This document is an excerpt from the EUR-Lex website
Document 02022R1645-20251016
Commission Delegated Regulation (EU) 2022/1645 of 14 July 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 748/2012 and (EU) No 139/2014 and amending Commission Regulations (EU) No 748/2012 and (EU) No 139/2014
Consolidated text: Regulamento Delegado (UE) 2022/1645 da Comissão, de 14 de julho de 2022, que estabelece regras de execução do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho no que respeita aos requisitos em matéria de gestão dos riscos de segurança da informação com potencial impacto na segurança da aviação para as entidades abrangidas pelos Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão e que altera os Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão
Regulamento Delegado (UE) 2022/1645 da Comissão, de 14 de julho de 2022, que estabelece regras de execução do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho no que respeita aos requisitos em matéria de gestão dos riscos de segurança da informação com potencial impacto na segurança da aviação para as entidades abrangidas pelos Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão e que altera os Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão
02022R1645 — PT — 16.10.2025 — 001.001
Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento
|
REGULAMENTO DELEGADO (UE) 2022/1645 DA COMISSÃO de 14 de julho de 2022 (JO L 248 de 26.9.2022, p. 18) |
Alterado por:
|
|
|
Jornal Oficial |
||
|
n.° |
página |
data |
||
|
REGULAMENTO DELEGADO (UE) 2025/22 DA COMISSÃO de 19 de dezembro de 2024 |
L 22 |
1 |
7.3.2025 |
|
REGULAMENTO DELEGADO (UE) 2022/1645 DA COMISSÃO
de 14 de julho de 2022
que estabelece regras de execução do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho no que respeita aos requisitos em matéria de gestão dos riscos de segurança da informação com potencial impacto na segurança da aviação para as entidades abrangidas pelos Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão e que altera os Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão
Artigo 1.o
Objeto
O presente regulamento estabelece os requisitos a cumprir pelas entidades a que se refere o artigo 2.o a fim de identificar e gerir os riscos de segurança da informação com potencial impacto na segurança da aviação que possam afetar os sistemas de tecnologias da informação e comunicação e os dados utilizados para fins da aviação civil, de detetar incidentes de segurança da informação e de identificar os que são considerados incidentes de segurança da informação com potencial impacto na segurança da aviação, além de dar resposta a esses incidentes de segurança da aviação e de recuperar dos mesmos.
Artigo 2.o
Âmbito de aplicação
O presente regulamento é aplicável:
às entidades de produção e às entidades de projeto abrangidas pelo anexo I (parte 21), secção A, subpartes G e J, do Regulamento (UE) n.o 748/2012, exceto às entidades de projeto e produção que participam exclusivamente no projeto e/ou na produção de aeronaves ELA2, na aceção do artigo 1.o, n.o 2, alínea j), do Regulamento (UE) n.o 748/2012;
aos operadores de aeródromos e prestadores de serviços de gestão da placa de estacionamento sujeitos ao anexo III «Parte Requisitos aplicáveis às organizações (parte ADR.OR)» do Regulamento (UE) n.o 139/2014.
Artigo 3.o
Definições
Para efeitos do presente regulamento, entende-se por:
«segurança da informação», a preservação da confidencialidade, integridade, autenticidade e disponibilidade das redes e dos sistemas de informação;
«incidente de segurança da informação», uma ocorrência identificada de um estado de um sistema, serviço ou rede que indique uma possível violação da política de segurança da informação ou uma falha dos controlos de segurança da informação, ou uma situação anteriormente desconhecida que possa ser relevante para a segurança da informação;
«incidente», qualquer evento que tenha um efeito adverso na segurança das redes e dos sistemas informáticos, tal como definido no artigo 4.o, n.o 7, da Diretiva (UE) 2016/1148;
«risco para a segurança da informação», o risco para as operações organizacionais da aviação civil, os ativos, as pessoas singulares e outras entidades devido ao impacto potencial de um evento de segurança da informação. Os riscos de segurança da informação estão associados ao potencial de as ameaças explorarem as vulnerabilidades de um ativo de informação ou de um grupo de ativos de informação;
«ameaça», uma potencial violação da segurança da informação suscitada por uma entidade, circunstância, ação ou um evento suscetível de causar danos;
«vulnerabilidade», uma falha ou deficiência de um ativo ou sistema, dos procedimentos, da conceção, da aplicação ou de medidas de segurança da informação que possam ser exploradas e resultem numa infração ou violação da política de segurança da informação.
