This document is an excerpt from the EUR-Lex website
Document 32022R1645
Commission Delegated Regulation (EU) 2022/1645 of 14 July 2022 laying down rules for the application of Regulation (EU) 2018/1139 of the European Parliament and of the Council, as regards requirements for the management of information security risks with a potential impact on aviation safety for organisations covered by Commission Regulations (EU) No 748/2012 and (EU) No 139/2014 and amending Commission Regulations (EU) No 748/2012 and (EU) No 139/2014
Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014
Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014
C/2022/4882
Ú. v. EÚ L 248, 26.9.2022, p. 18–31
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
26.9.2022 |
SK |
Úradný vestník Európskej únie |
L 248/18 |
DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2022/1645
zo 14. júla 2022,
ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (1), a najmä na jeho článok 19 ods. 1 písm. g) a článok 39 ods. 1 písm. b),
keďže:
(1) |
V súlade so základnými požiadavkami stanovenými v bode 3.1 písm. b) prílohy II k nariadeniu (EÚ) 2018/1139 majú projekčné a výrobné organizácie zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(2) |
Okrem toho v súlade so základnými požiadavkami stanovenými v bodoch 2.2.1 a 5.2 prílohy VII k nariadeniu (EÚ) 2018/1139 majú prevádzkovatelia letísk a organizácie zodpovedné za poskytovanie služieb riadenia prevádzky na odbavovacej ploche zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. |
(3) |
Bezpečnostné riziká uvedené v odôvodneniach 1 a 2 môžu pochádzať z rôznych zdrojov vrátane projekčných a údržbových nedostatkov, aspektov ľudskej výkonnosti, environmentálnych hrozieb a hrozieb pre informačnú bezpečnosť. V systémoch riadenia zavedených organizáciami, ako sa uvádza v odôvodneniach 1 a 2, by sa preto mali zohľadňovať nielen bezpečnostné riziká vyplývajúce z náhodných udalostí, ale aj bezpečnostné riziká vyplývajúce z hrozieb pre informačnú bezpečnosť, pri ktorých môžu jednotlivci so zlým úmyslom existujúce nedostatky zneužiť. Tieto riziká v oblasti informačnej bezpečnosti v prostredí civilného letectva neustále narastajú, keďže súčasné informačné systémy sú čoraz viac prepojené a čoraz viac sa stávajú cieľom aktérov so zlými úmyslami. |
(4) |
Riziká spojené s týmito informačnými systémami sa neobmedzujú len na možné útoky na kybernetický priestor, ale zahŕňajú aj hrozby, ktoré môžu ovplyvniť procesy a postupy, ako aj výkonnosť ľudí. |
(5) |
Značný počet organizácií už používa medzinárodné normy, ako napríklad ISO 27001, s cieľom riešiť zabezpečenie digitálnych informácií a údajov. Tieto normy nezohľadňujú v plnej miere všetky osobitosti civilného letectva. |
(6) |
Preto je vhodné stanoviť požiadavky na riadenie rizík v oblasti informačnej bezpečnosti, ktoré by mohli mať vplyv na bezpečnosť letectva. |
(7) |
Je nevyhnutné, aby sa uvedené požiadavky vzťahovali na rôzne oblasti letectva a ich rozhrania, keďže letectvo je vysoko prepojeným systémom systémov. Preto by sa mali vzťahovať na všetky organizácie, ktoré sú už povinné mať systém riadenia v súlade s existujúcimi právnymi predpismi Únie v oblasti bezpečnosti letectva. |
(8) |
Požiadavky stanovené v tomto nariadení by sa mali dôsledne uplatňovať vo všetkých oblastiach letectva, pričom by sa mal dosiahnuť minimálny vplyv na právne predpisy Únie v oblasti bezpečnosti letectva, ktoré sa už v týchto oblastiach uplatňujú. |
(9) |
