This document is an excerpt from the EUR-Lex website
Document 32023R0203
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
Uitvoeringsverordening (EU) 2023/203 van de Commissie van 27 oktober 2022 tot vaststelling van regels voor de toepassing van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad, wat betreft de eisen voor het beheer van risico’s op het gebied van informatiebeveiliging met mogelijke gevolgen voor de veiligheid van de luchtvaart voor organisaties waarop de Verordeningen (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011 en (EU) 2015/340 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn en voor bevoegde autoriteiten waarop de Verordeningen (EU) nr. 748/2012, (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011, (EU) 2015/340 en (EU) nr. 139/2014 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn, en tot wijziging van de Verordeningen (EU) nr. 1178/2011, (EU) nr. 748/2012, (EU) nr. 965/2012, (EU) nr. 139/2014, (EU) nr. 1321/2014 en (EU) 2015/340 van de Commissie en Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie
Uitvoeringsverordening (EU) 2023/203 van de Commissie van 27 oktober 2022 tot vaststelling van regels voor de toepassing van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad, wat betreft de eisen voor het beheer van risico’s op het gebied van informatiebeveiliging met mogelijke gevolgen voor de veiligheid van de luchtvaart voor organisaties waarop de Verordeningen (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011 en (EU) 2015/340 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn en voor bevoegde autoriteiten waarop de Verordeningen (EU) nr. 748/2012, (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011, (EU) 2015/340 en (EU) nr. 139/2014 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn, en tot wijziging van de Verordeningen (EU) nr. 1178/2011, (EU) nr. 748/2012, (EU) nr. 965/2012, (EU) nr. 139/2014, (EU) nr. 1321/2014 en (EU) 2015/340 van de Commissie en Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie
C/2022/7215
PB L 31 van 2.2.2023, p. 1–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 05/10/2023
2.2.2023 |
NL |
Publicatieblad van de Europese Unie |
L 31/1 |
UITVOERINGSVERORDENING (EU) 2023/203 VAN DE COMMISSIE
van 27 oktober 2022
tot vaststelling van regels voor de toepassing van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad, wat betreft de eisen voor het beheer van risico’s op het gebied van informatiebeveiliging met mogelijke gevolgen voor de veiligheid van de luchtvaart voor organisaties waarop de Verordeningen (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011 en (EU) 2015/340 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn en voor bevoegde autoriteiten waarop de Verordeningen (EU) nr. 748/2012, (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011, (EU) 2015/340 en (EU) nr. 139/2014 van de Commissie en de Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie van toepassing zijn, en tot wijziging van de Verordeningen (EU) nr. 1178/2011, (EU) nr. 748/2012, (EU) nr. 965/2012, (EU) nr. 139/2014, (EU) nr. 1321/2014 en (EU) 2015/340 van de Commissie en Uitvoeringsverordeningen (EU) 2017/373 en (EU) 2021/664 van de Commissie
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1139 van het Europees Parlement en de Raad van 4 juli 2018 inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart, en tot wijziging van de Verordeningen (EG) nr. 2111/2005, (EG) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 en de Richtlijnen 2014/30/EU en 2014/53/EU van het Europees Parlement en de Raad, en tot intrekking van de Verordeningen (EG) nr. 552/2004 en (EG) nr. 216/2008 van het Europees Parlement en de Raad en Verordening (EEG) nr. 3922/91 van de Raad (1), en met name artikel 17, lid 1, punt b), artikel 27, lid 1, punt a), artikel 31, lid 1, punt b), artikel 43, lid 1, punt b), artikel 53, lid 1, punt a) en artikel 62, lid 15, punt c),
Overwegende hetgeen volgt:
(1) |
Overeenkomstig de essentiële eisen van bijlage II, punt 3.1, b), van Verordening (EU) 2018/1139 moeten organisaties voor het beheer van de permanente luchtwaardigheid en onderhoudsorganisaties een beheersysteem opzetten en onderhouden om veiligheidsrisico’s te beheren. |
(2) |
Bovendien moeten, overeenkomstig de essentiële eisen van bijlage IV, punt 3.3, b), en punt 5, b), van Verordening (EU) 2018/1139, organisaties voor de opleiding van piloten, organisaties voor de opleiding van cabinepersoneel, luchtvaartgeneeskundige centra voor vliegend personeel en exploitanten van vluchtnabootsers een beheersysteem toepassen en onderhouden om veiligheidsrisico’s te beheren. |
(3) |
Overeenkomstig de essentiële eisen van bijlage V, punt 8.1, c), van Verordening (EU) 2018/1139 moeten luchtvaartuigexploitanten een beheersysteem opzetten en onderhouden om veiligheidsrisico’s te beheren. |
(4) |
Overeenkomstig de essentiële eisen van bijlage VIII, punt 5.1, c), en punt 5.4, b), van Verordening (EU) 2018/1139 moeten verleners van luchtverkeersbeheers- en luchtvaartnavigatiediensten, U-spacedienstverleners en aanbieders van gemeenschappelijke informatiediensten, en opleidingsorganisaties en luchtvaartgeneeskundige centra voor luchtverkeersleiders een beheersysteem invoeren en onderhouden om veiligheidsrisico’s te beheren. |
(5) |
Die veiligheidsrisico’s kunnen ontstaan om verschillende redenen, zoals ontwerp- en onderhoudsgebreken, aspecten van menselijke prestaties, milieubedreigingen en bedreigingen voor de informatiebeveiliging. De beheersystemen die worden toegepast door het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (“het Agentschap”) en de in bovenstaande overwegingen bedoelde nationale bevoegde autoriteiten en organisaties moeten daarom niet alleen rekening houden met veiligheidsrisico’s die voortvloeien uit toevallige gebeurtenissen, maar ook met veiligheidsrisico’s die voortvloeien uit bedreigingen voor de informatiebeveiliging waarbij bestaande tekortkomingen kunnen worden uitgebuit door personen met slechte bedoelingen. Die risico’s voor de informatiebeveiliging in de burgerluchtvaart nemen voortdurend toe omdat de actuele informatiesystemen steeds meer met elkaar verweven zijn en steeds vaker het doelwit worden van kwaadwillige actoren. |
(6) |
De risico’s in verband met die informatiesystemen blijven niet beperkt tot mogelijke aanvallen op de cyberruimte, maar omvatten ook bedreigingen die van invloed kunnen zijn op processen en procedures en op de prestaties van mensen. |
(7) |
Een aanzienlijk aantal organisaties maakt reeds gebruik van internationale normen, zoals ISO 27001, om digitale informatie en gegevens te beveiligen. Het is mogelijk dat die normen niet volledig beantwoorden aan alle specifieke kenmerken van de burgerluchtvaart. Het is dan ook passend eisen in te voeren voor het beheer van risico’s voor de informatiebeveiliging die gevolgen kunnen hebben voor de veiligheid van de luchtvaart. |
(8) |
Het is van essentieel belang dat deze eisen betrekking hebben op alle luchtvaartdomeinen en hun interfaces aangezien de luchtvaart een sterk onderling verweven systeem is. Daarom moeten zij van toepassing zijn op alle organisaties en bevoegde autoriteiten waarop Verordeningen (EU) nr. 748/2012 (2), (EU) nr. 1321/2014 (3), (EU) nr. 965/2012 (4), (EU) nr. 1178/2011 (5), (EU) 2015/340 (6), (EU) nr. 139/2014 (7) van de Commissie en Uitvoeringsverordening (EU) 2021/664 (8) van de Commissie van toepassing zijn, met inbegrip van die organisaties en bevoegde autoriteiten die reeds over een beheersysteem moeten beschikken overeenkomstig de bestaande wetgeving van de Unie inzake de veiligheid van de luchtvaart. Sommige organisaties moeten echter van het toepassingsgebied van deze verordening worden uitgesloten omdat ze lagere informatiebeveiligingsrisico’s inhouden voor het luchtvaartsysteem. |