Artigo 4.o
Requisitos decorrentes de outra legislação da União
Artigo 5.o
Autoridade competente
A autoridade responsável pela certificação e supervisão do cumprimento do presente regulamento é:
no que respeita às entidades referidas no artigo 2.o, alínea a), a autoridade competente designada em conformidade com o anexo I (parte 21) do Regulamento (UE) n.o 748/2012;
no que respeita às entidades referidas no artigo 2.o, alínea b), a autoridade competente designada em conformidade com o anexo III (parte ADR.OR) do Regulamento (UE) n.o 139/2014.
Artigo 6.o
Alteração do Regulamento (UE) n.o 748/2012
O anexo I (parte 21) do Regulamento (UE) n.o 748/2012 é alterado do seguinte modo:
o índice é alterado do seguinte modo:
a seguir ao título 21.A.139 é inserido o seguinte título:
Sistema de gestão da segurança das informações»;
a seguir ao título 21.A.239 é inserido o seguinte título:
Sistema de gestão da segurança das informações»;
a seguir ao ponto 21.A.139A é inserido o seguinte ponto 21.A.139:
Sistema de gestão da segurança das informações
Para além do sistema de gestão da produção exigido pelo ponto 21.A.139, a entidade de produção deve estabelecer, implementar e manter um sistema de gestão da segurança da informação em conformidade com o Regulamento Delegado (UE) 2022/1645 da Comissão ( *1 ) a fim de assegurar a gestão adequada dos riscos para a segurança da informação que possam ter impacto na segurança da aviação.
A seguir ao ponto 21.A.239A é inserido o seguinte ponto 21.A.239:
Sistema de gestão da segurança das informações
Para além do sistema de gestão do projeto exigido pelo ponto 21.A.239, a entidade de projeto deve estabelecer, implementar e manter um sistema de gestão da segurança da informação em conformidade com o Regulamento Delegado (UE) 2022/1645 a fim de assegurar a gestão adequada dos riscos para a segurança da informação que possam ter impacto na segurança da aviação.»
Artigo 7.o
Alteração do Regulamento (UE) n.o 139/2014
O anexo III (parte ADR.OR) do Regulamento (UE) n.o 139/2014 é alterado do seguinte modo:
A seguir ao ponto ADR.OR.D.005A é inserido o seguinte ponto ADR.OR.D.005:
Sistema de gestão da segurança das informações
O operador do aeródromo deve estabelecer, implementar e manter um sistema de gestão da segurança da informação em conformidade com o Regulamento Delegado (UE) 2022/1645 da Comissão ( *2 ) a fim de assegurar a gestão adequada dos riscos para a segurança da informação que possam ter impacto na segurança da aviação.
O ponto ADR.OR.D.007 passa a ter a seguinte redação:
Gestão de dados aeronáuticos e de informações aeronáuticas
Como parte do seu sistema de gestão, o operador do aeródromo deve aplicar e manter um sistema de gestão da qualidade que abranja as atividades seguintes;
as suas atividades relacionadas com o fornecimento de dados aeronáuticos;
as suas atividades relacionadas com o fornecimento de informações aeronáuticas.
Como parte do seu sistema de gestão, o operador do aeródromo deve definir um sistema de gestão da segurança para garantir a segurança dos dados operacionais que recebe, produz ou utiliza, de forma a que o acesso a esses dados operacionais seja restrito exclusivamente às pessoas autorizadas.
O sistema de gestão da segurança deve definir os seguintes elementos:
os procedimentos relacionados com a avaliação e a atenuação dos riscos para a segurança dos dados, a monitorização e a melhoria da segurança, as revisões da segurança e a difusão de ensinamentos;
Os meios para detetar falhas da segurança e alertar o pessoal através de avisos adequados;
os meios para circunscrever os efeitos de falhas na segurança e identificar ações de recuperação e procedimentos de atenuação dos riscos a fim de prevenir a repetição da ocorrência.
O operador de aeródromo deve assegurar a credenciação de segurança do seu pessoal no que respeita à segurança dos dados aeronáuticos.
Os aspetos relacionados com a segurança da informação devem ser geridos em conformidade com o ponto ADR.OR.D.005A.»;
A seguir ao ponto ADR.OR.F.045A é inserido o seguinte ponto ADR.OR.F.045:
Sistema de gestão da segurança das informações
A entidade responsável pela prestação de AMS deve estabelecer, implementar e manter um sistema de gestão da segurança da informação em conformidade com o Regulamento Delegado (UE) 2022/1645 a fim de assegurar a gestão adequada dos riscos para a segurança da informação que possam ter impacto na segurança da aviação.»