Požiadavkami stanovenými v tomto nariadení by nemali byť dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu Komisie (EÚ) 2015/1998 (2) a v článku 14 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (3). |
(10) |
Vymedzenie pojmu informačnej bezpečnosti použité na účely tohto právneho aktu by sa nemalo vykladať odlišne od vymedzenia pojmu bezpečnosti sietí a informačných systémov stanoveného v smernici 2016/1148. |
(11) |
S cieľom zabrániť duplicite právnych požiadaviek, ak organizácie, na ktoré sa vzťahuje toto nariadenie, už podliehajú bezpečnostným požiadavkám vyplývajúcim z iných aktov Únie uvedených v odôvodnení 9, ktoré sú v podstate rovnocenné s ustanoveniami tohto nariadenia, súlad s uvedenými bezpečnostnými požiadavkami by sa mal považovať za súlad s požiadavkami stanovenými v tomto nariadení. |
(12) |
Organizácie, na ktoré sa vzťahuje toto nariadenie a ktoré už podliehajú bezpečnostným požiadavkám vyplývajúcim z vykonávacieho nariadenia (EÚ) 2015/1998, by mali spĺňať aj požiadavky prílohy I (časť IS.D.OR.230 „Systém externého nahlasovania informačnej bezpečnosti“) k tomuto nariadeniu, keďže vykonávacie nariadenie (EÚ) 2015/1998 neobsahuje žiadne ustanovenia týkajúce sa externého nahlasovania incidentov v oblasti informačnej bezpečnosti. |
(13) |
Nariadenia Komisie (EÚ) č. 748/2012 (4) a (EÚ) č. 139/2014 (5) by sa mali zmeniť s cieľom vytvoriť prepojenie medzi systémami riadenia stanovenými v uvedených nariadeniach a požiadavkami na riadenie informačnej bezpečnosti stanovenými v tomto nariadení. |
(14) |
S cieľom poskytnúť organizáciám dostatočný čas na zabezpečenie súladu s novými pravidlami a postupmi zavedenými týmto nariadením by sa toto nariadenie malo uplatňovať po uplynutí troch rokov od dátumu nadobudnutia účinnosti. |
(15) |
Požiadavky stanovené v tomto nariadení vychádzajú zo stanoviska č. 03/2021 (6) vydaného agentúrou v súlade s článkom 75 ods. 2 písm. b) a c) a článkom 76 ods. 1 nariadenia (EÚ) 2018/1139. |
(16) |
V súlade s článkom 128 ods. 4 nariadenia (EÚ) 2018/1139 Komisia viedla konzultácie s odborníkmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (7), |
PRIJALA TOTO NARIADENIE:
Článok 1
Predmet úpravy
V tomto nariadení sa stanovujú požiadavky, ktoré majú spĺňať organizácie uvedené v článku 2, s cieľom identifikovať a riadiť riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, ktoré by mohli ovplyvniť systémy informačných a komunikačných technológií a údaje používané na účely civilného letectva, a odhaľovať udalosti v oblasti informačnej bezpečnosti a identifikovať tie, ktoré sa považujú za incidenty v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, a reagovať na tieto incidenty v oblasti informačnej bezpečnosti a zotaviť sa z nich.
Článok 2
Rozsah pôsobnosti
1. Toto nariadenie sa uplatňuje na tieto organizácie:
a) |
výrobné organizácie a projekčné organizácie, na ktoré sa vzťahujú oddiel A podčasti G a J prílohy I (časť 21) k nariadeniu (EÚ) č. 748/2012, s výnimkou projekčných a výrobných organizácií, ktoré sú zapojené výlučne do projektovania a/alebo výroby lietadiel ELA2 vymedzených v článku 1 ods. 2 písm. j) nariadenia (EÚ) č. 748/2012; |
b) |
prevádzkovateľov letísk a poskytovateľov služieb riadenia prevádzky na odbavovacej ploche, na ktorých sa vzťahuje príloha III „Požiadavky na organizáciu (časť ADR.OR)“ k nariadeniu (EÚ) č. 139/2014. |
2. Týmto nariadením nie sú dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu Komisie (EÚ) 2015/1998 a v článku 14 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148.