(9) |
De in deze verordening vastgestelde eisen moeten consequent worden toegepast op alle luchtvaartdomeinen en tegelijkertijd zo weinig mogelijk gevolgen hebben voor de luchtvaartveiligheidswetgeving van de Unie die reeds van toepassing is op deze domeinen. |
(10) |
De in deze verordening vastgestelde eisen mogen geen afbreuk doen aan de eisen inzake informatiebeveiliging en cyberbeveiliging die zijn vastgesteld in punt 1.7 van de bijlage bij Uitvoeringsverordening (EU) 2015/1998 van de Commissie (9) en in artikel 14 van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (10). |
(11) |
De beveiligingsvoorschriften van de artikelen 33 tot en met 43 van titel V “Beveiliging van het programma” van Verordening (EU) 2021/696 van het Europees Parlement en de Raad (11) worden beschouwd als gelijkwaardig aan de voorschriften van deze verordening, behalve wat punt IS.I.OR.230 van bijlage II bij deze verordening betreft, waaraan moet worden voldaan. |
(12) |
Om rechtszekerheid te verschaffen, moet de interpretatie van de term “informatiebeveiliging” zoals gedefinieerd in deze verordening, die het gemeenschappelijke gebruik ervan in de mondiale burgerluchtvaart weerspiegelt, worden geacht in overeenstemming te zijn met die van de term “beveiliging van netwerk- en informatiesystemen” zoals gedefinieerd in artikel 4, lid 2, van Richtlijn (EU) 2016/1148. De definitie van informatiebeveiliging die in deze verordening wordt gebruikt, mag niet worden geïnterpreteerd als een afwijking van de definitie van beveiliging van netwerk- en informatiesystemen in Richtlijn (EU) 2016/1148. |
(13) |
Indien onder deze verordening vallende organisaties reeds onderworpen zijn aan beveiligingseisen die voortvloeien uit in de overwegingen (10) en (11) bedoelde rechtshandelingen van de Unie die qua werking gelijkwaardig zijn aan de in deze verordening vastgestelde voorschriften, moet de naleving van die beveiligingseisen worden beschouwd als naleving van de in deze verordening vastgestelde eisen, teneinde verdubbeling van wettelijke voorschriften te vermijden. |
(14) |
Onder deze verordening vallende organisaties die reeds onderworpen zijn aan beveiligingseisen die voortvloeien uit Uitvoeringsverordening (EU) 2015/1998 of Verordening (EU) 2021/696, of beide, moeten ook voldoen aan de eisen van bijlage II (Deel IS.I.OR.230 “Regeling voor de externe rapportering van informatiebeveiligingsincidenten”) van de onderhavige verordening aangezien geen van beide verordeningen bepalingen bevat die betrekking hebben op de externe rapportering van informatiebeveiligingsincidenten. |
(15) |
Volledigheidshalve moeten de Verordeningen (EU) nr. 1178/2011, (EU) nr. 748/2012, (EU) nr. 965/2012, (EU) nr. 139/2014, (EU) nr. 1321/2014, (EU) 2015/340 en Uitvoeringsverordeningen (EU) 2017/373 (12) en (EU) 2021/664 worden gewijzigd om er de in de onderhavige verordening voorgeschreven vereisten voor het beheer van informatiebeveiliging in op te nemen, samen met de daarin beschreven beheersystemen, en om de verplichtingen van de bevoegde autoriteiten vast te stellen met betrekking tot het toezicht op organisaties die de bovengenoemde vereisten inzake informatiebeveiligingsbeheer uitvoeren. |
(16) |
Om organisaties voldoende tijd te geven om de naleving van de nieuwe regels en procedures te waarborgen, moet deze verordening 3 jaar na de inwerkingtreding ervan van toepassing worden, behalve voor de verlener van luchtvaartnavigatiediensten van de European Geostationary Navigation Overlay Service (EGNOS), zoals gedefinieerd in Uitvoeringsverordening (EU) 2017/373. Wegens de lopende veiligheidsaccreditatie van het systeem en de diensten van EGNOS, overeenkomstig Verordening (EU) 2021/696, moet de onderhavige verordening met ingang van 1 januari 2026 van toepassing worden op verlener van EGNOS-luchtvaartnavigatiediensten. |
(17) |
De in deze verordening vastgestelde eisen zijn gebaseerd op Advies nr. 03/2021 (13), dat door het Agentschap is uitgebracht overeenkomstig artikel 75, lid 2, punten b) en c), en artikel 76, lid 1, van Verordening (EU) 2018/1139. |
(18) |
De in deze verordening vastgestelde eisen zijn in overeenstemming met het advies van het bij artikel 127 van Verordening (EU) 2018/1139 ingestelde Comité voor de toepassing van gemeenschappelijke veiligheidsvoorschriften op het gebied van de burgerluchtvaart, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Onderwerp
In deze verordening worden de eisen vastgesteld waaraan de organisaties en bevoegde autoriteiten moeten voldoen met het oog op:
a) |
de identificatie en het beheer van risico’s op het gebied van informatiebeveiliging die gevolgen kunnen hebben voor de veiligheid van de luchtvaart en van invloed kunnen zijn op informatie- en communicatietechnologiesystemen en gegevens die voor burgerluchtvaartdoeleinden worden gebruikt; |
b) |
de opsporing van informatiebeveiligingsvoorvallen en de identificatie van de voorvallen die worden beschouwd als informatiebeveiligingsincidenten die gevolgen kunnen hebben voor de veiligheid van de luchtvaart; |
c) |
de reactie op en het herstel van dergelijke incidenten op het gebied van informatiebeveiliging. |
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op de volgende organisaties:
a) |
onderhoudsorganisaties die vallen onder sectie A van bijlage II (deel-145) bij Verordening (EU) nr. 1321/2014, met uitzondering van organisaties die uitsluitend betrokken zijn bij het onderhoud van luchtvaartuigen overeenkomstig bijlage V ter (deel-ML) bij Verordening (EU) nr. 1321/2014; |
b) |
organisaties voor het beheer van de permanente luchtwaardigheid (CAMO’s) die vallen onder sectie A van bijlage V quater (deel-CAMO) bij Verordening (EU) nr. 1321/2014, met uitzondering van organisaties die uitsluitend betrokken zijn bij het beheer van de permanente luchtwaardigheid van luchtvaartuigen overeenkomstig bijlage V ter (deel-ML) bij Verordening (EU) nr. 1321/2014; |
c) |
luchtvaartexploitanten die vallen onder bijlage III (deel-ORO) bij Verordening (EU) nr. 965/2012, met uitzondering van exploitanten die uitsluitend betrokken zijn bij de exploitatie van:
|
d) |
erkende opleidingsorganisaties (ATO’s) die vallen onder bijlage VII (deel-ORA) bij Verordening (EU) nr. 1178/2011, met uitzondering van organisaties die uitsluitend betrokken zijn bij opleidingsactiviteiten voor ELA2-luchtvaartuigen zoals gedefinieerd in artikel 1, lid 2, punt j), van Verordening (EU) nr. 748/2012, of die uitsluitend betrokken zijn bij theoretische opleiding; |
e) |
luchtvaartgeneeskundige centra voor vliegend personeel die vallen onder bijlage VII (deel-ORA) bij Verordening (EU) nr. 1178/2011; |
f) |
exploitanten van vluchtnabootsers (FSTD) die vallen onder bijlage VII (deel-ORA) bij Verordening (EU) nr. 1178/2011, met uitzondering van exploitanten die uitsluitend betrokken zijn bij de exploitatie van FSTD’s voor ELA2-luchtvaartuigen zoals gedefinieerd in artikel 1, lid 2, punt j), van Verordening (EU) nr. 748/2012; |
g) |
organisaties voor de opleiding van luchtverkeersleiders (ATCO TO’s) en luchtvaartgeneeskundige centra voor luchtverkeersleiders die vallen onder bijlage III (deel ATCO.OR) bij Verordening (EU) 2015/340; |
h) |
organisaties die vallen onder bijlage III (deel-ATM/ANS.OR) bij Uitvoeringsverordening (EU) 2017/373, met uitzondering van de volgende dienstverleners:
|
i) |
U-spacedienstverleners en enige verleners van gemeenschappelijke informatiediensten die onder Uitvoeringsverordening (EU) 2021/664 vallen. |
2. Deze verordening is van toepassing op de bevoegde autoriteiten, met inbegrip van het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (“het Agentschap”), als bedoeld in artikel 6 van deze verordening en in artikel 5 van Gedelegeerde Verordening (EU) 2022/1645 van de Commissie (14).