Artigo 8.o
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é aplicável a partir de 16 de outubro de 2025.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
ANEXO
SEGURANÇA DA INFORMAÇÃO — REQUISITOS APLICÁVEIS ÀS ENTIDADES
[PARTE IS.D.OR]
|
IS.D.OR.100 |
Âmbito de aplicação |
|
IS.D.OR.200 |
Sistema de gestão da segurança da informação |
|
IS.D.OR.205 |
Avaliação dos riscos para a segurança da informação |
|
IS.D.OR.210 |
Tratamento dos riscos para a segurança da informação |
|
IS.D.OR.215 |
Sistema de comunicação interna de informações sobre segurança da informação |
|
IS.D.OR.220 |
Incidentes de segurança da informação — deteção, resposta e recuperação |
|
IS.D.OR.225 |
Resposta a constatações notificadas pela autoridade competente |
|
IS.D.OR.230 |
Sistema de comunicação externa sobre segurança da informação |
|
IS.D.OR.235 |
Adjudicação de atividades de gestão da segurança da informação |
|
IS.D.OR.240 |
Requisitos em matéria de pessoal |
|
IS.D.OR.245 |
Conservação de registos |
|
IS.D.OR.250 |
Manual de gestão da segurança da informação (MGSI) |
|
IS.D.OR.255 |
Alterações do sistema de gestão da segurança da informação |
|
IS.D.OR.260 |
Melhoria contínua |
IS.D.OR.100 Âmbito de aplicação
A presente parte estabelece os requisitos a cumprir pelas entidades referidas no artigo 2.o do presente regulamento.
IS.D.OR.200 Sistema de gestão da segurança da informação (SGSI)
A fim de alcançar os objetivos estabelecidos no artigo 1.o, a entidade deve criar, aplicar e manter um sistema de gestão da segurança da informação (SGSI) que lhe permita assegurar que:
estabelece uma política em matéria de segurança da informação que define os seus princípios gerais no que diz respeito ao potencial impacto dos riscos de segurança da informação na segurança da aviação;
identifica e analisa os riscos de segurança da informação em conformidade com o ponto IS.D.OR.205;
define e aplica medidas de tratamento dos riscos de segurança da informação em conformidade com o ponto IS.D.OR.210;
aplica um sistema de comunicação interna de informações em matéria de segurança da informação, em conformidade com o ponto IS.D.OR.215;
define e aplica, em conformidade com a secção IS.D.OR.220, as medidas necessárias para detetar incidentes de segurança da informação, identifica os eventos considerados incidentes com potencial impacto na segurança da aviação, dá resposta a esses incidentes de segurança da informação e recupera desses incidentes;
aplica as medidas que tenham sido notificadas pela autoridade competente como reação imediata a um incidente de segurança da informação ou a uma vulnerabilidade com impacto na segurança da aviação;
toma as medidas adequadas, em conformidade com o ponto IS.D.OR.225, para dar resposta às constatações notificadas pela autoridade competente;
aplica um sistema de comunicação externa em conformidade com o ponto IS.D.OR.230, a fim de permitir que a autoridade competente tome as medidas adequadas;
cumpre os requisitos constantes do ponto IS.D.OR.235 ao subcontratar qualquer parte das atividades referidas no ponto IS.D.OR.200 a outras entidades;
cumpre os requisitos em matéria de pessoal estabelecidos no ponto IS.D.OR.240;
cumpre os requisitos de conservação de registos estabelecidos no ponto IS.D.OR.245;
controla a conformidade da entidade com os requisitos do presente regulamento e fornece informações sobre as conclusões ao administrador responsável ou, no caso das entidades de projeto, ao chefe da entidade de projeto, a fim de assegurar a aplicação eficaz das medidas corretivas;
protege, sem prejuízo dos requisitos aplicáveis em matéria de comunicação de incidentes, a confidencialidade de quaisquer informações que a entidade possa ter recebido de outras entidades, de acordo com o seu nível de sensibilidade.
A fim de satisfazer continuamente os requisitos referidos no artigo 1.o, a entidade deve implementar um processo de melhoria contínua em conformidade com o ponto IS.D.OR.260.
A entidade deve documentar, em conformidade com o ponto IS.D.OR.250, todos os principais processos, procedimentos, funções e responsabilidades necessários para cumprir o disposto no ponto IS.D.OR.200, alínea a), e estabelecer um processo de alteração dessa documentação. As alterações a esses processos, procedimentos, funções e responsabilidades devem ser geridas em conformidade com o ponto IS.D.OR.255.
Os processos, procedimentos, funções e responsabilidades estabelecidos pela entidade para cumprir o disposto no ponto IS.D.OR.200, alínea a), devem corresponder à natureza e complexidade das suas atividades, com base numa avaliação dos riscos para a segurança da informação inerentes a essas atividades, e podem ser integrados noutros sistemas de gestão existentes já implementados pela entidade.