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
1. |
„informačná bezpečnosť“ je zachovanie dôvernosti, integrity, pravosti a dostupnosti sietí a informačných systémov; |
2. |
„udalosť v oblasti informačnej bezpečnosti“ je identifikovaný výskyt stavu systému, služby alebo siete, ktorý naznačuje možné porušenie politiky informačnej bezpečnosti alebo zlyhanie kontrol informačnej bezpečnosti, alebo predtým neznámej situácie, ktorá môže byť relevantná pre informačnú bezpečnosť; |
3. |
„incident“ je každá udalosť, ktorá má nepriaznivý vplyv na bezpečnosť sietí a informačných systémov v zmysle vymedzenia v článku 4 ods. 7 smernice (EÚ) 2016/1148; |
4. |
„riziko v oblasti informačnej bezpečnosti“ je riziko pre organizačnú prevádzku civilného letectva, aktíva, jednotlivcov a iné organizácie z dôvodu možného výskytu udalosti v oblasti informačnej bezpečnosti. Riziká v oblasti informačnej bezpečnosti sú spojené s potenciálom, že hrozby využijú zraniteľnosti informačného aktíva alebo skupiny informačných aktív; |
5. |
„hrozba“ je potenciálne porušenie informačnej bezpečnosti, ktoré existuje v prípade subjektu, okolnosti, konania alebo udalosti, ktoré by mohli spôsobiť škodu; |
6. |
„zraniteľnosť“ je chyba alebo slabá stránka aktíva alebo systému, postupov, projektu, vykonávania alebo opatrení informačnej bezpečnosti, ktoré môžu byť využité a viesť k porušeniu politiky informačnej bezpečnosti. |
Článok 4
Požiadavky vyplývajúce z iných právnych predpisov Únie
1. Ak organizácia uvedená v článku 2 spĺňa bezpečnostné požiadavky stanovené v článku 14 smernice (EÚ) 2016/1148, ktoré sú rovnocenné s požiadavkami stanovenými v tomto nariadení, súlad s týmito bezpečnostnými požiadavkami sa považuje za súlad s požiadavkami stanovenými v tomto nariadení.
2. Ak je organizácia uvedená v článku 2 prevádzkovateľom alebo subjektom uvedeným vo vnútroštátnych programoch bezpečnostnej ochrany civilného letectva členských štátov stanovených v súlade s článkom 10 nariadenia Európskeho parlamentu a Rady (ES) č. 300/2008 (8), požiadavky kybernetickej bezpečnosti uvedené v bode 1.7 prílohy k vykonávaciemu nariadeniu (EÚ) 2015/1998 sa považujú za rovnocenné s požiadavkami stanovenými v tomto nariadení, s výnimkou ustanovenia IS.D.OR.230 prílohy k tomuto nariadeniu, ktoré sa musí dodržiavať.
3. Po konzultácii s agentúrou EASA a skupinou pre spoluprácu uvedenou v článku 11 smernice (EÚ) 2016/1148 môže Komisia vydať usmernenia na posúdenie rovnocennosti požiadaviek stanovených v tomto nariadení a smernici (EÚ) 2016/1148.
Článok 5
Príslušný orgán
1. Orgánom zodpovedným za osvedčovanie a dohľad nad dodržiavaním tohto nariadenia je:
a) |
vzhľadom na organizácie uvedené v článku 2 písm. a), príslušný orgán určený v súlade s prílohou I (časť 21) k nariadeniu (EÚ) č. 748/2012; |
b) |
vzhľadom na organizácie uvedené v článku 2 písm. b), príslušný orgán určený v súlade s prílohou III (časť ADR.OR) k nariadeniu (EÚ) č. 139/2014. |
2. Členské štáty môžu na účely tohto nariadenia určiť nezávislý a autonómny subjekt, ktorý bude plniť pridelené úlohy a povinnosti príslušných orgánov uvedených v odseku 1. V takom prípade sa stanovia koordinačné opatrenia medzi týmto subjektom a príslušnými orgánmi podľa odseku 1 s cieľom zabezpečiť účinný dohľad nad všetkými požiadavkami, ktoré má organizácia spĺňať.
