) Nru 912/2010, (UE) Nru 1285/2013 u, (UE) Nru 377/2014 u d-Deċiżjoni Nru 541/2014/UE (ĠU L 170, 12.5.2021, p. 69).

(12) Ir-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2017/373 tal-1 ta’ Marzu 2017 li jistabbilixxi r-rekwiżiti komuni għall-fornituri ta’ servizzi fil-ġestjoni tat-traffiku tal-ajru/tas-servizzi tan-navigazzjoni bl-ajru u funzjonijiet oħrajn tan-network tal-ġestjoni tat-traffiku tal-ajru u s-sorveljanza tagħhom, iħassar ir-Regolament (KE) Nru 482/2008, ir-Regolamenti ta’ Implimentazzjoni tal-Kummissjoni (UE) Nru 1034/2011, (UE) Nru 1035/2011 u (UE) 2016/1377 u jemenda r-Regolament (UE) Nru 677/2011 (ĠU L 62, 8.3.2017, p. 1).

(13) https://www.easa.europa.eu/en/document-library/opinions/opinion-032021

(14) Ir-Regolament Delegat tal-Kummissjoni (UE) 2022/1645 tal-14 ta’ Lulju 2022 li jistabbilixxi regoli għall-applikazzjoni tar-Regolament (UE) 2018/1139 tal-Parlament Ewropew u tal-Kunsill, fir-rigward tar-rekwiżiti għall-ġestjoni tar-riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għall-organizzazzjonijiet koperti bir-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 u li jemenda r-Regolamenti tal-Kummissjoni (UE) Nru 748/2012 u (UE) Nru 139/2014 (ĠU L 248, 26.9.2022, p. 18).

(15) Ir-Regolament (KE) Nru 300/2008 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Marzu 2008 dwar regoli komuni fil-qasam tas-sigurtà tal-avjazzjoni ċivili u li jħassar ir-Regolament (KE) Nru 2320/2002 (ĠU L 97, 9.4.2008, p. 72).

ANNESS I

SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-AWTORITÀ

[PARTI-IS.AR]

IS.AR.100

Kamp ta’ applikazzjoni

IS.AR.200

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)

IS.AR.205

Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

IS.AR.210

Trattament tar-riskju għas-sigurtà tal-informazzjoni

IS.AR.215

Inċidenti tas-sigurtà tal-informazzjoni — detezzjoni, rispons u rkupru

IS.AR.220

Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.AR.225

Rekwiżiti tal-persunal

IS.AR.230

Żamma tar-rekords

IS.AR.235

Titjib kontinwu

IS.AR.100 Kamp ta’ applikazzjoni

Din il-Parti tistabbilixxi r-rekwiżiti ta’ ġestjoni li jridu jissodisfaw l-awtoritajiet kompetenti msemmija fl-Artikolu 2(2) ta’ dan ir-Regolament.

Ir-rekwiżiti li jridu jissodisfaw dawk l-awtoritajiet kompetenti għat-twettiq tal-attivitajiet tagħhom ta’ ċertifikazzjoni, sorveljanza u infurzar jinsabu fir-Regolamenti msemmija fl-Artikolu 2(1) ta’ dan ir-Regolament u fl-Artikolu 2 tar-Regolament Delegat (UE) 2022/1645.

IS.AR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)

(a)

Biex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-awtorità kompetenti għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-awtorità kompetenti:

(1)	tistabbilixxi politika dwar is-sigurtà tal-informazzjoni li tistabbilixxi l-prinċipji ġenerali tal-awtorità kompetenti fir-rigward tal-impatt potenzjali tar-riskji għas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni;

(2)	tidentifika u tirrevedi r-riskji għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.AR.205;

(3)	tiddefinixxi u timplimenta miżuri ta’ trattament tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.AR.210;

(4)

tiddefinixxi u timplimenta, f’konformità mal-punt IS.AR.215, il-miżuri meħtieġa biex tidentifika avvenimenti tas-sigurtà tal-informazzjoni, tidentifika dawk li jitqiesu inċidenti b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni, u tirrispondi għal dawk l-inċidenti tas-sigurtà tal-informazzjoni u tirkupra minnhom;

(5)	tikkonforma mar-rekwiżiti li jinsabu fil-punt IS.AR.220 meta tikkuntratta xi parti mill-attivitajiet deskritti fil-punt IS.AR.200 lil organizzazzjonijiet oħrajn;

(6)	tikkonforma mar-rekwiżiti tal-persunal li jinsabu fil-punt IS.AR.225;

(7)	tikkonforma mar-rekwiżiti taż-żamma tar-rekords li jinsabu fil-punt IS.AR.230;

(8)	timmonitorja l-konformità tal-organizzazzjoni tagħha stess mar-rekwiżiti ta’ dan ir-Regolament u tipprovdi rispons dwar is-sejbiet lill-persuna msemmija fil-punt IS.AR.225 (a) biex tiżgura l-implimentazzjoni effettiva tal-azzjonijiet korrettivi;

(9)

tipproteġi l-kunfidenzjalità ta’ kull informazzjoni li l-awtorità kompetenti jaf ikollha b’rabta mal-organizzazzjonijiet soġġetti għas-sorveljanza tagħha u l-informazzjoni li tasal mill-iskemi tar-rapportar estern tal-organizzazzjoni stabbiliti f’konformità mal-punt IS.I.OR.230 tal-Anness II (Parti-IS.I.OR) ta’ dan ir-Regolament u mal-punt IS.D.OR.230 tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645;

(10)	tinnotifika lill-Aġenzija dwar il-bidliet li jaffettwaw il-kapaċità tal-awtorità kompetenti li twettaq il-kompiti u r-responsabbiltajiet tagħha kif definit f’dan ir-Regolament;

(11)

tiddefinixxi u timplimenta proċeduri biex tikkondividi informazzjoni rilevanti, kif xieraq, b’mod prattiku u fil-ħin, ħalli tgħin lil awtoritajiet u aġenziji kompetenti oħra, u lil organizzazzjonijiet soġġetti għal dan ir-Regolament, iwettqu valutazzjonijiet effettivi tar-riskju għas-sigurtà relatati mal-attivitajiet tagħhom.

(b)	Biex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-awtorità kompetenti għandha twettaq proċess ta’ titjib kontinwu f’konformità mal-punt IS.AR.235.

(c)	L-awtorità kompetenti għandha tiddokumenta l-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.AR.200(a) u tistabbilixxi proċess għall-emendar ta’ din id-dokumentazzjoni.

(d)

Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-awtorità kompetenti biex tikkonforma mal-punt IS.AR.200(a) għandhom jikkorrespondu għan-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati f’sistemi ta’ ġestjoni eżistenti oħrajn li diġà implimentat l-awtorità kompetenti.

IS.AR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-awtorità kompetenti għandha tidentifika l-elementi kollha tal-organizzazzjoni tagħha stess li jistgħu jkunu esposti għal riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:

(1)	l-attivitajiet, il-faċilitajiet u r-riżorsi tal-awtorità kompetenti, u s-servizzi li topera, tipprovdi, tirċievi jew iżżomm l-awtorità kompetenti;

(2)	it-tagħmir, is-sistemi, id-data u l-informazzjoni li jikkontribwixxu għall-funzjonament tal-elementi msemmija fil-punt (1)

(b)	L-awtorità kompetenti għandha tidentifika l-interfaċċji li l-organizzazzjoni tagħha stess għandha ma’ organizzazzjonijiet oħra, u li jistgħu joħolqu l-esponiment reċiproku għal riskji għas-sigurtà tal-informazzjoni.

(c)

Għall-elementi u l-interfaċċji msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni.

Għal kull riskju identifikat, l-awtorità kompetenti għandha:

(1)	tassenja livell tar-riskju skont klassifikazzjoni predefinita stabbilita mill-awtorità kompetenti;

(2)	tassoċja kull riskju u l-livell tiegħu mal-element jew l-interfaċċja korrispondenti identifikati f’konformità mal-punti (a) u (b).

Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju ta’ theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-awtorità kompetenti għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-awtorità kompetenti għandha tkun tista’ tistabbilixxi jekk ir-riskju hux aċċettabbli jew jekk jeħtieġx jiġi ttrattat f’konformità mal-punt IS.AR.210.

Biex jiffaċilita l-komparabbiltà reċiproka tal-valutazzjonijiet tar-riskji, l-assenjar tal-livell tar-riskju skont il-punt (1) għandu jqis l-informazzjoni rilevanti miksuba b’koordinazzjoni mal-organizzazzjonijiet imsemmija fil-punt (b).

(d)

L-awtorità kompetenti għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u (c) f’kull każ li ġej, jiġifieri meta:

(1)	jinbidlu l-elementi soġġetti għal riskji għas-sigurtà tal-informazzjoni;

(2)	jinbidlu l-interfaċċji bejn l-organizzazzjoni tal-awtorità kompetenti u organizzazzjonijiet oħra, jew ir-riskji kkomunikati mill-organizzazzjonijiet l-oħra;

(3)	jinbidlu l-informazzjoni jew l-għarfien użati għall-identifikazzjoni, l-analiżi u l-klassifikazzjoni tar-riskji;

(4)	jinkisbu tagħlimiet mill-analiżi tal-inċidenti tas-sigurtà tal-informazzjoni.

IS.AR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-awtorità kompetenti għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.AR.205, għandha timplimentahom fil-ħin u għandha tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-awtorità kompetenti:

(1)	tikkontrolla ċ-ċirkostanzi li jikkontribwixxu għall-okkorrenza effettiva tax-xenarju tat-theddida;

(2)	tnaqqas il-konsegwenzi għas-sikurezza tal-avjazzjoni assoċjati mal-materjalizzazzjoni tax-xenarju tat-theddida;

(3)	tevita r-riskji.

Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni.