Sem prejuízo da obrigação de cumprir os requisitos de comunicação de informações previstos no Regulamento (UE) n.o 376/2014 do Parlamento Europeu e do Conselho ( 2 ) e os requisitos do ponto IS.D.OR.200 (a) (13), a autoridade competente pode autorizar a entidade a não aplicar os requisitos referidos nas alíneas a) a d), bem como os requisitos conexos constantes dos pontos IS.D.OR.205 a IS.D.OR.260, se demonstrar, a contento dessa autoridade, que as suas atividades, instalações e recursos, bem como os serviços que explora, fornece, recebe e mantém, não apresentam riscos de segurança da informação com um impacto potencial na segurança da aviação, nem para si própria nem para outras entidades. A certificação deve basear-se numa avaliação documentada dos riscos de segurança da informação realizada pela entidade ou por terceiros em conformidade com a secção IS.D.OR.205 e revista e aprovada pela respetiva autoridade competente.
A manutenção da validade dessa aprovação será revista pela autoridade competente na sequência do ciclo de auditoria de supervisão aplicável e sempre que sejam introduzidas alterações no âmbito do trabalho da entidade.
IS.D.OR.205 Avaliação dos riscos para a segurança da informação
A entidade deve identificar todos os seus elementos que possam estar expostos a riscos de segurança da informação. Tal inclui:
as atividades, instalações e recursos da entidade, bem como os serviços que a entidade opera, presta, recebe ou mantém;
equipamentos, sistemas, dados e informações que contribuem para o funcionamento dos elementos enumerados no ponto 1).
A entidade deve identificar as interfaces que tem com outras entidades e que possam resultar numa exposição mútua aos riscos de segurança da informação.
No que diz respeito aos elementos e interfaces referidos nas alíneas a) e b), a entidade deve identificar os riscos para a segurança da informação que possam ter um impacto potencial na segurança da aviação. Para cada risco identificado, a entidade deve:
atribuir um nível de risco de acordo com uma classificação predefinida estabelecida pela entidade;
associar cada risco e o seu nível ao elemento ou interface correspondente identificado em conformidade com as alíneas a) e b).
A classificação predefinida referida no ponto 1) deve ter em conta o potencial de ocorrência do cenário de ameaça e a gravidade das suas consequências para a segurança. Com base nessa classificação, e tendo em conta se a entidade dispõe de um processo estruturado e repetível de gestão dos riscos para as operações, a entidade deve ser capaz de determinar se o risco é aceitável ou se deve ser tratado em conformidade com o ponto IS.D.OR.210.
A fim de facilitar a comparabilidade mútua das avaliações de riscos, a atribuição do nível de risco nos termos do ponto 1) deve ter em conta as informações relevantes obtidas em coordenação com as entidades referidas na alínea b).
A entidade deve rever e atualizar a avaliação dos riscos efetuada em conformidade com as alíneas a), b) e c) em qualquer das seguintes situações:
uma alteração dos elementos sujeitos a riscos para a segurança da informação;
uma alteração nas interfaces entre a entidade e outras entidades ou nos riscos comunicados pelas outras entidades;
uma alteração das informações ou dos conhecimentos utilizados para a identificação, análise e classificação dos riscos;
ensinamentos retirados da análise dos incidentes de segurança da informação.
IS.D.OR.210 Tratamento dos riscos para a segurança da informação
A entidade deve desenvolver medidas para fazer face aos riscos inaceitáveis identificados em conformidade com o ponto IS.D.OR.205, aplicá-las em tempo útil e verificar a sua eficácia contínua. Essas medidas devem permitir à entidade:
controlar as circunstâncias que contribuem para a ocorrência efetiva do cenário de ameaça;
reduzir as consequências para a segurança da aviação associadas à concretização do cenário de ameaça;
evitar os riscos.
Essas medidas não devem introduzir quaisquer novos riscos potencialmente inaceitáveis para a segurança da aviação.
A pessoa referida na secção IS.D.OR.240, alíneas a) e b), e outro pessoal afetado da entidade devem ser informados do resultado da avaliação dos riscos efetuada em conformidade com o ponto IS.D.OR.205, dos cenários de ameaça correspondentes e das medidas a aplicar.
A entidade deve também informar as entidade com as quais tenha uma interface, em conformidade com o ponto IS.D.OR.205, alínea b), de quaisquer riscos que se coloquem a ambas as entidades.
IS.D.OR.215 Sistema de comunicação interna de informações sobre segurança da informação
A entidade deve estabelecer um sistema de comunicação interna que permita a recolha e a avaliação de eventos relacionados com a segurança da informação, incluindo os que devem ser comunicados nos termos do ponto IS.D.OR.230.
