26.9.2022   

RO

Jurnalul Oficial al Uniunii Europene

L 248/18

REGULAMENTUL DELEGAT (UE) 2022/1645 AL COMISIEI

din 14 iulie 2022

de stabilire a normelor de aplicare a Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului în ceea ce privește cerințele referitoare la managementul riscurilor în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației impuse organizațiilor care intră sub incidența Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei și de modificare a Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2018/1139 al Parlamentului European și al Consiliului din 4 iulie 2018 privind normele comune în domeniul aviației civile și de înființare a Agenției Uniunii Europene pentru Siguranța Aviației, de modificare a Regulamentelor (CE) nr. 2111/2005, (CE) nr. 1008/2008, (UE) nr. 996/2010, (UE) nr. 376/2014 și a Directivelor 2014/30/UE și 2014/53/UE ale Parlamentului European și ale Consiliului, precum și de abrogare a Regulamentelor (CE) nr. 552/2004 și (CE) nr. 216/2008 ale Parlamentului European și ale Consiliului și a Regulamentului (CEE) nr. 3922/91 al Consiliului (1), în special articolul 19 alineatul (1) litera (g) și articolul 39 alineatul (1) litera (b),

întrucât:

(1)

În conformitate cu cerințele esențiale prevăzute la punctul 3.1 litera (b) din anexa II la Regulamentul (UE) 2018/1139, organizațiile de proiectare și producție trebuie să instituie și să mențină un sistem de management pentru gestionarea riscurilor în materie de siguranță.

(2)

În plus, în conformitate cu cerințele esențiale prevăzute la punctele 2.2.1 și 5.2 din anexa VII la Regulamentul (UE) 2018/1139, operatorii de aerodromuri și organizațiile responsabile cu furnizarea de servicii de gestionare a platformei trebuie să instituie și să mențină un sistem de management pentru gestionarea riscurilor în materie de siguranță.

(3)

Riscurile în materie de siguranță menționate în considerentele 1 și 2 pot proveni din diferite surse, inclusiv din deficiențe de proiectare și de întreținere, aspecte ale performanțelor umane, amenințări la adresa mediului și amenințări la adresa securității informațiilor. Prin urmare, sistemele de management instituite de organizații, astfel cum se menționează în considerentele 1 și 2, trebuie să țină seama nu doar de riscurile în materie de siguranță care decurg din evenimente fortuite, ci și de riscurile în materie de siguranță care decurg din amenințări la adresa securității informațiilor, atunci când deficiențele existente pot fi exploatate de persoane cu intenții răuvoitoare. Aceste riscuri în materie de securitate a informațiilor sunt în continuă creștere în mediul aviației civile, pe măsură ce sistemele informatice actuale devin tot mai interconectate și devin tot mai des ținta unor actori răuvoitori.

(4)

Riscurile asociate acestor sisteme informatice nu se limitează la posibile atacuri asupra spațiului cibernetic, ci includ și amenințări care pot afecta procesele și procedurile, precum și performanțele ființelor umane.

(5)

Un număr semnificativ de organizații utilizează deja standarde internaționale, cum ar fi ISO 27001, pentru a aborda securitatea informațiilor și a datelor digitale. Este posibil ca aceste standarde să nu abordeze pe deplin toate specificitățile aviației civile.

(6)

Prin urmare, este indicat să se prevadă cerințe privind managementul riscurilor în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației.

(7)

Este esențial ca aceste cerințe să acopere diferitele domenii ale aviației și interfețele acestora, dat fiind că aviația este un sistem de sisteme cu grad înalt de interconectare. Prin urmare, aceste cerințe trebuie să se aplice tuturor organizațiilor care au deja obligația de a dispune de un sistem de management în conformitate cu legislația existentă a Uniunii în domeniul siguranței aviației.

(8)

Cerințele stabilite în prezentul regulament trebuie să fie aplicate în mod consecvent în toate domeniile aviației, creându-se în același timp un impact minim asupra legislației Uniunii din domeniul siguranței aviației, aplicabilă deja respectivelor domenii.

(9)

Cerințele stabilite în prezentul regulament nu trebuie să aducă atingere cerințelor de securitate a informațiilor și de securitate cibernetică stabilite la punctul 1.7 din anexa la Regulamentul de punere în aplicare (UE) 2015/1998 al Comisiei (2) și la articolul 14 din Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (3).

(10)

Definiția securității informațiilor utilizată în sensul prezentului act juridic nu trebuie să fie interpretată ca îndepărtându-se de definiția securității rețelelor și a sistemelor informatice stabilită în Directiva (UE) 2016/1148.

(11)

Pentru a se evita suprapunerea cerințelor juridice, în cazurile în care organizațiile care intră sub incidența prezentului regulament sunt deja supuse unor cerințe de securitate, decurgând din alte acte ale Uniunii menționate în considerentul 9 și având un efect echivalent cu dispozițiile prevăzute în prezentul regulament, trebuie să se considere că îndeplinirea respectivelor cerințe de securitate constituie o îndeplinire a cerințelor stabilite în prezentul regulament.

(12)

Organizațiile care intră sub incidența prezentului regulament și care sunt deja supuse cerințelor de securitate decurgând din Regulamentul de punere în aplicare (UE) 2015/1998 trebuie să îndeplinească și cerințele din anexa I (partea IS.D.OR.230 – „Sistemul de raportare externă în materie de securitate a informațiilor”) la prezentul regulament, întrucât Regulamentul de punere în aplicare (UE) 2015/1998 nu conține nicio dispoziție referitoare la raportarea externă a incidentelor de securitate a informațiilor.

(13)

Regulamentele (UE) nr. 748/2012 (4) și (UE) nr. 139/2014 (5) ale Comisiei trebuie modificate pentru a se stabili legătura dintre sistemele de management prevăzute în regulamentele enumerate mai sus și cerințele de management al securității informațiilor prevăzute în prezentul regulament.

(14)

Pentru a se oferi organizațiilor suficient timp să asigure conformitatea cu noile norme și proceduri introduse prin prezentul regulament, este oportun ca prezentul regulament să intre în aplicare după trei ani de la data intrării în vigoare.

