26.9.2019   

NL

Publicatieblad van de Europese Unie

L 246/15

UITVOERINGSVERORDENING (EU) 2019/1583 VAN DE COMMISSIE

van 25 september 2019

tot wijziging van Uitvoeringsverordening (EU) 2015/1998 van de Commissie tot vaststelling van gedetailleerde maatregelen voor de tenuitvoerlegging van de gemeenschappelijke basisnormen op het gebied van de beveiliging van de luchtvaart, voor wat maatregelen op het gebied van cyberbeveiliging betreft

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (1), en met name artikel 1 en artikel 4, lid 3,

Overwegende hetgeen volgt:

(1)

Een van de hoofddoelstellingen van Verordening (EG) nr. 300/2008 is de basis te leggen voor een gemeenschappelijke interpretatie van bijlage 17 (Veiligheidsbijlage) bij het Verdrag inzake de internationale burgerluchtvaart (2) van 7 december 1944, 10e uitgave, 2017, dat door alle EU-lidstaten is ondertekend.

(2)

Deze doelstelling kan worden bereikt door de vaststelling van a) gemeenschappelijke regels en gemeenschappelijke basisnormen inzake luchtvaartbeveiliging en b) mechanismen voor toezicht op de naleving.

(3)

De wijziging van de uitvoeringswetgeving heeft tot doel de lidstaten te ondersteunen bij het waarborgen van de volledige naleving van de meest recente wijziging (wijziging 16) van bijlage 17 bij het Verdrag inzake de internationale burgerluchtvaart; hoofdstuk 3.1.4 van deze wijziging bevat nieuwe normen inzake nationale organisaties en bevoegde autoriteiten en hoofdstuk 4.9.1 inzake preventieve maatregelen op het gebied van cyberbeveiliging.

(4)

Door deze normen om te zetten in de EU-wijde uitvoeringswetgeving op het gebied van luchtvaartbeveiliging, wordt gegarandeerd dat de bevoegde autoriteiten procedures vaststellen en uitvoeren om, op praktische en tijdige wijze en voor zover passend, relevante informatie uit te wisselen om andere nationale autoriteiten en agentschappen, luchthavenexploitanten, luchtvaartmaatschappijen en andere betrokken entiteiten te helpen bij de uitvoering van effectieve beoordelingen van de beveiligingsrisico's van hun activiteiten en aldus deze entiteiten bij te staan in de uitvoering van effectieve beoordelingen van de beveiligingsrisico's met betrekking tot, onder meer, cyberbeveiliging en maatregelen ten uitvoer te leggen om cyberdreigingen af te wenden.

(5)

In Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (3) houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de NIS-richtlijn) zijn maatregelen vastgesteld om een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie tot stand te brengen, teneinde de werking van de interne markt te verbeteren. Maatregelen die voortvloeien uit de NIS-richtlijn en de onderhavige verordening moeten op nationaal niveau worden gecoördineerd om lacunes en dubbele verplichtingen te voorkomen.

(6)

Bijgevolg moet Uitvoeringsverordening (EU) 2015/1998 van de Commissie (4) dienovereenkomstig worden gewijzigd.

(7)

De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het krachtens artikel 19, lid 1, van Verordening (EG) nr. 300/2008 ingestelde Comité voor de beveiliging van de burgerluchtvaart,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD:

Artikel 1

De bijlage bij Uitvoeringsverordening (EU) 2015/1998 wordt gewijzigd overeenkomstig de bijlage bij de onderhavige verordening.

Artikel 2

Deze verordening treedt in werking op 31 december 2020.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, 25 september 2019.

Voor de Commissie

De voorzitter

Jean-Claude JUNCKER

(1)   PB L 97 van 9.4.2008, blz. 72.

(2)  https://icao.int/publications/pages/doc7300.aspx

(3)  Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(4)  Uitvoeringsverordening (EU) 2015/1998 van de Commissie van 5 november 2015 tot vaststelling van gedetailleerde maatregelen voor de tenuitvoerlegging van de gemeenschappelijke basisnormen op het gebied van de beveiliging van de luchtvaart (PB L 299 van 14.11.2015, blz. 1).

BIJLAGE

De bijlage bij Uitvoeringsverordening (EU) 2015/1998 wordt als volgt gewijzigd:

1)

Het volgende punt 1.0.6 wordt toegevoegd:

“1.0.6.

 De bevoegde autoriteit zal procedures vaststellen en uitvoeren om, op praktische en tijdige wijze en voor zover passend, relevante informatie uit te wisselen om andere nationale autoriteiten en agentschappen, luchthavenexploitanten, luchtvaartmaatschappijen en andere betrokken entiteiten te helpen bij de uitvoering van effectieve beoordelingen van de beveiligingsrisico's van hun activiteiten.”;

2)

Het volgende punt 1.7 wordt toegevoegd:

“1.7.   IDENTIFICATIE EN BESCHERMING VAN INFORMATIE DIE KRITIEK IS VOOR DE BURGERLUCHTVAART, INFORMATIE- EN COMMUNICATIESYSTEMEN EN GEGEVENS OVER CYBERDREIGINGEN

1.7.1.