Esse regime e o processo referido o ponto IS.D.OR.220 devem permitir à entidade:
identificar quais dos eventos comunicados nos termos da alínea a) são considerados incidentes ou vulnerabilidades de segurança da informação com um impacto potencial na segurança da aviação;
identificar as causas e os fatores que contribuem para os incidentes e as vulnerabilidades na segurança da informação identificados em conformidade com o ponto 1) e abordá-los no âmbito do processo de gestão dos riscos de segurança da informação, em conformidade com os pontos IS.D.OR.205 e IS.D.OR.220;
assegurar uma avaliação de todas as informações conhecidas e pertinentes relacionadas com os incidentes e as vulnerabilidades de segurança da informação identificados em conformidade com o ponto 1);
assegurar a aplicação de um método de divulgação interna da informação, conforme necessário.
Qualquer entidade contratada que possa expor a entidade a riscos de segurança da informação com um impacto potencial na segurança da aviação deve comunicar as ocorrências de segurança da informação à entidade. Esses relatórios são apresentados de acordo com os procedimentos estabelecidos nas disposições contratuais específicas e avaliados em conformidade com a alínea b).
A entidade cooperará nas investigações com qualquer outra entidade que preste um contributo significativo para a segurança da informação das suas próprias atividades.
A entidade pode integrar esse regime de comunicação de informações noutros sistemas de comunicação de informações que já tenha implementado.
IS.D.OR.220 Incidentes de segurança da informação — deteção, resposta e recuperação
Com base no resultado da avaliação dos riscos efetuada em conformidade com o ponto IS.D.OR.205 e no resultado do tratamento dos riscos realizado em conformidade com o ponto IS.D.OR.210, a entidade deve aplicar medidas para detetar incidentes e vulnerabilidades que indiquem a potencial materialização de riscos inaceitáveis e que possam ter um impacto potencial na segurança da aviação. Essas medidas de deteção devem permitir à entidade:
identificar desvios em relação às bases de referência do desempenho funcional predeterminado;
desencadear avisos para ativar medidas de resposta adequadas, em caso de desvio.
A entidade deve aplicar medidas para responder a qualquer situação identificada em conformidade com a alínea a) que possa desencadear ou se tenha transformado num incidente de segurança da informação. Essas medidas de resposta devem permitir à entidade:
iniciar a reação aos alertas referidos na alínea a) 2), ativando recursos predefinidos e ações;
conter a propagação de um ataque e evitar a plena concretização de um cenário de ameaça;
controlar o modo de avaria dos elementos afetados definidos no ponto IS.D.OR.205, alínea a).
A entidade deve aplicar medidas destinadas a recuperar de incidentes de segurança da informação, incluindo medidas de emergência, se necessário. Essas medidas de recuperação devem permitir à entidade:
eliminar a condição que causou o incidente ou limitá-lo a um nível tolerável;
atingir um estado seguro dos elementos afetados definidos no ponto IS.D.OR.205, alínea a), num prazo de recuperação previamente definido pela entidade.
IS.D.OR.225 Resposta a constatações notificadas pela autoridade competente
Após receção da notificação de constatações apresentada pela autoridade competente, a entidade deve:
Identificar a causa principal ou as causas principais e os fatores que contribuem para a não conformidade;
Definir um plano de medidas corretivas;
Demonstrar a retificação do incumprimento a contento da autoridade competente.
As ações referidas na alínea a) devem ser realizadas no prazo acordado com a autoridade competente.
IS.D.OR.230 Sistema de comunicação externa sobre segurança da informação
A entidade deve implementar um sistema de comunicação de informações sobre segurança da informação que cumpra os requisitos estabelecidos no Regulamento (UE) n.o 376/2014 e nos seus atos delegados e de execução, caso esse regulamento seja aplicável à entidade.
Sem prejuízo das obrigações previstas no Regulamento (UE) n.o 376/2014, a entidade deve assegurar que qualquer incidente ou vulnerabilidade de segurança da informação que possa representar um risco significativo para a segurança da aviação seja comunicado à respetiva autoridade competente. Além disso:
Se tal incidente ou vulnerabilidade afetar uma aeronave ou um sistema ou componente associado, a entidade deve também comunicá-lo ao titular da certificação de projeto;
Se tal incidente ou vulnerabilidade afetar um sistema ou componente utilizado pela entidade, esta deve comunicá-lo à entidade responsável pelo projeto do sistema ou componente.