(b)

Il-persuna msemmija fil-punt IS.AR.225 (a) u persunal affettwat ieħor tal-awtorità kompetenti għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.AR.205, ix-xenarji tat-theddid korrispondenti u l-miżuri li jridu jiġu implimentati.

L-awtorità kompetenti għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċja f’konformità mal-punt IS.AR.205 (b) b’kull riskju kondiviż bejn l-awtorità kompetenti u l-organizzazzjoni.

IS.AR.215 Inċidenti tas-sigurtà tal-informazzjoni — identifikazzjoni, rispons u rkupru

(a)

Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.AR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.AR.210, l-awtorità kompetenti għandha timplimenta miżuri biex tidentifika avvenimenti li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ identifikazzjoni għandhom jippermettu lill-awtorità kompetenti:

(1)	tidentifika devjazzjonijiet mil-linji bażi tal-prestazzjoni funzjonali predeterminati;

(2)	tiskatta twissijiet biex jiġu attivati miżuri ta’ rispons xierqa, fil-każ ta’ xi devjazzjoni.

(b)

L-awtorità kompetenti għandha timplimenta miżuri biex tirrispondi għal kull kundizzjoni ta’ avveniment identifikata f’konformità mal-punt (a) li tista’ ssir jew tkun saret inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-awtorità kompetenti:

(1)	tibda r-reazzjoni tal-organizzazzjoni tagħha stess għat-twissijiet imsemmija fil-punt (a)(2) billi tattiva riżorsi predefiniti u kors ta’ azzjonijiet;

(2)	trażżan it-tixrid ta’ attakk u tevita l-materjalizzazzjoni sħiħa ta’ xenarju tat-theddid;

(3)	tikkontrolla l-modalità tal-falliment tal-elementi affettwati definiti fil-punt IS.AR.205(a).

(c)

L-awtorità kompetenti għandha timplimenta miżuri mmirati għall-irkupru minn inċidenti tas-sigurtà tal-informazzjoni, inkluż miżuri ta’ emerġenza, jekk ikunu meħtieġa. Dawk il-miżuri tal-irkupru għandhom jippermettu lill-awtorità kompetenti:

(1)	tneħħi l-kundizzjoni li kkawżat l-inċident, jew tillimitaha għal livell tollerabbli;

(2)	treġġa’ tikseb l-istat sikur tal-elementi affettwati definiti fil-punt IS.AR.205(a) f’perjodu ta’ rkupru definit qabel mill-organizzazzjoni tagħha stess.

IS.AR.220 Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

L-awtorità kompetenti għandha tiżgura li meta tikkuntratta xi parti mill-attivitajiet imsemmija fil-punt IS.AR.200 lil organizzazzjonijiet oħra, l-attivitajiet ikkuntrattati jkunu konformi mar-rekwiżiti ta’ dan ir-Regolament u li l-organizzazzjoni kkuntrattata tkun topera fis-sorveljanza tagħha. L-awtorità kompetenti għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti kif xieraq.

IS.AR.225 Rekwiżiti tal-persunal

L-awtorità kompetenti:

(a)

għandu jkollha persuna bl-awtorità li tistabbilixxi u żżomm l-istrutturi, il-politiki, il-proċessi u l-proċeduri organizzattivi meħtieġa biex timplimenta dan ir-Regolament.

Din il-persuna:

(1)	għandu jkollha l-awtorità li taċċessa kull riżorsa meħtieġa biex l-awtorità kompetenti twettaq il-kompiti kollha meħtieġa minn dan ir-Regolament;

(2)	għandu jkollha d-delega tas-setgħa meħtieġa biex twettaq id-dmirijiet assenjati;

(b)	għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal biex iwettaq l-attivitajiet koperti minn dan l-Anness;

(c)	għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (b) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu;

(d)	għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jagħraf ir-responsabbiltajiet assoċjati mar-rwoli u l-kompiti assenjati;

(e)	għandha tiżgura li l-identità u l-affidabbiltà tal-persunal b’aċċess għas-sistemi tal-informazzjoni u tad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament, ikunu stabbiliti kif xieraq.

IS.AR.230 Żamma tar-rekords

(a)

L-awtorità kompetenti għandha żżomm rekords tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha

(1)

L-awtorità kompetenti għandha tiżgura li dawn ir-rekords li ġejjin ikunu arkivjati u traċċabbli:

(i)	il-kuntratti għall-attivitajiet imsemmija fil-punt IS.AR.200(a)(5);

(ii)	ir-rekords tal-proċessi ewlenin imsemmija fil-punt IS.AR.200(d);

(iii)

ir-rekords tar-riskji identifikati fil-valutazzjoni tar-riskju msemmija fil-punt IS.AR.205 flimkien mal-miżuri assoċjati tat-trattament tar-riskju msemmija fil-punt IS.AR.210;

(iv)	ir-rekords tal-avvenimenti tas-sigurtà tal-informazzjoni li jaf ikollhom bżonn jiġu rivalutati biex jiżvelaw inċidenti jew vulnerabbiltajiet tas-sigurtà tal-informazzjoni mhux identifikati.

(2)	Ir-rekords imsemmija fil-punt (1)(i) għandhom jinżammu mill-inqas sa ħames (5) snin wara li l-kuntratt ikun ġie emendat jew terminat.

(3)	Ir-rekords imsemmija fil-punt (1)(ii) u (iii) għandhom jinżammu mill-inqas għal perjodu ta’ ħames (5) snin.

(4)	Ir-rekords imsemmija fil-punt (1)(iv) għandhom jinżammu sakemm dawk l-avvenimenti tas-sigurtà tal-informazzjoni jkunu ġew rivalutati f’konformità ma’ perjodiċità definita fi proċedura stabbilita mill-awtorità kompetenti.

(b)

L-awtorità kompetenti għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(1)	Ir-rekords tal-kwalifiki u tal-esperjenza tal-persunal għandhom jinżammu sakemm il-persuna tkun qed taħdem mal-awtorità kompetenti, u għal mill-inqas tliet (3) snin minn meta l-persuna titlaq mill-awtorità kompetenti.

(2)	Il-membri tal-persunal għandhom, meta jitolbu dan, jingħataw aċċess għar-rekords individwali tagħhom. Barra minn hekk, meta jitolbu dan, l-awtorità kompetenti għandha tipprovdilhom kopja tar-rekords individwali tagħhom meta jitilqu mill-awtorità kompetenti.

(c)	Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-awtorità kompetenti.

(d)

Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni minn ħsara, tibdil u serq, bi information being identified, when required, according to its security classification level. L-awtorità kompetenti għandha tiżgura li r-rekords jinħażnu b’mezzi li jiżguraw l-integrità, l-awtentiċità u l-aċċess awtorizzat.

IS.AR.235 Titjib kontinwu

(a)	L-awtorità kompetenti għandha tivvaluta l-effettività u l-maturità tal-ISMS tagħha stess, b’indikaturi tal-prestazzjoni adegwati. Il-valutazzjoni għandha ssir skont skeda kalendarja predefinita kif ikun definit mill-awtorità kompetenti jew wara inċident tas-sigurtà tal-informazzjoni.

(b)

Jekk wara l-valutazzjoni mwettqa f’konformità mal-punt (a) jinstabu xi defiċjenzi, l-awtorità kompetenti għandha tieħu l-miżuri tat-titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-awtorità kompetenti għandha tirrivaluta dawk l-elementi tal-ISMS affettwati mill-miżuri adottati.

ANNESS II

SIGURTÀ TAL-INFORMAZZJONI — REKWIŻITI TAL-ORGANIZZAZZJONI

[PARTI-IS.I.OR]

IS.I.OR.100

Kamp ta’ applikazzjoni

IS.I.OR.200

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)

IS.I.OR.205

Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

IS.I.OR.210

Trattament tar-riskju għas-sigurtà tal-informazzjoni

IS.I.OR.215

Skema tar-rapportar intern dwar is-sigurtà tal-informazzjoni

IS.I.OR.220

Inċidenti tas-sigurtà tal-informazzjoni — detezzjoni, rispons, u rkupru

IS.I.OR.225

Rispons għas-sejbiet notifikati mill-awtorità kompetenti

IS.I.OR.230

Skema tar-rapportar estern dwar is-sigurtà tal-informazzjoni

IS.I.OR.235

Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.I.OR.240

Rekwiżiti tal-persunal

IS.I.OR.245

Żamma tar-rekords

IS.I.OR.250

Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)

IS.I.OR.255

Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

IS.I.OR.260

Titjib kontinwu

IS.I.OR.100 Kamp ta’ applikazzjoni

Din il-Parti tistabbilixxi r-rekwiżiti li jridu jissodisfaw l-organizzazzjonijiet imsemmija fl-Artikolu 2(1) ta’ dan ir-Regolament.

