This document is an excerpt from the EUR-Lex website
Document 32023R0203
Commission Implementing Regulation (EU) 2023/203 of 27 October 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664, and for competent authorities covered by Commission Regulations (EU) No 748/2012, (EU) No 1321/2014, (EU) No 965/2012, (EU) No 1178/2011, (EU) 2015/340 and (EU) No 139/2014, Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664 and amending Commission Regulations (EU) No 1178/2011, (EU) No 748/2012, (EU) No 965/2012, (EU) No 139/2014, (EU) No 1321/2014, (EU) 2015/340, and Commission Implementing Regulations (EU) 2017/373 and (EU) 2021/664
Vykonávacie nariadenie Komisie (EÚ) 2023/203 z 27. októbra 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664, a pre príslušné orgány, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012, (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373, (EÚ) č. 139/2014 a (EÚ) 2021/664, a ktorým sa menia nariadenia Komisie (EÚ) č. 1178/2011, (EÚ) č. 748/2012, (EÚ) č. 965/2012, (EÚ) č. 139/2014, (EÚ) č. 1321/2014, (EÚ) 2015/340 a vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664
Vykonávacie nariadenie Komisie (EÚ) 2023/203 z 27. októbra 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664, a pre príslušné orgány, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012, (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373, (EÚ) č. 139/2014 a (EÚ) 2021/664, a ktorým sa menia nariadenia Komisie (EÚ) č. 1178/2011, (EÚ) č. 748/2012, (EÚ) č. 965/2012, (EÚ) č. 139/2014, (EÚ) č. 1321/2014, (EÚ) 2015/340 a vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664
C/2022/7215
Ú. v. EÚ L 31, 2.2.2023, p. 1–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 05/10/2023
2.2.2023 |
SK |
Úradný vestník Európskej únie |
L 31/1 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2023/203
z 27. októbra 2022,
ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664, a pre príslušné orgány, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012, (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacie nariadenia Komisie (EÚ) 2017/373, (EÚ) č. 139/2014 a (EÚ) 2021/664, a ktorým sa menia nariadenia Komisie (EÚ) č. 1178/2011, (EÚ) č. 748/2012, (EÚ) č. 965/2012, (EÚ) č. 139/2014, (EÚ) č. 1321/2014, (EÚ) 2015/340 a vykonávacie nariadenia Komisie (EÚ) 2017/373 a (EÚ) 2021/664
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (1), a najmä na jeho článok 17 ods. 1 písm. b), článok 27 ods. 1 písm. a), článok 31 ods. 1 písm. b), článok 43 ods. 1 písm. b), článok 53 ods. 1 písm. a) a článok 62 ods. 15 písm. c),
keďže:
(1) |
V súlade so základnými požiadavkami stanovenými v bode 3.1 písm. b) prílohy II k nariadeniu (EÚ) 2018/1139 majú organizácie pre riadenie zachovania letovej spôsobilosti a organizácie vykonávajúce údržbu zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(2) |
Okrem toho v súlade so základnými požiadavkami stanovenými v bode 3.3 písm. b) a bode 5 písm. b) prílohy IV k nariadeniu (EÚ) 2018/1139 majú výcvikové organizácie pre pilotov, výcvikové organizácie pre palubných sprievodcov, poverené letecké zdravotnícke zariadenia pre posádku a prevádzkovatelia výcvikových zariadení na simuláciu letu zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(3) |
Okrem toho v súlade so základnými požiadavkami stanovenými v bode 8.1 písm. c) prílohy V k nariadeniu (EÚ) 2018/1139 majú leteckí prevádzkovatelia zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(4) |
Okrem toho v súlade so základnými požiadavkami stanovenými v bode 5.1 písm. c) a bode 5.4 písm. b) prílohy VIII k nariadeniu (EÚ) 2018/1139 majú poskytovatelia manažmentu letovej prevádzky a leteckých navigačných služieb, poskytovatelia služieb U-space a jednotliví poskytovatelia spoločných informačných služieb a výcvikové organizácie a poverené letecké zdravotnícke zariadenia pre riadiacich letovej prevádzky zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(5) |
Uvedené bezpečnostné riziká môžu pochádzať z rôznych zdrojov, ako sú projekčné a údržbové nedostatky, aspekty ľudskej výkonnosti, environmentálne hrozby a hrozby pre informačnú bezpečnosť. V systémoch riadenia zavedených Agentúrou Európskej únie pre bezpečnosť letectva (ďalej len „agentúra“) a národnými príslušnými orgánmi a organizáciami uvedenými v odôvodneniach by sa preto mali zohľadňovať nielen bezpečnostné riziká vyplývajúce z náhodných udalostí, ale aj bezpečnostné riziká vyplývajúce z hrozieb pre informačnú bezpečnosť, pri ktorých môžu jednotlivci so zlým úmyslom existujúce nedostatky zneužiť. Tieto riziká v oblasti informačnej bezpečnosti v prostredí civilného letectva neustále narastajú, keďže súčasné informačné systémy sú čoraz viac prepojené a čoraz viac sa stávajú cieľom aktérov so zlými úmyslami. |
(6) |
Riziká spojené s týmito informačnými systémami sa neobmedzujú len na možné útoky na kybernetický priestor, ale zahŕňajú aj hrozby, ktoré môžu ovplyvniť procesy a postupy, ako aj výkonnosť ľudí. |
(7) |
Značný počet organizácií už používa medzinárodné normy, ako napríklad ISO 27001, s cieľom riešiť zabezpečenie digitálnych informácií a údajov. Uvedené normy nezohľadňujú v plnej miere všetky osobitosti civilného letectva. Preto je vhodné stanoviť požiadavky na riadenie rizík v oblasti informačnej bezpečnosti, ktoré by mohli mať vplyv na bezpečnosť letectva. |
(8) |
Je nevyhnutné, aby sa uvedené požiadavky vzťahovali na všetky oblasti letectva a ich rozhrania, keďže letectvo je vysoko prepojeným systémom systémov. Preto by sa mali uplatňovať na všetky organizácie a príslušné orgány, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 (2), (EÚ) č. 1321/2014 (3), (EÚ) č. 965/2012 (4), (EÚ) č. 1178/2011 (5), (EÚ) 2015/340 (6), (EÚ) č. 139/2014 (7) a vykonávacie nariadenie Komisie (EÚ) 2021/664 (8), a to aj na tie, ktoré sú už povinné mať systém riadenia v súlade s existujúcimi právnymi predpismi Únie v oblasti bezpečnosti letectva. Niektoré organizácie by však mali byť vylúčené z rozsahu pôsobnosti tohto nariadenia, aby sa zabezpečila primeraná proporcionalita k nižším rizikám v oblasti informačnej bezpečnosti, ktoré predstavujú pre systém letectva. |
(9) |
Požiadavky stanovené v tomto nariadení by mali zabezpečiť dôsledné vykonávanie vo všetkých oblastiach letectva, pričom by mali mať minimálny vplyv na právne predpisy Únie v oblasti bezpečnosti letectva, ktoré sa už v týchto oblastiach uplatňujú. |
(10) |