3. Deze verordening is ook van toepassing op de bevoegde autoriteit die verantwoordelijk is voor de afgifte, voortzetting, wijziging, opschorting of intrekking van bevoegdheidsbewijzen voor onderhoud van luchtvaartuigen overeenkomstig bijlage III (deel-66) bij Verordening (EU) nr. 1321/2014.
4. Deze verordening doet geen afbreuk aan de eisen inzake informatiebeveiliging en cyberbeveiliging die zijn vastgesteld in punt 1.7 van de bijlage bij Uitvoeringsverordening (EU) 2015/1998 en in artikel 14 van Richtlijn (EU) 2016/1148.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) |
“informatiebeveiliging”: de instandhouding van de vertrouwelijkheid, integriteit, authenticiteit en beschikbaarheid van netwerk- en informatiesystemen; |
2) |
“informatiebeveiligingsvoorval”: een vastgestelde toestand van een systeem, dienst of netwerk die wijst op een mogelijke inbreuk op het informatiebeveiligingsbeleid of een storing van de informatiebeveiligingscontroles, of een voorheen onbekende situatie die relevant kan zijn voor de informatiebeveiliging; |
3) |
“incident”: elke gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen, zoals gedefinieerd in artikel 4, lid 7, van Richtlijn (EU) 2016/1148; |
4) |
“informatiebeveiligingsrisico”: het risico voor organisatorische burgerluchtvaartactiviteiten, activa, individuen en andere organisaties als gevolg van het potentieel van een informatiebeveiligingsvoorval. Informatiebeveiligingsrisico’s houden verband met de mogelijkheid dat bedreigingen misbruik maken van kwetsbaarheden van een informatiebron of groep van informatieactiva; |
5) |
“bedreiging”: een potentiële inbreuk op de informatiebeveiliging die bestaat wanneer er sprake is van een entiteit, omstandigheid, actie of gebeurtenis die schade kan veroorzaken; |
6) |
“kwetsbaarheid”: een tekortkoming of zwak punt in een activum, systeem, procedure, ontwerp of toepassing, of informatiebeveiligingsmaatregelen die kunnen worden misbruikt en leiden tot een inbreuk op of schending van het informatiebeveiligingsbeleid. |
Artikel 4
Eisen voor organisaties en bevoegde autoriteiten
1. De in artikel 2, lid 1, bedoelde organisaties moeten voldoen aan de eisen van bijlage II (deel-IS.I.OR) bij deze verordening.
2. De in artikel 2, leden 2 en 3, bedoelde bevoegde autoriteiten moeten voldoen aan de eisen van bijlage I (deel-IS.AR) bij deze verordening.
Artikel 5
Eisen die voortvloeien uit andere wetgeving van de Unie
1. Wanneer een in artikel 2, lid 1, bedoelde organisatie voldoet aan de overeenkomstig artikel 14 van Richtlijn (EU) 2016/1148 vastgestelde beveiligingseisen die gelijkwaardig zijn aan de in deze verordening vastgestelde eisen, wordt de naleving van die beveiligingseisen beschouwd als naleving van de in deze verordening vastgestelde eisen.
2. Wanneer een in artikel 2, lid 1, bedoelde organisatie een exploitant of entiteit is als bedoeld in de overeenkomstig artikel 10 van Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad (15) opgestelde nationale programma’s voor de beveiliging van de burgerluchtvaart van de lidstaten, worden de cyberbeveiligingseisen in punt 1.7 van de bijlage bij Uitvoeringsverordening (EU) 2015/1998 als gelijkwaardig beschouwd aan de in deze verordening vastgestelde eisen, behalve wat punt IS.I.OR.230 van bijlage II bij deze verordening betreft, waaraan als zodanig moet worden voldaan.
3. Wanneer de in artikel 2, lid 1, bedoelde organisatie de verlener van luchtvaartnavigatiediensten van de in Verordening (EU) 2021/696 bedoelde European Geostationary Navigation Overlay Service (EGNOS) is, worden de beveiligingsvoorschriften van titel V, artikelen 33 tot en met 43, van die verordening geacht gelijkwaardig te zijn aan de in deze verordening vastgestelde eisen, behalve wat betreft punt IS.I.OR.230 van bijlage II bij deze verordening, waaraan als zodanig moet worden voldaan.
4. Na raadpleging van het Agentschap en de in artikel 11 van Richtlijn (EU) 2016/1148 bedoelde samenwerkingsgroep kan de Commissie richtsnoeren uitvaardigen voor de beoordeling van de gelijkwaardigheid van de in deze verordening en Richtlijn (EU) 2016/1148 vastgestelde eisen.
Artikel 6
Bevoegde autoriteit
1. Onverminderd de taken die zijn toevertrouwd aan de Raad voor de beveiligingshomologatie als bedoeld in artikel 36 van Verordening (EU) 2021/696, is de autoriteit die verantwoordelijk is voor de certificering van en het toezicht op de naleving van deze verordening:
a) |
met betrekking tot de in artikel 2, lid 1, punt a), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig bijlage II (deel-145) bij Verordening (EU) nr. 1321/2014; |
b) |
met betrekking tot de in artikel 2, lid 1, punt b), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig bijlage V quater (deel-CAMO) bij Verordening (EU) nr. 1321/2014; |
c) |
met betrekking tot de in artikel 2, lid 1, punt c), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig bijlage III (deel-ORO) bij Verordening (EU) nr. 965/2012; |
d) |
met betrekking tot de in artikel 2, lid 1, punten d), e) en f), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig bijlage VII (deel-ORA) bij Verordening (EU) nr. 1178/2011; |
e) |
met betrekking tot de in artikel 2, lid 1, punt g), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig artikel 6, lid 2, van Verordening (EU) 2015/340; |
f) |
met betrekking tot de in artikel 2, lid 1, punt h), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig artikel 4, lid 1, van Uitvoeringsverordening (EU) 2017/373 van de Commissie; |
g) |
met betrekking tot de in artikel 2, lid 1, punt i), bedoelde organisaties, de bevoegde autoriteit die is aangewezen overeenkomstig artikel 14, lid 1, of artikel 14, lid 2, van Uitvoeringsverordening (EU) 2021/664, al naargelang van toepassing. |
2. Met het oog op de toepassing van deze verordening mogen de lidstaten een onafhankelijke en zelfstandige entiteit aanwijzen die de rol en verantwoordelijkheden opneemt van de in lid 1 bedoelde bevoegde autoriteit. In dat geval worden maatregelen getroffen voor coördinatie tussen die entiteit en de in lid 1 bedoelde bevoegde autoriteiten, teneinde te garanderen dat de organisatie doeltreffend toezicht houdt op alle eisen waaraan moet worden voldaan.
3. Het Agentschap werkt, met volledige inachtneming van de toepasselijke regels inzake geheimhouding, bescherming van persoonsgegevens en bescherming van gerubriceerde informatie, samen met het Agentschap van de Europese Unie voor het ruimtevaartprogramma (EUSPA) en de in artikel 36 van Verordening (EU) 2021/696 bedoelde raad voor beveiligingshomologatie om te zorgen voor doeltreffend toezicht op de eisen die van toepassing zijn op de verlener van EGNOS-luchtvaartnavigatiediensten.
Artikel 7
Indiening van relevante informatie bij bevoegde autoriteiten inzake de beveiliging van netwerk- en informatiesystemen
De uit hoofde van deze verordening bevoegde autoriteiten stellen het overeenkomstig artikel 8 van Richtlijn (EU) 2016/1148 aangewezen centrale contactpunt onverwijld in kennis van alle relevante informatie die is opgenomen in kennisgevingen die overeenkomstig punt IS.I.OR.230 van bijlage II bij deze verordening en punt IS.D.OR.230 van bijlage I bij Gedelegeerde Verordening 2022/1645 zijn ingediend door aanbieders van essentiële diensten die zijn geïdentificeerd overeenkomstig artikel 5 van Richtlijn (EU) 2016/1148.
Artikel 8
Wijziging van Verordening (EU) nr. 1178/2011
Bijlagen VI (deel-ARA) en VII (deel-ORA) bij Verordening (EU) nr. 1178/2011 worden gewijzigd overeenkomstig bijlage III bij deze verordening.
Artikel 9
Wijziging van Verordening (EU) nr. 748/2012
Bijlage I (deel 21) bij Verordening (EU) nr. 748/2012 wordt gewijzigd overeenkomstig bijlage IV bij deze verordening.