A entidade deve comunicar as condições referidas na alínea b) do seguinte modo:
Deve ser apresentada uma notificação à autoridade competente e, se for caso disso, ao titular da certificação de projeto ou à entidade responsável pelo projeto do sistema ou componente, logo que a entidade tenha conhecimento da situação;
Deve ser apresentado um relatório à autoridade competente e, se for caso disso, ao titular da certificação de projeto ou à entidade responsável pelo projeto do sistema ou do componente, o mais rapidamente possível, mas no máximo 72 horas a contar do momento em que a entidade tome conhecimento da situação, salvo em circunstâncias excecionais que o impeçam.
O relatório deve ser elaborado na forma definida pela autoridade competente e conter todas as informações pertinentes sobre a situação de que a entidade tenha conhecimento;
Deve ser apresentado um relatório de acompanhamento à autoridade competente e, se for caso disso, ao titular da certificação de projeto ou à entidade responsável pelo projeto do sistema ou componente, com informações pormenorizadas sobre as medidas que a entidade tomou ou tenciona tomar para recuperar do incidente e as medidas que tenciona tomar para evitar incidentes semelhantes em matéria de segurança da informação no futuro.
O relatório de acompanhamento deve ser apresentado logo que essas ações tenham sido identificadas e elaborado na forma definida pela autoridade competente.
IS.D.OR.235 Adjudicação de atividades de gestão da segurança da informação
A entidade deve assegurar que, ao contratar qualquer parte das atividades a que se refere o ponto IS.D.OR.200 a outras entidades, as atividades contratadas cumprem os requisitos do presente regulamento e a entidade contratada trabalha sob a sua supervisão. A entidade deve assegurar que os riscos associados às atividades contratadas são geridos de forma adequada.
A entidade deve assegurar que a autoridade competente possa ter acesso, a pedido, à entidade contratada para determinar a conformidade permanente com os requisitos aplicáveis estabelecidos no presente regulamento.
IS.D.OR.240 Requisitos em matéria de pessoal
O administrador responsável da entidade ou, no caso das entidades de projeto, o chefe da entidade de projeto, designado em conformidade com o Regulamento (UE) n.o 748/2012 e o Regulamento (UE) n.o 139/2014, tal como referido no artigo 2.o, n.o 1, alíneas a) e b), do presente regulamento, tem os poderes necessários para assegurar que todas as atividades exigidas pelo presente regulamento possam ser financiadas e realizadas. Deve:
Assegurar a disponibilidade de todos os recursos necessários para cumprir os requisitos do presente regulamento;
Estabelecer e promover a política de segurança da informação referida no ponto IS.D.OR.200 (a) (1);
Demonstrar que possui um conhecimento básico do presente regulamento.
O administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, nomeia uma pessoa ou um grupo de pessoas para assegurar que a entidade cumpre os requisitos do presente regulamento e define as funções dessa(s) pessoa(s). Essa pessoa ou esse grupo de pessoas responde diretamente perante o administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, e deve dispor dos conhecimentos, das competências e da experiência adequados para o desempenho das suas responsabilidades. Os procedimentos devem estabelecer de forma clara quem substitui quem em caso de ausência prolongada da(s) pessoa(s) acima referida(s).
O administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto nomeará uma pessoa ou um grupo de pessoas com a responsabilidade de gerir a função de controlo da conformidade a que se refere o ponto IS.D.OR.200, alínea a) 12).
Se a entidade partilhar estruturas, políticas, processos e procedimentos organizacionais de segurança da informação com outras entidades ou com áreas da sua própria organização que não façam parte da certificação ou declaração, o administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, poderá delegar as suas atividades numa pessoa responsável comum.
Nesse caso, devem ser estabelecidas medidas de coordenação entre o administrador responsável da entidade ou, no caso das entidades de projeto, o chefe da entidade de projeto e a pessoa responsável comum, a fim de assegurar a integração adequada da gestão da segurança da informação na entidade.
O administrador responsável ou o chefe da entidade de projeto, ou a pessoa responsável comum a que se refere a alínea d), têm os poderes necessários para estabelecer e manter as estruturas, políticas, processos e procedimentos organizacionais necessários à aplicação do ponto IS.D.OR.200.
A entidade deve dispor de um processo que garanta que dispõe de pessoal em número suficiente para a consecução das atividades abrangidas pelo presente anexo.
A entidade deve dispor de um processo para assegurar que o pessoal referido na alínea f) possui as competências necessárias para desempenhar as suas funções.
A entidade deve dispor de um processo para assegurar que o pessoal reconhece as responsabilidades associadas às funções e tarefas que lhe são cometidas.