 De bevoegde autoriteit ziet erop toe dat luchthavenexploitanten, luchtvaartmaatschappijen en entiteiten als gedefinieerd in het nationale programma voor de beveiliging van de burgerluchtvaart hun kritieke informatie- en communicatiesystemen en gegevens identificeren en beschermen tegen cyberaanvallen die de beveiliging van de burgerluchtvaart in gevaar kunnen brengen.

1.7.2.

 Luchthavenexploitanten, luchtvaartmaatschappijen en entiteiten identificeren in hun beveiligingsprogramma of in de relevante documenten waarnaar in het beveiligingsprogramma wordt verwezen, de in punt 1.7.1 bedoelde kritieke informatie- en communicatiesystemen en gegevens.

Het beveiligingsprogramma of de relevante documenten waarnaar in het beveiligingsprogramma wordt verwezen, bevatten een gedetailleerde beschrijving van de maatregelen ter bescherming tegen, detectie van, reactie op en herstel van cyberaanvallen, zoals beschreven in punt 1.7.1.

1.7.3.

 De gedetailleerde maatregelen om dergelijke systemen en gegevens te beschermen tegen wederrechtelijke daden worden vastgesteld, ontwikkeld en uitgevoerd overeenkomstig een door de luchthavenexploitant, luchtvaartmaatschappij of entiteit, al naargelang van toepassing, uitgevoerde risicobeoordeling.

1.7.4.

 Wanneer een specifieke autoriteit of een specifiek agentschap bevoegd is voor maatregelen met betrekking tot cyberdreigingen in één lidstaat, kan deze autoriteit of dit agentschap bevoegd worden verklaard voor de coördinatie en/of monitoring van de cybergerelateerde bepalingen van deze verordening.

1.7.5.

 Wanneer luchthavenexploitanten, luchtvaartmaatschappijen en entiteiten als gedefinieerd in het nationaal programma voor de beveiliging van de burgerluchtvaart onderworpen zijn aan afzonderlijke cyberbeveiligingsvereisten uit hoofde van andere EU- of nationale wetgeving, mag de bevoegde autoriteit de naleving van de voorschriften van deze verordening vervangen door de naleving van de elementen in de andere EU- of nationale wetgeving. De bevoegde autoriteit overlegt met de andere relevante bevoegde autoriteiten om te zorgen voor gecoördineerde of verenigbare toezichtsregelingen.”;

(3)

punt 11.1.2 wordt vervangen door:

“11.1.2.

 Het volgende personeel moet met succes een uitgebreid of standaard achtergrondonderzoek hebben doorlopen:

a)

personen die in dienst zijn genomen om beveiligingsonderzoeken, toegangscontroles of andere beveiligingscontroles in andere dan om beveiligingsredenen beperkt toegankelijke zones uit te voeren of die verantwoordelijk zijn voor de uitvoering daarvan;

b)

personen die onbegeleide toegang hebben tot luchtvracht en -post, post en materiaal van luchtvaartmaatschappijen, vluchtbenodigdheden en luchthavenbenodigdheden die aan de vereiste beveiligingscontroles zijn onderworpen;

c)

personen met beheerdersrechten of ongesuperviseerde en onbeperkte toegang tot kritieke informatie- en communicatietechnologiesystemen en gegevens die gebruikt worden voor beveiliging van de burgerluchtvaart, zoals beschreven in punt 1.7.1, overeenkomstig het nationaal programma voor de beveiliging van de luchtvaart, of personen die anderszins zijn geïdentificeerd in de risicobeoordeling overeenkomstig punt 1.7.3.

Tenzij anders vermeld in deze verordening, bepaalt de bevoegde autoriteit overeenkomstig de toepasselijke nationale regels of een uitgebreid of standaard achtergrondonderzoek moet worden uitgevoerd.”;

(4)

Het volgende punt 11.2.8 wordt toegevoegd:

“11.2.8.   Opleiding van personen met functies en verantwoordelijkheden met betrekking tot cyberdreigingen

11.2.8.1.

 Personen die de in punt 1.7.2 vastgestelde maatregelen uitvoeren, moeten over de nodige vaardigheden en bekwaamheden beschikken om de hun toegewezen taken effectief uit te voeren. Zij worden op “need-to-know”-basis op de hoogte gebracht van relevante cyberrisico's.

11.2.8.2.

 Personen die toegang hebben tot gegevens of systemen krijgen een passende en specifieke opleiding op de werkplek die is aangepast aan hun functie en verantwoordelijkheden; dit houdt ook in dat zij op de hoogte worden gebracht van relevante risico's indien hun functie dit vereist. De bevoegde autoriteit of de autoriteit of het agentschap als bedoeld in punt 1.7.4 moet de inhoud van de opleiding specificeren of goedkeuren.”.