IS.I.OR.200 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS)

(a)

Biex jintlaħqu l-objettivi stabbiliti fl-Artikolu 1, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni (ISMS) li tiżgura li l-organizzazzjoni:

(1)	tistabbilixxi politika dwar is-sigurtà tal-informazzjoni li tistabbilixxi l-prinċipji ġenerali tal-organizzazzjoni fir-rigward tal-impatt potenzjali tar-riskji għas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni;

(2)	tidentifika u tirrevedi r-riskji għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.I.OR.205;

(3)	tiddefinixxi u timplimenta miżuri ta’ trattament tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.I.OR.210;

(4)	timplimenta skema tar-rapportar intern dwar is-sigurtà tal-informazzjoni f’konformità mal-punt IS.I.OR.215;

(5)

tiddefinixxi u timplimenta, f’konformità mal-punt IS.I.OR.220, il-miżuri meħtieġa biex tidentifika avvenimenti tas-sigurtà tal-informazzjoni, tidentifika dawk l-avvenimenti li jitqiesu inċidenti b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għajr kif permess mill-punt IS.I.OR.205(e), u twieġeb għal dawk l-inċidenti tas-sigurtà tal-informazzjoni u tirkupra minnhom;

(6)	timplimenta l-miżuri li tkun innotifikat l-awtorità kompetenti bħala reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni;

(7)	tieħu azzjoni xierqa, f’konformità mal-punt IS.I.OR.225, biex tindirizza s-sejbiet notifikati mill-awtorità kompetenti;

(8)	timplimenta skema tar-rapportar estern f’konformità mal-punt IS.I.OR.230 biex l-awtorità kompetenti tkun tista’ tieħu azzjonijiet xierqa;

(9)	tikkonforma mar-rekwiżiti li hemm fil-punt IS.I.OR.235 meta tikkuntratta xi parti mill-attivitajiet imsemmija fil-punt IS.I.OR.200 lil organizzazzjonijiet oħra;

(10)	tikkonforma mar-rekwiżiti tal-persunal stipulati fil-punt IS.I.OR.240;

(11)	tikkonforma mar-rekwiżiti taż-żamma tar-rekords stipulati fil-punt IS.I.OR.245;

(12)	timmonitorja l-konformità tal-organizzazzjoni mar-rekwiżiti ta’ dan ir-Regolament u tipprovdi rispons dwar is-sejbiet lill-meniġer responsabbli biex tiżgura l-implimentazzjoni effettiva tal-azzjonijiet korrettivi;

(13)	tipproteġi, mingħajr preġudizzju għar-rekwiżiti applikabbli tar-rapportar tal-inċidenti, il-kunfidenzjalità ta’ kull informazzjoni li l-organizzazzjoni setgħet irċeviet mingħand organizzazzjonijiet oħra, skont il-livell tas-sensittività tagħha.

(b)	Biex tissodisfa kontinwament ir-rekwiżiti msemmija fl-Artikolu 1, l-organizzazzjoni għandha timplimenta proċess tat-titjib kontinwu f’konformità mal-punt IS.I.OR.260.

(c)

L-organizzazzjoni għandha tiddokumenta, f’konformità mal-punt IS.I.OR.250, il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet ewlenin kollha meħtieġa għall-konformità mal-punt IS.I.OR.200(a) u tistabbilixxi proċess għall-emendar ta’ dik id-dokumentazzjoni. Il-bidliet f’dawk il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet għandhom jiġu ġestiti f’konformità mal-punt IS.I.OR.255.

(d)

Il-proċessi, il-proċeduri, ir-rwoli u r-responsabbiltajiet stabbiliti mill-organizzazzjoni biex tikkonforma mal-punt IS.I.OR.200(a) għandhom jikkorrespondu għan-natura u l-kumplessità tal-attivitajiet tagħha, abbażi ta’ valutazzjoni tar-riskji għas-sigurtà tal-informazzjoni inerenti għal dawk l-attivitajiet, u jistgħu jiġu integrati f’sistemi ta’ ġestjoni eżistenti oħra li diġà implimentat l-organizzazzjoni.

(e)

Mingħajr preġudizzju għall-obbligu ta’ konformità mar-rekwiżiti tar-rapportar stipulati fir-Regolament (UE) Nru 376/2014 u mar-rekwiżiti stipulati fil-punt IS.I.OR.200(a)(13), l-organizzazzjoni tista’ tiġi approvata mill-awtorità kompetenti biex ma timplimentax ir-rekwiżiti msemmija fil-punti minn (a) sa (d) u r-rekwiżiti relatati li hemm fil-punti IS.I.OR.205 sa IS.I.OR.260, jekk din turi għas-sodisfazzjon ta’ dik l-awtorità li l-attivitajiet, il-faċilitajiet u r-riżorsi tagħha, kif ukoll is-servizzi li topera, tipprovdi, tirċievi u żżomm, ma joħolqu l-ebda riskju għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni la għaliha nnifisha u lanqas għal organizzazzjonijiet oħrajn. L-approvazzjoni għandha tkun ibbażata fuq valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni dokumentata u mwettqa mill-organizzazzjoni jew minn parti terza f’konformità mal-punt IS.I.OR.205 u riveduta u approvata mill-awtorità kompetenti tagħha.

Il-validità kontinwa ta’ dik l-approvazzjoni se tiġi riveduta mill-awtorità kompetenti wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.

IS.I.OR.205 Valutazzjoni tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tidentifika l-elementi kollha tagħha li jistgħu jkunu esposti għar-riskji għas-sigurtà tal-informazzjoni. Dan għandu jinkludi:

(1)	l-attivitajiet, il-faċilitajiet u r-riżorsi tal-organizzazzjoni, kif ukoll is-servizzi li l-organizzazzjoni topera, tipprovdi, tirċievi jew iżżomm;

(2)	it-tagħmir, is-sistemi, id-data u l-informazzjoni li jikkontribwixxu għall-funzjonament tal-elementi elenkati fil-punt (1).

(b)	L-organizzazzjoni għandha tidentifika l-interfaċċji li għandha ma’ organizzazzjonijiet oħra, u li jistgħu joħolqu l-esponiment reċiproku għal riskji għas-sigurtà tal-informazzjoni.

(c)

Fir-rigward tal-elementi u l-interfaċċji msemmija fil-punti (a) u (b), l-organizzazzjoni għandha tidentifika r-riskji għas-sigurtà tal-informazzjoni li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Għal kull riskju identifikat, l-organizzazzjoni għandha:

(1)	tassenja livell tar-riskju skont klassifikazzjoni predefinita stabbilita mill-organizzazzjoni;

(2)	tassoċja kull riskju u l-livell tiegħu mal-element jew l-interfaċċja korrispondenti identifikati f’konformità mal-punti (a) u (b).

Il-klassifikazzjoni predefinita msemmija fil-punt (1) għandha tqis il-potenzjal tal-okkorrenza tax-xenarju tat-theddida u s-severità tal-konsegwenzi tas-sikurezza tiegħu. Abbażi ta’ dik il-klassifikazzjoni, u b’kunsiderazzjoni ta’ jekk l-organizzazzjoni għandhiex proċess ta’ ġestjoni tar-riskju strutturat u ripetibbli għall-operazzjonijiet, l-organizzazzjoni għandha tkun tista’ tistabbilixxi jekk ir-riskju hux aċċettabbli jew jekk jeħtieġx jiġi ttrattat f’konformità mal-punt IS.I.OR.210.

(d)

L-organizzazzjoni għandha tirrevedi u taġġorna l-valutazzjoni tar-riskju mwettqa f’konformità mal-punti (a), (b) u, kif applikabbli, mal-punti (c) jew (e), f’kull każ li ġej, jiġifieri meta:

(1)	jinbidlu l-elementi soġġetti għal riskji għas-sigurtà tal-informazzjoni;

(2)	jinbidlu l-interfaċċji bejn l-organizzazzjoni u organizzazzjonijiet oħra, jew ir-riskji kkomunikati mill-organizzazzjonijiet l-oħra;

(3)	jinbidlu l-informazzjoni jew l-għarfien użati għall-identifikazzjoni, l-analiżi u l-klassifikazzjoni tar-riskji;

(4)	jinkisbu tagħlimiet mill-analiżi tal-inċidenti tas-sigurtà tal-informazzjoni.

(e)

B’deroga mill-punt (c), l-organizzazzjonijiet li jeħtieġ jikkonformaw mas-Subparti C tal-Anness III (Parti-ATM/ ANS.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2017/373 għandhom jissostitwixxu l-analiżi tal-impatt fuq is-sikurezza tal-avjazzjoni b’analiżi tal-impatt fuq is-servizzi tagħhom skont il-valutazzjoni tal-appoġġ għas-sikurezza meħtieġa mill-punt ATM/ANS.OR.C.005. Din il-valutazzjoni tal-appoġġ għas-sikurezza għandha ssir disponibbli għall-fornituri tas-servizzi tat-traffiku tal-ajru li lilhom jipprovdu servizzi, u dawk il-fornituri tas-servizzi tat-traffiku tal-ajru għandhom ikunu responsabbli għall-evalwazzjoni tal-impatt fuq is-sikurezza tal-avjazzjoni.

IS.I.OR.210 Trattament tar-riskju għas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tiżviluppa miżuri biex tindirizza r-riskji inaċċettabbli identifikati f’konformità mal-punt IS.I.OR.205, timplimentahom fil-ħin u tivverifika l-effettività kontinwa tagħhom. Dawk il-miżuri għandhom jippermettu lill-organizzazzjoni:

(1)	tikkontrolla ċ-ċirkostanzi li jikkontribwixxu għall-okkorrenza effettiva tax-xenarju tat-theddida;

(2)	tnaqqas il-konsegwenzi fuq is-sikurezza tal-avjazzjoni assoċjati mal-materjalizzazzjoni tax-xenarju tat-theddida;

(3)	tevita r-riskji.

Dawk il-miżuri ma għandhom jintroduċu l-ebda riskju inaċċettabbli potenzjali ġdid għas-sikurezza tal-avjazzjoni.

(b)

Il-persuna msemmija fil-punt IS.I.OR.240 (a) u (b) u persunal affettwat ieħor tal-organizzazzjoni għandhom jiġu informati bl-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.I.OR.205, bix-xenarji tat-theddid korrispondenti u bil-miżuri li jridu jiġu implimentati.

L-organizzazzjoni għandha tinforma wkoll lill-organizzazzjonijiet li magħhom ikollha interfaċċja f’konformità mal-punt IS.I.OR.205(b) b’kull riskju kondiviż bejn iż-żewġ organizzazzjonijiet.

IS.I.OR.215 Skema tar-rapportar intern dwar is-sigurtà tal-informazzjoni

(a)	L-organizzazzjoni għandha tistabbilixxi skema tar-rapportar intern li tippermetti l-ġbir u l-evalwazzjoni tal-avvenimenti tas-sigurtà tal-informazzjoni, inkluż dawk li jridu jiġu rrapportati skont il-punt IS.I.OR.230.

