REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2019/1583 AL COMISIEI

din 25 septembrie 2019

de modificare a Regulamentului de punere în aplicare (UE) 2015/1998 de stabilire a măsurilor detaliate de implementare a standardelor de bază comune din domeniul securității aviației în ceea ce privește măsurile de securitate cibernetică

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (CE) nr. 300/2008 al Parlamentului European și al Consiliului din 11 martie 2008 privind norme comune în domeniul securității aviației civile și de abrogare a Regulamentului (CE) nr. 2320/2002 (1), în special articolul 1 și articolul 4 alineatul (3),

întrucât:

(1)

Unul dintre principalele obiective ale Regulamentului (CE) nr. 300/2008 este de a oferi baza unei interpretări comune a anexei 17 (anexa referitoare la securitate) la Convenția privind aviația civilă internațională (2) din 7 decembrie 1944, ediția a 10-a, 2017, la care toate statele membre ale UE sunt semnatare.

(2)	Mijloacele de realizare a obiectivelor sunt: (a) stabilirea de norme comune și de standarde de bază comune privind securitatea aviației și (b) mecanisme de monitorizare a conformității.

(3)

Scopul modificării legislației de punere în aplicare este de a ajuta statele membre să asigure respectarea deplină a celui mai recent amendament (amendamentul 16) la anexa 17 la Convenția privind aviația civilă internațională, care a introdus noi standarde în capitolul 3.1.4 privind organizarea națională și autoritatea competentă și în capitolul 4.9.1 privind măsurile preventive în materie de securitate cibernetică.

(4)

Prin transpunerea acestor standarde în legislația de punere în aplicare a UE în materie de securitate a aviației, se va asigura că autoritățile competente stabilesc și pun în aplicare proceduri pentru transmiterea informațiilor pertinente, în funcție de necesități și într-un mod practic și rapid, pentru a ajuta alte autorități și agenții naționale, administratorii de aeroporturi, transportatorii aerieni și alte entități vizate să efectueze evaluări eficace ale riscurilor în materie de securitate asociate operațiunilor lor, sprijinind în acest fel entitățile respective în vederea realizării unor evaluări eficace ale riscurilor în materie de securitate, printre altele, în ceea ce privește securitatea cibernetică și a implementării măsurilor de combatere a amenințărilor cibernetice.

(5)

Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (3) privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (Directiva NIS) stabilește măsuri pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, în vederea îmbunătățirii funcționării pieței interne. Măsurile care decurg din Directiva NIS și din prezentul regulament trebuie să fie coordonate la nivel național pentru a evita lacunele și suprapunerea obligațiilor.

(6)	Prin urmare, Regulamentul de punere în aplicare (UE) 2015/1998 al Comisiei (4) trebuie modificat în consecință.

(7)	Măsurile prevăzute în prezentul regulament sunt conforme cu avizul Comitetului pentru securitatea aviației civile, instituit prin articolul 19 alineatul (1) din Regulamentul (CE) nr. 300/2008,

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Anexa la Regulamentul de punere în aplicare (UE) 2015/1998 se modifică în conformitate cu anexa la prezentul regulament.

Articolul 2

Prezentul regulament intră în vigoare la 31 decembrie 2020.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 25 septembrie 2019.

Pentru Comisie

Președintele

Jean-Claude JUNCKER

(1) JO L 97, 9.4.2008, p. 72.

(2) https://icao.int/publications/pages/doc7300.aspx

(3) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).

(4) Regulamentul de punere în aplicare (UE) 2015/1998 al Comisiei din 5 noiembrie 2015 de stabilire a măsurilor detaliate de implementare a standardelor de bază comune în domeniul securității aviației (JO L 299, 14.11.2015, p. 1).

ANEXĂ

Anexa la Regulamentul de punere în aplicare (UE) 2015/1998 se modifică după cum urmează:

Se adaugă punctul 1.0.6, cu următorul text:

„1.0.6.

Autoritatea competentă stabilește și pune în aplicare proceduri pentru transmiterea informațiilor pertinente, în funcție de necesități și într-un mod practic și rapid, pentru a ajuta alte autorități și agenții naționale, administratorii de aeroporturi, transportatorii aerieni și alte entități vizate să efectueze evaluări eficace ale riscurilor în materie de securitate asociate operațiunilor lor.”

Se adaugă punctul 1.7, cu următorul text:

„1.7 IDENTIFICAREA DATELOR ȘI A SISTEMELOR DE TEHNOLOGIE A INFORMAȚIEI ȘI COMUNICAȚIILOR CRITICE PENTRU AVIAȚIA CIVILĂ ȘI PROTEJAREA ACESTORA ÎMPOTRIVA AMENINȚĂRILOR CIBERNETICE

1.7.1.