(15)

Cerințele stabilite în prezentul regulament se bazează pe Avizul nr. 3/2021 (6), emis de agenție în conformitate cu articolul 75 alineatul (2) literele (b) și (c) și cu articolul 76 alineatul (1) din Regulamentul (UE) 2018/1139.

(16)

În conformitate cu articolul 128 alineatul (4) din Regulamentul (UE) 2018/1139, Comisia a consultat experții desemnați de fiecare stat membru în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (7),

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Obiect

În prezentul regulament sunt prevăzute cerințele care trebuie îndeplinite de organizațiile menționate la articolul 2 în vederea identificării și a managementului riscurilor în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației, care ar putea afecta sistemele de tehnologie a informației și comunicațiilor și datele utilizate în scopul aviației civile, în vederea detectării evenimentelor de securitate a informațiilor și a identificării acelora care sunt considerate incidente de securitate a informațiilor cu impact potențial asupra siguranței aviației, precum și în vederea asigurării unui răspuns la respectivele incidente de securitate a informațiilor și a redresării în urma acestora.

Articolul 2

Domeniu de aplicare

(1)   Prezentul regulament se aplică următoarelor organizații:

(a)

organizațiilor de producție și organizațiilor de proiectare supuse dispozițiilor din secțiunea A subpărțile G și J din anexa I (partea 21) la Regulamentul (UE) nr. 748/2012, cu excepția organizațiilor de proiectare și producție care sunt implicate exclusiv în proiectarea și/sau producția de aeronave ELA2, astfel cum sunt definite la articolul 1 alineatul (2) litera (j) din Regulamentul (UE) nr. 748/2012;

(b)

operatorilor de aerodromuri și furnizorilor de servicii de gestionare a platformei care sunt supuși dispozițiilor din anexa III – „Partea Cerințe aplicabile organizațiilor (partea ADR.OR)” – la Regulamentul (UE) nr. 139/2014.

(2)   Prezentul regulament nu aduce atingere cerințelor privind securitatea informațiilor și securitatea cibernetică stabilite la punctul 1.7 din anexa la Regulamentul de punere în aplicare (UE) 2015/1998 și la articolul 14 din Directiva (UE) 2016/1148.

Articolul 3

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

1.

„securitate a informațiilor” înseamnă păstrarea confidențialității, integrității, autenticității și disponibilității rețelelor și sistemelor informatice;

2.

„eveniment de securitate a informațiilor” înseamnă un eveniment identificat al unui sistem, al unui serviciu sau al unei rețele, care indică o posibilă încălcare a politicii de securitate a informațiilor sau o deficiență a controalelor de securitate a informațiilor ori o situație necunoscută anterior care poate fi relevantă pentru securitatea informațiilor;

3.

„incident” înseamnă orice eveniment care are un efect negativ asupra securității rețelelor și sistemelor informatice, astfel cum este definit la articolul 4 punctul 7 din Directiva (UE) 2016/1148;

4.

„risc în materie de securitate a informațiilor” înseamnă riscul la adresa organizării operațiunilor de aviație civilă, precum și la adresa activelor, persoanelor fizice și a altor organizații, atribuibil unui posibil eveniment de securitate a informațiilor. Riscurile în materie de securitate a informațiilor sunt asociate cu posibilitatea ca amenințările să exploateze vulnerabilitățile unui activ informațional sau ale unui grup de active informaționale;

5.

„amenințare” înseamnă o încălcare potențială a securității informațiilor care există atunci când o entitate, o circumstanță, o acțiune sau un eveniment ar putea cauza prejudicii;

6.

„vulnerabilitate” înseamnă o deficiență sau slăbiciune a unui activ sau a unui sistem, a procedurilor, a concepției, a implementării sau a măsurilor de securitate a informațiilor, care ar putea fi exploatată și s-ar putea solda cu o încălcare sau nerespectare a politicii de securitate a informațiilor.

Articolul 4

Cerințe care decurg din alte acte legislative ale Uniunii

(1)   Atunci când o organizație menționată la articolul 2 îndeplinește cerințe de securitate stabilite la articolul 14 din Directiva (UE) 2016/1148 care sunt echivalente cu cerințele stabilite în prezentul regulament, se consideră că îndeplinirea respectivelor cerințe de securitate constituie îndeplinirea cerințele stabilite în prezentul regulament.

(2)   În cazul în care o organizație menționată la articolul 2 este un operator sau o entitate menționată în programele naționale de securitate a aviației civile ale statelor membre, stabilite în conformitate cu articolul 10 din Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului (8), cerințele de securitate cibernetică de la punctul 1.7 din anexa la Regulamentul de punere în aplicare (UE) 2015/1998 sunt considerate echivalente cu cerințele stabilite în prezentul regulament, cu excepția punctului IS.D.OR.230 din anexa la prezentul regulament, care trebuie respectat.

(3)   După consultarea AESA și a grupului de cooperare menționat la articolul 11 din Directiva (UE) 2016/1148, Comisia poate să emită orientări pentru evaluarea echivalenței cerințelor stabilite în prezentul regulament cu cerințele stabilite în Directiva (UE) 2016/1148.

Articolul 5

Autoritatea competentă

(1)   Autoritatea responsabilă cu certificarea și supravegherea respectării prezentului regulament este:

(a)

în ceea ce privește organizațiile menționate la articolul 2 litera (a), autoritatea competentă desemnată în conformitate cu anexa I (partea 21) la Regulamentul (UE) nr. 748/2012;

(b)

în ceea ce privește organizațiile menționate la articolul 2 litera (b), autoritatea competentă desemnată în conformitate cu anexa III (partea ADR.OR) la Regulamentul (UE) nr. 139/2014.

(2)   În sensul prezentului regulament, statele membre pot desemna o entitate independentă și autonomă care să îndeplinească rolul și responsabilitățile atribuite autorităților competente menționate la alineatul (1). În acest caz, trebuie stabilite măsuri de coordonare între entitatea respectivă și autoritățile competente, astfel cum se menționează la alineatul (1), pentru a se asigura supravegherea efectivă a tuturor cerințelor care trebuie respectate de către organizație.