Požiadavkami stanovenými v tomto nariadení by nemali byť dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu Komisie (EÚ) 2015/1998 (9) a v článku 14 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (10). |
(11) |
Bezpečnostné požiadavky stanovené v článkoch 33 až 43 hlavy V „Bezpečnosť VPÚ“ nariadenia Európskeho parlamentu a Rady (EÚ) 2021/696 (11) sa považujú za rovnocenné s požiadavkami stanovenými v tomto nariadení s výnimkou ustanovenia IS.I.OR.230 prílohy II k tomuto nariadeniu, ktoré by sa mali dodržiavať. |
(12) |
S cieľom zabezpečiť právnu istotu by sa výklad pojmu „informačná bezpečnosť“ vymedzeného v tomto nariadení, ktorý vyjadruje jeho bežné používanie v civilnom letectve na celom svete, mal považovať za konzistentný s výkladom pojmu „bezpečnosť sietí a informačných systémov“ v zmysle článku 4 ods. 2 smernice (EÚ) 2016/1148. Vymedzenie pojmu informačnej bezpečnosti použité na účely tohto nariadenia by sa nemalo vykladať odlišne od vymedzenia pojmu bezpečnosti sietí a informačných systémov stanoveného v smernici (EÚ) 2016/1148. |
(13) |
S cieľom zabrániť duplicite právnych požiadaviek, ak organizácie, na ktoré sa vzťahuje toto nariadenie, už podliehajú bezpečnostným požiadavkám vyplývajúcim z aktov Únie uvedených v odôvodneniach (10) a 11, ktorých účinky sú rovnocenné s ustanoveniami tohto nariadenia, súlad s uvedenými bezpečnostnými požiadavkami by sa mal považovať za súlad s požiadavkami stanovenými v tomto nariadení. |
(14) |
Organizácie, na ktoré sa vzťahuje toto nariadenie a ktoré už podliehajú bezpečnostným požiadavkám vyplývajúcim z vykonávacieho nariadenia (EÚ) 2015/1998 alebo nariadenia (EÚ) 2021/696 alebo z oboch, by mali spĺňať aj požiadavky prílohy II (časť IS.I.OR.230 „Systém externého nahlasovania informačnej bezpečnosti“) k tomuto nariadeniu, keďže žiadne nariadenie neobsahuje ustanovenia týkajúce sa externého nahlasovania incidentov v oblasti informačnej bezpečnosti. |
(15) |
V záujme úplnosti by sa nariadenia (EÚ) č. 1178/2011, (EÚ) č. 748/2012, (EÚ) č. 965/2012, (EÚ) č. 139/2014, (EÚ) č. 1321/2014, (EÚ) 2015/340 a vykonávacie nariadenia (EÚ) 2017/373 (12) a (EÚ) 2021/664 mali zmeniť s cieľom zaviesť požiadavky na systém riadenia informačnej bezpečnosti stanovené v tomto nariadení spolu so systémami riadenia, ktoré sú v ňom stanovené, a stanoviť požiadavky príslušných orgánov, pokiaľ ide o dohľad nad organizáciami, ktoré vykonávajú uvedené požiadavky na riadenie informačnej bezpečnosti. |
(16) |
S cieľom poskytnúť organizáciám dostatočný čas na zabezpečenie súladu s novými pravidlami a postupmi by sa toto nariadenie malo začať uplatňovať tri roky po nadobudnutí jeho účinnosti, s výnimkou poskytovateľa leteckých navigačných služieb Európskej prekryvnej služby geostacionárnej navigácie (EGNOS) vymedzenej vo vykonávacom nariadení (EÚ) 2017/373, v prípade ktorého by sa z dôvodu prebiehajúcej bezpečnostnej akreditácie systému a služieb EGNOS v súlade s nariadením (EÚ) 2021/696 toto nariadenie malo začať uplatňovať od 1. januára 2026. |
(17) |
Požiadavky stanovené v tomto nariadení vychádzajú zo stanoviska č. 03/2021 (13) vydaného agentúrou v súlade s článkom 75 ods. 2 písm. b) a c) a článkom 76 ods. 1 nariadenia (EÚ) 2018/1139. |
(18) |
Požiadavky stanovené v tomto nariadení sú v súlade so stanoviskom Výboru pre uplatňovanie spoločných bezpečnostných pravidiel v oblasti civilného letectva zriadeného článkom 127 nariadenia (EÚ) 2018/1139, |
PRIJALA TOTO NARIADENIE:
Článok 1
Predmet úpravy
Týmto nariadením sa stanovujú požiadavky, ktoré musia spĺňať organizácie a príslušné orgány, aby:
a) |
identifikovali a riadili riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, ktoré by mohli ovplyvniť systémy informačných a komunikačných technológií a údaje používané na účely civilného letectva; |
b) |
odhalili udalosti v oblasti informačnej bezpečnosti a identifikovali tie udalosti, ktoré sa považujú za incidenty informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva; |
c) |
reagovali na uvedené incidenty informačnej bezpečnosti a zotavili sa z nich. |
Článok 2
Rozsah pôsobnosti
1. Toto nariadenie sa uplatňuje na tieto organizácie:
a) |
organizácie vykonávajúce údržbu, na ktoré sa vzťahuje oddiel A prílohy II (časť 145) k nariadeniu (EÚ) č. 1321/2014, s výnimkou tých, ktoré sa podieľajú výlučne na údržbe lietadiel v súlade s prílohou Vb (časť ML) k nariadeniu (EÚ) č. 1321/2014; |
b) |
organizácie pre riadenie zachovania letovej spôsobilosti (CAMO), na ktoré sa vzťahuje oddiel A prílohy Vc (časť CAMO) k nariadeniu (EÚ) č. 1321/2014, s výnimkou tých, ktoré sa podieľajú výlučne na riadení zachovania letovej spôsobilosti lietadiel v súlade s prílohou Vb (časť ML) k nariadeniu (EÚ) č. 1321/2014; |
c) |
leteckí prevádzkovatelia, na ktorých sa vzťahuje príloha III (časť ORO) k nariadeniu (EÚ) č. 965/2012, s výnimkou prevádzkovateľov, ktorí sa podieľajú výlučne na prevádzke ktoréhokoľvek z týchto zariadení:
|
d) |
organizácie schválené na výcvik (ATO), na ktoré sa vzťahuje príloha VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011, s výnimkou tých, ktoré sa podieľajú výlučne na výcvikových činnostiach lietadiel ELA2 vymedzených v článku 1 ods. 2 písm. j) nariadenia (EÚ) č. 748/2012, alebo ktoré sa podieľajú výlučne na teoretickom výcviku; |
e) |
poverené letecké zdravotnícke zariadenia pre posádky, na ktoré sa vzťahuje príloha VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011; |
f) |
prevádzkovatelia výcvikových zariadení na simuláciu letu (FSTD), na ktorých sa vzťahuje príloha VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011, s výnimkou tých, ktorí sa podieľajú výlučne na prevádzke FSTD pre lietadlá ELA2 podľa vymedzenia v článku 1 ods. 2 písm. j) nariadenia (EÚ) č. 748/2012; |
g) |
výcvikové organizácie pre riadiacich letovej prevádzky (ATCO TO) a poverené letecké zdravotnícke zariadenia pre riadiacich letovej prevádzky, na ktoré sa vzťahuje príloha III (časť ATCO.OR) k nariadeniu (EÚ) 2015/340; |
h) |
organizácie, na ktoré sa vzťahuje príloha III (časť ATM/ANS.OR) k vykonávaciemu nariadeniu (EÚ) 2017/373, okrem týchto poskytovateľov služieb:
|
i) |
poskytovatelia služieb U-space a jednotliví poskytovatelia spoločných informačných služieb, na ktorých sa vzťahuje vykonávacie nariadenie (EÚ) 2021/664. |
2. Toto nariadenie sa vzťahuje na príslušné orgány vrátane Agentúry Európskej únie pre bezpečnosť letectva (ďalej len „agentúra“) uvedené v článku 6 tohto nariadenia a v článku 5 delegovaného nariadenia Komisie (EÚ) 2022/1645 (14).