Artikel 10
Wijziging van Verordening (EU) nr. 965/2012
Bijlagen II (deel-ARO) en III (deel-ORO) bij Verordening (EU) nr. 965/2012 worden gewijzigd overeenkomstig bijlage V bij deze verordening.
Artikel 11
Wijziging van Verordening (EU) nr. 139/2014
Bijlage II (deel-ADR.AR) bij Verordening (EU) nr. 139/2014 wordt gewijzigd overeenkomstig bijlage VI bij deze verordening.
Artikel 12
Wijziging van Verordening (EU) nr. 1321/2014
Bijlagen II (deel-145), III (deel-66) en V quater (deel-CAMO) bij Verordening (EU) nr. 1321/2014 worden gewijzigd overeenkomstig bijlage VII bij deze verordening.
Artikel 13
Wijziging van Verordening (EU) 2015/340
Bijlagen II (deel-ATCO.AR) en III (deel-ATCO.OR) bij Verordening (EU) 2015/340 worden gewijzigd overeenkomstig bijlage VIII bij deze verordening.
Artikel 14
Wijziging van Uitvoeringsverordening (EU) 2017/373
Bijlagen II (deel-ATM/ANS.AR) en III (deel-ATM/ANS.OR) bij Uitvoeringsverordening (EU) 2017/373 worden gewijzigd overeenkomstig bijlage IX bij deze verordening.
Artikel 15
Wijziging van Uitvoeringsverordening (EU) 2021/664
Uitvoeringsverordening (EU) 2021/664 wordt als volgt gewijzigd:
1) |
In artikel 15, lid 1, wordt punt f) vervangen door:
|
2) |
Aan artikel 18 wordt het volgende punt l) toegevoegd:
|
Artikel 16
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij is van toepassing met ingang van 22 februari 2026.
Wat de onder Uitvoeringsverordening (EU) 2017/373 vallende verlener van EGNOS-luchtvaartnavigatiediensten betreft, is deze echter van toepassing met ingang van 1 januari 2026.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 27 oktober 2022.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 212 van 22.8.2018, blz. 1.
(2) Verordening (EU) nr. 748/2012 van de Commissie van 3 augustus 2012 tot vaststelling van uitvoeringsvoorschriften inzake de luchtwaardigheid en milieucertificering van luchtvaartuigen en aanverwante producten, onderdelen en uitrustingsstukken, alsmede voor de certificering van ontwerp- en productieorganisaties (PB L 224 van 21.8.2012, blz. 1).
(3) Verordening (EU) nr. 1321/2014 van de Commissie van 26 november 2014 betreffende de permanente luchtwaardigheid van luchtvaartuigen en luchtvaartproducten, -onderdelen en -uitrustingsstukken, en betreffende de goedkeuring van bij voornoemde taken betrokken organisaties en personen (PB L 362 van 17.12.2014, blz. 1).
(4) Verordening (EU) nr. 965/2012 van de Commissie van 5 oktober 2012 tot vaststelling van technische eisen en administratieve procedures voor vluchtuitvoering, overeenkomstig Verordening (EG) nr. 216/2008 van het Europees Parlement en de Raad (PB L 296 van 25.10.2012, blz. 1).
(5) Verordening (EU) nr. 1178/2011 van de Commissie van 3 november 2011 tot vaststelling van technische eisen en administratieve procedures met betrekking tot de bemanning van burgerluchtvaartuigen, overeenkomstig Verordening (EG) nr. 216/2008 van het Europees Parlement en de Raad (PB L 311 van 25.11.2011, blz. 1).
(6) Verordening (EU) 2015/340 van de Commissie van 20 februari 2015 tot vaststelling van technische eisen en administratieve procedures met betrekking tot vergunningen en certificaten van luchtverkeersleiders overeenkomstig Verordening (EG) nr. 216/2008 van het Europees Parlement en de Raad, tot wijziging van Uitvoeringsverordening (EU) nr. 923/2012 van de Commissie en tot intrekking van Verordening (EU) nr. 805/2011 van de Commissie (PB L 63 van 6.3.2015, blz. 1).
(7) Verordening (EU) nr. 139/2014 van de Commissie van 12 februari 2014 tot vaststelling van eisen en administratieve procedures met betrekking tot luchtvaartterreinen, overeenkomstig Verordening (EG) nr. 216/2008 van het Europees Parlement en de Raad (PB L 44 van 14.2.2014, blz. 1).
(8) Uitvoeringsverordening (EU) 2021/664 van de Commissie van 22 april 2021 inzake een regelgevingskader voor U-space (PB L 139van 23.4.2021, blz. 161).
(9) Uitvoeringsverordening (EU) 2015/1998 van de Commissie van 5 november 2015 tot vaststelling van gedetailleerde maatregelen voor de tenuitvoerlegging van de gemeenschappelijke basisnormen op het gebied van de beveiliging van de luchtvaart (PB L 299 van 14.11.2015, blz. 1).
(10) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).
(11) Verordening (EU) 2021/696 van het Europees Parlement en de Raad van 28 april 2021 tot vaststelling van het ruimtevaartprogramma van de Unie, tot oprichting van het Agentschap van de Europese Unie voor het ruimtevaartprogramma en tot intrekking van de Verordeningen (EU) nr. 912/2010, (EU) nr. 1285/2013 en (EU) nr. 377/2014 en Besluit nr. 541/2014/EU (PB L 170 van 12.5.2021, blz. 69).
(12) Uitvoeringsverordening (EU) 2017/373 van de Commissie van 1 maart 2017 tot vaststelling van de gemeenschappelijke eisen voor verleners van luchtverkeersbeheers-/luchtvaartnavigatiediensten en andere netwerkfuncties voor luchtverkeersbeheer en het toezicht daarop, en tot intrekking van Verordening (EG) nr. 482/2008, Uitvoeringsverordeningen (EU) nr. 1034/2011, (EU) nr. 1035/2011 en (EU) 2016/1377 en tot wijziging van Verordening (EU) nr. 677/2011 (PB L 62 van 8.3.2017, blz. 1).
(13) https://www.easa.europa.eu/en/document-library/opinions/opinion-032021
(14) Gedelegeerde Verordening (EU) 2022/1645 van de Commissie van 14 juli 2022 tot vaststelling van regels voor de toepassing van Verordening (EU) 2018/1139 van het Europees Parlement en de Raad, wat betreft eisen voor het beheer van risico’s voor de informatiebeveiliging met mogelijke gevolgen voor de luchtvaartveiligheid voor organisaties die onder Verordeningen (EU) nr. 748/2012 en (EU) nr. 139/2014 van de Commissie vallen en tot wijziging van Verordeningen (EU) nr. 748/2012 en (EU) nr. 139/2014 van de Commissie (PB L 248 van 26.9.2022, blz. 18).
(15) Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97 van 9.4.2008, blz. 72).
BIJLAGE I
INFORMATIEBEVEILIGING — EISEN VOOR DE AUTORITEIT
[DEEL-IS.AR]
IS.AR.100 |
Toepassingsgebied |
IS.AR.200 |
Beheersysteem voor informatiebeveiliging |
IS.AR.205 |
Beoordeling van risico’s voor de informatiebeveiliging |
IS.AR.210 |
Behandeling van risico’s voor de informatiebeveiliging |
IS.AR.215 |
Informatiebeveiligingsincidenten — opsporing, reactie en herstel |
IS.AR.220 |
Uitbesteding van activiteiten op het gebied van informatiebeveiligingsbeheer |
IS.AR.225 |
Personeelsvoorschriften |
IS.AR.230 |
Bijhouden van gegevens |
IS.AR.235 |
Permanente verbetering |
IS.AR.100 Toepassingsgebied
In dit deel worden de beheerseisen vastgesteld waaraan de in artikel 2, lid 2, van deze verordening bedoelde bevoegde autoriteiten moeten voldoen.
De eisen waaraan die bevoegde autoriteiten moeten voldoen voor de uitvoering van hun certificerings-, toezichts- en handhavingsactiviteiten zijn opgenomen in de in artikel 2, lid 1, van deze verordening en in artikel 2 van Gedelegeerde Verordening (EU) 2022/1645 bedoelde verordeningen.
