IS.D.OR.100

IS.D.OR.200

IS.D.OR.205

IS.D.OR.210

IS.D.OR.215

IS.D.OR.220

IS.D.OR.225

IS.D.OR.230

IS.D.OR.235

IS.D.OR.240

IS.D.OR.245

IS.D.OR.250

IS.D.OR.255

IS.D.OR.260

a)

A fim de alcançar os objetivos estabelecidos no artigo 1.o, a entidade deve criar, aplicar e manter um sistema de gestão da segurança da informação (SGSI) que lhe permita assegurar que:

b)

A fim de satisfazer continuamente os requisitos referidos no artigo 1.o, a entidade deve implementar um processo de melhoria contínua em conformidade com o ponto IS.D.OR.260.

c)

A entidade deve documentar, em conformidade com o ponto IS.D.OR.250, todos os principais processos, procedimentos, funções e responsabilidades necessários para cumprir o disposto no ponto IS.D.OR.200, alínea a), e estabelecer um processo de alteração dessa documentação. As alterações a esses processos, procedimentos, funções e responsabilidades devem ser geridas em conformidade com o ponto IS.D.OR.255.

d)

Os processos, procedimentos, funções e responsabilidades estabelecidos pela entidade para cumprir o disposto no ponto IS.D.OR.200, alínea a), devem corresponder à natureza e complexidade das suas atividades, com base numa avaliação dos riscos para a segurança da informação inerentes a essas atividades, e podem ser integrados noutros sistemas de gestão existentes já implementados pela entidade.

e)

Sem prejuízo da obrigação de cumprir os requisitos de comunicação de informações previstos no Regulamento (UE) n.o 376/2014 do Parlamento Europeu e do Conselho (1) e os requisitos do ponto IS.D.OR.200 (a) (13), a autoridade competente pode autorizar a entidade a não aplicar os requisitos referidos nas alíneas a) a d), bem como os requisitos conexos constantes dos pontos IS.D.OR.205 a IS.D.OR.260, se demonstrar, a contento dessa autoridade, que as suas atividades, instalações e recursos, bem como os serviços que explora, fornece, recebe e mantém, não apresentam riscos de segurança da informação com um impacto potencial na segurança da aviação, nem para si própria nem para outras entidades. A certificação deve basear-se numa avaliação documentada dos riscos de segurança da informação realizada pela entidade ou por terceiros em conformidade com a secção IS.D.OR.205 e revista e aprovada pela respetiva autoridade competente.

A manutenção da validade dessa aprovação será revista pela autoridade competente na sequência do ciclo de auditoria de supervisão aplicável e sempre que sejam introduzidas alterações no âmbito do trabalho da entidade.

a)

A entidade deve identificar todos os seus elementos que possam estar expostos a riscos de segurança da informação. Tal inclui:

b)

A entidade deve identificar as interfaces que tem com outras entidades e que possam resultar numa exposição mútua aos riscos de segurança da informação.

c)

No que diz respeito aos elementos e interfaces referidos nas alíneas a) e b), a entidade deve identificar os riscos para a segurança da informação que possam ter um impacto potencial na segurança da aviação. Para cada risco identificado, a entidade deve:

A classificação predefinida referida no ponto 1) deve ter em conta o potencial de ocorrência do cenário de ameaça e a gravidade das suas consequências para a segurança. Com base nessa classificação, e tendo em conta se a entidade dispõe de um processo estruturado e repetível de gestão dos riscos para as operações, a entidade deve ser capaz de determinar se o risco é aceitável ou se deve ser tratado em conformidade com o ponto IS.D.OR.210.

A fim de facilitar a comparabilidade mútua das avaliações de riscos, a atribuição do nível de risco nos termos do ponto 1) deve ter em conta as informações relevantes obtidas em coordenação com as entidades referidas na alínea b).

d)

A entidade deve rever e atualizar a avaliação dos riscos efetuada em conformidade com as alíneas a), b) e c) em qualquer das seguintes situações:

a)

A entidade deve desenvolver medidas para fazer face aos riscos inaceitáveis identificados em conformidade com o ponto IS.D.OR.205, aplicá-las em tempo útil e verificar a sua eficácia contínua. Essas medidas devem permitir à entidade:

Essas medidas não devem introduzir quaisquer novos riscos potencialmente inaceitáveis para a segurança da aviação.

b)

A pessoa referida na secção IS.D.OR.240, alíneas a) e b), e outro pessoal afetado da entidade devem ser informados do resultado da avaliação dos riscos efetuada em conformidade com o ponto IS.D.OR.205, dos cenários de ameaça correspondentes e das medidas a aplicar.