3. Toto nariadenie sa vzťahuje aj na príslušný orgán zodpovedný za vydávanie, zachovanie platnosti, zmenu, pozastavenie platnosti alebo zrušenie preukazov spôsobilosti technika údržby lietadiel v súlade s prílohou III (časť 66) k nariadeniu (EÚ) č. 1321/2014.
4. Týmto nariadením nie sú dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu (EÚ) 2015/1998 a v článku 14 smernice (EÚ) 2016/1148.
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
1. |
„informačná bezpečnosť“ je zachovanie dôvernosti, integrity, pravosti a dostupnosti sietí a informačných systémov; |
2. |
„udalosť v oblasti informačnej bezpečnosti“ je identifikovaný výskyt stavu systému, služby alebo siete, ktorý naznačuje možné porušenie politiky informačnej bezpečnosti alebo zlyhanie kontrol informačnej bezpečnosti, alebo predtým neznámej situácie, ktorá môže byť relevantná pre informačnú bezpečnosť; |
3. |
„incident“ je každá udalosť, ktorá má skutočný nepriaznivý vplyv na bezpečnosť sietí a informačných systémov v zmysle vymedzenia v článku 4 ods. 7 smernice (EÚ) 2016/1148; |
4. |
„riziko v oblasti informačnej bezpečnosti“ je riziko pre organizačnú prevádzku civilného letectva, aktíva, jednotlivcov a iné organizácie z dôvodu možného výskytu udalosti v oblasti informačnej bezpečnosti. Riziká v oblasti informačnej bezpečnosti sú spojené s potenciálom, že hrozby využijú zraniteľnosti informačného aktíva alebo skupiny informačných aktív; |
5. |
„hrozba“ je potenciálne porušenie informačnej bezpečnosti, ktoré existuje v prípade subjektu, okolnosti, konania alebo udalosti, ktoré by mohli spôsobiť škodu; |
6. |
„zraniteľnosť“ je chyba alebo slabá stránka aktíva alebo systému, postupov, projektu, vykonávania alebo opatrení informačnej bezpečnosti, ktoré môžu byť zneužité a viesť k porušeniu politiky informačnej bezpečnosti. |
Článok 4
Požiadavky na organizácie a príslušné orgány
1. Organizácie uvedené v článku 2 ods. 1 musia spĺňať požiadavky prílohy II (časť IS.I.OR) k tomuto nariadeniu.
2. Organizácie uvedené v článku 2 ods. 2 a 3 musia spĺňať požiadavky prílohy I (časť IS.AR) k tomuto nariadeniu.
Článok 5
Požiadavky vyplývajúce z iných právnych predpisov Únie
1. Ak organizácia uvedená v článku 2 ods. 1 spĺňa bezpečnostné požiadavky stanovené v súlade s článkom 14 smernice (EÚ) 2016/1148, ktoré sú rovnocenné s požiadavkami stanovenými v tomto nariadení, súlad s týmito bezpečnostnými požiadavkami sa považuje za súlad s požiadavkami stanovenými v tomto nariadení.
2. Ak je organizácia uvedená v článku 2 ods. 1 prevádzkovateľom alebo subjektom uvedeným vo vnútroštátnych programoch bezpečnostnej ochrany civilného letectva členských štátov stanovených v súlade s článkom 10 nariadenia Európskeho parlamentu a Rady (ES) č. 300/2008 (15), požiadavky kybernetickej bezpečnosti uvedené v bode 1.7 prílohy k vykonávaciemu nariadeniu (EÚ) 2015/1998 sa považujú za rovnocenné s požiadavkami stanovenými v tomto nariadení, s výnimkou ustanovenia IS.I.OR.230 prílohy II k tomuto nariadeniu, ktoré sa musí dodržiavať ako také.
3. Ak je organizácia uvedená v článku 2 ods. 1 poskytovateľom leteckých navigačných služieb Európskej prekryvnej služby geostacionárnej navigácie (EGNOS) uvedenej v nariadení (EÚ) 2021/696, bezpečnostné požiadavky uvedené v článkoch 33 až 43 hlavy V uvedeného nariadenia sa považujú za rovnocenné s požiadavkami stanovenými v tomto nariadení, s výnimkou ustanovenia IS.I.OR.230 prílohy II k tomuto nariadeniu, ktoré sa musí dodržiavať ako také.
4. Po konzultácii s agentúrou a skupinou pre spoluprácu uvedenou v článku 11 smernice (EÚ) 2016/1148 môže Komisia vydať usmernenia na posúdenie rovnocennosti požiadaviek stanovených v tomto nariadení a smernici (EÚ) 2016/1148.
Článok 6
Príslušný orgán
1. Bez toho, aby boli dotknuté úlohy zverené rade pre bezpečnostnú akreditáciu (SAB) uvedenej v článku 36 nariadenia (EÚ) 2021/696, orgánom zodpovedným za osvedčovanie súladu s týmto nariadením a dohľad nad ním je:
a) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. a), príslušný orgán určený v súlade s prílohou II (časť 145) k nariadeniu (EÚ) č. 1321/2014; |
b) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. b), príslušný orgán určený v súlade s prílohou Vc (časť CAMO) k nariadeniu (EÚ) č. 1321/2014; |
c) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. c), príslušný orgán určený v súlade s prílohou III (časť ORO) k nariadeniu (EÚ) č. 965/2012; |
d) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. d) až f), príslušný orgán určený v súlade s prílohou VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011; |
e) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. g), príslušný orgán určený v súlade s článkom 6 ods. 2 nariadenia (EÚ) 2015/340; |
f) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. h), príslušný orgán určený v súlade s článkom 4 ods. 1 vykonávacieho nariadenia (EÚ) 2017/373; |
g) |
vzhľadom na organizácie uvedené v článku 2 ods. 1 písm. i), príslušný orgán určený v súlade s článkom 14 ods. 1 alebo 2 vykonávacieho nariadenia (EÚ) 2021/664. |
2. Členské štáty môžu na účely tohto nariadenia určiť nezávislý a autonómny subjekt, ktorý bude plniť pridelené úlohy a povinnosti príslušných orgánov uvedených v odseku 1. V takom prípade sa stanovia koordinačné opatrenia medzi týmto subjektom a príslušnými orgánmi podľa odseku 1 s cieľom zabezpečiť účinný dohľad nad všetkými požiadavkami, ktoré má organizácia spĺňať.
3. Agentúra spolupracuje s Agentúrou Európskej únie pre vesmírny program (EUSPA) a SAB uvedenou v článku 36 nariadenia (EÚ) 2021/696 v plnom súlade s platnými pravidlami o mlčanlivosti, ochrane osobných údajov a ochrane utajovaných skutočností s cieľom zabezpečiť účinný dohľad nad požiadavkami vzťahujúcimi sa na poskytovateľa leteckých navigačných služieb EGNOS.
Článok 7
Predkladanie relevantných informácií príslušným orgánom NIS
Príslušné orgány podľa tohto nariadenia bez zbytočného odkladu informujú jednotné kontaktné miesto určené v súlade s článkom 8 smernice (EÚ) 2016/1148 o všetkých relevantných informáciách uvedených v oznámeniach predložených podľa ustanovenia IS.I.OR.230 prílohy II k tomuto nariadeniu a ustanovenia IS.D.OR.230 prílohy I k delegovanému nariadeniu (EÚ) 2022/1645 prevádzkovateľmi základných služieb identifikovanými v súlade s článkom 5 smernice (EÚ) 2016/1148.
Článok 8
Zmena nariadenia (EÚ) č. 1178/2011
Príloha VI (časť ARA) a príloha VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011 sa menia v súlade s prílohou III k tomuto nariadeniu.
Článok 9
Zmena nariadenia (EÚ) č. 748/2012
Príloha I (časť 21) k nariadeniu (EÚ) č. 748/2012 sa mení v súlade s prílohou IV k tomuto nariadeniu.