Článok 6
Zmena nariadenia (EÚ) č. 748/2012
Príloha I (časť 21) k nariadeniu (EÚ) č. 748/2012 sa mení takto:
1. |
Obsah sa mení takto:
|
2. |
Za ustanovenie 21.A.139 sa vkladá toto ustanovenie 21.A.139A:
Okrem systému riadenia výroby požadovaného podľa ustanovenia 21.A.139 musí výrobná organizácia vytvoriť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením Komisie (EÚ) 2022/1645 (*1) s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. (*1) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18)“." |
3. |
Za ustanovenie 21.A.239 sa vkladá toto ustanovenie 21.A.239A:
Okrem systému riadenia projektovania požadovaného podľa ustanovenia 21.A.239 musí projekčná organizácia vytvoriť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením (EÚ) 2022/1645 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“ |
Článok 7
Zmena nariadenia (EÚ) č. 139/2014
Príloha III (časť ADR.OR) k nariadeniu (EÚ) č. 139/2014 sa mení takto:
1. |
Za ustanovenie ADR.OR.D.005 sa vkladá toto ustanovenie ADR.OR.D.005A:
Prevádzkovateľ letiska vytvorí, zavedie a udržiava systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením Komisie (EÚ) 2022/1645 (*2) s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. (*2) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18)“." |
2. |
Ustanovenie ADR.OR.D.007 sa nahrádza takto:
|
3. |
Za ustanovenie ADR.OR.F.045 sa vkladá toto ustanovenie ADR.OR.F.045A:
Organizácia zodpovedná za poskytovanie AMS vytvorí, zavedie a udržiava systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením (EÚ) 2022/1645 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“ |
Článok 8
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Uplatňuje sa po uplynutí 16. októbra 2025.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 14. júla 2022
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 212, 22.8.2018, s. 1.
(2) Vykonávacie nariadenie Komisie (EÚ) 2015/1998 z 5. novembra 2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14.11.2015, s. 1).
(3) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).
(4) Nariadenie Komisie (EÚ) č. 748/2012 z 3. augusta 2012 stanovujúce vykonávacie pravidlá osvedčovania letovej spôsobilosti a environmentálneho osvedčovania lietadiel a prislúchajúcich výrobkov, častí a zariadení, ako aj osvedčovania projekčných a výrobných organizácií (Ú. v. EÚ L 224, 21.8.2012, s. 1).
(5) Nariadenie Komisie (EÚ) č. 139/2014 z 12. februára 2014, ktorým sa stanovujú požiadavky a administratívne postupy týkajúce sa letísk podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 (Ú. v. EÚ L 44, 14.2.2014, s. 1).
(6) https://www.easa.europa.eu/document-library/opinions.
(7) Ú. v. EÚ L 123, 12.5.2016, s. 1.
(8) Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72).
PRÍLOHA
INFORMAČNÁ BEZPEČNOSŤ – ORGANIZAČNÉ POŽIADAVKY
[ČASŤ IS.D.OR]
IS.D.OR.100. |
Rozsah pôsobnosti |
IS.D.OR.200. |
Systém riadenia informačnej bezpečnosti |
IS.D.OR.205. |
Posúdenie rizika v oblasti informačnej bezpečnosti |
IS.D.OR.210. |
Riešenie rizika v oblasti informačnej bezpečnosti |
IS.D.OR.215. |
Systém interného nahlasovania informačnej bezpečnosti |
IS.D.OR.220. |
Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a obnova |
IS.D.OR.225. |
Reakcia na zistenia oznámené príslušným orgánom |
IS.D.OR.230. |
Systém externého nahlasovania informačnej bezpečnosti |
IS.D.OR.235. |
Zadávanie činností riadenia informačnej bezpečnosti |
IS.D.OR.240. |
Požiadavky na personál |
IS.D.OR.245. |
Vedenie záznamov |
IS.D.OR.250. |
Príručka riadenia informačnej bezpečnosti (ISMM) |
IS.D.OR.255. |
Zmeny systému riadenia informačnej bezpečnosti |
IS.D.OR.260. |
Neustále zlepšovanie |
IS.D.OR.100. Rozsah pôsobnosti
V tejto časti sa stanovujú požiadavky, ktoré musia spĺňať organizácie uvedené v článku 2 tohto nariadenia.