Articolul 6

Modificări aduse Regulamentului (UE) nr. 748/2012

Anexa I (partea 21) la Regulamentul (UE) nr. 748/2012 se modifică după cum urmează:

1.

cuprinsul se modifică după cum urmează:

(a)

după titlul 21.A.139 se introduce titlul următor:

21.A.139A

Sistemul de management al securității informațiilor”;

(b)

după titlul 21.A.239 se introduce titlul următor:

21.A.239A

Sistemul de management al securității informațiilor”;

2.

după punctul 21.A.139 se introduce următorul punct 21.A.139A:

21.A.139A

Sistemul de management al securității informațiilor

Pe lângă sistemul de management al producției prevăzut la punctul 21.A.139, organizația de producție instituie, implementează și menține un sistem de management al securității informațiilor în conformitate cu Regulamentul delegat (UE) 2022/1645 al Comisiei (*1), pentru a asigura managementul corespunzător al riscurilor în materie de securitate a informațiilor care pot avea un impact asupra siguranței aviației.

(*1)  Regulamentul delegat (UE) 2022/1645 al Comisiei din 14 iulie 2022 de stabilire a normelor de aplicare a Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului în ceea ce privește cerințele referitoare la managementul riscurilor în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației impuse organizațiilor care intră sub incidența Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei și de modificare a Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei (JO L 248, 26.9.2022, p. 18).”;"

3.

după punctul 21.A.239 se introduce următorul punct 21.A.239A:

21.A.239A

Sistemul de management al securității informațiilor

Pe lângă sistemul de management al proiectării prevăzut la punctul 21.A.239, organizația de proiectare instituie, implementează și menține un sistem de management al securității informațiilor în conformitate cu Regulamentul delegat (UE) 2022/1645, pentru a asigura managementul corespunzător al riscurilor în materie de securitate a informațiilor care pot avea un impact asupra siguranței aviației.”

Articolul 7

Modificări aduse Regulamentului (UE) nr. 139/2014

Anexa III (partea ADR.OR) la Regulamentul (UE) nr. 139/2014 se modifică după cum urmează:

1.

după punctul ADR.OR.D.005 se introduce următorul punct ADR.OR.D.005A:

ADR.OR.D.005A

Sistemul de management al securității informațiilor

Operatorul de aerodrom instituie, implementează și menține un sistem de management al securității informațiilor în conformitate cu Regulamentul delegat (UE) 2022/1645 al Comisiei (*2), pentru a asigura managementul corespunzător al riscurilor în materie de securitate a informațiilor care pot avea un impact asupra siguranței aviației.

(*2)  Regulamentul delegat (UE) 2022/1645 al Comisiei din 14 iulie 2022 de stabilire a normelor de aplicare a Regulamentului (UE) 2018/1139 al Parlamentului European și al Consiliului în ceea ce privește cerințele referitoare la managementul riscurilor în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației impuse organizațiilor care intră sub incidența Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei și de modificare a Regulamentelor (UE) nr. 748/2012 și (UE) nr. 139/2014 ale Comisiei (JO L 248, 26.9.2022, p. 18).”;"

2.

punctul ADR.OR.D.007 se înlocuiește cu următorul text:

ADR.OR.D.007

Managementul datelor aeronautice și al informațiilor aeronautice

(a)

În cadrul sistemului său de management, operatorul de aerodrom implementează și menține un sistem de management al calității care cuprinde următoarele activități:

(1)

activitățile sale legate de datele aeronautice;

(2)

activitățile sale de furnizare de informații aeronautice.

(b)

În cadrul sistemului său de management, operatorul de aerodrom stabilește un sistem de management al securității pentru a asigura securitatea datelor operaționale pe care le primește, le generează sau le utilizează în alt mod, astfel încât accesul la respectivele date operaționale să fie limitat numai la persoanele autorizate.

(c)

Sistemul de management al securității trebuie să definească următoarele elemente:

(1)

procedurile referitoare la evaluarea și reducerea riscurilor de securitate a datelor, monitorizarea și îmbunătățirea securității, examinările de securitate și diseminarea rezultatelor;

(2)

mijloacele destinate să detecteze breșele de securitate și să alerteze personalul prin avertizări adecvate cu privire la securitate;

(3)

mijloacele de control al efectelor cauzate de breșele de securitate și de identificare a măsurilor de remediere și a procedurilor de reducere a riscurilor pentru prevenirea repetării acestora.

(d)

Operatorul de aerodrom asigură autorizarea de securitate a personalului său în ceea ce privește securitatea datelor aeronautice.

(e)

Aspectele legate de securitatea informațiilor trebuie gestionate în conformitate cu punctul ADR.OR.D.005A.”;

3.

după punctul ADR.OR.F.045 se introduce următorul punct ADR.OR.F.045A:

ADR.OR.F.045A

Sistemul de management al securității informațiilor

Organizația responsabilă cu furnizarea de AMS instituie, implementează și menține un sistem de management al securității informațiilor în conformitate cu Regulamentul delegat (UE) 2022/1645, pentru a asigura managementul corespunzător al riscurilor în materie de securitate a informațiilor care pot avea un impact asupra siguranței aviației.”

Articolul 8

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Se aplică de la 16 octombrie 2025.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 14 iulie 2022.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1)   JO L 212, 22.8.2018, p. 1.

(2)  Regulamentul de punere în aplicare (UE) 2015/1998 al Comisiei din 5 noiembrie 2015 de stabilire a măsurilor detaliate de implementare a standardelor de bază comune în domeniul securității aviației (JO L 299, 14.11.2015, p. 1).

(3)  Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).

(4)  Regulamentul (UE) nr. 748/2012 al Comisiei din 3 august 2012 de stabilire a normelor de punere în aplicare privind certificarea pentru navigabilitate și mediu a aeronavelor și a produselor, pieselor și echipamentelor aferente, precum și certificarea organizațiilor de proiectare și producție (JO L 224, 21.8.2012, p. 1).