Článok 10
Zmena nariadenia (EÚ) č. 965/2012
Príloha II (časť ARO) a príloha III (časť ORO) k nariadeniu (EÚ) č. 965/2012 sa menia v súlade s prílohou V k tomuto nariadeniu.
Článok 11
Zmena nariadenia (EÚ) č. 139/2014
Príloha II (časť ADR.AR) k nariadeniu (EÚ) č. 139/2014 sa mení v súlade s prílohou VI k tomuto nariadeniu.
Článok 12
Zmena nariadenia (EÚ) č. 1321/2014
Prílohy II (časť 145), III (časť 66) a Vc (časť CAMO) k nariadeniu (EÚ) č. 1321/2014 sa menia v súlade s prílohou VII k tomuto nariadeniu.
Článok 13
Zmena nariadenia (EÚ) 2015/340
Prílohy II (časť ATCO.AR) a III (časť ATCO.OR) k nariadeniu (EÚ) 2015/340 sa menia v súlade s prílohou VIII k tomuto nariadeniu.
Článok 14
Zmena vykonávacieho nariadenia (EÚ) 2017/373
Prílohy II (časť ATM/ANS.AR) a III (časť ATM/ANS.OR) k vykonávaciemu nariadeniu (EÚ) 2017/373 sa menia v súlade s prílohou IX k tomuto nariadeniu.
Článok 15
Zmena vykonávacieho nariadenia (EÚ) 2021/664
Vykonávacie nariadenie (EÚ) 2021/664 sa mení takto:
1. |
V článku 15 ods. 1 sa písmeno f) nahrádza takto:
|
2. |
V článku 18 sa dopĺňa toto písmeno l):
|
Článok 16
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Uplatňuje sa od 22. februára 2026.
Pokiaľ však ide o prípad poskytovateľa leteckých navigačných služieb EGNOS, na ktorého sa vzťahuje vykonávacie nariadenie (EÚ) 2017/373, uplatňuje sa od 1. januára 2026.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 27. októbra 2022
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 212, 22.8.2018, s. 1.
(2) Nariadenie Komisie (EÚ) č. 748/2012 z 3. augusta 2012 stanovujúce vykonávacie pravidlá osvedčovania letovej spôsobilosti a environmentálneho osvedčovania lietadiel a prislúchajúcich výrobkov, častí a zariadení, ako aj osvedčovania projekčných a výrobných organizácií (Ú. v. EÚ L 224, 21.8.2012, s. 1).
(3) Nariadenie Komisie (EÚ) č. 1321/2014 z 26. novembra 2014 o zachovaní letovej spôsobilosti lietadiel a výrobkov, súčastí a zariadení leteckej techniky a o schvaľovaní organizácií a personálu zapojených do týchto činností (prepracované znenie) (Ú. v. EÚ L 362, 17.12.2014, s. 1).
(4) Nariadenie Komisie (EÚ) č. 965/2012 z 5. októbra 2012, ktorým sa ustanovujú technické požiadavky a administratívne postupy týkajúce sa leteckej prevádzky podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 (Ú. v. EÚ L 296, 25.10.2012, s. 1).
(5) Nariadenie Komisie (EÚ) č. 1178/2011 z 3. novembra 2011, ktorým sa ustanovujú technické požiadavky a administratívne postupy týkajúce sa posádky civilného letectva podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 (Ú. v. EÚ L 311, 25.11.2011, s. 1).
(6) Nariadenie Komisie (EÚ) 2015/340 z 20. februára 2015, ktorým sa stanovujú technické požiadavky a administratívne postupy týkajúce sa preukazov a osvedčení riadiacich letovej prevádzky podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 a ktorým sa mení vykonávacie nariadenie Komisie (EÚ) č. 923/2012 a zrušuje nariadenie Komisie (EÚ) č. 805/2011 (Ú. v. EÚ L 63, 6.3.2015, s. 1).
(7) Nariadenie Komisie (EÚ) č. 139/2014 z 12. februára 2014, ktorým sa stanovujú technické požiadavky a administratívne postupy týkajúce sa letísk podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 (Ú. v. EÚ L 44, 14.2.2014, s. 1).
(8) Vykonávacie nariadenie Komisie (EÚ) 2021/664 z 22. apríla 2021 o regulačnom rámci pre priestor U-space (Ú. v. EÚ L 139, 23.4.2021, s. 161).
(9) Vykonávacie nariadenie Komisie (EÚ) 2015/1998 z 5. novembra 2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14.11.2015, s. 1).
(10) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).
(11) Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/696 z 28. apríla 2021, ktorým sa zriaďuje Vesmírny program Únie a Agentúra Európskej únie pre vesmírny program a ktorým sa zrušujú nariadenia (EÚ) č. 912/2010, (EÚ) č. 1285/2013 a (EÚ) č. 377/2014 a rozhodnutie č. 541/2014/EÚ (Ú. v. EÚ L 170, 12.5.2021, s. 69).
(12) Vykonávacie nariadenie Komisie (EÚ) 2017/373 z 1. marca 2017, ktorým sa stanovujú spoločné požiadavky na poskytovateľov manažmentu letovej prevádzky/leteckých navigačných služieb a na ostatné funkcie siete manažmentu letovej prevádzky, ktorým sa zrušuje nariadenie (ES) č. 482/2008, vykonávacie nariadenia (EÚ) č. 1034/2011, (EÚ) č. 1035/2011 a (EÚ) 2016/1377 a ktorým sa mení nariadenie (EÚ) č. 677/2011 (Ú. v. EÚ L 62, 8.3.2017, s. 1).
(13) https://www.easa.europa.eu/en/document-library/opinions/opinion-032021
(14) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18).
(15) Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72).
PRÍLOHA I
INFORMAČNÁ BEZPEČNOSŤ – POŽIADAVKY NA ORGÁNY
[ČASŤ IS.AR]
IS.AR.100. |
Rozsah pôsobnosti |
IS.AR.200. |
Systém riadenia informačnej bezpečnosti (ISMS) |
IS.AR.205. |
Posúdenie rizika v oblasti informačnej bezpečnosti |
IS.AR.210. |
Riešenie rizika v oblasti informačnej bezpečnosti |
IS.AR.215. |
Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a zotavenie |
IS.AR.220. |
Zadávanie činností riadenia informačnej bezpečnosti |
IS.AR.225. |
Požiadavky na personál |
IS.AR.230. |
Vedenie záznamov |
IS.AR.235. |
Neustále zlepšovanie |
IS.AR.100. Rozsah pôsobnosti
V tejto časti sa stanovujú požiadavky riadenia, ktoré musia spĺňať príslušné orgány uvedené v článku 2 ods. 2 tohto nariadenia.
Požiadavky, ktoré musia tieto príslušné orgány spĺňať pri vykonávaní svojich činností osvedčovania, dohľadu a presadzovania predpisov, sú súčasťou nariadení uvedených v článku 2 ods. 1 tohto nariadenia a v článku 2 delegovaného nariadenia (EÚ) 2022/1645.