A entidade deve assegurar que a identidade e a fiabilidade do pessoal que tem acesso aos sistemas de informação e aos dados sujeitos aos requisitos do presente regulamento são devidamente estabelecidas.
IS.D.OR.245 Conservação de registos
A entidade deve conservar registos das suas atividades de gestão da segurança da informação.
a entidade deve assegurar que os seguintes registos são arquivados e rastreáveis:
qualquer aprovação recebida e qualquer avaliação dos riscos de segurança da informação associada, em conformidade com o ponto IS.D.OR.200, alínea e);
contratos para as atividades referidas no ponto IS.D.OR.200 a) 9);
registos dos principais processos referidos no ponto IS.D.OR.200, alínea d);
registos dos riscos identificados na avaliação dos riscos referida no ponto IS.D.OR.205, juntamente com as medidas associadas de tratamento dos riscos referidas no ponto IS.D.OR.210;
registos dos incidentes e vulnerabilidades de segurança da informação comunicados em conformidade com os sistemas de comunicação a que se referem os pontos IS.D.OR.215 e IS.D.OR.230;
registos dos eventos relacionados com a segurança da informação que possam ter de ser reavaliados para revelar incidentes ou vulnerabilidades de segurança da informação não detetados.
os registos referidos no ponto 1, subalínea i), devem ser conservados pelo menos até cinco anos após a aprovação ter perdido a sua validade.
Os registos referidos no ponto 1, subalínea ii), devem ser conservados pelo menos até cinco anos após a alteração ou rescisão do contrato.
Os registos referidos no ponto 1, subalíneas iii), iv) e v), devem ser conservados pelo menos durante um período de cinco anos.
Os registos referidos no ponto 1, subalínea vi), devem ser conservados até que esses eventos de segurança da informação tenham sido reavaliados de acordo com uma periodicidade definida num procedimento estabelecido pela entidade.
A entidade deve manter registos das qualificações e da experiência do seu pessoal envolvido em atividades de gestão da segurança da informação.
Os registos relativos às qualificações e à experiência do pessoal devem ser conservados enquanto a pessoa trabalhar para a entidade e durante, pelo menos, três anos após a pessoa ter deixado a entidade.
Os membros do pessoal devem, a seu pedido, ter acesso aos seus registos individuais. Além disso, a seu pedido, a entidade deve fornecer-lhes uma cópia dos seus registos individuais quando deixam a entidade.
O formato dos registos deve ser especificado nos procedimentos da entidade.
Os registos devem ser conservados de modo a garantir a sua proteção contra danos, alterações e furto, sendo a informação identificada, quando exigido, de acordo com o nível de classificação de segurança. A entidade deve assegurar que os registos são conservados através de meios que garantam a integridade, a autenticidade e o acesso autorizado.
IS.D.OR.250 Manual de gestão da segurança da informação (MGSI)
A entidade deve disponibilizar à autoridade competente um manual de gestão da segurança da informação (MGSI) e, se for caso disso, quaisquer manuais e procedimentos associados referenciados, que contenham:
uma declaração assinada pelo administrador responsável ou, no caso das entidades de projeto, pelo chefe da entidade de projeto, confirmando que a entidade trabalhará sempre em conformidade com o presente anexo e com o MGSI. Se o administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, não for o diretor executivo da entidade, esse diretor executivo deve assinar a declaração;
o(s) título(s), o(s) nome(s), o(s) deveres, a(s) responsabilidades e os poderes da pessoa ou das pessoas a que se refere o ponto IS.D.OR.240, alíneas b) e c);
o título, o nome, os deveres, as responsabilidades e os poderes da pessoa ou das pessoas a que se refere o ponto IS.D.OR.240, alínea d), se aplicável;
a política de segurança da informação da entidade a que se refere o ponto IS.D.OR.200, alínea a), ponto 1;
uma descrição genérica dos recursos humanos e do sistema em vigor para planear a disponibilidade do pessoal, tal como exigido pelo ponto IS.D.OR.240;
o(s) título(s), o(s) nome(s), o(s) deveres, a(s) responsabilidades e os poderes das principais pessoas responsáveis pela aplicação do ponto IS.D.OR.200, incluindo a pessoa ou pessoas responsáveis pela função de controlo da conformidade a que se refere o ponto IS.D.OR.200, alínea a), ponto 12;
um organograma que mostre as cadeias de responsabilização e de responsabilidade associadas às pessoas referidas nos pontos 2 e 6;
uma descrição do sistema de comunicação interna a que se refere o ponto IS.D.OR.215;
os procedimentos que especificam a forma como a entidade garante o cumprimento da presente parte e, em especial:
o ponto IS.D.OR.200, alínea c), relativo à documentação,
os procedimentos que definem a forma como a entidade controla quaisquer atividades contratadas referidas no ponto IS.D.OR.200, alínea a), ponto 9,
o procedimento de alteração do MGSI definido na alínea c);
a lista de meios de conformidade alternativos aprovados.