(b)

Dik l-iskema u l-proċess imsemmi fil-punt IS.I.OR.220 għandhom jippermettu lill-organizzazzjoni:

(1)	tidentifika liema mill-avvenimenti rrapportati skont il-punt (a) jitqiesu bħala inċidenti jew vulnerabbiltajiet tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni;

(2)	tidentifika l-kawżi u l-fatturi kontributorji tal-inċidenti u l-vulnerabbiltajiet tas-sigurtà tal-informazzjoni identifikati f’konformità mal-punt (1), u tindirizzahom bħala parti mill-proċess ta’ ġestjoni tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punti IS.I.OR.205 u IS.I.OR.220;

(3)	tiżgura evalwazzjoni tal-informazzjoni rilevanti kollha magħrufa relatata mal-inċidenti u l-vulnerabbiltajiet tas-sigurtà tal-informazzjoni identifikati f’konformità mal-punt (1);

(4)	tiżgura l-implimentazzjoni ta’ metodu għad-distribuzzjoni interna tal-informazzjoni kif meħtieġ.

(c)

Kull organizzazzjoni kuntrattata li tista’ tesponi lill-organizzazzjoni għal riskji għas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni għandha tkun meħtieġa tirrapporta l-avvenimenti tas-sigurtà tal-informazzjoni lill-organizzazzjoni. Dawk ir-rapporti għandhom jiġu ppreżentati permezz tal-proċeduri stabbiliti fl-arranġamenti kuntrattwali speċifiċi u għandhom jiġu evalwati f’konformità mal-punt (b).

(d)	L-organizzazzjoni għandha tikkoopera fejn jidħlu l-investigazzjonijiet ma’ xi organizzazzjoni oħra li jkollha kontribut sinifikanti għas-sigurtà tal-informazzjoni tal-attivitajiet tagħha stess.

(e)	L-organizzazzjoni tista’ tintegra dik l-iskema tar-rapportar ma’ skemi oħra tar-rapportar li tkun diġà implimentat.

IS.I.OR.220 Inċidenti tas-sigurtà tal-informazzjoni — identifikazzjoni, rispons u rkupru

(a)

Abbażi tal-eżitu tal-valutazzjoni tar-riskju mwettqa f’konformità mal-punt IS.I.OR.205 u l-eżitu tat-trattament tar-riskju mwettaq f’konformità mal-punt IS.I.OR.210, l-organizzazzjoni għandha timplimenta miżuri biex jiġu identifikati inċidenti u vulnerabbiltajiet li jindikaw il-materjalizzazzjoni potenzjali ta’ riskji inaċċettabbli u li jista’ jkollhom impatt potenzjali fuq is-sikurezza tal-avjazzjoni. Dawk il-miżuri ta’ identifikazzjoni għandhom jippermettu lill-organizzazzjoni:

(1)	tidentifika devjazzjonijiet mil-linji bażi tal-prestazzjoni funzjonali predeterminati;

(2)	tiskatta twissijiet biex jiġu attivati miżuri ta’ rispons xierqa, fil-każ ta’ xi devjazzjoni.

(b)

L-organizzazzjoni għandha timplimenta miżuri biex tirrispondi għal kull kundizzjoni tal-avveniment identifikata f’konformità mal-punt (a) li tista’ ssir jew tkun saret inċident tas-sigurtà tal-informazzjoni. Dawk il-miżuri ta’ rispons għandhom jippermettu lill-organizzazzjoni:

(1)	tibda r-reazzjoni għat-twissijiet imsemmija fil-punt (a)(2) billi tattiva riżorsi predefiniti u kors ta’ azzjonijiet;

(2)	trażżan it-tixrid ta’ attakk u tevita l-materjalizzazzjoni sħiħa ta’ xenarju tat-theddid;

(3)	tikkontrolla l-modalità tal-falliment tal-elementi affettwati definiti fil-punt IS.I.OR.205(a).

(c)

L-organizzazzjoni għandha timplimenta miżuri mmirati għall-irkupru mill-inċidenti tas-sigurtà tal-informazzjoni, inkluż miżuri ta’ emerġenza, jekk ikun meħtieġ. Dawk il-miżuri tal-irkupru għandhom jippermettu lill-organizzazzjoni:

(1)	tneħħi l-kundizzjoni li kkawżat l-inċident, jew tillimitaha għal livell tollerabbli;

(2)	tikseb l-istat sikur tal-elementi affettwati definiti fil-punt IS.I.OR.205(a) f’perjodu ta’ rkupru definit qabel mill-organizzazzjoni.

IS.I.OR.225 Rispons għas-sejbiet notifikati mill-awtorità kompetenti

(a)

Malli tirċievi n-notifika tas-sejbiet sottomessi mill-awtorità kompetenti, l-organizzazzjoni għandha:

(1)	tidentifika l-kawża/i ewlenin u l-fatturi kontributorji tan-nuqqas ta’ konformità;

(2)	tfassal pjan ta’ azzjoni korrettiva;

(3)	turi l-korrezzjoni tan-nonkonformità għas-sodisfazzjon tal-awtorità kompetenti.

(b)	L-azzjonijiet imsemmija fil-punt (a) għandhom isiru fil-perjodu miftiehem mal-awtorità kompetenti.

IS.I.OR.230 Skema tar-rapportar estern dwar is-sigurtà tal-informazzjoni

(a)	L-organizzazzjoni għandha timplimenta sistema tar-rapportar tas-sigurtà tal-informazzjoni li tikkonforma mar-rekwiżiti stipulati fir-Regolament (UE) Nru 376/2014 u mal-atti delegati u ta’ implimentazzjoni tiegħu, jekk dak ir-Regolament ikun applikabbli għall-organizzazzjoni.

(b)

Mingħajr preġudizzju għall-obbligi tar-Regolament (UE) Nru 376/2014, l-organizzazzjoni għandha tiżgura li kull inċident jew vulnerabbiltà għas-sigurtà tal-informazzjoni li jistgħu jirrappreżentaw riskju sinifikanti għas-sikurezza tal-avjazzjoni, jiġu rrapportati lill-awtorità kompetenti tagħhom. Barra minn hekk:

(1)	Meta dan l-inċident jew din il-vulnerabbiltà taffettwa inġenju tal-ajru jew sistema jew komponent assoċjat, l-organizzazzjoni għandha tirrapporta wkoll lid-detentur tal-approvazzjoni tad-disinn;

(2)	Meta dan l-inċident jew din il-vulnerabbiltà taffettwa sistema jew kostitwent użat mill-organizzazzjoni, l-organizzazzjoni għandha tirrapporta lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent.

(c)

L-organizzazzjoni għandha tirrapporta l-kundizzjonijiet imsemmija fil-punt (b) kif ġej:

(1)	għandha titressaq notifika lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, malli l-kundizzjoni tkun ġiet magħrufa mill-organizzazzjoni;

(2)

għandu jitressaq rapport lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, mill-aktar fis possibbli u fi żmien 72 siegħa minn meta l-kundizzjoni tkun ġiet magħrufa mill-organizzazzjoni, sakemm ma jkunx hemm ċirkostanzi eċċezzjonali li jipprevjenu dan.

Ir-rapport għandu jsir fil-forma definita mill-awtorità kompetenti u għandu jkun fih l-informazzjoni rilevanti kollha dwar il-kundizzjoni magħrufa mill-organizzazzjoni;

(3)

għandu jitressaq rapport ta’ segwitu lill-awtorità kompetenti u, jekk applikabbli, lid-detentur tal-approvazzjoni tad-disinn jew lill-organizzazzjoni responsabbli għad-disinn tas-sistema jew tal-kostitwent, li jipprovdi dettalji tal-azzjonijiet li l-organizzazzjoni tkun ħadet jew li jkun beħsiebha tieħu biex tirkupra mill-inċident, u l-azzjonijiet li jkun beħsiebha tieħu biex tipprevjeni inċidenti simili tas-sigurtà tal-informazzjoni fil-futur.

Ir-rapport ta’ segwitu għandu jiġi ppreżentat malli dawk l-azzjonijiet ikunu ġew identifikati, u għandu jiġi prodott fil-forma definita mill-awtorità kompetenti.

IS.I.OR.235 Kuntrattar tal-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

L-organizzazzjoni għandha tiżgura li meta tikkuntratta xi parti mill-attivitajiet imsemmija fil-punt IS.I.OR.200 lil organizzazzjonijiet oħra, l-attivitajiet kuntrattati jkunu konformi mar-rekwiżiti ta’ dan ir-Regolament u li l-organizzazzjoni kuntrattata topera fis-sorveljanza tagħha. L-organizzazzjoni għandha tiżgura li r-riskji assoċjati mal-attivitajiet ikkuntrattati jiġu ġestiti kif xieraq.

(b)	L-organizzazzjoni għandha tiżgura li l-awtorità kompetenti jista’ jkollha aċċess, meta titlob dan lill-organizzazzjoni kuntrattata, biex tiddetermina l-konformità kontinwa mar-rekwiżiti applikabbli stabbiliti f’dan ir-Regolament.

IS.I.OR.240 Rekwiżiti tal-persunal

(a)

Il-meniġer responsabbli tal-organizzazzjoni maħtura f’konformità mar-Regolamenti (UE) Nru 1321/2014, (UE) Nru 965/2012, (UE) Nru 1178/2011, (UE) 2015/340, mar-Regolament ta’ Implimentazzjoni (UE) 2017/373 jew mar-Regolament ta’ Implimentazzjoni (UE) 2021/664, kif applikabbli, imsemmija fl-Artikolu 2(1) ta’ dan ir-Regolament, għandu jkollu l-awtorità korporattiva biex jiżgura li l-attivitajiet kollha meħtieġa minn dan ir-Regolament ikunu jistgħu jiġu ffinanzjati u mwettqa. Dik il-persuna għandha:

(1)	tiżgura li r-riżorsi kollha meħtieġa jkunu disponibbli biex jikkonforma mar-rekwiżiti ta’ dan ir-Regolament;

(2)	tistabbilixxi u tippromwovi l-politika dwar is-sigurtà tal-informazzjoni msemmija fil-punt IS.I.OR.200(a)(1);

(3)	turi fehim bażiku ta’ dan ir-Regolament.