IS.D.OR.200. Systém riadenia informačnej bezpečnosti (ISMS)
a) |
Na dosiahnutie cieľov stanovených v článku 1 organizácia zriadi, vykonáva a udržiava systém riadenia informačnej bezpečnosti (ISMS), ktorý zabezpečí, aby organizácia:
|
b) |
V záujme nepretržitého plnenia požiadaviek uvedených v článku 1 musí organizácia zaviesť postup neustáleho zlepšovania v súlade s ustanovením IS.D.OR.260. |
c) |
Organizácia musí v súlade s ustanovením IS.D.OR.250 dokumentovať všetky kľúčové procesy, postupy, úlohy a zodpovednosti požadované na dosiahnutie súladu s ustanovením IS.D.OR.200 písm. a) a zaviesť postup zmeny tejto dokumentácie. Zmeny týchto procesov, postupov, úloh a zodpovedností sa riadia v súlade s ustanovením IS.D.OR.255. |
d) |
Procesy, postupy, úlohy a zodpovednosti stanovené organizáciou s cieľom dosiahnuť súlad s ustanovením IS.D.OR.200 písm. a) musia zodpovedať povahe a zložitosti jej činností na základe posúdenia rizík v oblasti informačnej bezpečnosti, ktoré sú vlastné týmto činnostiam, a môžu byť začlenené do iných existujúcich systémov riadenia, ktoré už organizácia zaviedla. |
e) |
Bez toho, aby bola dotknutá povinnosť dodržiavať požiadavky na podávanie správ uvedené v nariadení (EÚ) č. 376/2014 (1) a požiadavky uvedené v ustanovení IS.D.OR.200 písm. a) bode 13, môže príslušný orgán udeliť organizácii súhlas s nevykonávaním požiadaviek uvedených v písmenách a) až d) a príslušných požiadaviek uvedených v ustanoveniach IS.D.OR.205 až IS.D.OR.260, ak preukáže k spokojnosti uvedeného orgánu, že jej činnosti, zariadenia a zdroje, ako aj služby, ktoré prevádzkuje, poskytuje, prijíma a udržiava, nepredstavujú žiadne riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, a to ani pre seba, ani pre iné organizácie. Tento súhlas musí vychádzať zo zdokumentovaného posúdenia rizika v oblasti informačnej bezpečnosti, ktoré organizácia alebo tretia strana vykoná v súlade s ustanovením IS.D.OR.205 a ktoré preskúma a schváli jej príslušný orgán. Zachovanie platnosti tohto súhlasu preskúma príslušný orgán na základe príslušného cyklu auditu dohľadu a vždy, keď sa vykonajú zmeny v rozsahu práce organizácie. |
IS.D.OR.205. Posúdenie rizika v oblasti informačnej bezpečnosti
a) |
Organizácia identifikuje všetky svoje prvky, ktoré by mohli byť vystavené rizikám v oblasti informačnej bezpečnosti. To zahŕňa:
|
b) |
Organizácia identifikuje rozhrania, ktoré má s inými organizáciami a ktoré by mohli viesť k vzájomnému vystaveniu rizikám v oblasti informačnej bezpečnosti. |
c) |
Pokiaľ ide o prvky a rozhrania uvedené v písmenách a) a b), organizácia identifikuje riziká v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. Za každé identifikované riziko organizácia:
Vo vopred určenej klasifikácii uvedenej v bode 1 sa zohľadňuje možnosť výskytu scenára ohrozenia a závažnosť jeho bezpečnostných dôsledkov. Na základe tejto klasifikácie a s prihliadnutím na to, či organizácia disponuje štruktúrovaným a opakovateľným procesom riadenia rizík pre prevádzku, musí byť organizácia schopná stanoviť, či je riziko prijateľné alebo či je potrebné s ním zaobchádzať v súlade s ustanovením IS.D.OR.210. S cieľom uľahčiť vzájomnú porovnateľnosť posúdení rizík sa pri priraďovaní úrovne rizika podľa bodu 1 zohľadňujú príslušné informácie získané v koordinácii s organizáciami uvedenými v písmene b). |
d) |
Organizácia preskúma a aktualizuje posúdenie rizika vykonané v súlade s písmenami a), b) a c) v ktorejkoľvek z týchto situácií:
|
IS.D.OR.210. Riešenie rizika v oblasti informačnej bezpečnosti