A versão original do MGSI deve ser aprovada e deve ser conservada uma cópia pela autoridade competente. A aprovação não é obrigatória para entidades declaradas. O MGSI deve ser alterado na medida do necessário para manter uma descrição atualizada do SGSI da entidade. Deve ser fornecida à autoridade competente uma cópia de quaisquer alterações ao MGSI.
As alterações ao MGSI são geridas segundo um procedimento estabelecido pela entidade. As alterações não incluídas no âmbito deste procedimento e as alterações relacionadas com as alterações a que se refere a secção IS.D. OR.255, alínea b), devem ser aprovadas pela autoridade competente. A aprovação não é obrigatória para entidades declaradas.
A entidade pode integrar o MGSI noutros manuais de gestão, desde que exista uma referência cruzada clara que indique quais as partes do manual que correspondem aos diferentes requisitos constantes do presente anexo.
IS.D.OR.255 Alterações do sistema de gestão da segurança da informação
As alterações ao MGSI podem ser geridas e notificadas à autoridade competente mediante um procedimento desenvolvido pela entidade. O procedimento deve ser aprovado pela autoridade competente, exceto no caso de entidades declaradas.
No que diz respeito às alterações do SGSI não abrangidas pelo procedimento referido na alínea a), a entidade deve solicitar e obter uma aprovação emitida pela autoridade competente, exceto no caso de entidades declaradas, para as quais não é requerida aprovação.
No que diz respeito a estas alterações:
O pedido deve ser apresentado antes da introdução de qualquer alteração, de modo a permitir à autoridade competente determinar a conformidade permanente com o disposto no presente regulamento e, se necessário, alterar o certificado da entidade e os respetivos termos de certificação anexos a este;
A entidade deve disponibilizar à autoridade competente todas as informações que esta solicite para avaliar a alteração;
A alteração só pode ser aplicada após a receção de uma aprovação formal pela autoridade competente, exceto no caso das entidades declaradas, que podem aplicar imediatamente a alteração;
A entidade deve operar nas condições prescritas pela autoridade competente durante a aplicação dessas alterações.
IS.D.OR.260 Melhoria contínua
A entidade deve avaliar, utilizando indicadores de desempenho adequados, a eficácia e a maturidade do MGSI. Essa avaliação deve ser efetuada numa base de calendário predefinida pela entidade ou na sequência de um incidente de segurança da informação.
Se forem detetadas deficiências na sequência da avaliação efetuada em conformidade com a alínea a), a entidade deve tomar as medidas de melhoria necessárias para assegurar que o MGSI continua a cumprir os requisitos aplicáveis e permite manter os riscos de segurança da informação a um nível aceitável. Além disso, a entidade deve reavaliar os elementos do MGSI afetados pelas medidas adotadas.
( 1 ) Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho, de 11 de março de 2008, relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.o 2320/2002 (JO L 97 de 9.4.2008, p. 72).
( *1 ) Regulamento Delegado (UE) 2022/1645 da Comissão, de 14 de julho de 2022, que estabelece regras de execução do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho no que respeita aos requisitos em matéria de gestão dos riscos de segurança da informação com potencial impacto na segurança da aviação para as entidades abrangidas pelos Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão e que altera os Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão (JO L 248 de 26.9.2022, p. 18)»;
( *2 ) Regulamento Delegado (UE) 2022/1645 da Comissão, de 14 de julho de 2022, que estabelece regras de execução do Regulamento (UE) 2018/1139 do Parlamento Europeu e do Conselho no que respeita aos requisitos em matéria de gestão dos riscos de segurança da informação com potencial impacto na segurança da aviação para as entidades abrangidas pelos Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão e que altera os Regulamentos (UE) n.o 748/2012 e (UE) n.o 139/2014 da Comissão (JO L 248 de 26.9.2022, p. 18)»;
( 2 ) Regulamento (UE) n.o 376/2014 do Parlamento Europeu e do Conselho, de 3 de abril de 2014, relativo à comunicação, à análise e ao seguimento de ocorrências na aviação civil, que altera o Regulamento (UE) n.o 996/2010 do Parlamento Europeu e do Conselho e revoga a Diretiva 2003/42/CE do Parlamento Europeu e do Conselho, e os Regulamentos (CE) n.o 1321/2007 e (CE) n.o 1330/2007 da Comissão (JO L 122 de 24.4.2014, p. 18).