(b)

Il-meniġer responsabbli għandu jaħtar persuna jew grupp ta’ persuni biex jiżguraw li l-organizzazzjoni tkun konformi mar-rekwiżiti ta’ dan ir-Regolament, u għandu jiddefinixxi l-firxa tal-awtorità tagħhom. Dik il-persuna jew dak il-grupp ta’ persuni għandhom jirrapportaw direttament lill-meniġer responsabbli u għandu jkollhom l-għarfien, l-isfond u l-esperjenza xierqa biex iwettqu r-responsabbiltajiet tagħhom. Il-proċeduri għandhom jiddeterminaw min jidher f’isem persuna partikolari fil-każ ta’ assenza twila ta’ dik il-persuna.

(c)	Il-meniġer responsabbli għandu jaħtar persuna jew grupp ta’ persuni bir-responsabbiltà li jimmaniġġjaw il-funzjoni ta’ monitoraġġ tal-konformità msemmija fil-punt IS.I.OR.200(a)(12).

(d)

Meta l-organizzazzjoni tikkondividi strutturi, politiki, proċessi u proċeduri organizzattivi tas-sigurtà tal-informazzjoni ma’ organizzazzjonijiet oħra jew ma’ taqsimiet tal-organizzazzjoni tagħha stess li mhumiex parti mill-approvazzjoni jew mid-dikjarazzjoni, il-meniġer responsabbli jista’ jiddelega l-attivitajiet tiegħu lil persuna responsabbli komuni.

F’każ bħal dan, għandhom jiġu stabbiliti miżuri ta’ koordinazzjoni bejn il-meniġer responsabbli tal-organizzazzjoni u l-persuna responsabbli komuni biex tiġi żgurata integrazzjoni adegwata tal-ġestjoni tas-sigurtà tal-informazzjoni fi ħdan l-organizzazzjoni.

(e)	Il-meniġer responsabbli jew il-persuna responsabbli komuni msemmija fil-punt (d) għandu jkollhom awtorità korporattiva biex jistabbilixxu u jżommu l-istrutturi, il-politiki, il-proċessi u l-proċeduri organizzattivi meħtieġa għall-implimentazzjoni tal-punt IS.I.OR.200.

(f)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li jkollha biżżejjed persunal biex iwettaq l-attivitajiet koperti minn dan l-Anness.

(g)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal imsemmi fil-punt (f) ikollu l-kompetenza meħtieġa biex iwettaq il-kompiti tiegħu.

(h)	L-organizzazzjoni għandu jkollha proċess fis-seħħ biex tiżgura li l-persunal jagħraf ir-responsabbiltajiet assoċjati mar-rwoli u l-kompiti assenjati.

(i)	L-organizzazzjoni għandha tiżgura li l-identità u l-affidabbiltà tal-persunal b’aċċess għas-sistemi tal-informazzjoni u tad-data soġġetti għar-rekwiżiti ta’ dan ir-Regolament, ikunu stabbiliti kif xieraq.

IS.I.OR.245 Żamma tar-rekords

(a)

L-organizzazzjoni għandha żżomm rekords tal-attivitajiet tagħha ta’ ġestjoni tas-sigurtà tal-informazzjoni

(1)

L-organizzazzjoni għandha tiżgura li r-rekords li ġejjin ikunu arkivjati u traċċabbli:

(i)	kull approvazzjoni riċevuta u kull valutazzjoni assoċjata tar-riskju għas-sigurtà tal-informazzjoni f’konformità mal-punt IS.I.OR.200(e);

(ii)	il-kuntratti għall-attivitajiet imsemmija fil-punt IS.I.OR.200(a)(9);

(iii)

ir-rekords tal-proċessi ewlenin imsemmija fil-punt IS.I.OR.200(d);

(iv)	ir-rekords tar-riskji identifikati fil-valutazzjoni tar-riskju msemmija fil-punt IS.I.OR.205 flimkien mal-miżuri assoċjati tat-trattament tar-riskju msemmija fil-punt IS.I.OR.210;

(v)	ir-rekords tal-inċidenti u tal-vulnerabbiltajiet tas-sigurtà tal-informazzjoni rrapportati f’konformità mal-iskemi tar-rapportar imsemmija fil-punti IS.I.OR.215 u IS.I.OR.230;

(vi)	ir-rekords ta’ dawk l-avvenimenti tas-sigurtà tal-informazzjoni li jaf ikollhom bżonn jiġu rivalutati biex jiżvelaw inċidenti jew vulnerabbiltajiet tas-sigurtà tal-informazzjoni mhux identifikati.

(2)	Ir-rekords imsemmija fil-punt (1)(i) għandhom jinżammu mill-inqas għal ħames (5) snin minn meta l-approvazzjoni titlef il-validità tagħha.

(3)	Ir-rekords imsemmija fil-punt (1)(ii) għandhom jinżammu mill-inqas għal ħames (5) snin minn meta l-kuntratt jiġi emendat jew terminat.

(4)	Ir-rekords imsemmija fil-punt (1)(iii), (iv) u (v) għandhom jinżammu mill-inqas għal perjodu ta’ ħames (5) snin.

(5)	Ir-rekords imsemmija fil-punt (1)(vi) għandhom jinżammu sakemm dawk l-avvenimenti tas-sigurtà tal-informazzjoni jkunu ġew rivalutati f’konformità mal-perjodiċità definita fi proċedura stabbilita mill-organizzazzjoni.

(b)

L-organizzazzjoni għandha żżomm rekords tal-kwalifiki u tal-esperjenza tal-persunal tagħha involut fl-attivitajiet ta’ ġestjoni tas-sigurtà tal-informazzjoni

(1)	Ir-rekords tal-kwalifiki u tal-esperjenza tal-persunal għandhom jinżammu sakemm il-persuna tkun qed taħdem mal-organizzazzjoni, u għal mill-inqas tliet (3) snin minn meta l-persuna titlaq mill-organizzazzjoni.

(2)	Il-membri tal-persunal għandhom, meta jitolbu dan, jingħataw aċċess għar-rekords individwali tagħhom. Barra minn hekk, meta jitolbu dan, l-organizzazzjoni għandha tipprovdilhom kopja tar-rekords individwali tagħhom meta jitilqu mill-organizzazzjoni.

(c)	Il-format tar-rekords għandu jiġi speċifikat fil-proċeduri tal-organizzazzjoni.

(d)

Ir-rekords għandhom jinħażnu b’mod li jiżgura l-protezzjoni mill-ħsara, mit-tibdil u mis-serq. information being identified, when required, according to its security classification level. L-organizzazzjoni għandha tiżgura li r-rekords jinħażnu b’mezzi li jiżguraw l-integrità, l-awtentiċità u l-aċċess awtorizzat.

IS.I.OR.250 Manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM)

(a)

L-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti manwal għall-ġestjoni tas-sigurtà tal-informazzjoni (ISMM) u, meta applikabbli, kwalunkwe manwal u proċedura assoċjati referenzjati, li jkun fihom:

(1)	dikjarazzjoni ffirmata mill-meniġer responsabbli li tikkonferma li l-organizzazzjoni topera f’kull ħin f’konformità ma’ dan l-Anness u mal-ISMM. Jekk il-meniġer responsabbli ma jkunx il-Kap Eżekuttiv (CEO) tal-organizzazzjoni, mela s-CEO għandu jikkontrofirma d-dikjarazzjoni;

(2)	it-titlu/i, l-isem/ismijiet, id-dmirijiet, l-akkontabbiltajiet, ir-responsabbiltajiet u l-awtoritajiet tal-persuna/i definiti fil-punt IS.I.OR.240(b) u (c);

(3)	it-titlu, l-isem, id-dmirijiet, l-akkontabbiltajiet, ir-responsabbiltajiet u l-awtorità tal-persuna responsabbli komuni definiti fil-punt IS.I.OR.240(d), jekk applikabbli;

(4)	il-politika dwar is-sigurtà tal-informazzjoni tal-organizzazzjoni kif imsemmija fil-punt IS.I.OR.200(a)(1);

(5)	deskrizzjoni ġenerali tan-numru u tal-kategorija tal-persunal u tas-sistema fis-seħħ li tippjana d-disponibbiltà tal-persunal, kif meħtieġ mill-punt IS.I.OR.240;

(6)	it-titlu/i, l-isem/ismijiet, id-dmirijiet, l-akkontabbiltajiet, ir-responsabbiltajiet u l-awtoritajiet tal-persuni ewlenin responsabbli għall-implimentazzjoni tal-punt IS.I.OR.200, inkluż il-persun/i responsabbli għall-funzjoni tal-monitoraġġ tal-konformità msemmija fil-punt IS.I.OR.200(a)(12);

(7)	organigramma li turi l-katini assoċjati tal-akkontabbiltà u tar-responsabbiltà għall-persuni msemmija fil-punti (2) u (6);

(8)	id-deskrizzjoni tal-iskema tar-rapportar intern imsemmija fil-punt IS.I.OR.215;

(9)

il-proċeduri li jispeċifikaw kif l-organizzazzjoni tiżgura l-konformità ma’ din il-Parti, u b’mod partikolari:

(i)	id-dokumentazzjoni msemmija fil-punt IS.I.OR.200(c);

(ii)	il-proċeduri li jiddefinixxu kif l-organizzazzjoni tikkontrolla kull attività kkuntrattata msemmija fil-punt IS.I.OR.200(a)(9);

(iii)

il-proċedura għall-emendar tal-ISMM imsemmija fil-punt (c);

(10)	il-lista tal-mezzi alternattivi ta’ konformità approvati bħalissa.