a) |
Organizácia vypracuje opatrenia na riešenie neprijateľných rizík identifikovaných v súlade s ustanovením IS.D.OR.205, včas ich vykoná a skontroluje, či si zachovávajú účinnosť. Tieto opatrenia umožnia organizácii:
Týmito opatreniami sa nesmú zavádzať žiadne nové možné neprijateľné riziká pre bezpečnosť letectva. |
b) |
Osoba uvedená v ustanovení IS.D.OR.240 písm. a) a b) a iný dotknutý personál organizácie musia byť informovaní o výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.D.OR.205, zodpovedajúcich scenároch ohrozenia a opatreniach, ktoré sa majú vykonať. Organizácia musí informovať aj organizácie, s ktorými má rozhranie v súlade s ustanovením IS.D.OR.205 písm. b), o akomkoľvek spoločnom riziku pre obe organizácie. |
IS.D.OR.215. Systém interného nahlasovania informačnej bezpečnosti
a) |
Organizácia zriadi systém interného nahlasovania s cieľom umožniť zhromažďovanie a hodnotenie udalostí v oblasti informačnej bezpečnosti vrátane udalostí, ktoré sa majú nahlasovať podľa ustanovenia IS.D.OR.230. |
b) |
Systém a proces uvedený v ustanovení IS.D.OR.220 musia umožniť organizácii:
|
c) |
Každá zazmluvnená organizácia, ktorá môže vystaviť organizáciu rizikám v oblasti informačnej bezpečnosti s možným vplyvom na bezpečnosť letectva, je povinná nahlásiť organizácii udalosti v oblasti informačnej bezpečnosti. Uvedené správy sa predkladajú s použitím postupov stanovených v osobitných zmluvných dojednaniach a vyhodnocujú sa v súlade s písmenom b). |
d) |
Organizácia spolupracuje pri vyšetrovaniach s akoukoľvek inou organizáciou, ktorá významne prispieva k informačnej bezpečnosti svojich vlastných činností. |
e) |
Organizácia môže zlúčiť tento systém nahlasovania s inými systémami nahlasovania, ktoré už zaviedla. |
IS.D.OR.220. Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a obnova
a) |
Na základe výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.D.OR.205 a výsledku riešenia rizík vykonaného v súlade s ustanovením IS.D.OR.210 musí organizácia zaviesť opatrenia na odhaľovanie incidentov a zraniteľností, ktoré naznačujú možnú realizáciu neprijateľných rizík a ktoré môžu mať vplyv na bezpečnosť letectva. Uvedené opatrenia na odhaľovanie umožnia organizácii:
|
b) |
Organizácia musí zaviesť opatrenia s cieľom reagovať na všetky podmienky udalosti identifikované v súlade s písmenom a), ktoré sa môžu vyvinúť alebo sa vyvinuli do incidentu v oblasti informačnej bezpečnosti. Uvedené opatrenia reakcie umožnia organizácii:
|
c) |
Organizácia musí zaviesť opatrenia zamerané na obnovu po incidentoch v oblasti informačnej bezpečnosti vrátane núdzových opatrení, ak je to potrebné. Uvedené opatrenia na obnovu umožnia organizácii:
|
IS.D.OR.225. Reakcia na zistenia oznámené príslušným orgánom
a) |
Po prijatí oznámenia o zisteniach, ktoré predložil príslušný orgán, musí organizácia:
|
b) |
Opatrenia uvedené v písmene a) sa vykonajú v lehote dohodnutej s príslušným orgánom. |
IS.D.OR.230. Systém externého nahlasovania informačnej bezpečnosti
a) |
Organizácia musí zaviesť systém nahlasovania informačnej bezpečnosti, ktorý je v súlade s požiadavkami stanovenými v nariadení (EÚ) č. 376/2014 a jeho delegovaných a vykonávacích aktoch, ak sa uvedené nariadenie vzťahuje na organizáciu. |
b) |
Bez toho, aby boli dotknuté povinnosti stanovené v nariadení (EÚ) č. 376/2014, organizácia zabezpečí, aby sa akýkoľvek incident alebo zraniteľnosť v oblasti informačnej bezpečnosti, ktoré môžu predstavovať závažné riziko pre bezpečnosť letectva, nahlásil jej príslušnému orgánu. Okrem toho:
|
c) |
Organizácia nahlasuje podmienky uvedené v písmene b) takto:
|
IS.D.OR.235. Zadávanie činností riadenia informačnej bezpečnosti
a) |
Organizácia zabezpečí, aby pri zazmluvňovaní akejkoľvek časti činností uvedených v ustanovení IS.D.OR.200 s inými organizáciami boli zazmluvnené činnosti v súlade s požiadavkami tohto nariadenia a aby zazmluvnená organizácia pracovala pod jej dohľadom. Organizácia zabezpečí, aby riziká spojené so zazmluvnenými činnosťami boli primerane riadené. |
b) |
Organizácia zabezpečí príslušnému orgánu na jeho žiadosť prístup k zazmluvnenej organizácii s cieľom určiť, či naďalej spĺňa príslušné požiadavky stanovené v tomto nariadení. |
IS.D.OR.240. Požiadavky na personál
a) |
Zodpovedný manažér organizácie alebo v prípade projekčných organizácií vedúci projekčnej organizácie určený v súlade s nariadením (EÚ) č. 748/2012 a nariadením (EÚ) č. 139/2014, ako sa uvádza v článku 2 ods. 1 písm. a) a b) tohto nariadenia, má podnikovú právomoc na zabezpečenie toho, aby sa všetky činnosti požadované v tomto nariadení mohli financovať a vykonávať. Táto osoba:
|
b) |
Zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie vymenuje osobu alebo skupinu osôb, aby sa zabezpečilo, že organizácia spĺňa požiadavky tohto nariadenia, a vymedzí rozsah ich právomocí. Uvedená osoba alebo skupina osôb podlieha priamo zodpovednému manažérovi alebo v prípade projekčných organizácií vedúcemu projekčnej organizácie a musí mať primerané znalosti, prax a skúsenosti na plnenie svojich povinností. V postupoch sa určí, kto zastupuje určitú osobu v prípade dlhodobej neprítomnosti uvedenej osoby. |
c) |
Zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie vymenuje osobu alebo skupinu osôb, ktoré budú zodpovedné za riadenie funkcie monitorovania súladu podľa ustanovenia IS.D.OR.200 písm. a) bodu 12). |
d) |
Ak organizácia zdieľa organizačné štruktúry, politiky, procesy a postupy v oblasti informačnej bezpečnosti s inými organizáciami alebo oblasťami svojej vlastnej organizácie, ktoré nie sú súčasťou schválenia alebo vyhlásenia, zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie môže delegovať svoje činnosti na spoločnú zodpovednú osobu. V takom prípade sa stanovia koordinačné opatrenia medzi zodpovedným manažérom organizácie alebo v prípade projekčných organizácií vedúcim projekčnej organizácie a spoločnou zodpovednou osobou s cieľom zabezpečiť primeranú integráciu riadenia informačnej bezpečnosti v rámci organizácie. |
e) |
Zodpovedný manažér alebo vedúci projekčnej organizácie alebo spoločná zodpovedná osoba uvedená v písmene d) majú podnikovú právomoc zriadiť a udržiavať organizačné štruktúry, politiky, procesy a postupy potrebné na vykonávanie ustanovenia IS.D.OR.200. |
f) |
Organizácia musí mať zavedený postup na zabezpečenie dostatočného počtu zamestnancov v službe na vykonávanie činností, na ktoré sa vzťahuje táto príloha. |
g) |
Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uvedení v písmene f) mali potrebnú spôsobilosť na plnenie svojich úloh. |
h) |
Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uznali povinnosti spojené s pridelenými rolami a úlohami. |
i) |
Organizácia zabezpečí, aby bola náležite stanovená totožnosť a dôveryhodnosť pracovníkov, ktorí majú prístup k informačným systémom a údajom, na ktoré sa vzťahujú požiadavky tohto nariadenia. |
IS.D.OR.245. Vedenie záznamov
a) |
Organizácia vedie záznamy o svojich činnostiach riadenia informačnej bezpečnosti.