(5)  Regulamentul (UE) nr. 139/2014 al Comisiei din 12 februarie 2014 de stabilire a cerințelor tehnice și a procedurilor administrative referitoare la aerodromuri în temeiul Regulamentului (CE) nr. 216/2008 al Parlamentului European și al Consiliului (JO L 44, 14.2.2014, p. 1).

(6)  https://www.easa.europa.eu/document-library/opinions

(7)   JO L 123, 12.5.2016, p. 1.

(8)  Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2320/2002 (JO L 97, 9.4.2008, p. 72).

ANEXĂ

SECURITATEA INFORMAȚIILOR – CERINȚE APLICABILE ORGANIZAȚIEI

[PARTEA-IS.D.OR]

IS.D.OR.100

 Domeniul de aplicare

IS.D.OR.200

 Sistemul de management al securității informațiilor

IS.D.OR.205

 Evaluarea riscurilor în materie de securitate a informațiilor

IS.D.OR.210

 Tratarea riscurilor în materie de securitate a informațiilor

IS.D.OR.215

 Sistemul de raportare internă în materie de securitate a informațiilor

IS.D.OR.220

 Incidentele de securitate a informațiilor – detectare, răspuns și redresare

IS.D.OR.225

 Răspunsul la constatările notificate de autoritatea competentă

IS.D.OR.230

 Sistemul de raportare externă în materie de securitate a informațiilor

IS.D.OR.235

 Subcontractarea activităților de management al securității informațiilor

IS.D.OR.240

 Cerințele în materie de personal

IS.D.OR.245

 Păstrarea evidențelor

IS.D.OR.250

 Manualul de management al securității informațiilor (MMSI)

IS.D.OR.255

 Modificări ale sistemului de management al securității informațiilor

IS.D.OR.260

 Îmbunătățirea continuă

IS.D.OR.100   Domeniul de aplicare

Prezenta parte stabilește cerințele care trebuie îndeplinite de organizațiile menționate la articolul 2 din prezentul regulament.

IS.D.OR.200   Sistemul de management al securității informațiilor (SMSI)

(a)

Pentru a atinge obiectivele prevăzute la articolul 1, organizația trebuie să instituie, să implementeze și să mențină un sistem de management al securității informațiilor (SMSI) care asigură faptul că organizația:

(1)

instituie o politică de securitate a informațiilor în care sunt prevăzute principiile generale ale organizației în ceea ce privește impactul potențial al riscurilor în materie de securitate a informațiilor asupra siguranței aviației;

(2)

identifică și examinează riscurile în materie de securitate a informațiilor în conformitate cu punctul IS.D.OR.205;

(3)

definește și implementează măsurile de tratare a riscurilor în materie de securitate a informațiilor în conformitate cu punctul IS.D.OR.210;

(4)

implementează un sistem de raportare internă în materie de securitate a informațiilor în conformitate cu punctul IS.D.OR.215;

(5)

definește și implementează, în conformitate cu punctul IS.D.OR.220, măsurile necesare pentru detectarea evenimentelor de securitate a informațiilor, le identifică pe cele care sunt considerate incidente cu impact potențial asupra siguranței aviației, cu excepția cazurilor permise conform punctului IS.D.OR.205 litera (e), asigură un răspuns la respectivele incidentele de securitate a informațiilor și se redresează în urma acestora;

(6)

implementează măsurile care au fost notificate de autoritatea competentă ca reacție imediată la un incident sau o vulnerabilitate în materie de securitate a informațiilor cu impact asupra siguranței aviației;

(7)

ia măsurile corespunzătoare, în conformitate cu punctul IS.D.OR.225, pentru abordarea constatărilor notificate de autoritatea competentă;

(8)

implementează un sistem de raportare externă în conformitate cu punctul IS.D.OR.230, astfel încât autoritatea competentă să poată lua măsuri corespunzătoare;

(9)

îndeplinește cerințele de la punctul IS.D.OR.235 când subcontractează altor organizații orice parte a activităților menționate la punctul IS.D.OR.200;

(10)

îndeplinește cerințele în materie de personal stabilite la punctul IS.D.OR.240;

(11)

îndeplinește cerințele de păstrare a evidențelor stabilite la punctul IS.D.OR.245;

(12)

monitorizează îndeplinirea de către organizație a cerințelor din prezentul regulament și transmite managerului responsabil sau, în cazul organizațiilor de proiectare, șefului organizației de proiectare feedback cu privire la constatări, pentru a asigura implementarea efectivă a măsurilor corective;

(13)

protejează, fără a aduce atingere cerințelor aplicabile în materie de raportare a incidentelor, confidențialitatea oricăror informații pe care organizația le-ar fi putut primi de la alte organizații, în funcție de nivelul de sensibilitate a informațiilor respective.

(b)

Pentru a îndeplini în permanență cerințele menționate la articolul 1, organizația trebuie să implementeze un proces de îmbunătățire continuă în conformitate cu punctul IS.D.OR.260.

(c)

Organizația trebuie să documenteze, în conformitate cu punctul IS.D.OR.250, toate procesele, procedurile, rolurile și responsabilitățile cheie necesare pentru a se conforma punctului IS.D.OR.200 litera (a) și să instituie un proces de modificare a documentației respective. Modificările aduse respectivelor procese, proceduri, roluri și responsabilități se gestionează în conformitate cu punctul IS.D.OR.255.

(d)

Procesele, procedurile, rolurile și responsabilitățile instituite de organizație pentru a se conforma punctului IS.D.OR.200 litera (a) trebuie să corespundă naturii și complexității activităților sale, pe baza unei evaluări a riscurilor în materie de securitate a informațiilor inerente activităților respective, și pot fi integrate în alte sisteme de management existente care sunt deja implementate de organizație.