(b)	Il-ħruġ inizjali tal-ISMM għandu jiġi approvat u għandha tinżamm kopja mill-awtorità kompetenti. L-ISMM għandu jiġi emendat kif meħtieġ biex jibqa’ jkun deskrizzjoni aġġornata tal-ISMS tal-organizzazzjoni. L-awtorità kompetenti għandha tingħata kopja ta’ kull emenda għall-ISMM.

(c)	L-emendi għall-ISMM għandhom jiġu ġestiti bi proċedura stabbilita mill-organizzazzjoni. Kull emenda li ma tkunx inkluża fl-ambitu ta’ din il-proċedura u kull emenda relatata mal-bidliet imsemmija fil-punt IS.I.OR.255(b) għandhom jiġu approvati mill-awtorità kompetenti.

(d)	L-organizzazzjoni tista’ tintegra l-ISMM ma’ espożizzjonijiet jew manwali ta’ ġestjoni oħra li jkollha, diment li jkun hemm kontroreferenza ċara li tindika liema porzjonijiet mill-espożizzjoni jew mill-manwal ta’ ġestjoni jikkorrespondu għar-rekwiżiti differenti li hawn f’dan l-Anness.

IS.I.OR.255 Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)	Il-bidliet fl-ISMS jistgħu jiġu ġestiti u notifikati lill-awtorità kompetenti bi proċedura żviluppata mill-organizzazzjoni. Din il-proċedura għandha tapprovaha l-awtorità kompetenti.

(b)

Fir-rigward tal-bidliet fl-ISMS li mhumiex koperti mill-proċedura msemmija fil-punt (a), l-organizzazzjoni għandha tapplika għal u tikseb approvazzjoni maħruġa mill-awtorità kompetenti.

Fir-rigward ta’ dawk il-bidliet:

(1)	l-applikazzjoni għandha titressaq qabel ma ssir din il-bidla, ħalli l-awtorità kompetenti tkun tista’ tiddetermina t-tkomplija tal-konformità ma’ dan ir-Regolament, u biex temenda, jekk ikun meħtieġ, iċ-ċertifikat tal-organizzazzjoni tat-taħriġ u t-termini tal-approvazzjoni relatati mehmuża miegħu;

(2)	l-organizzazzjoni għandha tqiegħed għad-dispożizzjoni tal-awtorità kompetenti kull informazzjoni li titlob biex tevalwa l-bidla;

(3)	it-tibdil għandu jiġi implimentat biss malli tinkiseb approvazzjoni formali mingħand l-awtorità kompetenti;

(4)	l-organizzazzjoni għandha topera skont il-kundizzjonijiet preskritti mill-awtorità kompetenti waqt l-implimentazzjoni ta’ dawn il-bidliet.

IS.I.OR.260 Titjib kontinwu

(a)	L-organizzazzjoni għandha tivvaluta l-effettività u l-maturità tal-ISMS b’indikaturi tal-prestazzjoni adegwati. Dik il-valutazzjoni għandha ssir skont skeda kalendarja predefinita mill-organizzazzjoni jew wara inċident tas-sigurtà tal-informazzjoni.

(b)

Jekk wara l-valutazzjoni mwettqa f’konformità mal-punt (a) jinstabu xi defiċjenzi, l-organizzazzjoni għandha tieħu l-miżuri tat-titjib meħtieġa biex tiżgura li l-ISMS tkompli tikkonforma mar-rekwiżiti applikabbli u żżomm ir-riskji għas-sigurtà tal-informazzjoni f’livell aċċettabbli. Barra minn hekk, l-organizzazzjoni għandha tirrivaluta dawk l-elementi tal-ISMS affettwati mill-miżuri adottati.

ANNESS III

L-Annessi VI (Parti-ARA) u VII (Parti-ORA) tar-Regolament (UE) Nru 1178/2011 huma emendati kif ġej:

(1)

L-Anness VI (Parti-ARA) huwa emendat kif ġej:

(a)

fil-punt ARA.GEN.125, jiżdied il-punt (c) li ġej:

“(c)

L-awtorità kompetenti tal-Istat Membru għandha tipprovdi informazzjoni sinifikanti għas-sikurezza lill-Aġenzija mill-aktar fis possibbli, li toħroġ mir-rapporti dwar is-sigurtà tal-informazzjoni li tkun irċeviet skont il-punt IS.I.OR.230 tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203.”;

(b)

il-punt ARA.GEN.135 A li ġej jiddaħħal wara l-punt ARA.GEN.135:

“ARA.GEN.135 A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

L-awtorità kompetenti għandha timplimenta sistema biex tiġbor, tanalizza u xxerred kif xieraq informazzjoni relatata mal-inċidenti u mal-vulnerabbiltajiet tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jiġu rrapportati mill-organizzazzjonijiet. Dan għandu jsir b’koordinazzjoni ma’ kull awtorità rilevanti oħra responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fl-Istat Membru biex jiżdiedu l-koordinazzjoni u l-kompatibbiltà tal-iskemi tar-rapportar.

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tirċievi f’konformità mal-punt ARA.GEN.125(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkollhom bżonn biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

Il-miżuri meħuda f’konformità mal-punt (c) għandhom jiġu notifikati minnufih lill-persuni jew lill-organizzazzjonijiet kollha li għandhom jikkonformaw magħhom skont ir-Regolament (UE) 2018/1139 u l-atti delegati u ta’ implimentazzjoni tiegħu. L-awtorità kompetenti tal-Istat Membru għandha tinnotifika wkoll dawk il-miżuri lill-Aġenzija u, meta tkun meħtieġa azzjoni kkombinata, lill-awtoritajiet kompetenti tal-Istati Membri l-oħra kkonċernati.”;

(c)

fil-punt ARA.GEN.200, jiżdied il-punt (e) li ġej:

“(e)

Minbarra r-rekwiżiti msemmija fil-punt (a), is-sistema ta’ ġestjoni stabbilita u miżmuma mill-awtorità kompetenti għandha tikkonforma mal-Anness I (Parti-IS.AR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(d)

il-punt ARA.GEN.205 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “ARA.GEN.205 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ORA.GEN.200 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt ARA.GEN.200(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(e)

fil-punt ARA.GEN.300, jiżdied il-punt (g) li ġej:

“(g)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ORA.GEN.200 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(f)

il-punt ARA.GEN.330 A li ġej jiddaħħal wara l-punt ARA.GEN.330:

“ARA.GEN.330 A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt ARA.GEN.300. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt ARA.GEN.350.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(2)

L-Anness VII (Parti-ORA) huwa emendat kif ġej:

Il-punt ORA.GEN.200 A li ġej jiddaħħal wara l-punt ORA.GEN.200:

“ORA.GEN.200 A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ORA.GEN.200, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”.

ANNESS IV

L-Anness I (il-Parti 21) tar-Regolament (UE) Nru 748/2012 huwa emendat kif ġej:

(1)

il-Werrej huwa emendat kif ġej:

(a)	l-intestatura li ġejja tiddaħħal wara l-intestatura 21.B.20: “21.B.20A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni”;

(b)	l-intestatura tal-punt 21.B.30 hija sostitwita b’din li ġejja: “21.B.30 Allokazzjoni tal-kompiti”;

(c)	l-intestatura li ġejja tiddaħħal wara l-intestatura 21.B.240: “21.B.240A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni”;

(d)	l-intestatura li ġejja tiddaħħal wara l-intestatura 21.B.435: “21.B.435A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni”;

(2)

fil-punt 21.B.15, jiżdied il-punt (c) li ġej:

“(c)

L-awtorità kompetenti tal-Istat Membru għandha tipprovdi informazzjoni sinifikanti għas-sikurezza lill-Aġenzija mill-aktar fis possibbli, li toħroġ mir-rapporti dwar is-sigurtà tal-informazzjoni li tkun irċeviet skont il-punt IS.D.OR.230 tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645.”;

(3)

il-punt 21.B.20A li ġej jiddaħħal wara l-punt 21.B.20:

“21.B.20A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt 21.B.15(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(4)

fil-punt 21.B.25, jiżdied il-punt (e) li ġej:

“(e)

Minbarra r-rekwiżiti msemmija fil-punt (a), is-sistema tal-ġestjoni stabbilita u mħaddma mill-awtorità kompetenti għandha tikkonforma mal-Anness I (Parti-IS.AR) tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(5)

il-punt 21.B.30 huwa emendat kif ġej:

(a)	l-intestatura hija sostitwita b’din li ġejja: “21.B.30 Allokazzjoni tal-kompiti”;

(b)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punti 21.A.139A u 21.A.239A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt 21.B.25(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(6)

fil-punt 21.B.221, jiżdied il-punt (g) li ġej:

“(g)

Fir-rigward taċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt 21.A.139A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrieżamina kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(7)

il-punt 21.B.240 A li ġej jiddaħħal wara l-punt 21.B.240:

“21.B.240A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.D.OR.255(a) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt 21.B.221. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt 21.B.225.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.D.OR.255(b) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(8)

fil-punt 21.B.431, jiżdied il-punt (d) li ġej:

“(d)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt 21.A.239A, minbarra li tikkonforma mal-punti minn (a) sa (c), l-awtorità kompetenti għandha tikkonforma mal-prinċipji li ġejjin:

(1)	l-awtorità kompetenti għandha tirrieżamina l-interfaċċji u r-riskji assoċjati identifikati f’konformità mal-punt IS.D.OR.205(b) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645 minn kull organizzazzjoni soġġetta għas-sorveljanza tagħha;

(2)

jekk jinstabu diskrepanzi fl-interfaċċji reċiproċi u fir-riskji assoċjati identifikati minn organizzazzjonijiet differenti, l-awtorità kompetenti għandha tirrieżaminahom mal-organizzazzjonijiet affettwati u, jekk ikun meħtieġ, tqajjem għarfien dwar ċerti sejbiet xierqa biex tiżgura l-implimentazzjoni ta’ azzjonijiet korrettivi;

(3)

meta d-dokumentazzjoni riveduta skont il-punt (2) tiżvela l-eżistenza ta’ riskji sinifikanti assoċjati mal-interfaċċji ma’ organizzazzjonijiet soġġetti għas-sorveljanza ta’ awtorità kompetenti differenti fl-istess Stat Membru, din l-informazzjoni għandha tiġi kkomunikata lill-awtorità kompetenti korrispondenti.”;

(9)

il-punt 21.B.435A li ġej jiddaħħal wara l-punt 21.B.435:

“21.B.435A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.D.OR.255(a) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt 21.B.431. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt 21.B.433.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.D.OR.255(b) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”.