Autoritatea competentă se asigură că administratorii de aeroporturi, transportatorii aerieni și entitățile definite în programul național de securitate a aviației civile identifică și își protejează datele și sistemele de tehnologie a informației și comunicațiilor critice împotriva atacurilor cibernetice care ar putea afecta securitatea aviației civile.

1.7.2.

Administratorii de aeroporturi, transportatori aerieni și entitățile respective identifică în programul lor de securitate sau în orice document relevant la care se face trimitere în respectivul program de securitate datele și sistemele de tehnologie a informației și comunicațiilor critice descrise la punctul 1.7.1.

Programul de securitate sau orice document relevant la care se face trimitere în respectivul program de securitate detaliază măsurile menite să asigure protecția împotriva atacurilor cibernetice, răspunsul la astfel de atacuri și redresarea în urma lor, după cum se descrie la punctul 1.7.1.

1.7.3.

Măsurile detaliate de protecție a acestor sisteme și date împotriva intervențiilor ilicite sunt identificate, elaborate și puse în aplicare în conformitate cu o evaluare a riscurilor efectuată de către administratorul aeroportului, transportatorul aerian sau entitatea respectivă, după caz.

1.7.4.

În cazul în care o anumită autoritate sau agenție este competentă pentru măsurile legate de amenințările cibernetice într-un stat membru, respectiva autoritate sau agenție poate fi desemnată ca fiind competentă pentru coordonarea și/sau monitorizarea dispozițiilor legate de securitatea cibernetică ale prezentului regulament.

1.7.5.

Atunci când administratorii de aeroporturi, transportatorii aerieni și entitățile definite în programul național de securitate a aviației civile fac obiectul unor cerințe de securitate cibernetică separate care decurg din alte acte legislative ale UE sau naționale, autoritatea competentă poate înlocui respectarea cerințelor din prezentul regulament cu respectarea elementelor cuprinse în alte acte legislative ale UE sau naționale. Autoritatea competentă se coordonează cu orice altă autoritate competentă relevantă pentru a asigura coordonarea sau compatibilitatea sistemelor de supraveghere.”

Punctul 11.1.2 se înlocuiește cu următorul text:

„11.1.2.

Următorul personal trebuie să fi trecut cu succes printr-o verificare standard sau aprofundată a antecedentelor:

(a)	persoanele recrutate pentru a aplica sau pentru a fi responsabile cu aplicarea controlului de securitate, a controlului accesului sau a altor măsuri de securitate într-o altă parte decât o zonă de securitate cu acces restricționat;

(b)	persoanele care au acces neînsoțit la mărfurile și poșta destinate transportului aerian, la poșta transportatorului aerian și la materialele transportatorului aerian, la proviziile de bord și la proviziile de aeroport cărora le-au fost aplicate măsurile de securitate necesare;

(c)

persoanele care au drepturi de administrator sau acces nesupravegheat și nelimitat la datele și sistemele de tehnologie a informației și comunicațiilor critice utilizate în scopuri de securitate a aviației civile astfel cum se descrie la punctul 1.7.1 în conformitate cu programul național de securitate a aviației sau care au fost identificate în evaluarea riscurilor menționată la punctul 1.7.3.

În lipsa unor dispoziții contrare ale prezentului regulament, necesitatea efectuării unei verificări standard sau a unei verificări aprofundate a antecedentelor este stabilită de autoritatea competentă în conformitate cu normele naționale aplicabile.”

Se adaugă punctul 11.2.8, cu următorul text:

„11.2.8. Pregătirea persoanelor cu roluri și responsabilități în materie de amenințări cibernetice

11.2.8.1.

Persoanele care pun în aplicare măsurile prevăzute la punctul 1.7.2 trebuie să aibă competențele și aptitudinile necesare pentru îndeplinirea cu eficacitate a sarcinilor desemnate. Persoanele respective trebuie să fie informate cu privire la riscurile cibernetice relevante pe baza principiului necesității de a cunoaște.

11.2.8.2.

Persoanele care au acces la date sau sisteme trebuie să primească o pregătire corespunzătoare și specifică funcției ocupate, proporțională cu rolul și responsabilitățile lor, inclusiv să fie informate în legătură cu riscurile relevante atunci când funcția lor impune acest lucru. Autoritatea competentă sau autoritatea sau agenția prevăzută la punctul 1.7.4 precizează sau aprobă conținutul cursului.”