A entidade deve também informar as entidade com as quais tenha uma interface, em conformidade com o ponto IS.D.OR.205, alínea b), de quaisquer riscos que se coloquem a ambas as entidades.

a)

A entidade deve estabelecer um sistema de comunicação interna que permita a recolha e a avaliação de eventos relacionados com a segurança da informação, incluindo os que devem ser comunicados nos termos do ponto IS.D.OR.230.

b)

Esse regime e o processo referido o ponto IS.D.OR.220 devem permitir à entidade:

c)

Qualquer entidade contratada que possa expor a entidade a riscos de segurança da informação com um impacto potencial na segurança da aviação deve comunicar as ocorrências de segurança da informação à entidade. Esses relatórios são apresentados de acordo com os procedimentos estabelecidos nas disposições contratuais específicas e avaliados em conformidade com a alínea b).

d)

A entidade cooperará nas investigações com qualquer outra entidade que preste um contributo significativo para a segurança da informação das suas próprias atividades.

e)

A entidade pode integrar esse regime de comunicação de informações noutros sistemas de comunicação de informações que já tenha implementado.

a)

Com base no resultado da avaliação dos riscos efetuada em conformidade com o ponto IS.D.OR.205 e no resultado do tratamento dos riscos realizado em conformidade com o ponto IS.D.OR.210, a entidade deve aplicar medidas para detetar incidentes e vulnerabilidades que indiquem a potencial materialização de riscos inaceitáveis e que possam ter um impacto potencial na segurança da aviação. Essas medidas de deteção devem permitir à entidade:

b)

A entidade deve aplicar medidas para responder a qualquer situação identificada em conformidade com a alínea a) que possa desencadear ou se tenha transformado num incidente de segurança da informação. Essas medidas de resposta devem permitir à entidade:

c)

A entidade deve aplicar medidas destinadas a recuperar de incidentes de segurança da informação, incluindo medidas de emergência, se necessário. Essas medidas de recuperação devem permitir à entidade:

a)

Após receção da notificação de constatações apresentada pela autoridade competente, a entidade deve:

b)

As ações referidas na alínea a) devem ser realizadas no prazo acordado com a autoridade competente.

a)

A entidade deve implementar um sistema de comunicação de informações sobre segurança da informação que cumpra os requisitos estabelecidos no Regulamento (UE) n.o 376/2014 e nos seus atos delegados e de execução, caso esse regulamento seja aplicável à entidade.

b)

Sem prejuízo das obrigações previstas no Regulamento (UE) n.o 376/2014, a entidade deve assegurar que qualquer incidente ou vulnerabilidade de segurança da informação que possa representar um risco significativo para a segurança da aviação seja comunicado à respetiva autoridade competente. Além disso:

c)

A entidade deve comunicar as condições referidas na alínea b) do seguinte modo:

a)

A entidade deve assegurar que, ao contratar qualquer parte das atividades a que se refere o ponto IS.D.OR.200 a outras entidades, as atividades contratadas cumprem os requisitos do presente regulamento e a entidade contratada trabalha sob a sua supervisão. A entidade deve assegurar que os riscos associados às atividades contratadas são geridos de forma adequada.

b)

A entidade deve assegurar que a autoridade competente possa ter acesso, a pedido, à entidade contratada para determinar a conformidade permanente com os requisitos aplicáveis estabelecidos no presente regulamento.

a)

O administrador responsável da entidade ou, no caso das entidades de projeto, o chefe da entidade de projeto, designado em conformidade com o Regulamento (UE) n.o 748/2012 e o Regulamento (UE) n.o 139/2014, tal como referido no artigo 2.o, n.o 1, alíneas a) e b), do presente regulamento, tem os poderes necessários para assegurar que todas as atividades exigidas pelo presente regulamento possam ser financiadas e realizadas. Deve:

b)

O administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, nomeia uma pessoa ou um grupo de pessoas para assegurar que a entidade cumpre os requisitos do presente regulamento e define as funções dessa(s) pessoa(s). Essa pessoa ou esse grupo de pessoas responde diretamente perante o administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, e deve dispor dos conhecimentos, das competências e da experiência adequados para o desempenho das suas responsabilidades. Os procedimentos devem estabelecer de forma clara quem substitui quem em caso de ausência prolongada da(s) pessoa(s) acima referida(s).

c)

O administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto nomeará uma pessoa ou um grupo de pessoas com a responsabilidade de gerir a função de controlo da conformidade a que se refere o ponto IS.D.OR.200, alínea a) 12).

d)

Se a entidade partilhar estruturas, políticas, processos e procedimentos organizacionais de segurança da informação com outras entidades ou com áreas da sua própria organização que não façam parte da certificação ou declaração, o administrador responsável ou, no caso das entidades de projeto, o chefe da entidade de projeto, poderá delegar as suas atividades numa pessoa responsável comum.