ANNESS V

L-Annessi II (Parti-ARO) u III (Parti-ORO) tar-Regolament (UE) Nru 965/2012 huma emendati kif ġej:

(1)

L-Anness II (Parti-ARO) huwa emendat kif ġej:

(a)

fil-punt ARO.GEN.125, jiżdied il-punt (c) li ġej:

“(c)

(b)

il-punt ARO.GEN.135 A li ġej jiddaħħal wara l-punt ARO.GEN.135:

“ARO.GEN.135 A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt ARO.GEN.125(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(c)

fil-punt ARO.GEN.200, jiżdied il-punt (e) li ġej:

“(e)

(d)

il-punt ARO.GEN.205 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “ARO.GEN.205 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ORO.GEN.200 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt ARO.GEN.200(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(e)

fil-punt ARO.GEN.300, jiżdied il-punt (g) li ġej:

“(g)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ORO.GEN.200 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(f)

il-punt ARO.GEN.330 A li ġej jiddaħħal wara l-punt ARO.GEN.330:

“ARO.GEN.330 A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt ARO.GEN.300. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt ARO.GEN.350.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(2)

L-Anness III (Parti-ORO) huwa emendat kif ġej:

il-punt ORO.GEN.200 A li ġej jiddaħħal wara l-punt ORO.GEN.200:

“ORO.GEN.200 A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ORO.GEN.200, l-operatur għandu jistabbilixxi, jimplimenta u jżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”.

ANNESS VI

L-Anness II (Parti-ADR.OR) tar-Regolament (UE) Nru 139/2014 huwa emendat kif ġej:

(1)

fil-punt ADR.AR.A.025, jiżdied il-punt (c) li ġej:

“(c)

L-awtorità kompetenti tal-Istat Membru għandha tipprovdi informazzjoni sinifikanti għas-sikurezza lill-Aġenzija mill-aktar fis possibbli, li toħroġ mir-rapporti dwar is-sigurtà tal-informazzjoni li tkun irċeviet skont il-punt IS.D.OR.230 tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645.”;

(2)

il-punt ADR.AR.A.030 A li ġej jiddaħħal wara l-punt ADR.AR.A.030:

“ADR.AR.A.030 A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt ADR.AR.A.025(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(3)

fil-punt ADR.AR.B.005, jiżdied il-punt (d) li ġej:

“(d)

(4)

il-punt ADR.AR.B.010 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “ADR.AR.B.010 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ADR.OR.D.005 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew iċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt ADR.AR.B.005(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(5)

fil-punt ADR.AR.C.005, jiżdied il-punt (f) li ġej:

“(f)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ADR.OR.D.005 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(6)

il-punt ADR.AR.C.040A li ġej jiddaħħal wara l-punt ADR.AR.C.040:

“ADR.AR.C.040A Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.D.OR.255(a) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt ADR.AR.C.005. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt ADR.AR.C.055.

(b)

Fir-rigward tal-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.D.OR.255(b) tal-Anness (Parti-IS.D.OR) tar-Regolament Delegat (UE) 2022/1645:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”.

ANNESS VII

L-Annessi II (Parti-145), III (Parti-66) u Vc (Parti-CAMO) tar-Regolament (UE) Nru 1321/2014 huma emendati kif ġej:

(1)

L-Anness II (il-Parti-145) huwa emendat kif ġej:

(a)

il-Werrej huwa emendat kif ġej:

(i)

l-intestatura li ġejja tiddaħħal wara l-intestatura 145.A.200:

“145.A.200A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(ii)

l-intestatura li ġejja tiddaħħal wara l-intestatura 145.B.135:

“145.B.135A

Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni”;

(iii)

l-intestatura tal-punt 145.B.205 hija sostitwita b’din li ġejja:

“145.B.205

Allokazzjoni tal-kompiti”;

(iv)

l-intestatura li ġejja tiddaħħal wara l-intestatura 145.B.330:

“145.B.330A

Bidliet fis-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni”;

(b)

il-punt 145.A.200A li ġej jiddaħħal wara l-punt 145.A.200:

“145.A.200A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema tal-ġestjoni msemmija fil-punt 145.A.200, l-organizzazzjoni tal-manutenzjoni għandha tistabbilixxi, timplimenta u tħaddem sistema tal-ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(c)

fil-punt 145.B.125, jiżdied il-punt (c) li ġej:

“(c)

(d)

il-punt 145.B.135 A li ġej jiddaħħal wara l-punt 145.B.135:

“145.B.135A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt 145.B.125(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu miżuri adegwati biex tindirizza l-impatt potenzjali tal-inċident jew tal-vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(e)

fil-punt 145.B.200, jiżdied il-punt (e) li ġej:

“(e)

(f)

il-punt 145.B.205 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “145.B.205 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt 145.A.200A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema tal-ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt 145.B.200(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(g)

fil-punt 145.B.300, jiżdied il-punt (g) li ġej:

“(g)

Fir-rigward taċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt 145.A.200A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrieżamina kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(h)

il-punt 145.B.330 A li ġej jiddaħħal wara l-punt 145.B.330:

“145.B.330A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt 145.B.300. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt 145.B.350.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni tal-Kummissjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(2)

L-Anness III (Parti-66) huwa emendat kif ġej:

(a)

fil-Werrej, l-intestatura li ġejja tiddaħħal wara l-intestatura 66.B.10:

“66.B.15

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(b)

il-punt 66.B.15 li ġej jiddaħħal wara l-punt 66.B.10:

“66.B.15 Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

L-awtorità kompetenti għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mal-Anness I (Parti-IS.AR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(3)

L-Anness Vc (Parti-CAMO) huwa emendat kif ġej:

(a)

il-Werrej huwa emendat kif ġej:

(i)

l-intestatura li ġejja tiddaħħal wara l-intestatura CAMO.A.200:

“CAMO.A.200A

Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(ii)

l-intestatura li ġejja tiddaħħal wara l-intestatura CAMO.B.135:

“CAMO.B.135A

Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni”;

(iii)

l-intestatura tal-punt CAMO.B.205 hija sostitwita b’din li ġejja:

“CAMO.B.205

Allokazzjoni tal-kompiti”;

(iv)

l-intestatura li ġejja tiddaħħal wara l-intestatura CAMO.B.330:

“CAMO.B.330A

Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni”;

(b)

il-punt CAMO.A.200 A li ġej jiddaħħal wara l-punt CAMO.A.200:

“CAMO.A.200A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni msemmija fil-punt CAMO.A.200, l-organizzazzjoni għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(c)

fil-punt CAMO.B.125, jiżdied il-punt (c) li ġej:

“(c)

(d)

il-punt CAMO.B.135 A li ġej jiddaħħal wara l-punt CAMO.B.135:

“CAMO.B.135A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt CAMO.B.125(c) u biex tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(e)

fil-punt CAMO.B.200, jiżdied il-punt (e) li ġej:

“(e)

(f)

il-punt CAMO.B.205 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “CAMO.B.205 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt CAMO.A.200 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fl-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt CAMO.B.200(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(g)

fil-punt CAMO.B.300, jiżdied il-punt (g) li ġej:

“(g)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt CAMO.A.200 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(h)

il-punt CAMO.B.330A li ġej jiddaħħal wara l-punt CAMO.B.330:

“CAMO.B.330A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt CAMO.B.300. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt CAMO.B.350.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”.

ANNESS VIII

L-Annessi II (Parti ATCO.AR) u III (Parti ATCO.OR) tar-Regolament (UE) 2015/340 huma emendati kif ġej:

(1)

L-Anness II (Parti ATCO.AR) huwa emendat kif ġej:

(a)

fil-punt ATCO.AR.A.020, jiżdied il-punt (c) li ġej:

“(c)

(b)

il-punt ATCO.AR.A.025 A li ġej jiddaħħal wara l-punt ATCO.AR.A.025:

“ATCO.AR.A.025A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt ATCO.AR.A.020, u tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(c)

fil-punt ATCO.AR.B.001, jiżdied il-punt (e) li ġej:

“(e)

(d)

il-punt ATCO.AR.B.005 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “ATCO.AR.B.005 Allokazzjoni tal-kompiti”;

(ii)

jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ATCO.OR.C.001 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew iċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt ATCO.AR.B.001(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(e)

fil-punt ATCO.AR.C.001, jiżdied il-punt (f) li ġej:

“(f)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ATCO.OR.C.001 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(f)

il-punt ATCO.AR.E.010 A li ġej jiddaħħal wara l-punt ATCO.AR.E.010:

“ATCO.AR.E.010A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt ATCO.AR.C.001. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt ATCO.AR.C.010.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(2)

L-Anness III (Parti ATCO.OR) huwa emendat kif ġej:

Il-punt ATCO.OR.C.001 A li ġej jiddaħħal wara l-punt ATCO.OR.C.001:

“ATCO.OR.C.001A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ATCO.OR.C.001, l-organizzazzjoni tat-taħriġ għandha tistabbilixxi, timplimenta u żżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”.