(e)

Fără a se aduce atingere obligației de conformitate cu cerințele de raportare prevăzute în Regulamentul (UE) nr. 376/2014 al Parlamentului European și al Consiliului (1) și cu cerințele de la punctul IS.D.OR.200 litera (a) subpunctul (13), organizația poate primi din partea autorității competente aprobarea de a nu implementa cerințele menționate la literele (a)-(d) și cerințele conexe prevăzute la punctele IS.D.OR.205 – IS.D.OR.260, dacă demonstrează într-un mod considerat satisfăcător de autoritatea respectivă că activitățile, instalațiile și resursele sale, precum și serviciile pe care le operează, furnizează, primește și menține nu prezintă niciun risc în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației pentru organizația în sine sau pentru alte organizații. Aprobarea trebuie să se bazeze pe o evaluare documentată a riscurilor în materie de securitate a informațiilor, efectuată de organizație sau de o parte terță în conformitate cu punctul IS.D.OR.205 și examinată și aprobată de autoritatea sa competentă.

Menținerea valabilității respectivei aprobări va fi examinată de autoritatea competentă în urma ciclului de audit de supraveghere aplicabil și ori de câte ori sunt implementate modificări ale domeniului de activitate al organizației.

IS.D.OR.205   Evaluarea riscurilor în materie de securitate a informațiilor

(a)

Organizația trebuie să identifice toate elementele sale care ar putea fi expuse unor riscuri în materie de securitate a informațiilor. Acestea trebuie să includă:

(1)

activitățile, instalațiile și resursele organizației, precum și serviciile pe care le operează, furnizează, primește sau menține organizația;

(2)

echipamentele, sistemele, datele și informațiile care contribuie la funcționarea elementelor enumerate la subpunctul (1).

(b)

Organizația trebuie să identifice interfețele pe care le are cu alte organizații și care ar putea conduce la expunerea reciprocă la riscuri în materie de securitate a informațiilor.

(c)

În ceea ce privește elementele și interfețele menționate la literele (a) și (b), organizația trebuie să identifice riscurile în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației. Pentru fiecare risc identificat, organizația trebuie:

(1)

să atribuie un nivel de risc în conformitate cu o clasificare predefinită stabilită de organizație;

(2)

să asocieze fiecare risc și nivelul său aferent cu elementul sau interfața corespunzătoare identificată în conformitate cu literele (a) și (b).

Clasificarea predefinită menționată la subpunctul (1) trebuie să țină seama de potențialul de producere a scenariului de amenințare și de gravitatea consecințelor acestuia asupra siguranței. Pe baza acestei clasificări și ținând cont dacă organizația dispune sau nu de un proces structurat și repetabil de management al riscurilor pentru operațiuni, organizația trebuie să fie în măsură să stabilească dacă riscul este acceptabil sau dacă trebuie tratat în conformitate cu punctul IS.D.OR.210.

Pentru a se facilita comparabilitatea reciprocă a evaluărilor riscurilor, la atribuirea nivelului de risc în temeiul subpunctului (1) se ține seama de informațiile relevante obținute în coordonare cu organizațiile menționate la litera (b).

(d)

Organizația trebuie să revizuiască și să actualizeze evaluarea riscurilor efectuată în conformitate cu literele (a), (b) și (c) în oricare dintre următoarele situații:

(1)

când există o modificare a elementelor expuse unor riscuri în materie de securitate a informațiilor;

(2)

când există o modificare a interfețelor dintre organizație și alte organizații sau o modificare a riscurilor comunicate de celelalte organizații;

(3)

când există o modificare a informațiilor sau a cunoștințelor utilizate pentru identificarea, analizarea și clasificarea riscurilor;

(4)

analiza incidentelor de securitate a informațiilor a permis desprinderea de învățăminte.

IS.D.OR.210   Tratarea riscurilor în materie de securitate a informațiilor

(a)

Organizația trebuie să elaboreze măsuri de abordare a riscurilor inacceptabile identificate în conformitate cu punctul IS.D.OR.205, să le implementeze în timp util și să verifice menținerea eficacității acestora. Respectivele măsuri trebuie să permită organizației:

(1)

să controleze circumstanțele care contribuie la apariția efectivă a scenariului de amenințare;

(2)

să diminueze consecințele asupra siguranței aviației, asociate materializării scenariului de amenințare;

(3)

să evite riscurile.

Respectivele măsuri nu trebuie să introducă noi riscuri potențiale inacceptabile pentru siguranța aviației.

(b)

Persoana menționată la punctul IS.D.OR.240 literele (a) și (b) și ceilalți membri vizați ai personalului organizației trebuie să fie informați de rezultatul evaluării riscurilor efectuate în conformitate cu punctul IS.D.OR.205, de scenariile de amenințare corespunzătoare și de măsurile care trebuie implementate.

Organizația trebuie să informeze, de asemenea, organizațiile cu care are o interfață în conformitate cu punctul IS.D.OR.205 litera (b) cu privire la orice risc comun celor două organizații.

IS.D.OR.215   Sistemul de raportare internă în materie de securitate a informațiilor

(a)

Organizația trebuie să instituie un sistem de raportare internă pentru a permite colectarea și evaluarea evenimentelor legate de securitatea informațiilor, inclusiv a celor care trebuie raportate în temeiul punctului IS.D.OR.230.

(b)

Sistemul respectiv și procesul menționat la punctul IS.D.OR.220 trebuie să îi permită organizației:

(1)

să identifice care dintre evenimentele raportate în temeiul literei (a) sunt considerate incidente de securitate a informațiilor sau vulnerabilități cu impact potențial asupra siguranței aviației;

(2)

să identifice cauzele și factorii determinanți ai incidentelor de securitate a informațiilor și vulnerabilitățile identificate în conformitate cu subpunctul (1) și să le abordeze în cadrul procesului de management al riscurilor în materie de securitate a informațiilor în conformitate cu punctele IS.D.OR.205 și IS.D.OR.220;

(3)

să asigure o evaluare a tuturor informațiilor cunoscute și relevante legate de incidentele de securitate a informațiilor și vulnerabilitățile identificate în conformitate cu subpunctul (1);

(4)

să asigure implementarea unei metode de distribuire internă a informațiilor, după caz.

(c)

Orice organizație subcontractată care ar putea expune organizația la riscuri în materie de securitate a informațiilor cu impact potențial asupra siguranței aviației are obligația de a raporta organizației evenimentele de securitate a informațiilor. Rapoartele respective se transmit prin procedurile stabilite în angajamentele contractuale specifice și se evaluează în conformitate cu litera (b).