Nesse caso, devem ser estabelecidas medidas de coordenação entre o administrador responsável da entidade ou, no caso das entidades de projeto, o chefe da entidade de projeto e a pessoa responsável comum, a fim de assegurar a integração adequada da gestão da segurança da informação na entidade.

e)

O administrador responsável ou o chefe da entidade de projeto, ou a pessoa responsável comum a que se refere a alínea d), têm os poderes necessários para estabelecer e manter as estruturas, políticas, processos e procedimentos organizacionais necessários à aplicação do ponto IS.D.OR.200.

f)

A entidade deve dispor de um processo que garanta que dispõe de pessoal em número suficiente para a consecução das atividades abrangidas pelo presente anexo.

g)

A entidade deve dispor de um processo para assegurar que o pessoal referido na alínea f) possui as competências necessárias para desempenhar as suas funções.

h)

A entidade deve dispor de um processo para assegurar que o pessoal reconhece as responsabilidades associadas às funções e tarefas que lhe são cometidas.

i)

A entidade deve assegurar que a identidade e a fiabilidade do pessoal que tem acesso aos sistemas de informação e aos dados sujeitos aos requisitos do presente regulamento são devidamente estabelecidas.

a)

A entidade deve conservar registos das suas atividades de gestão da segurança da informação.

b)

A entidade deve manter registos das qualificações e da experiência do seu pessoal envolvido em atividades de gestão da segurança da informação.

c)

O formato dos registos deve ser especificado nos procedimentos da entidade.

d)

Os registos devem ser conservados de modo a garantir a sua proteção contra danos, alterações e furto, sendo a informação identificada, quando exigido, de acordo com o nível de classificação de segurança. A entidade deve assegurar que os registos são conservados através de meios que garantam a integridade, a autenticidade e o acesso autorizado.

a)

A entidade deve disponibilizar à autoridade competente um manual de gestão da segurança da informação (MGSI) e, se for caso disso, quaisquer manuais e procedimentos associados referenciados, que contenham:

b)

A versão original do MGSI deve ser aprovada e uma cópia deve ser conservada pela autoridade competente. O MGSI deve ser alterado na medida do necessário para manter uma descrição atualizada do SGSI da entidade. Deve ser fornecida à autoridade competente uma cópia de quaisquer alterações ao MGSI.

c)

As alterações ao MGSI são geridas segundo um procedimento estabelecido pela entidade. As alterações não incluídas no âmbito deste procedimento e as alterações relacionadas com as alterações a que se refere o ponto IS.D.OR.255, alínea b), devem ser aprovadas pela autoridade competente.

d)

A entidade pode integrar o MGSI noutros manuais de gestão, desde que exista uma referência cruzada clara que indique quais as partes do manual que correspondem aos diferentes requisitos constantes do presente anexo.

a)

As alterações ao MGSI podem ser geridas e notificadas à autoridade competente mediante um procedimento desenvolvido pela entidade. O procedimento a que se refere a alínea b) deve ser aprovado pela autoridade competente.

b)

No que diz respeito às alterações ao MGSI não abrangidas pelo procedimento referido na alínea a), a entidade deve solicitar e obter uma aprovação emitida pela autoridade competente.

No que diz respeito a estas alterações:

a)

A entidade deve avaliar, utilizando indicadores de desempenho adequados, a eficácia e a maturidade do MGSI. Essa avaliação deve ser efetuada numa base de calendário predefinida pela entidade ou na sequência de um incidente de segurança da informação.

b)

Se forem detetadas deficiências na sequência da avaliação efetuada em conformidade com a alínea a), a entidade deve tomar as medidas de melhoria necessárias para assegurar que o MGSI continua a cumprir os requisitos aplicáveis e permite manter os riscos de segurança da informação a um nível aceitável. Além disso, a entidade deve reavaliar os elementos do MGSI afetados pelas medidas adotadas.