IS.AR.200. Systém riadenia informačnej bezpečnosti (ISMS)
a) |
Na dosiahnutie cieľov stanovených v článku 1 príslušný orgán zriadi, vykonáva a udržiava systém riadenia informačnej bezpečnosti (ISMS), ktorý zabezpečí, aby príslušný orgán:
|
b) |
V záujme nepretržitého plnenia požiadaviek uvedených v článku 1 musí príslušný orgán zaviesť postup neustáleho zlepšovania v súlade s ustanovením IS.AR.235. |
c) |
Príslušný orgán musí dokumentovať všetky kľúčové procesy, postupy, úlohy a zodpovednosti požadované na dosiahnutie súladu s ustanovením IS.AR.200 písm. a) a zaviesť postup zmeny tejto dokumentácie. |
d) |
Procesy, postupy, úlohy a zodpovednosti stanovené príslušným orgánom s cieľom dosiahnuť súlad s ustanovením IS.AR.200 písm. a) musia zodpovedať povahe a zložitosti jeho činností na základe posúdenia rizík v oblasti informačnej bezpečnosti, ktoré sú vlastné týmto činnostiam, a môžu byť začlenené do iných existujúcich systémov riadenia, ktoré už príslušný orgán zaviedol. |
IS.AR.205. Posúdenie rizika v oblasti informačnej bezpečnosti
a) |
Príslušný orgán identifikuje všetky prvky svojej vlastnej organizácie, ktoré by mohli byť vystavené rizikám v oblasti informačnej bezpečnosti. To zahŕňa:
|
b) |
Príslušný orgán identifikuje rozhrania, ktoré má jeho vlastná organizácia s inými organizáciami a ktoré by mohli viesť k vzájomnému vystaveniu rizikám v oblasti informačnej bezpečnosti. |
c) |
Pokiaľ ide o prvky a rozhrania uvedené v písmenách a) a b), príslušný orgán identifikuje riziká v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. Za každé identifikované riziko príslušný orgán:
Vo vopred určenej klasifikácii uvedenej v bode 1 sa zohľadňuje možnosť výskytu scenára ohrozenia a závažnosť jeho bezpečnostných dôsledkov. Prostredníctvom tejto klasifikácie a s prihliadnutím na to, či príslušný orgán disponuje štruktúrovaným a opakovateľným procesom riadenia rizík pre prevádzku, musí byť príslušný orgán schopný stanoviť, či je riziko prijateľné alebo či je potrebné s ním zaobchádzať v súlade s ustanovením IS.AR.210. S cieľom uľahčiť vzájomnú porovnateľnosť posúdení rizík sa pri priraďovaní úrovne rizika podľa bodu 1 zohľadňujú príslušné informácie získané v koordinácii s organizáciami uvedenými v písmene b). |
d) |
Príslušný orgán preskúma a aktualizuje posúdenie rizika vykonané v súlade s písmenami a), b) a c) v ktoromkoľvek z týchto prípadov:
|
IS.AR.210. Riešenie rizika v oblasti informačnej bezpečnosti
a) |
Príslušný orgán vypracuje opatrenia na riešenie neprijateľných rizík identifikovaných v súlade s ustanovením IS.AR.205, včas ich vykoná a skontroluje, či si zachovávajú účinnosť. Tieto opatrenia umožnia príslušnému orgánu:
Týmito opatreniami sa nesmú zavádzať žiadne nové možné neprijateľné riziká pre bezpečnosť letectva. |
b) |
Osoba uvedená v ustanovení IS.AR.225 písm. a) a iný dotknutý personál príslušného orgánu musia byť informovaní o výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.AR.205, zodpovedajúcich scenároch ohrozenia a opatreniach, ktoré sa majú vykonať. Príslušný orgán musí informovať aj organizácie, s ktorými má rozhranie v súlade s ustanovením IS.AR.205 písm. b), o akomkoľvek spoločnom riziku pre príslušný orgán a organizáciu. |
IS.AR.215. Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a zotavenie
a) |
Na základe výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.AR.205 a výsledku riešenia rizík vykonaného v súlade s ustanovením IS.AR.210 musí príslušný orgán zaviesť opatrenia na odhaľovanie udalostí, ktoré naznačujú možnú realizáciu neprijateľných rizík a ktoré môžu mať vplyv na bezpečnosť letectva. Uvedené opatrenia na odhaľovanie umožnia príslušnému orgánu:
|
b) |
Príslušný orgán musí zaviesť opatrenia s cieľom reagovať na všetky podmienky udalosti identifikované v súlade s písmenom a), ktoré sa môžu vyvinúť alebo sa vyvinuli do incidentu v oblasti informačnej bezpečnosti. Uvedené reakčné opatrenia umožnia príslušnému orgánu:
|
c) |
Príslušný orgán musí zaviesť opatrenia zamerané na zotavenie po incidentoch v oblasti informačnej bezpečnosti vrátane núdzových opatrení, ak je to potrebné. Uvedené opatrenia na zotavenie umožnia príslušnému orgánu:
|
IS.AR.220. Zadávanie činností riadenia informačnej bezpečnosti
Príslušný orgán zabezpečí, aby pri zazmluvňovaní akejkoľvek časti činností uvedených v ustanovení IS.AR.200 s inými organizáciami boli zazmluvnené činnosti v súlade s požiadavkami tohto nariadenia a aby zazmluvnená organizácia pracovala pod jeho dohľadom. Príslušný orgán zabezpečí, aby riziká spojené so zazmluvnenými činnosťami boli primerane riadené.
IS.AR.225. Požiadavky na personál
Príslušný orgán musí:
a) |
mať osobu, ktorá má právomoc zriadiť a udržiavať organizačné štruktúry, politiky, procesy a postupy potrebné na vykonávanie tohto nariadenia. Táto osoba musí:
|
b) |
mať zavedený postup na zabezpečenie dostatočného počtu zamestnancov v službe na vykonávanie činností, na ktoré sa vzťahuje táto príloha; |
c) |
mať zavedený postup na zabezpečenie toho, aby zamestnanci uvedení v písmene b) mali potrebnú spôsobilosť na plnenie svojich úloh; |
d) |
mať zavedený postup na zabezpečenie toho, aby zamestnanci uznali povinnosti spojené s pridelenými rolami a úlohami; |
e) |
zabezpečiť, aby bola náležite stanovená totožnosť a dôveryhodnosť pracovníkov, ktorí majú prístup k informačným systémom a údajom, na ktoré sa vzťahujú požiadavky tohto nariadenia. |
IS.AR.230. Vedenie záznamov
a) |
Príslušný orgán vedie záznamy o svojich činnostiach riadenia informačnej bezpečnosti.
|
b) |
Príslušný orgán vedie záznamy o kvalifikácii a skúsenostiach svojich vlastných zamestnancov zapojených do činností riadenia informačnej bezpečnosti.