IS.AR.200 Beheersysteem voor informatiebeveiliging
a) |
Om de in artikel 1 uiteengezette doelstellingen te verwezenlijken, ontwikkelt, implementeert en onderhoudt de bevoegde autoriteit een beheersysteem voor informatiebeveiliging, dat waarborgt dat de bevoegde autoriteit:
|
b) |
Om blijvend te voldoen aan de in artikel 1 vermelde eisen, voert de bevoegde autoriteit een continu verbeteringsproces uit overeenkomstig IS.AR.235. |
c) |
De bevoegde autoriteit documenteert alle belangrijke processen, procedures, rollen en verantwoordelijkheden die vereist zijn om te voldoen aan IS.AR.200, a), en stelt een procedure vast voor het wijzigen van die documentatie. |
d) |
De processen, procedures, rollen en verantwoordelijkheden die door de bevoegde autoriteit zijn vastgesteld om te voldoen aan IS.AR.200, punt a), moeten overeenstemmen met de aard en complexiteit van haar activiteiten, op basis van een beoordeling van de aan die activiteiten inherente risico’s voor de informatiebeveiliging, en mogen worden geïntegreerd in andere bestaande beheersystemen die reeds door de bevoegde autoriteit worden toegepast. |
IS.AR.205 Beoordeling van risico’s voor de informatiebeveiliging
a) |
De bevoegde autoriteit identificeert alle elementen van haar eigen organisatie die aan risico’s voor de informatiebeveiliging kunnen worden blootgesteld. Dit omvat:
|
b) |
De bevoegde autoriteit identificeert de interfaces die haar eigen organisatie heeft met andere organisaties en die kunnen leiden tot wederzijdse blootstelling aan informatiebeveiligingsrisico’s. |
c) |
Met betrekking tot de in de punten a) en b) vermelde elementen en interfaces identificeert de bevoegde autoriteit de informatiebeveiligingsrisico’s die gevolgen kunnen hebben voor de veiligheid van de luchtvaart. Voor elk geïdentificeerd risico moet de bevoegde autoriteit:
De in punt 1) bedoelde vooraf opgestelde classificatie houdt rekening met de mogelijkheid dat het dreigingsscenario zich voordoet en met de ernst van de gevolgen daarvan voor de veiligheid. Aan de hand van die classificatie en rekening houdend met de vraag of de bevoegde autoriteit beschikt over een gestructureerd en herhaalbaar proces voor het beheer van de risico’s van haar activiteiten, moet de bevoegde autoriteit in staat zijn te bepalen of het risico aanvaardbaar is of moet worden behandeld overeenkomstig IS.AR.210. Om risicobeoordelingen gemakkelijker te kunnen vergelijken, moet bij de toekenning van het risiconiveau overeenkomstig punt 1) rekening worden gehouden met relevante informatie die in overleg met de in punt b) bedoelde organisaties is verkregen. |
d) |
De bevoegde autoriteit evalueert en actualiseert de overeenkomstig de punten a), b) en c) uitgevoerde risicobeoordeling in elk van de volgende gevallen:
|
IS.AR.210 Behandeling van risico’s voor de informatiebeveiliging
a) |
De bevoegde autoriteit ontwikkelt maatregelen om onaanvaardbare risico’s aan te pakken die overeenkomstig IS.AR.205 zijn vastgesteld, voert deze maatregelen tijdig uit en controleert de blijvende doeltreffendheid ervan. Die maatregelen moeten de bevoegde autoriteit in staat stellen om:
Deze maatregelen mogen niet leiden tot nieuwe potentiële onaanvaardbare risico’s voor de veiligheid van de luchtvaart. |
b) |
De in IS.AR.225, punt a), bedoelde persoon en andere betrokken personeelsleden van de bevoegde autoriteit worden in kennis gesteld van de resultaten van de overeenkomstig IS.AR.205 uitgevoerde risicobeoordeling, de overeenkomstige dreigingsscenario’s en de uit te voeren maatregelen. De bevoegde autoriteit stelt de organisaties waarmee zij een interface heeft overeenkomstig IS.AR.205, b), eveneens in kennis van elk risico dat wordt gedeeld door de bevoegde autoriteit en de organisatie. |
IS.AR.215 Informatiebeveiligingsincidenten — opsporing, reactie en herstel
a) |
Op basis van de resultaten van de overeenkomstig IS.AR.205 en IS.AR.210 uitgevoerde risicobeoordeling en risicobehandeling, past de bevoegde autoriteit maatregelen toe om voorvallen op te sporen die erop wijzen dat zich onaanvaardbare risico’s kunnen voordoen die potentiële gevolgen kunnen hebben voor de veiligheid van de luchtvaart. Die opsporingsmaatregelen moeten de bevoegde autoriteit in staat stellen om:
|
b) |
De bevoegde autoriteit past maatregelen toe om te reageren op overeenkomstig punt a) vastgestelde voorvalsomstandigheden die zich kunnen ontwikkelen of hebben ontwikkeld tot een informatiebeveiligingsincident. Die responsmaatregelen moeten de bevoegde autoriteit in staat stellen om:
|
c) |
De bevoegde autoriteit voert maatregelen uit die gericht zijn op herstel van informatiebeveiligingsincidenten, met inbegrip van noodmaatregelen, indien nodig. Die herstelmaatregelen moeten de bevoegde autoriteit in staat stellen om:
|
IS.AR.220 Uitbesteding van activiteiten op het gebied van informatiebeveiligingsbeheer
De bevoegde autoriteit ziet erop toe dat bij het uitbesteden van een deel van de in IS.AR.200 bedoelde activiteiten aan andere organisaties, de uitbestede activiteiten voldoen aan de eisen van deze verordening en dat de gecontracteerde organisatie onder haar toezicht werkt. De bevoegde autoriteit zorgt ervoor dat de risico’s in verband met de uitbestede activiteiten op passende wijze worden beheerd.
IS.AR.225 Personeelsvoorschriften
De bevoegde autoriteit moet:
a) |
beschikken over een persoon die bevoegd is om de organisatorische structuren, beleidslijnen, processen en procedures vast te stellen en in stand te houden die nodig zijn voor de uitvoering van deze verordening. Deze persoon moet:
|
b) |
beschikken over een proces om ervoor te zorgen dat zij over voldoende personeel beschikt om de onder deze bijlage vallende activiteiten uit te voeren; |
c) |
beschikken over een proces om ervoor te zorgen dat het in punt b) bedoelde personeel over de nodige bekwaamheid beschikt om zijn taken uit te voeren; |
d) |
beschikken over een proces om ervoor te zorgen dat het personeel de aan de toegewezen rollen en taken verbonden verantwoordelijkheden erkent; |
e) |
ervoor zorgen dat de identiteit en betrouwbaarheid van het personeel dat toegang heeft tot informatiesystemen en gegevens waarop de eisen van deze verordening van toepassing zijn, op passende wijze worden vastgesteld. |
IS.AR.230 Bijhouden van gegevens
a) |
De bevoegde autoriteit houdt gegevens bij over haar activiteiten op het gebied van informatiebeveiligingsbeheer.
|
b) |
De bevoegde autoriteit houdt gegevens bij over de kwalificaties en ervaring van haar eigen personeel dat betrokken is bij activiteiten op het gebied van informatiebeveiligingsbeheer.