(d)

Organizația trebuie să coopereze în cadrul investigațiilor cu orice altă organizație care are o contribuție semnificativă la securitatea informațiilor în cadrul propriilor sale activități.

(e)

Organizația poate integra sistemul de raportare respectiv în alte sisteme de raportare pe care le-a implementat deja.

IS.D.OR.220   Incidentele de securitate a informațiilor – detectare, răspuns și redresare

(a)

În funcție de rezultatul evaluării riscurilor, efectuată în conformitate cu punctul IS.D.OR.205, și de rezultatul tratării riscurilor, efectuată în conformitate cu punctul IS.D.OR.210, organizația trebuie să implementeze măsuri de detectare a incidentelor și vulnerabilităților care indică materializarea potențială a unor riscuri inacceptabile și care pot avea un impact potențial asupra siguranței aviației. Respectivele măsuri de detectare trebuie să permită organizației:

(1)

să identifice abaterile de la valorile de referință predeterminate ale performanței funcționale;

(2)

să declanșeze avertizări pentru activarea unor măsuri de răspuns adecvate, în cazul oricărei abateri.

(b)

Organizația trebuie să implementeze măsuri pentru a răspunde oricăror evenimente identificate în conformitate cu litera (a) care se pot transforma ori s-au transformat într-un incident de securitate a informațiilor. Aceste măsuri de răspuns trebuie să permită organizației:

(1)

să declanșeze reacția la avertizările menționate la litera (a) subpunctul (2) prin activarea unor resurse și planuri de acțiune predefinite;

(2)

să limiteze răspândirea unui atac și să evite materializarea deplină a unui scenariu de amenințare;

(3)

să controleze modul de defectare al elementelor afectate definite la punctul IS.D.OR.205 litera (a).

(c)

Organizația trebuie să implementeze măsuri de redresare în urma incidentelor de securitate a informațiilor, inclusiv măsuri de urgență, dacă este necesar. Respectivele măsuri de redresare trebuie să permită organizației:

(1)

să elimine situația care a cauzat incidentul sau să o limiteze la un nivel tolerabil;

(2)

să asigure atingerea unei stări de siguranță a elementelor afectate definite la punctul IS.D.OR.205 litera (a) în timpul de redresare definit în prealabil de organizație.

IS.D.OR.225   Răspunsul la constatările notificate de autoritatea competentă

(a)

După primirea notificării constatărilor de la autoritatea competentă, organizația trebuie:

(1)

să identifice atât cauza sau cauzele profunde ale apariției neconformității, cât și factorii care contribuie la aceasta;

(2)

să definească un plan de acțiuni corective;

(3)

să demonstreze corectarea neconformității într-un mod considerat satisfăcător de către autoritatea competentă.

(b)

Acțiunile menționate la litera (a) trebuie întreprinse în termenul convenit cu autoritatea competentă.

IS.D.OR.230   Sistemul de raportare externă în materie de securitate a informațiilor

(a)

Organizația trebuie să implementeze un sistem de raportare în materie de securitate a informațiilor care să fie conform cu cerințele stabilite în Regulamentul (UE) nr. 376/2014 și în actele delegate și de punere în aplicare ale acestuia, dacă regulamentul respectiv îi este aplicabil.

(b)

Fără a aduce atingere obligațiilor prevăzute în Regulamentul (UE) nr. 376/2014, organizația trebuie să se asigure că orice incident de securitate a informațiilor sau vulnerabilitate care poate reprezenta un risc semnificativ pentru siguranța aviației este raportată autorității sale competente. În plus:

(1)

atunci când un astfel de incident sau o astfel de vulnerabilitate afectează o aeronavă ori un sistem sau o componentă asociată, organizația trebuie să raporteze acest lucru și titularului aprobării de proiect;

(2)

atunci când un astfel de incident sau o astfel de vulnerabilitate afectează un sistem sau element constitutiv utilizat de organizație, ea trebuie să raporteze acest lucru organizației responsabile cu proiectarea sistemului sau a elementului constitutiv.

(c)

Organizația trebuie să raporteze situațiile menționate la litera (b) după cum urmează:

(1)

se transmite o notificare autorității competente și, dacă este cazul, titularului aprobării de proiect sau organizației responsabile cu proiectarea sistemului sau a elementului constitutiv, de îndată ce organizația ia cunoștință de situație;

(2)

se transmite un raport autorității competente și, dacă este cazul, titularului aprobării de proiect sau organizației responsabile cu proiectarea sistemului sau a elementului constitutiv, cât mai curând posibil, însă fără a depăși 72 de ore de la momentul în care organizația a luat cunoștință de situație, în afara cazului în care circumstanțe excepționale împiedică acest lucru.

Raportul se întocmește în forma definită de autoritatea competentă și trebuie să conțină toate informațiile relevante despre situația de care a luat cunoștință organizația;

(3)

se transmite autorității competente și, dacă este cazul, titularului aprobării de proiect sau organizației responsabile cu proiectarea sistemului sau a elementului constitutiv un raport de urmărire în care se oferă detalii privind acțiunile întreprinse sau pe care organizația intenționează să le întreprindă în urma incidentului, precum și privind acțiunile pe care organizația intenționează să le întreprindă pentru a preveni, în viitor, producerea unor incidente similare de securitate a informațiilor.

Raportul de urmărire se transmite de îndată ce au fost identificate respectivele acțiuni și se întocmește în forma definită de autoritatea competentă.

IS.D.OR.235   Subcontractarea activităților de management al securității informațiilor

(a)

Organizația trebuie să se asigure că, atunci când subcontractează altor organizații orice parte a activităților menționate la punctul IS.D.OR.200, activitățile subcontractate respectă cerințele din prezentul regulament și că organizația subcontractată lucrează sub supravegherea sa. Organizația trebuie să se asigure că riscurile asociate activităților subcontractate sunt gestionate în mod corespunzător.

(b)

Organizația trebuie să se asigure că autoritatea competentă poate avea acces, la cerere, la organizația subcontractată, pentru a determina menținerea conformității cu cerințele aplicabile stabilite în prezentul regulament.