ANNESS IX

L-Annessi II (Parti-ATM/ANS.AR) u III (Parti-ATM/ANS.OR) tar-Regolament (UE) 2017/373 huma emendati kif ġej:

(1)

L-Anness II (Parti-ATM/ANS.AR) huwa emendat kif ġej:

(a)

fil-punt ATM/ANS.AR.A.020, jiżdied il-punt (c) li ġej:

“(c)

(b)

il-punt ATM/ANS.AR.A.025 A li ġej jiddaħħal wara l-punt ATM/ANS.AR.A.025:

“ATM/ANS.AR.A.025 A Reazzjoni immedjata għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt fuq is-sikurezza tal-avjazzjoni

(a)

(b)

L-Aġenzija għandha timplimenta sistema biex tanalizza kif xieraq kull informazzjoni rilevanti sinifikanti għas-sikurezza li tkun irċeviet f’konformità mal-punt ATM/ANS.AR.A.020(c), u tipprovdi kull informazzjoni lill-Istati Membri u lill-Kummissjoni mingħajr dewmien żejjed, inkluż ir-rakkomandazzjonijiet jew l-azzjonijiet korrettivi li jridu jittieħdu, li jkunu jeħtieġu biex jirreaġixxu fil-ħin għal inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni b’impatt potenzjali fuq is-sikurezza tal-avjazzjoni li jinvolvu prodotti, partijiet, tagħmir mhux installat, persuni jew organizzazzjonijiet soġġetti għar-Regolament (UE) 2018/1139 u għall-atti delegati u ta’ implimentazzjoni tiegħu.

(c)	Malli tirċievi l-informazzjoni msemmija fil-punti (a) u (b), l-awtorità kompetenti għandha tieħu l-miżuri xierqa biex tindirizza l-impatt potenzjali ta’ inċident jew vulnerabbiltà tas-sigurtà tal-informazzjoni fuq is-sikurezza tal-avjazzjoni.

(d)

(c)

fil-punt ATM/ANS.AR.B.001, jiżdied il-punt (e) li ġej:

“(e)

Minbarra r-rekwiżiti li jinsabu fil-punt (a), is-sistema ta’ ġestjoni stabbilita u miżmuma mill-awtorità kompetenti għandha tkun konformi mal-Anness I (Parti-IS.AR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(d)

il-punt ATM/ANS.AR.B.005 huwa emendat kif ġej:

(i)	l-intestatura hija sostitwita b’din li ġejja: “ATM/ANS.AR.B.005 Allokazzjoni tal-kompiti”;

(ii)

Jiżdied il-punt (c) li ġej:

“(c)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ATM/ANS.OR.B.005 A, l-awtorità kompetenti tista’ talloka kompiti lil entitajiet kwalifikati f’konformità mal-punt (a), jew lil xi awtorità rilevanti responsabbli għas-sigurtà tal-informazzjoni jew għaċ-ċibersigurtà fi ħdan l-Istat Membru. Meta talloka l-kompiti, l-awtorità kompetenti għandha tiżgura li:

(1)	l-aspetti kollha relatati mas-sikurezza tal-avjazzjoni jiġu kkoordinati u jitqiesu mill-entità kwalifikata jew mill-awtorità rilevanti;

(2)	ir-riżultati tal-attivitajiet taċ-ċertifikazzjoni u tas-sorveljanza mwettqa mill-entità kwalifikata jew mill-awtorità rilevanti jiġu integrati fil-fajls ġenerali taċ-ċertifikazzjoni u tas-sorveljanza tal-organizzazzjoni;

(3)	is-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni tagħha stess stabbilita f’konformità mal-punt ATM/ANS.AR.B.001(e) tkun tkopri l-kompiti kollha taċ-ċertifikazzjoni u tas-sorveljanza kontinwa mwettqa f’isimha.”;

(e)

fil-punt ATM/ANS.AR.C.010, jiżdied il-punt (d) li ġej:

“(d)

Għaċ-ċertifikazzjoni u s-sorveljanza tal-konformità tal-organizzazzjoni mal-punt ATM/ANS.OR.B.005 A, minbarra li tikkonforma mal-punti (a) sa (f), l-awtorità kompetenti għandha tirrevedi kull approvazzjoni mogħtija skont il-punt IS.I.OR.200(e) ta’ dan ir-Regolament jew skont il-punt IS.D.OR.200(e) tar-Regolament Delegat (UE) 2022/1645 wara ċ-ċiklu tal-awditjar tas-sorveljanza applikabbli u kull meta l-bidliet jiġu implimentati fl-ambitu tal-ħidma tal-organizzazzjoni.”

(f)

il-punt ATM/ANS.AR.C.025 A li ġej jiddaħħal wara l-punt ATM/ANS.AR.C.025:

“ATM/ANS.AR.C.025 A Bidliet fis-sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

(a)

Għall-bidliet ġestiti u notifikati lill-awtorità kompetenti f’konformità mal-proċedura stabbilita fil-punt IS.I.OR.255(a) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203, l-awtorità kompetenti għandha tinkludi r-rieżami ta’ dawn il-bidliet fis-sorveljanza kontinwa tagħha f’konformità mal-prinċipji stipulati fil-punt ATM/ANS.AR.C.010. Jekk jinstab xi nuqqas ta’ konformità, l-awtorità kompetenti għandha tinnotifika lill-organizzazzjoni b’dan, titlob aktar bidliet u taġixxi f’konformità mal-punt ATM/ ANS.AR.C.050.

(b)

Għall-bidliet l-oħra li jeħtieġu applikazzjoni għall-approvazzjoni f’konformità mal-punt IS.I.OR.255(b) tal-Anness II (Parti-IS.I.OR) tar-Regolament ta’ Implimentazzjoni (UE) 2023/203:

(1)	malli tirċievi l-applikazzjoni għall-bidla, l-awtorità kompetenti għandha tivverifika l-konformità tal-organizzazzjoni mar-rekwiżiti applikabbli qabel ma toħroġ l-approvazzjoni;

(2)	l-awtorità kompetenti għandha tistabbilixxi l-kundizzjonijiet li skonthom l-organizzazzjoni tista’ topera waqt l-implimentazzjoni tal-bidla;

(3)	jekk tkun sodisfatta li l-organizzazzjoni tikkonforma mar-rekwiżiti applikabbli, l-awtorità kompetenti għandha tapprova l-bidla.”;

(2)

L-Anness III (Parti-ATM/ANS.OR) huwa emendat kif ġej:

(a)

il-punt ATM/ANS.OR.B.005 A li ġej jiddaħħal wara l-punt ATM/ANS.OR.B.005:

“ATM/ANS.OR.B.005 A Sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni

Minbarra s-sistema ta’ ġestjoni msemmija fil-punt ATM/ANS.OR.B.005, il-fornitur tas-servizzi għandu jistabbilixxi, jimplimenta u jżomm sistema ta’ ġestjoni tas-sigurtà tal-informazzjoni f’konformità mar-Regolament ta’ Implimentazzjoni (UE) 2023/203 biex tiżgura l-ġestjoni xierqa tar-riskji għas-sigurtà tal-informazzjoni li jaf ikollhom impatt fuq is-sikurezza tal-avjazzjoni.”;

(b)

il-punt ATM/ANS.OR.D.010 huwa sostitwit b’dan li ġej:

“ATM/ANS.OR.D.010 Ġestjoni tas-sigurtà

(a)

Il-fornituri tas-servizzi tan-navigazzjoni bl-ajru u ta’ ġestjoni tal-fluss tat-traffiku tal-ajru u l-Meniġer tan-Network għandhom, bħala parti integrali mis-sistema ta’ ġestjoni tagħhom, kif meħtieġ fil-punt ATM/ ANS.OR.B.005, jistabbilixxu sistema ta’ ġestjoni tas-sigurtà biex jiżguraw:

(1)	is-sigurtà tal-faċilitajiet u tal-persunal tagħhom biex jevitaw interferenza illegali mal-forniment tas-servizzi;

(2)	is-sigurtà tad-data operazzjonali li jirċievu, jipproduċu, jew jużaw, biex l-aċċess għaliha jkun ristrett biss għal dawk awtorizzati.

(b)

Is-sistema ta’ ġestjoni tas-sigurtà għandha tiddefinixxi:

(1)	il-proċess u l-proċeduri relatati mal-valutazzjoni u l-mitigazzjoni tar-riskju għas-sigurtà, il-monitoraġġ u t-titjib tas-sigurtà, ir-rieżamijiet tas-sigurtà u t-tixrid tat-tagħlimiet;

(2)	il-mezzi maħsuba biex jidentifikaw, jimmonitorjaw u jikxfu ksur tas-sigurtà u biex javżaw lill-persunal bi twissijiet tas-sigurtà xierqa;

(3)	il-mezzi maħsuba biex jikkontrollaw l-effetti tal-ksur tas-sigurtà u biex jidentifikaw l-azzjoni tal-irkupru u l-proċeduri ta’ mitigazzjoni biex jiġi evitat li dan jerġa’ jseħħ.

(c)

Il-fornituri tas-servizzi tan-navigazzjoni bl-ajru u ta’ ġestjoni tal-fluss tat-traffiku tal-ajru u l-Meniġer tan-Network għandhom jiżguraw l-approvazzjoni tas-sigurtà tal-persunal tagħhom, jekk ikun xieraq, u jikkoordinaw mal-awtoritajiet ċivili u militari rilevanti biex jiżguraw is-sigurtà tal-faċilitajiet, tal-persunal u tad-data tagħhom.

(d)	L-aspetti relatati mas-sigurtà tal-informazzjoni għandhom jiġu ġestiti f’konformità mal-punt ATM/ ANS.OR.B.005 A.”.