|
b) |
Organizácia vedie záznamy o kvalifikácii a skúsenostiach svojich vlastných zamestnancov zapojených do činností riadenia informačnej bezpečnosti.
|
c) |
Formát týchto záznamov sa stanoví v postupoch organizácie. |
d) |
Záznamy sa uchovávajú spôsobom, ktorým sa zabezpečí ochrana pred poškodením, pozmeňovaním a krádežou, pričom informácie sa v prípade potreby identifikujú na základe ich stupňa utajenia. Organizácia zabezpečí, aby sa záznamy uchovávali s použitím prostriedkov na zabezpečenie integrity, pravosti a oprávneného prístupu. |
IS.D.OR.250. Príručka riadenia informačnej bezpečnosti (ISMM)
a) |
Organizácia sprístupní príslušnému orgánu príručku riadenia informačnej bezpečnosti (ISMM) a prípadne všetky súvisiace príručky a postupy, na ktoré sa odkazuje, obsahujúcu:
|
b) |
Prvé vydanie ISMM schvaľuje a jej kópiu si ponechá príslušný orgán. ISMM sa podľa potreby zmení tak, aby bola naďalej aktuálnym opisom ISMS organizácie. Príslušnému orgánu sa poskytne kópia všetkých zmien ISMM. |
c) |
Zmeny ISMM sa riadia postupom, ktorý stanovuje organizácia. Všetky zmeny, ktoré nepatria do rozsahu pôsobnosti tohto postupu, a akékoľvek zmeny týkajúce sa zmien uvedených v ustanovení IS.D.OR.255 písm. b) schvaľuje príslušný orgán. |
d) |
Organizácia môže zlúčiť ISMM s inými príručkami riadenia alebo manuálmi, ktoré má k dispozícii, za predpokladu, že uvedie jasný odkaz označujúci časti príručky riadenia alebo manuálu, ktoré zodpovedajú rôznym požiadavkám obsiahnutým v tejto prílohe. |
IS.D.OR.255. Zmeny systému riadenia informačnej bezpečnosti
a) |
Zmeny ISMS sa môžu riadiť a oznamovať príslušnému orgánu v rámci postupu, ktorý vypracuje organizácia. Tento postup musí schváliť príslušný orgán. |
b) |
Pokiaľ ide o zmeny ISMS, na ktoré sa nevzťahuje postup uvedený v písmene a), organizácia musí požiadať o schválenie vydané príslušným orgánom a získať ho. Pokiaľ ide o tieto zmeny:
|
IS.D.OR.260. Neustále zlepšovanie
a) |
Organizácia s použitím primeraných ukazovateľov výkonnosti posúdi účinnosť a vyspelosť ISMS. Toto posúdenie sa vykonáva na základe harmonogramu, ktorý vopred stanoví organizácia, alebo v nadväznosti na incident v oblasti informačnej bezpečnosti. |
b) |
Ak sa po posúdení vykonanom v súlade s písmenom a) zistia nedostatky, organizácia prijme potrebné opatrenia na zlepšenie s cieľom zabezpečiť, aby ISMS naďalej spĺňal príslušné požiadavky a udržiaval riziká v oblasti informačnej bezpečnosti na prijateľnej úrovni. Okrem toho organizácia opätovne posúdi tie prvky ISMS, ktorých sa týkajú prijaté opatrenia. |
(1) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 376/2014 z 3. apríla 2014 o ohlasovaní udalostí, ich analýze a na ne nadväzujúcich opatreniach v civilnom letectve, ktorým sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 996/2010 a ktorým sa zrušuje smernica Európskeho parlamentu a Rady 2003/42/ES a nariadenia Komisie (ES) č. 1321/2007 a (ES) č. 1330/2007 (Ú. v. EÚ L 122, 24.4.2014, s. 18).