IS.D.OR.240   Cerințele în materie de personal

(a)

Managerul responsabil al organizației sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare, desemnat în conformitate cu Regulamentul (UE) nr. 748/2012 și cu Regulamentul (UE) nr. 139/2014, astfel cum se menționează la articolul 2 alineatul (1) literele (a) și (b) din prezentul regulament, trebuie să aibă drepturile statutare necesare pentru a se asigura că toate activitățile prevăzute în prezentul regulament pot fi finanțate și efectuate. Persoana respectivă trebuie:

(1)

să se asigure că sunt disponibile toate resursele necesare pentru a se conforma cerințelor prezentului regulament;

(2)

să stabilească și să promoveze politica de securitate a informațiilor menționată la punctul IS.D.OR.200 litera (a) subpunctul (1);

(3)

să demonstreze că deține cunoștințe de bază privind prezentul regulament.

(b)

Managerul responsabil sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare trebuie să numească o persoană sau un grup de persoane pentru a asigura conformitatea organizației cu cerințele prezentului regulament și trebuie să definească nivelul de autoritate al acestora. Persoana sau grupul de persoane au obligația să raporteze direct managerului responsabil sau, în cazul organizațiilor de proiectare, șefului organizației de proiectare și trebuie să dețină pregătirea, cunoștințele și experiența necesare executării responsabilităților asumate. În cadrul procedurilor trebuie să se stabilească cine suplinește o anumită persoană în cazul unei absențe îndelungate a persoanei respective.

(c)

Managerul responsabil sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare trebuie să însărcineze o persoană sau un grup de persoane cu responsabilitatea de a gestiona funcția de monitorizare a conformității menționată la punctul IS.D.OR.200 litera (a) subpunctul (12).

(d)

Atunci când organizația partajează structuri organizaționale, politici, procese și proceduri în materie de securitate a informațiilor cu alte organizații sau cu domenii ale propriei organizări care nu fac parte din aprobare sau din declarație, managerul responsabil sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare, își poate delega activitățile unei persoane responsabile comune.

Într-un astfel de caz, se stabilesc măsuri de coordonare între managerul responsabil al organizației sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare și persoana responsabilă comună pentru a se asigura integrarea adecvată a managementului securității informațiilor în cadrul organizației.

(e)

Managerul responsabil sau șeful organizației de proiectare ori persoana responsabilă comună menționată la litera (d) trebuie să aibă drepturile statutare necesare pentru a institui și menține structurile organizaționale, politicile, procesele și procedurile necesare pentru implementarea punctului IS.D.OR.200.

(f)

Organizația trebuie să dispună de un proces prin care să se asigure că are suficient personal disponibil pentru îndeplinirea activităților reglementate de prezenta anexă.

(g)

Organizația trebuie să dispună de un proces prin care să se asigure că personalul menționat la litera (f) are competența necesară pentru a-și îndeplini sarcinile.

(h)

Organizația trebuie să dispună de un proces prin care să se asigure că personalul este informat de responsabilitățile aferente rolurilor și sarcinilor atribuite.

(i)

Organizația trebuie să se asigure că identitatea și fiabilitatea personalului care are acces la sistemele informatice și la datele care fac obiectul cerințelor prezentului regulament sunt stabilite în mod corespunzător.

IS.D.OR.245   Păstrarea evidențelor

(a)

Organizația trebuie să păstreze evidența activităților sale de management al securității informațiilor.

(1)

Organizația trebuie să se asigure că următoarele evidențe sunt arhivate și trasabile:

(i)

orice aprobare primită și orice evaluare conexă a riscurilor în materie de securitate a informațiilor în conformitate cu punctul IS.D.OR.200 litera (e);

(ii)

contractele pentru activitățile menționate la punctul IS.D.OR.200 litera (a) subpunctul (9);

(iii)

evidențele proceselor-cheie menționate la punctul IS.D.OR.200 litera (d);

(iv)

evidențele riscurilor identificate în evaluarea riscurilor menționată la punctul IS.D.OR.205, împreună cu măsurile conexe de tratare a riscurilor menționate la punctul IS.D.OR.210;

(v)

evidențele incidentelor și vulnerabilităților în materie de securitate a informațiilor raportate în conformitate cu sistemele de raportare menționate la punctele IS.D.OR.215 și IS.D.OR.230;

(vi)

evidențele evenimentelor de securitate a informațiilor care ar putea necesita o reevaluare în vederea depistării unor incidente sau vulnerabilități nedetectate în materie de securitate a informațiilor.

(2)

Evidențele menționate la subpunctul (1) punctul (i) se păstrează timp de cel puțin cinci ani de la data la care aprobarea și-a pierdut valabilitatea.

(3)

Evidențele menționate la subpunctul (1) punctul (ii) se păstrează timp de cel puțin cinci ani de la data la care contractul a fost modificat sau reziliat.

(4)

Evidențele menționate la subpunctul (1) punctele (iii), (iv) și (v) se păstrează timp de cel puțin cinci ani.

(5)

Evidențele menționate la subpunctul (1) punctul (vi) se păstrează până la reevaluarea respectivelor evenimente de securitate a informațiilor, efectuată cu o periodicitate definită în cadrul unei proceduri instituite de organizație.

(b)

Organizația trebuie să păstreze evidența calificărilor și a experienței personalului propriu implicat în activități de management al securității informațiilor.

(1)

Evidențele calificărilor și experienței personalului se păstrează atât timp cât persoana lucrează pentru organizație și timp de cel puțin trei ani după ce persoana a părăsit organizația.

(2)

Membrii personalului trebuie să primească, la cerere, acces la evidențele personale. În plus, la cererea membrilor personalului, organizația trebuie să le furnizeze acestora, la părăsirea organizației, o copie a evidențelor personale.

(c)

Formatul evidențelor se specifică în procedurile organizației.

(d)

Evidențele se stochează astfel încât să fie protejate împotriva deteriorării, alterării și furtului, informațiile fiind identificate, după caz, conform nivelului lor de clasificare de securitate. Organizația trebuie să se asigure că evidențele sunt stocate prin mijloace care să asigure integritatea, autenticitatea și accesul autorizat.