|
c) |
Formát týchto záznamov sa stanoví v postupoch príslušného orgánu. |
d) |
Záznamy sa uchovávajú spôsobom, ktorým sa zabezpečí ochrana pred poškodením, pozmeňovaním a krádežou, pričom informácie sa v prípade potreby identifikujú na základe ich stupňa utajenia.information being identified, when required, according to its security classification level. Príslušný orgán zabezpečí, aby sa záznamy uchovávali s použitím prostriedkov na zabezpečenie integrity, pravosti a oprávneného prístupu. |
IS.AR.235. Neustále zlepšovanie
a) |
Príslušný orgán s použitím primeraných ukazovateľov výkonnosti posúdi účinnosť a vyspelosť svojho vlastného ISMS. Toto posúdenie sa vykonáva na základe vopred určeného harmonogramu, ktorý stanoví príslušný orgán, alebo v nadväznosti na incident v oblasti informačnej bezpečnosti. |
b) |
Ak sa po posúdení vykonanom v súlade s písmenom a) zistia nedostatky, príslušný orgán prijme potrebné opatrenia na zlepšenie s cieľom zabezpečiť, aby ISMS naďalej spĺňal príslušné požiadavky a udržiaval riziká v oblasti informačnej bezpečnosti na prijateľnej úrovni. Okrem toho príslušný orgán opätovne posúdi tie prvky ISMS, ktorých sa týkajú prijaté opatrenia. |
PRÍLOHA II
INFORMAČNÁ BEZPEČNOSŤ – ORGANIZAČNÉ POŽIADAVKY
[ČASŤ IS.I.OR]
IS.I.OR.100. |
Rozsah pôsobnosti |
IS.I.OR.200. |
Systém riadenia informačnej bezpečnosti (ISMS) |
IS.I.OR.205. |
Posúdenie rizika v oblasti informačnej bezpečnosti |
IS.I.OR.210. |
Riešenie rizika v oblasti informačnej bezpečnosti |
IS.I.OR.215. |
Systém interného nahlasovania informačnej bezpečnosti |
IS.I.OR.220. |
Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a obnova |
IS.I.OR.225. |
Reakcia na zistenia oznámené príslušným orgánom |
IS.I.OR.230. |
Systém externého nahlasovania informačnej bezpečnosti |
IS.I.OR.235. |
Zadávanie činností riadenia informačnej bezpečnosti |
IS.I.OR.240. |
Požiadavky na personál |
IS.I.OR.245. |
Vedenie záznamov |
IS.I.OR.250. |
Príručka riadenia informačnej bezpečnosti (ISMM) |
IS.I.OR.255. |
Zmeny systému riadenia informačnej bezpečnosti |
IS.I.OR.260. |
Neustále zlepšovanie |
IS.I.OR.100. Rozsah pôsobnosti
V tejto časti sa stanovujú požiadavky, ktoré musia spĺňať organizácie uvedené v článku 2 ods. 1 tohto nariadenia.
IS.I.OR.200. Systém riadenia informačnej bezpečnosti (ISMS)
a) |
Na dosiahnutie cieľov stanovených v článku 1 organizácia zriadi, vykonáva a udržiava systém riadenia informačnej bezpečnosti (ISMS), ktorý zabezpečí, aby organizácia:
|
b) |
V záujme nepretržitého plnenia požiadaviek uvedených v článku 1 musí organizácia zaviesť postup neustáleho zlepšovania v súlade s ustanovením IS.I.OR.260. |
c) |
Organizácia musí v súlade s ustanovením IS.I.OR.250 dokumentovať všetky kľúčové procesy, postupy, úlohy a zodpovednosti požadované na dosiahnutie súladu s ustanovením IS.I.OR.200 písm. a) a zaviesť postup zmeny tejto dokumentácie. Zmeny týchto procesov, postupov, úloh a zodpovedností sa riadia v súlade s ustanovením IS.I.OR.255. |
d) |
Procesy, postupy, úlohy a zodpovednosti stanovené organizáciou s cieľom dosiahnuť súlad s ustanovením IS.I.OR.200 písm. a) musia zodpovedať povahe a zložitosti jej činností na základe posúdenia rizík v oblasti informačnej bezpečnosti, ktoré sú vlastné týmto činnostiam, a môžu byť začlenené do iných existujúcich systémov riadenia, ktoré už organizácia zaviedla. |
e) |
Bez toho, aby bola dotknutá povinnosť dodržiavať požiadavky na podávanie správ stanovené v nariadení (EÚ) č. 376/2014 a požiadavky stanovené v ustanovení IS.I.OR.200 písm. a) bode 13, môže príslušný orgán dať organizácii súhlas s nevykonávaním požiadaviek uvedených v písmenách a) až d) a príslušných požiadaviek uvedených v ustanoveniach IS.I.OR.205 až IS.I.OR.260, ak preukáže k spokojnosti uvedeného orgánu, že jej činnosti, zariadenia a zdroje, ako aj služby, ktoré prevádzkuje, poskytuje, prijíma a udržiava, nepredstavujú žiadne riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, a to ani pre seba, ani pre iné organizácie. Tento súhlas musí vychádzať zo zdokumentovaného posúdenia rizika v oblasti informačnej bezpečnosti, ktoré organizácia alebo tretia strana vykoná v súlade s ustanovením IS.I.OR.205 a ktoré preskúma a schváli jej príslušný orgán. Zachovanie platnosti tohto súhlasu preskúma príslušný orgán na základe príslušného cyklu auditu dohľadu a vždy, keď sa vykonajú zmeny v rozsahu práce organizácie. |
IS.I.OR.205. Posúdenie rizika v oblasti informačnej bezpečnosti
a) |
Organizácia identifikuje všetky svoje prvky, ktoré by mohli byť vystavené rizikám v oblasti informačnej bezpečnosti. To zahŕňa:
|
b) |
Organizácia identifikuje rozhrania, ktoré má s inými organizáciami a ktoré by mohli viesť k vzájomnému vystaveniu rizikám v oblasti informačnej bezpečnosti. |
c) |
Pokiaľ ide o prvky a rozhrania uvedené v písmenách a) a b), organizácia identifikuje riziká v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. Za každé identifikované riziko organizácia:
Vo vopred určenej klasifikácii uvedenej v bode 1 sa zohľadňuje možnosť výskytu scenára ohrozenia a závažnosť jeho bezpečnostných dôsledkov. Na základe tejto klasifikácie a s prihliadnutím na to, či organizácia disponuje štruktúrovaným a opakovateľným procesom riadenia rizík pre prevádzku, musí byť organizácia schopná stanoviť, či je riziko prijateľné alebo či je potrebné s ním zaobchádzať v súlade s ustanovením IS.I.OR.210. S cieľom uľahčiť vzájomnú porovnateľnosť posúdení rizík sa pri priraďovaní úrovne rizika podľa bodu 1 zohľadňujú príslušné informácie získané v koordinácii s organizáciami uvedenými v písmene b). |
d) |
Organizácia preskúma a aktualizuje posúdenie rizika vykonané v súlade s písmenami a), b) a prípadne c) alebo e) v ktorejkoľvek z týchto situácií:
|
e) |
Odchylne od písmena c) organizácie, od ktorých sa vyžaduje súlad s podčasťou C prílohy III (časť ATM/ANS.OR) k vykonávaciemu nariadeniu (EÚ) 2017/373, nahradia analýzu vplyvu na bezpečnosť letectva analýzou vplyvu na svoje služby v zmysle podporného posúdenia bezpečnosti požadovaného v ustanovení ATM/ANS.OR.C.005. Toto podporné posúdenie bezpečnosti sa sprístupní poskytovateľom letových prevádzkových služieb, ktorým poskytujú služby, a títo poskytovatelia letových prevádzkových služieb sú zodpovední za hodnotenie vplyvu na bezpečnosť letectva. |
IS.I.OR.210. Riešenie rizika v oblasti informačnej bezpečnosti
a) |
Organizácia vypracuje opatrenia na riešenie neprijateľných rizík identifikovaných v súlade s ustanovením IS.I.OR.205, včas ich vykoná a skontroluje, či si zachovávajú účinnosť. Tieto opatrenia umožnia organizácii:
Týmito opatreniami sa nesmú zavádzať žiadne nové možné neprijateľné riziká pre bezpečnosť letectva. |
b) |
Osoba uvedená v ustanovení IS.I.OR.240 písm. a) a b) a iný dotknutý personál organizácie musia byť informovaní o výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.I.OR.205, zodpovedajúcich scenároch ohrozenia a opatreniach, ktoré sa majú vykonať. Organizácia musí informovať aj organizácie, s ktorými má rozhranie v súlade s ustanovením IS.I.OR.205 písm. b), o akomkoľvek spoločnom riziku pre obe organizácie. |
IS.I.OR.215. Systém interného nahlasovania informačnej bezpečnosti
a) |
Organizácia zriadi systém interného nahlasovania s cieľom umožniť zhromažďovanie a hodnotenie udalostí v oblasti informačnej bezpečnosti vrátane udalostí, ktoré sa majú nahlasovať podľa ustanovenia IS.I.OR.230. |
b) |
Systém a proces uvedený v ustanovení IS.I.OR.220 musia umožniť organizácii:
|
c) |
Každá zazmluvnená organizácia, ktorá môže vystaviť organizáciu rizikám v oblasti informačnej bezpečnosti s možným vplyvom na bezpečnosť letectva, je povinná nahlásiť organizácii udalosti v oblasti informačnej bezpečnosti. Uvedené správy sa predkladajú s použitím postupov stanovených v osobitných zmluvných dojednaniach a vyhodnocujú sa v súlade s písmenom b). |
d) |
Organizácia spolupracuje pri vyšetrovaniach s akoukoľvek inou organizáciou, ktorá významne prispieva k informačnej bezpečnosti svojich vlastných činností. |
e) |
Organizácia môže zlúčiť tento systém nahlasovania s inými systémami nahlasovania, ktoré už zaviedla. |
IS.I.OR.220 Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a zotavenie
a) |
Na základe výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.I.OR.205 a výsledku riešenia rizík vykonaného v súlade s ustanovením IS.I.OR.210 musí organizácia zaviesť opatrenia na odhaľovanie incidentov a zraniteľností, ktoré naznačujú možnú realizáciu neprijateľných rizík a ktoré môžu mať vplyv na bezpečnosť letectva. Uvedené opatrenia na odhaľovanie umožnia organizácii:
|
b) |
Organizácia musí zaviesť opatrenia s cieľom reagovať na všetky podmienky udalosti identifikované v súlade s písmenom a), ktoré sa môžu vyvinúť alebo sa vyvinuli do incidentu v oblasti informačnej bezpečnosti. Uvedené opatrenia reakcie umožnia organizácii:
|
c) |
Organizácia musí zaviesť opatrenia zamerané na obnovu po incidentoch v oblasti informačnej bezpečnosti vrátane núdzových opatrení, ak je to potrebné. Uvedené opatrenia na obnovu umožnia organizácii:
|
IS.I.OR.225. Reakcia na zistenia oznámené príslušným orgánom
a) |
Po prijatí oznámenia o zisteniach, ktoré predložil príslušný orgán, musí organizácia:
|
b) |
Opatrenia uvedené v písmene a) sa vykonajú v lehote dohodnutej s príslušným orgánom. |
IS.I.OR.230. Systém externého nahlasovania informačnej bezpečnosti
a) |
Organizácia musí zaviesť systém nahlasovania informačnej bezpečnosti, ktorý je v súlade s požiadavkami stanovenými v nariadení (EÚ) č. 376/2014 a jeho delegovaných a vykonávacích aktoch, ak sa uvedené nariadenie vzťahuje na organizáciu. |
b) |
Bez toho, aby boli dotknuté povinnosti stanovené v nariadení (EÚ) č. 376/2014, organizácia zabezpečí, aby sa akýkoľvek incident alebo zraniteľnosť v oblasti informačnej bezpečnosti, ktoré môžu predstavovať závažné riziko pre bezpečnosť letectva, nahlásil jej príslušnému orgánu. Okrem toho:
|
c) |
Organizácia nahlasuje podmienky uvedené v písmene b) takto:
|
IS.I.OR.235. Zadávanie činností riadenia informačnej bezpečnosti
a) |
Organizácia zabezpečí, aby pri zazmluvňovaní akejkoľvek časti činností uvedených v ustanovení IS.I.OR.200 s inými organizáciami boli zazmluvnené činnosti v súlade s požiadavkami tohto nariadenia a aby zazmluvnená organizácia pracovala pod jej dohľadom. Organizácia zabezpečí, aby riziká spojené so zazmluvnenými činnosťami boli primerane riadené. |
b) |
Organizácia zabezpečí príslušnému orgánu na jeho žiadosť prístup k zazmluvnenej organizácii s cieľom určiť, či naďalej spĺňa príslušné požiadavky stanovené v tomto nariadení. |
IS.I.OR.240. Požiadavky na personál
a) |
Zodpovedný manažér organizácie určený v súlade s nariadeniami (EÚ) č. 1321/2014, (EÚ) č. 965/2012, (EÚ) č. 1178/2011, (EÚ) 2015/340, vykonávacím nariadením (EÚ) 2017/373 alebo vykonávacím nariadením (EÚ) 2021/664, ako sa uvádza v článku 2 ods. 1 tohto nariadenia, má podnikovú právomoc zabezpečiť, aby všetky činnosti požadované v tomto nariadení mohli byť financované a vykonávané. Táto osoba:
|
b) |
Zodpovedný manažér vymenuje osobu alebo skupinu osôb, aby sa zabezpečilo, že organizácia spĺňa požiadavky tohto nariadenia, a vymedzí rozsah ich právomocí. Uvedená osoba alebo skupina osôb podlieha priamo zodpovednému manažérovi a musí mať primerané znalosti, prax a skúsenosti na plnenie svojich povinností. V postupoch sa určí, kto zastupuje určitú osobu v prípade dlhodobej neprítomnosti uvedenej osoby. |
c) |
Zodpovedný manažér vymenuje osobu alebo skupinu osôb, ktoré budú zodpovedné za riadenie funkcie monitorovania súladu podľa ustanovenia IS.I.OR.200 písm. a) bodu 12. |
d) |
Ak organizácia zdieľa organizačné štruktúry, politiky, procesy a postupy v oblasti informačnej bezpečnosti s inými organizáciami alebo oblasťami svojej vlastnej organizácie, ktoré nie sú súčasťou schválenia alebo vyhlásenia, zodpovedný manažér môže delegovať svoje činnosti na spoločnú zodpovednú osobu. V takom prípade sa stanovia koordinačné opatrenia medzi zodpovedným manažérom organizácie a spoločnou zodpovednou osobou s cieľom zabezpečiť primeranú integráciu riadenia informačnej bezpečnosti v rámci organizácie. |
e) |
Zodpovedný manažér alebo spoločná zodpovedná osoba uvedená v písmene d) majú podnikovú právomoc zriadiť a udržiavať organizačné štruktúry, politiky, procesy a postupy potrebné na vykonávanie ustanovenia IS.I.OR.200. |
f) |
Organizácia musí mať zavedený postup na zabezpečenie dostatočného počtu zamestnancov v službe na vykonávanie činností, na ktoré sa vzťahuje táto príloha. |
g) |
Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uvedení v písmene f) mali potrebnú spôsobilosť na plnenie svojich úloh. |
h) |
Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uznali povinnosti spojené s pridelenými rolami a úlohami. |
i) |
Organizácia zabezpečí, aby bola náležite stanovená totožnosť a dôveryhodnosť pracovníkov, ktorí majú prístup k informačným systémom a údajom, na ktoré sa vzťahujú požiadavky tohto nariadenia. |
IS.I.OR.245. Vedenie záznamov
a) |
Organizácia vedie záznamy o svojich činnostiach riadenia informačnej bezpečnosti.
|
b) |
Organizácia vedie záznamy o kvalifikácii a skúsenostiach svojich vlastných zamestnancov zapojených do činností riadenia informačnej bezpečnosti.