|
c) |
De vorm waarin de gegevens worden geregistreerd, wordt gespecificeerd in de procedures van de bevoegde autoriteit. |
d) |
De gegevens worden zodanig opgeslagen dat zij beschermd zijn tegen schade, wijziging en diefstal, waarbij de informatie, indien vereist, wordt geïdentificeerd volgens rubriceringsniveau. De bevoegde autoriteit zorgt ervoor dat de gegevens worden opgeslagen met behulp van middelen die de integriteit, authenticiteit en geautoriseerde toegang waarborgen. |
IS.AR.235 Permanente verbetering
a) |
De bevoegde autoriteit beoordeelt aan de hand van passende prestatie-indicatoren de doeltreffendheid en maturiteit van het beheersysteem voor informatiebeveiliging. De beoordeling wordt uitgevoerd op basis van een vooraf door de bevoegde autoriteit vastgestelde kalender of na een informatiebeveiligingsincident. |
b) |
Als na de overeenkomstig punt a) uitgevoerde beoordeling tekortkomingen worden vastgesteld, neemt de bevoegde autoriteit de nodige verbeteringsmaatregelen om te garanderen dat het beheersysteem voor informatiebeveiliging blijft voldoen aan de toepasselijke eisen en de informatiebeveiligingsrisico’s op een aanvaardbaar niveau handhaaft. De bevoegde autoriteit zal de elementen van het beheersysteem voor informatiebeveiliging die onder de vastgestelde maatregelen vallen, opnieuw beoordelen. |
BIJLAGE II
INFORMATIEBEVEILIGING — VEREISTEN VOOR DE ORGANISATIE
[DEEL-IS.I.OR]
IS.I.OR.100 |
Toepassingsgebied |
IS.I.OR.200 |
Beheersysteem voor informatiebeveiliging |
IS.I.OR.205 |
Beoordeling van risico’s voor de informatiebeveiliging |
IS.I.OR.210 |
Behandeling van risico’s voor de informatiebeveiliging |
IS.I.OR.215 |
Regeling voor interne rapportage over informatiebeveiliging |
IS.I.OR.220 |
Informatiebeveiligingsincidenten — opsporing, reactie en herstel |
IS.I.OR.225 |
Reactie op door de bevoegde autoriteit gemelde bevindingen |
IS.I.OR.230 |
Regeling voor externe rapportage over informatiebeveiliging |
IS.I.OR.235 |
Uitbesteding van activiteiten op het gebied van informatiebeveiligingsbeheer |
IS.I.OR.240 |
Personeelsvoorschriften |
IS.I.OR.245 |
Bijhouden van gegevens |
IS.I.OR.250 |
Handboek informatiebeveiligingsbeheer |
IS.I.OR.255 |
Wijzigingen van het beheersysteem voor informatiebeveiliging |
IS.I.OR.260 |
Permanente verbetering |
IS.I.OR.100 Toepassingsgebied
In dit deel worden de eisen vastgesteld waaraan de in artikel 2, lid 1, van deze verordening bedoelde organisaties moeten voldoen.
IS.I.OR.200 Beheersysteem voor informatiebeveiliging
a) |
Om de in artikel 1 uiteengezette doelstellingen te verwezenlijken, ontwikkelt, implementeert en onderhoudt de organisatie een beheersysteem voor informatiebeveiliging, dat waarborgt dat de organisatie:
|
b) |
Om blijvend te voldoen aan de in artikel 1 vermelde eisen, voert de organisatie een continu verbeteringsproces uit overeenkomstig IS.I.OR.260. |
c) |
Overeenkomstig IS.I.OR.250 documenteert de organisatie alle belangrijke processen, procedures, rollen en verantwoordelijkheden die vereist zijn om te voldoen aan IS.I.OR.200, a), en stelt zij een procedure vast voor het wijzigen van die documentatie. Wijzigingen van die processen, procedures, rollen en verantwoordelijkheden worden beheerd overeenkomstig IS.I.OR.255. |
d) |
De processen, procedures, rollen en verantwoordelijkheden die door de organisatie zijn vastgesteld om te voldoen aan punt IS.I.OR.200, a), moeten overeenstemmen met de aard en complexiteit van haar activiteiten, op basis van een beoordeling van de aan die activiteiten inherente risico’s voor de informatiebeveiliging, en mogen worden geïntegreerd in andere bestaande beheersystemen die reeds door de organisatie worden toegepast. |
e) |
Onverminderd de verplichting om te voldoen aan de rapportagevereisten van Verordening (EU) nr. 376/2014 en de eisen van IS.I.OR.200, a), 13), kan de organisatie toestemming krijgen van de bevoegde autoriteit om de in de punten a) tot en met d) bedoelde eisen en de daarmee verband houdende eisen van IS.I.OR.205 tot en met IS.I.OR.260 niet toe te passen, als zij tot tevredenheid van die autoriteit aantoont dat haar activiteiten, faciliteiten en middelen, alsook de diensten die zij exploiteert, verleent, ontvangt en onderhoudt, geen informatiebeveiligingsrisico’s met mogelijke gevolgen voor de veiligheid van de luchtvaart inhouden, noch voor haarzelf, noch voor andere organisaties. De toestemming wordt gebaseerd op een gedocumenteerde beoordeling van de informatiebeveiligingsrisico’s die door de organisatie of door een derde partij wordt uitgevoerd overeenkomstig IS.I.OR.205 en door haar bevoegde autoriteit wordt beoordeeld en goedgekeurd. De blijvende geldigheid van die toestemming zal door de bevoegde autoriteit worden beoordeeld na de toepasselijke auditcyclus en telkens wanneer wijzigingen worden doorgevoerd in het toepassingsgebied van de werkzaamheden van de organisatie. |
IS.I.OR.205 Beoordeling van risico’s voor de informatiebeveiliging
a) |
De organisatie identificeert al haar elementen die kunnen worden blootgesteld aan informatiebeveiligingsrisico’s, waaronder:
|
b) |
De organisatie identificeert de interfaces die zij heeft met andere organisaties en die kunnen leiden tot wederzijdse blootstelling aan informatiebeveiligingsrisico’s. |
c) |
Met betrekking tot de in de punten a) en b) vermelde elementen en interfaces identificeert de organisatie de informatiebeveiligingsrisico’s die gevolgen kunnen hebben voor de veiligheid van de luchtvaart. Voor elk geïdentificeerd risico moet de organisatie:
De in punt 1) bedoelde vooraf opgestelde classificatie houdt rekening met de mogelijkheid dat het dreigingsscenario zich voordoet en met de ernst van de gevolgen daarvan voor de veiligheid. Op basis van die classificatie en rekening houdend met de vraag of de organisatie beschikt over een gestructureerd en aanvaardbaar proces voor het beheer van de risico’s van haar activiteiten, moet de organisatie in staat zijn te bepalen of het risico aanvaardbaar is of moet worden behandeld overeenkomstig IS.I.OR.210. Om risicobeoordelingen gemakkelijker te kunnen vergelijken, moet bij de toekenning van het risiconiveau overeenkomstig punt 1) rekening worden gehouden met relevante informatie die in overleg met de in punt b) bedoelde organisaties is verkregen. |
d) |
De organisatie evalueert en actualiseert de overeenkomstig de punten a), b) en, indien van toepassing, c) of e), uitgevoerde risicobeoordeling in elk van de volgende situaties:
|
e) |
In afwijking van punt c) vervangen organisaties die moeten voldoen aan subdeel C van bijlage III (Deel-ATM/ANS.OR) bij Uitvoeringsverordening (EU) 2017/373 de analyse van het effect op de luchtvaartveiligheid door een analyse van het effect op hun diensten, overeenkomstig de veiligheidsondersteunende beoordeling die vereist is op grond van ATM/ANS.OR.C.005. Deze veiligheidsondersteunende beoordeling wordt ter beschikking gesteld van de verleners van luchtverkeersdiensten aan wie zij diensten verlenen en die verleners van luchtverkeersdiensten zijn verantwoordelijk voor de beoordeling van de gevolgen voor de veiligheid van de luchtvaart. |
IS.I.OR.210 Behandeling van risico’s voor de informatiebeveiliging
a) |
De organisatie ontwikkelt maatregelen om onaanvaardbare risico’s aan te pakken die overeenkomstig IS.I.OR.205 zijn vastgesteld, voert deze maatregelen tijdig uit en controleert de blijvende doeltreffendheid ervan. Die maatregelen moeten de organisatie in staat stellen om:
Deze maatregelen mogen niet leiden tot nieuwe potentiële onaanvaardbare risico’s voor de veiligheid van de luchtvaart. |