IS.D.OR.250   Manualul de management al securității informațiilor (MMSI)

(a)

Organizația trebuie să pună la dispoziția autorității competente un manual de management al securității informațiilor (MMSI) și, când este cazul, eventualele manuale și proceduri conexe la care se face trimitere în manualul respectiv, conținând:

(1)

o declarație semnată de managerul responsabil sau, în cazul organizațiilor de proiectare, de șeful organizației de proiectare, prin care se confirmă că organizația își va desfășura în permanență activitatea în conformitate cu prezenta anexă și cu MMSI. Dacă managerul responsabil sau, în cazul organizațiilor de proiectare, șeful organizației de proiectare nu este directorul general al organizației, declarația trebuie să fie contrasemnată de directorul general;

(2)

funcția (funcțiile), numele, atribuțiile, răspunderile, responsabilitățile și competențele persoanei sau persoanelor menționate la punctul IS.D.OR.240 literele (b) și (c);

(3)

funcția, numele, atribuțiile, răspunderile, responsabilitățile și competențele persoanei responsabile comune menționate la punctul IS.D.OR.240 litera (d), dacă este cazul;

(4)

politica de securitate a informațiilor instituită de organizație, astfel cum este menționată la punctul IS.D.OR.200 litera (a) subpunctul (1);

(5)

o descriere generală a resurselor umane, din punctul de vedere al efectivelor și categoriilor, precum și a sistemului instituit pentru planificarea disponibilității personalului, astfel cum se prevede la punctul IS.D.OR.240 litera (d);

(6)

funcția (funcțiile), numele, atribuțiile, răspunderile, responsabilitățile și competențele persoanelor-cheie responsabile cu implementarea punctului IS.D.OR.200, inclusiv ale persoanei sau persoanelor responsabile cu funcția de monitorizare a conformității, menționată la punctul IS.D.OR.200 litera (a) subpunctul (12);

(7)

o organigramă ilustrând liniile ierarhice conexe în materie de răspundere și responsabilitate pentru persoanele menționate la subpunctele (2) și (6);

(8)

descrierea sistemului de raportare internă menționat la punctul IS.D.OR.215;

(9)

procedurile în care se specifică modul în care organizația asigură conformitatea cu prezenta parte, în particular:

(i)

documentația menționată la punctul IS.D.OR.200 litera (c);

(ii)

procedurile care definesc modul în care organizația controlează eventualele activități subcontractate, astfel cum se menționează la punctul IS.D.OR.200 litera (a) subpunctul (9);

(iii)

procedura de modificare a MMSI-ului, definită la litera (c);

(10)

informații detaliate referitoare la mijloace de conformare alternative aprobate în prezent.

(b)

Ediția inițială a MMSI-ului trebuie să fie aprobată, iar o copie trebuie să fie păstrată de autoritatea competentă. MMSI-ul trebuie modificat în funcție de necesități, astfel încât să reprezinte o descriere actualizată a SMSI-ului organizației. O copie a oricăror modificări aduse MMSI-ului trebuie transmisă autorității competente.

(c)

Modificările aduse MMSI-ului se gestionează în cadrul unei proceduri instituite de organizație. Orice modificare care nu este acoperită de domeniul de aplicare al acestei proceduri și orice modificare legată de modificările menționate la punctul IS.D.OR.255 litera (b) trebuie să fie aprobată de autoritatea competentă.

(d)

Organizația poate integra MMSI-ul în alte specificații sau manuale de management pe care le deține, cu condiția să existe o referință încrucișată clară indicând părțile din specificațiile sau manualul de management care corespund diferitelor cerințe cuprinse în prezenta anexă.

IS.D.OR.255   Modificări ale sistemului de management al securității informațiilor

(a)

Modificările aduse SMSI-ului pot fi gestionate și notificate autorității competente în cadrul unei proceduri elaborate de organizație. Procedură respectivă trebuie să fie aprobată de autoritatea competentă.

(b)

În ceea ce privește modificările SMSI-ului care nu fac obiectul procedurii menționate la litera (a), organizația trebuie să solicite și să obțină o aprobare din partea autorității competente.

În ceea ce privește aceste modificări:

(1)

cererea se depune înainte să intervină modificarea respectivă, pentru a i se permite autorității competente să stabilească continuitatea conformității cu prezentul regulament și să modifice, dacă este necesar, certificatul organizației și condițiile de aprobare anexate acestuia;

(2)

organizația trebuie să pună la dispoziția autorității competente toate informațiile solicitate pentru evaluarea modificării;

(3)

modificarea se implementează numai după primirea unei aprobări oficiale din partea autorității competente;

(4)

organizația trebuie să își desfășoare activitatea în condițiile stabilite de autoritatea competentă în timpul implementării modificărilor respective.

IS.D.OR.260   Îmbunătățirea continuă

(a)

Organizația trebuie să evalueze, cu ajutorul unor indicatori de performanță adecvați, eficacitatea și maturitatea SMSI-ului. Respectiva evaluare trebuie efectuată pe baza unui calendar predefinit de organizație sau în urma unui incident de securitate a informațiilor.

(b)

Dacă în urma evaluării efectuate în conformitate cu litera (a) se constată deficiențe, organizația trebuie să ia măsurile de îmbunătățire necesare pentru a se asigura că SMSI-ul continuă să se conformeze cerințelor aplicabile și că el menține riscurile în materie de securitate a informațiilor la un nivel acceptabil. În plus, organizația trebuie să reevalueze elementele SMSI vizate de măsurile adoptate.

(1)  Regulamentul (UE) nr. 376/2014 al Parlamentului European și al Consiliului din 3 aprilie 2014 privind raportarea, analiza și acțiunile subsecvente cu privire la evenimentele de aviație civilă, de modificare a Regulamentului (UE) nr. 996/2010 al Parlamentului European și al Consiliului și de abrogare a Directivei 2003/42/CE a Parlamentului European și a Consiliului, și a Regulamentelor (CE) nr. 1321/2007 și (CE) nr. 1330/2007 ale Comisiei (JO L 122, 24.4.2014, p. 18).