|
c) |
Formát týchto záznamov sa stanoví v postupoch organizácie. |
d) |
Záznamy sa uchovávajú spôsobom, ktorým sa zabezpečí ochrana pred poškodením, pozmeňovaním a krádežou, pričom informácie sa v prípade potreby identifikujú na základe ich stupňa utajenia.information being identified, when required, according to its security classification level. Organizácia zabezpečí, aby sa záznamy uchovávali s použitím prostriedkov na zabezpečenie integrity, pravosti a oprávneného prístupu. |
IS.I.OR.250. Príručka riadenia informačnej bezpečnosti (ISMM)
a) |
Organizácia sprístupní príslušnému orgánu príručku riadenia informačnej bezpečnosti (ISMM) a prípadne všetky súvisiace príručky a postupy, na ktoré sa odkazuje, obsahujúcu:
|
b) |
Prvé vydanie ISMM schvaľuje a jej kópiu si ponechá príslušný orgán. ISMM sa podľa potreby zmení tak, aby bola naďalej aktuálnym opisom ISMS organizácie. Príslušnému orgánu sa poskytne kópia všetkých zmien ISMM. |
c) |
Zmeny ISMM sa riadia postupom, ktorý stanovuje organizácia. Všetky zmeny, ktoré nepatria do rozsahu pôsobnosti tohto postupu, a akékoľvek zmeny týkajúce sa zmien uvedených v ustanovení IS.I.OR.255 písm. b) schvaľuje príslušný orgán. |
d) |
Organizácia môže zlúčiť ISMM s inými príručkami riadenia alebo manuálmi, ktorých je držiteľom, za predpokladu, že uvedie jasný odkaz označujúci časti príručky riadenia alebo manuálu, ktoré zodpovedajú rôznym požiadavkám obsiahnutým v tejto prílohe. |
IS.I.OR.255. Zmeny systému riadenia informačnej bezpečnosti
a) |
Zmeny ISMS sa môžu riadiť a oznamovať príslušnému orgánu v rámci postupu, ktorý vypracuje organizácia. Tento postup musí schváliť príslušný orgán. |
b) |
Pokiaľ ide o zmeny ISMS, na ktoré sa nevzťahuje postup uvedený v písmene a), organizácia musí požiadať o schválenie vydané príslušným orgánom a získať ho. Pokiaľ ide o tieto zmeny:
|
IS.I.OR.260. Neustále zlepšovanie
a) |
Organizácia s použitím primeraných ukazovateľov výkonnosti posúdi účinnosť a vyspelosť ISMS. Toto posúdenie sa vykonáva na základe harmonogramu, ktorý vopred stanoví organizácia, alebo v nadväznosti na incident v oblasti informačnej bezpečnosti. |
b) |
Ak sa po posúdení vykonanom v súlade s písmenom a) zistia nedostatky, organizácia prijme potrebné opatrenia na zlepšenie s cieľom zabezpečiť, aby ISMS naďalej spĺňal príslušné požiadavky a udržiaval riziká v oblasti informačnej bezpečnosti na prijateľnej úrovni. Okrem toho organizácia opätovne posúdi tie prvky ISMS, ktorých sa týkajú prijaté opatrenia. |
PRÍLOHA III
Prílohy VI (časť ARA) a VII (časť ORA) k nariadeniu (EÚ) č. 1178/2011 sa menia takto:
1. |
Príloha VI (časť ARA) sa mení takto:
|
2. |
Príloha VII (časť ORA) sa mení takto: Za ustanovenie ORA.GEN.200 sa vkladá toto ustanovenie ORA.GEN.200A: „ORA.GEN.200A Systém riadenia informačnej bezpečnosti Okrem systému riadenia uvedeného v ustanovení ORA.GEN.200 musí organizácia zriadiť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s vykonávacím nariadením (EÚ) 2023/203 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“ |
PRÍLOHA IV
Príloha I (časť 21) k nariadeniu (EÚ) č. 748/2012 sa mení takto:
1. |
Obsah sa mení takto:
|
2. |
V ustanovení 21.B.15 sa dopĺňa toto písmeno c):
|
3. |
Za ustanovenie 21.B.20 sa vkladá toto ustanovenie 21.B.20A: „21.B.20A. Okamžitá reakcia na incident alebo zraniteľnosť v oblasti informačnej bezpečnosti s vplyvom na bezpečnosť letectva
|
4. |
V ustanovení 21.B.25 sa dopĺňa toto písmeno e):
|
5. |
Ustanovenie 21.B.30 sa mení takto:
|
6. |
V ustanovení 21.B.221 sa dopĺňa toto písmeno g):
|
7. |
Za ustanovenie 21.B.240 sa vkladá toto ustanovenie 21.B.240A: „21.B.240A. Zmeny systému riadenia informačnej bezpečnosti
|
8. |
V ustanovení 21.B.431 sa dopĺňa toto písmeno d):
|
9. |
Za ustanovenie 21.B.435 sa vkladá toto ustanovenie 21.B.435A: „21.B.435A. Zmeny systému riadenia informačnej bezpečnosti
|
PRÍLOHA V
Prílohy II (časť ARO) a III (časť ORO) k nariadeniu (EÚ) č. 965/2012 sa menia takto:
1. |
Príloha II (časť ARO) sa mení takto:
|
2. |
Príloha III (časť ORO) sa mení takto: Za ustanovenie ORO.GEN.200 sa vkladá toto ustanovenie ORO.GEN.200A: „ORO.GEN.200A Systém riadenia informačnej bezpečnosti Okrem systému riadenia uvedeného v ustanovení ORO.GEN.200 musí prevádzkovateľ zriadiť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s vykonávacím nariadením (EÚ) 2023/203 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“ |
PRÍLOHA VI
Príloha II (časť ADR.AR) k nariadeniu (EÚ) č. 139/2014 sa mení takto:
1. |
V ustanovení ADR.AR.A.025 sa dopĺňa toto písmeno c):
|
2. |
Za ustanovenie ADR.AR.A.030 sa vkladá toto ustanovenie ADR.AR.A.030A: „ADR.AR.A.030A. Okamžitá reakcia na incident alebo zraniteľnosť v oblasti informačnej bezpečnosti s vplyvom na bezpečnosť letectva
|
3. |
V ustanovení ADR.AR.B.005 sa dopĺňa toto písmeno d):
|
4. |
Ustanovenie ADR.AR.B.010 sa mení takto:
|
5. |
V ustanovení ADR.AR.C.005 sa dopĺňa toto písmeno f):
|
6. |
Za ustanovenie ADR.AR.C.040 sa vkladá toto ustanovenie ADR.AR.C.040A: „ADR.AR.C.040A. Zmeny systému riadenia informačnej bezpečnosti
|
PRÍLOHA VII
Prílohy II (časť 145), III (časť 66) a Vc (časť CAMO) k nariadeniu (EÚ) č. 1321/2014 sa menia takto:
1. |
Príloha II (časť 145) sa mení takto:
|
2. |
Príloha III (časť 66) sa mení takto:
|
3. |
Príloha Vc (časť CAMO) sa mení takto:
|
PRÍLOHA VIII
Prílohy II (časť ATCO.AR) a III (časť ATCO.OR) k nariadeniu (EÚ) 2015/340 sa menia takto:
1. |
Príloha II (časť ATCO.AR) sa mení takto:
|
2. |
Príloha III (časť ATCO.OR) sa mení takto: Za ustanovenie ATCO.OR.C.001 sa vkladá toto ustanovenie ATCO.OR.C.001A: „ATCO.OR.C.001A. Systém riadenia informačnej bezpečnosti Okrem systému riadenia uvedeného v ustanovení ATCO.OR.C.001 musí výcviková organizácia zriadiť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s vykonávacím nariadením (EÚ) 2023/203 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“ |
PRÍLOHA IX
Prílohy II (časť ATM/ANS.AR) a III (časť ATM/ANS.OR) k vykonávaciemu nariadeniu (EÚ) 2017/373 sa menia takto:
1. |
Príloha II (časť ATM/ANS.AR) sa mení takto:
|
2. |
Príloha III (časť ATM/ANS.OR) sa mení takto:
|