b) |
De in IS.I.OR.240, a) en b), bedoelde persoon en andere betrokken personeelsleden van de organisatie worden in kennis gesteld van de resultaten van de overeenkomstig IS.I.OR.205 uitgevoerde risicobeoordeling, de overeenkomstige dreigingsscenario’s en de uit te voeren maatregelen. De organisatie stelt de organisaties waarmee zij een interface heeft overeenkomstig IS.I.OR.205, b), eveneens in kennis van elk risico dat door beide organisaties wordt gedeeld. |
IS.I.OR.215 Regeling voor interne rapportage over informatiebeveiliging
a) |
De organisatie zet een interne rapportageregeling op om het mogelijk te maken informatiebeveiligingsvoorvallen te verzamelen en te beoordelen, met inbegrip van die welke overeenkomstig IS.I.OR.230 moeten worden gerapporteerd. |
b) |
Die regeling en het in IS.I.OR.220 bedoelde proces moeten de organisatie in staat stellen om:
|
c) |
Elke gecontracteerde organisatie die de organisatie kan blootstellen aan informatiebeveiligingsrisico’s met potentiële gevolgen voor de veiligheid van de luchtvaart moet informatiebeveiligingsvoorvallen melden aan de organisatie. Deze meldingen worden ingediend volgens de procedures die in de specifieke contractuele regelingen zijn vastgesteld en worden geëvalueerd overeenkomstig punt b). |
d) |
De organisatie pleegt overleg over onderzoeken met elke andere organisatie die een belangrijke bijdrage levert aan de informatiebeveiliging van haar eigen activiteiten. |
e) |
De organisatie mag dat rapportagesysteem integreren in andere rapportagesystemen die zij reeds toepast. |
IS.I.OR.220 Informatiebeveiligingsincidenten — opsporing, reactie en herstel
a) |
Op basis van de resultaten van de overeenkomstig IS.I.OR.205 en IS.I.OR.210 uitgevoerde risicobeoordeling en risicobehandeling, past de organisatie maatregelen toe om incidenten en kwetsbaarheden op te sporen die erop wijzen dat zich onaanvaardbare risico’s kunnen voordoen die potentiële gevolgen kunnen hebben voor de veiligheid van de luchtvaart. Die opsporingsmaatregelen moeten de organisatie in staat stellen om:
|
b) |
De organisatie past maatregelen toe om te reageren op overeenkomstig punt a) vastgestelde voorvalsomstandigheden die zich kunnen ontwikkelen of hebben ontwikkeld tot een informatiebeveiligingsincident. Die responsmaatregelen moeten de organisatie in staat stellen om:
|
c) |
De organisatie voert maatregelen uit die gericht zijn op herstel van informatiebeveiligingsincidenten, met inbegrip van noodmaatregelen, indien nodig. Die herstelmaatregelen moeten de organisatie in staat stellen om:
|
IS.I.OR.225 Reactie op door de bevoegde autoriteit gemelde bevindingen
a) |
Na ontvangst van de door de bevoegde autoriteit ingediende kennisgeving van bevindingen, moet de organisatie:
|
b) |
De in punt a) vermelde acties worden uitgevoerd binnen de met de bevoegde autoriteit overeengekomen termijn. |
IS.I.OR.230 Regeling voor externe rapportage over informatiebeveiliging
a) |
De organisatie past een systeem voor informatiebeveiligingsmeldingen toe dat overeenstemt met de in Verordening (EU) nr. 376/2014 en de gedelegeerde en uitvoeringshandelingen daarvan vastgestelde eisen, als die verordening op de organisatie van toepassing is. |
b) |
Onverminderd de verplichtingen van Verordening (EU) nr. 376/2014 ziet de organisatie erop toe dat alle incidenten of kwetsbaarheden op het gebied van informatiebeveiliging die een aanzienlijk risico voor de veiligheid van de luchtvaart kunnen vormen, aan hun bevoegde autoriteit worden gemeld. Bovendien:
|
c) |
De organisatie rapporteert de in punt b) bedoelde omstandigheden als volgt:
|
IS.I.OR.235 Uitbesteding van activiteiten op het gebied van informatiebeveiligingsbeheer
a) |
De organisatie ziet erop toe dat bij het uitbesteden van een deel van de in IS.I.OR.200 bedoelde activiteiten aan andere organisaties, de uitbestede activiteiten voldoen aan de eisen van deze verordening en dat de gecontracteerde organisatie onder haar toezicht werkt. De organisatie zorgt ervoor dat de risico’s in verband met de uitbestede activiteiten op passende wijze worden beheerd. |
b) |
De organisatie ziet erop toe dat de bevoegde autoriteit op verzoek toegang krijgt tot de gecontracteerde organisatie om na te gaan of zij blijvend de in deze verordening vastgestelde toepasselijke eisen naleeft. |
IS.I.OR.240 Personeelsvoorschriften
a) |
De verantwoordelijke manager van de organisatie die is aangewezen overeenkomstig Verordeningen (EU) nr. 1321/2014, (EU) nr. 965/2012, (EU) nr. 1178/2011 en (EU) 2015/340, Uitvoeringsverordening (EU) 2017/373 of Uitvoeringsverordening (EU) 2021/664, als bedoeld in artikel 2, lid 1, van deze verordening, heeft binnen de organisatie de bevoegdheid om ervoor te zorgen dat alle krachtens deze verordening vereiste activiteiten kunnen worden gefinancierd en uitgevoerd. Die persoon moet:
|
b) |
De verantwoordelijke manager benoemt een persoon of een groep personen die ervoor moet zorgen dat de organisatie voldoet aan de eisen van deze verordening, en stelt de reikwijdte van hun bevoegdheden vast. Die persoon of groep personen brengt rechtstreeks verslag uit aan de verantwoordelijke manager en beschikt over de nodige kennis, achtergrond en ervaring om zich van zijn verantwoordelijkheden te kwijten. Voorts wordt ook vastgesteld wie bij langdurige afwezigheid van een bepaalde persoon als plaatsvervanger optreedt. |
c) |
De verantwoordelijke manager benoemt een persoon of een groep personen die verantwoordelijk is voor het beheer van de in IS.I.OR.200, a), 12), bedoelde functie voor toezicht op de naleving. |
d) |
Als de organisatie organisatorische structuren, beleidslijnen, processen en procedures voor informatiebeveiliging deelt met andere organisaties of met afdelingen van de eigen organisatie die niet onder de goedkeuring of verklaring vallen, mag de verantwoordelijke manager zijn activiteiten delegeren aan een gemeenschappelijke verantwoordelijke persoon. In dat geval worden coördinatiemaatregelen vastgesteld tussen de verantwoordelijke manager en de gemeenschappelijke verantwoordelijke persoon om de passende integratie van het informatiebeveiligingsbeheer in de organisatie te waarborgen. |
e) |
De verantwoordelijke manager of de in punt d) bedoelde gemeenschappelijke verantwoordelijke persoon, is binnen de organisatie bevoegd voor de vaststelling en instandhouding van de organisatorische structuren, het beleid en de processen en procedures die nodig zijn voor de uitvoering van IS.I.OR.200. |
f) |
De organisatie beschikt over een proces om ervoor te zorgen dat zij over voldoende personeel beschikt om de onder deze bijlage vallende activiteiten uit te voeren. |
g) |
De organisatie beschikt over een proces om ervoor te zorgen dat het in punt f) bedoelde personeel over de nodige bekwaamheid beschikt om zijn taken uit te voeren. |
h) |
De organisatie beschikt over een proces om ervoor te zorgen dat het personeel de aan de toegewezen rollen en taken verbonden verantwoordelijkheden erkent. |
i) |
De organisatie zorgt ervoor dat de identiteit en betrouwbaarheid van het personeel dat toegang heeft tot informatiesystemen en gegevens waarop de eisen van deze verordening van toepassing zijn, op passende wijze worden vastgesteld. |
IS.I.OR.245 Bijhouden van gegevens
a) |
De organisatie houdt gegevens bij over haar activiteiten op het gebied van informatiebeveiligingsbeheer.
|
b) |
De organisatie houdt gegevens bij over de kwalificaties en ervaring van haar eigen personeel dat betrokken is bij activiteiten op het gebied van informatiebeveiligingsbeheer.
|
c) |
De vorm van de gegevens wordt gespecificeerd in de procedures van de organisatie. |
d) |
De gegevens worden zodanig opgeslagen dat zij beschermd zijn tegen schade, wijziging en diefstal, waarbij de informatie, indien vereist, wordt geïdentificeerd volgens rubriceringsniveau. De organisatie zorgt ervoor dat de gegevens worden opgeslagen met behulp van middelen die de integriteit, authenticiteit en geautoriseerde toegang waarborgen. |
IS.I.OR.250 Handboek informatiebeveiligingsbeheer
a) |
De organisatie verstrekt de bevoegde autoriteit een handboek informatiebeveiligingsbeheer en, indien van toepassing, alle bijbehorende handleidingen en procedures, die het volgende bevatten:
|
b) |
De eerste uitgave van het handboek informatiebeveiligingsbeheer wordt goedgekeurd en een kopie ervan wordt bewaard door de bevoegde autoriteit. Het handboek informatiebeveiligingsbeheer dient zo nodig te worden gewijzigd om een actuele beschrijving van het beheersysteem voor informatiebeveiliging van de organisatie te blijven bieden. Een kopie van eventuele wijzigingen van het handboek informatiebeveiligingsbeheer wordt verstrekt aan de bevoegde autoriteit. |
c) |
Wijzigingen van het handboek informatiebeveiligingsbeheer worden beheerd volgens een door de organisatie vastgestelde procedure. Alle wijzigingen die buiten het toepassingsgebied van deze procedure vallen en alle amendementen van de in IS.I.OR.255, b), bedoelde wijzigingen moeten worden goedgekeurd door de bevoegde autoriteit. |
d) |
De organisatie mag het handboek informatiebeveiligingsbeheer integreren met andere managementhandboeken of handleidingen, voor zover er een duidelijke kruisverwijzing is die aangeeft welke delen van het managementhandboek of de handleiding overeenstemmen met de verschillende eisen van deze bijlage. |
IS.I.OR.255 Wijzigingen van het beheersysteem voor informatiebeveiliging
a) |
Wijzigingen van het beheersysteem voor informatiebeveiliging worden beheerd en meegedeeld aan de bevoegde autoriteit volgens een door de organisatie ontwikkelde procedure. Deze procedure moet worden goedgekeurd door de bevoegde autoriteit. |
b) |
Voor wijzigingen van het beheersysteem voor informatiebeveiliging die niet onder de in punt a) bedoelde procedure vallen, moet de organisatie bij de bevoegde autoriteit een goedkeuring aanvragen en verkrijgen. Wat deze wijzigingen betreft:
|
IS.I.OR.260 Permanente verbetering
a) |
De organisatie beoordeelt aan de hand van passende prestatie-indicatoren de doeltreffendheid en maturiteit van het beheersysteem voor informatiebeveiliging. Die beoordeling wordt uitgevoerd op basis van een vooraf door de organisatie vastgestelde kalender of na een informatiebeveiligingsincident. |
b) |
Als na de overeenkomstig punt a) uitgevoerde beoordeling tekortkomingen worden vastgesteld, neemt de organisatie de nodige verbeteringsmaatregelen om te garanderen dat het beheersysteem voor informatiebeveiliging blijft voldoen aan de toepasselijke eisen en de informatiebeveiligingsrisico’s op een aanvaardbaar niveau handhaaft. De organisatie zal de elementen van het beheersysteem voor informatiebeveiliging die onder de vastgestelde maatregelen vallen, opnieuw beoordelen. |
BIJLAGE III
Bijlagen VI (deel-ARA) en VII (deel-ORA) bij Verordening (EU) nr. 1178/2011 worden als volgt gewijzigd:
1) |
Bijlage VI (deel-ARA) wordt als volgt gewijzigd:
|
2) |
Bijlage VII (deel-ORA) wordt als volgt gewijzigd: na ORA.GEN.200 wordt ORA.GEN.200A ingevoegd: “ORA.GEN.200A Beheersysteem voor informatiebeveiliging Naast het bij punt ORA.GEN.200 vereiste beheersysteem moet de organisatie een beheersysteem voor informatiebeveiliging opzetten, toepassen en onderhouden overeenkomstig Uitvoeringsverordening (EU) 2023/203 om te zorgen voor een goed beheer van risico’s voor de informatiebeveiliging die gevolgen kunnen hebben voor de veiligheid van de luchtvaart.”. |
BIJLAGE IV
Bijlage I (deel 21) bij Verordening (EU) nr. 748/2012 wordt als volgt gewijzigd:
1) |
De inhoudsopgave wordt als volgt gewijzigd:
|
2) |
Aan 21.B.15 wordt het volgende punt c) toegevoegd:
|
3) |
Na 21.B.20 wordt 21.B.20A ingevoegd: “21.B.20A Onmiddellijke reactie op een informatiebeveiligingsincident of kwetsbaarheid met gevolgen voor de veiligheid van de luchtvaart
|
4) |
Aan 21.B.25 wordt het volgende punt e) toegevoegd:
|
5) |
21.B.30 wordt als volgt gewijzigd:
|
6) |
Aan 21.B.221 wordt het volgende punt g) toegevoegd:
|
7) |
Na 21.B.240 wordt 21.B.240A ingevoegd: “21.B.240A Wijzigingen van het beheersysteem voor informatiebeveiliging
|
8) |
Aan 21.B.431 wordt het volgende punt d) toegevoegd:
|
9) |
Na 21.B.435 wordt 21.B.435A ingevoegd: “21.B.435A Wijzigingen van het beheersysteem voor informatiebeveiliging
|
BIJLAGE V
Bijlagen II (deel-ARO) en III (deel-ORO) bij Verordening (EU) nr. 965/2012 worden als volgt gewijzigd:
1) |
Bijlage II (deel-ARO) wordt als volgt gewijzigd:
|
2) |
Bijlage III (deel-ORO) wordt als volgt gewijzigd: na ORO.GEN.200 wordt ORO.GEN.200A ingevoegd: “ORO.GEN.200A Beheersysteem voor informatiebeveiliging Naast het bij punt ORO.GEN.200 vereiste beheersysteem moet de organisatie een beheersysteem voor informatiebeveiliging opzetten, toepassen en onderhouden overeenkomstig Uitvoeringsverordening (EU) 2023/203 om te zorgen voor een goed beheer van risico’s voor de informatiebeveiliging die gevolgen kunnen hebben voor de veiligheid van de luchtvaart.”. |
BIJLAGE VI
Bijlage II (Deel-ADR.AR) bij Verordening (EU) nr. 139/2014 wordt als volgt gewijzigd:
1) |
Aan ADR.AR.A.025 wordt het volgende punt c) toegevoegd:
|
2) |
Na ADR.AR.A.030 wordt ADR.AR.A.030A ingevoegd: “ADR.AR.A.030A Onmiddellijke reactie op een informatiebeveiligingsincident of kwetsbaarheid met gevolgen voor de veiligheid van de luchtvaart
|
3) |
Aan ADR.AR.B.005 wordt het volgende punt d) toegevoegd:
|
4) |
ADR.AR.B.010 wordt als volgt gewijzigd:
|
5) |
Aan ADR.AR.C.005 wordt het volgende punt f) toegevoegd:
|
6) |
Na ADR.AR.C.040 wordt ADR.AR.C.040A ingevoegd: “ADR.AR.C.040A Wijzigingen van het beheersysteem voor informatiebeveiliging
|
BIJLAGE VII
Bijlagen II (deel-145), III (deel-66) en V quater (deel-CAMO) bij Verordening (EU) nr. 1321/2014 worden als volgt gewijzigd:
1) |
Bijlage II (deel-145) wordt als volgt gewijzigd:
|
2) |
Bijlage III (deel-66) wordt als volgt gewijzigd:
|
3) |
Bijlage V quater (deel-CAMO) wordt als volgt gewijzigd:
|
BIJLAGE VIII
Bijlagen II (deel-ATCO.AR) en III (deel-ATCO.OR) bij Verordening (EU) 2015/340 worden als volgt gewijzigd:
1) |
Bijlage II (deel-ATCO.AR) wordt als volgt gewijzigd:
|
2) |
Bijlage III (deel-ATCO.OR) wordt als volgt gewijzigd: na ATCO.OR.C.001 wordt ATCO.OR.C.001A ingevoegd: “ATCO.OR.C.001A Beheersysteem voor informatiebeveiliging Naast het bij punt ATCO.OR.C.001 vereiste beheersysteem moet de opleidingsorganisatie een beheersysteem voor informatiebeveiliging opzetten, toepassen en onderhouden overeenkomstig Uitvoeringsverordening (EU) 2023/203 om te zorgen voor een goed beheer van risico’s voor de informatiebeveiliging die gevolgen kunnen hebben voor de veiligheid van de luchtvaart.”. |
BIJLAGE IX
Bijlagen II (deel-ATM/ANS.AR) en III (deel-ATM/ANS.OR) bij Uitvoeringsverordening (EU) 2017/373 worden als volgt gewijzigd:
1) |
Bijlage II (deel-ATM/ANS.AR) wordt als volgt gewijzigd:
|
2) |
Bijlage III (deel-ATM/ANS.OR) wordt als volgt gewijzigd:
|