VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2019/1583

z 25. septembra 2019,

ktorým sa mení vykonávacie nariadenie (EÚ) 2015/1998, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva, pokiaľ ide o opatrenia kybernetickej bezpečnosti

(Text s významom pre EHP)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (1), a najmä na jeho článok 1 a článok 4 ods. 3,

keďže:

(1)	Jedným z hlavných cieľov nariadenia (ES) č. 300/2008 je poskytnúť základ pre spoločný výklad prílohy 17 (príloha o bezpečnostnej ochrane) k Dohovoru o medzinárodnom civilnom letectve (2) zo 7. decembra 1944, 10. vydanie, 2017, ktorého signatármi sú všetky členské štáty EÚ.

(2)	Ciele sa dosahujú a) stanovením spoločných pravidiel a spoločných základných noriem bezpečnostnej ochrany letectva a b) mechanizmami na monitorovanie súladu.

(3)

Účelom zmeny vykonávacích právnych predpisov je podporiť členské štáty pri zabezpečovaní plného súladu s najnovšou zmenou (pozmeňujúci návrh 16) prílohy 17 k Dohovoru o medzinárodnom civilnom letectve, ktorou sa zaviedli nové normy týkajúce sa vnútroštátnej organizácie a príslušného orgánu (kapitola 3.1.4) a preventívnych opatrení v oblasti kybernetickej bezpečnosti (kapitola 4.9.1).

(4)

Transpozíciou uvedených noriem do vykonávacích právnych predpisov EÚ v oblasti bezpečnostnej ochrany letectva sa zabezpečí, aby príslušné orgány stanovili a vykonávali postupy, ktoré podľa potreby prakticky a včas umožňujú výmenu dôležitých informácií s cieľom pomôcť iným vnútroštátnym orgánom a agentúram, prevádzkovateľom letísk, leteckým dopravcom a ďalším dotknutým subjektom pri vykonávaní účinného posúdenia bezpečnostných rizík v súvislosti s ich činnosťami, a podporili tak dané subjekty pri vykonávaní účinných posúdení bezpečnostných rizík týkajúcich sa okrem iného kybernetickej bezpečnosti a pri vykonávaní opatrení na riešenie kybernetických hrozieb.

(5)

V smernici Európskeho parlamentu a Rady (EÚ) 2016/1148 (3) o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernica NIS) sa stanovujú opatrenia na dosiahnutie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii s cieľom zlepšiť fungovanie vnútorného trhu. Opatrenia vyplývajúce zo smernice NIS a tohto nariadenia by sa mali koordinovať na vnútroštátnej úrovni, aby sa zabránilo nedostatočnému či duplicitnému plneniu povinností.

(6)	Vykonávacie nariadenie Komisie (EÚ) 2015/1998 (4) by sa preto malo zodpovedajúcim spôsobom zmeniť.

(7)	Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom Výboru pre bezpečnostnú ochranu civilného letectva zriadeného podľa článku 19 ods. 1 nariadenia (ES) č. 300/2008,

PRIJALA TOTO NARIADENIE:

Článok 1

Príloha k vykonávaciemu nariadeniu (EÚ) 2015/1998 sa mení v súlade s prílohou k tomuto nariadeniu.

Článok 2

Toto nariadenie nadobúda účinnosť 31. decembra 2020.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 25. septembra 2019

Za Komisiu

predseda

Jean-Claude JUNCKER

(1) Ú. v. EÚ L 97, 9.4.2008, s. 72.

(2) https://icao.int/publications/pages/doc7300.aspx.

(3) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).

(4) Vykonávacie nariadenie Komisie (EÚ) 2015/1998 z 5. novembra 2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14.11.2015, s. 1).

PRÍLOHA

Príloha k vykonávaciemu nariadeniu (EÚ) 2015/1998 sa mení takto:

Vkladá sa bod 1.0.6:

„1.0.6.

Príslušný orgán stanoví a vykonáva postupy, ktoré podľa potreby prakticky a včas umožňujú výmenu dôležitých informácií s cieľom pomôcť iným vnútroštátnym orgánom a agentúram, prevádzkovateľom letísk, leteckým dopravcom a ďalším dotknutým subjektom pri vykonávaní účinného posúdenia bezpečnostných rizík v súvislosti s ich činnosťami.“

Dopĺňa sa tento bod 1.7:

„1.7. IDENTIFIKÁCIA A OCHRANA KRITICKÝCH SYSTÉMOV INFORMAČNÝCH A KOMUNIKAČNÝCH TECHNOLÓGIÍ V CIVILNOM LETECTVE A ÚDAJOV PRED KYBERNETICKÝMI HROZBAMI

1.7.1.

Príslušný orgán zabezpečí, aby prevádzkovatelia letísk, leteckí dopravcovia a subjekty vymedzené vo vnútroštátnom programe bezpečnostnej ochrany civilného letectva identifikovali a chránili svoje kritické systémy informačných a komunikačných technológií a svoje údaje pred kybernetickými útokmi, ktoré by mohli mať vplyv na bezpečnostnú ochranu civilného letectva.

1.7.2.

Prevádzkovatelia letísk, leteckí dopravcovia a subjekty identifikujú vo svojich programoch bezpečnostnej ochrany alebo v akomkoľvek relevantnom dokumente, na ktorý sa odkazuje v programe bezpečnostnej ochrany, kritické systémy informačných a komunikačných technológií a údaje opísané v bode 1.7.1.

V programe bezpečnostnej ochrany alebo v akomkoľvek relevantnom dokumente, na ktorý sa odkazuje v programe bezpečnostnej ochrany, sa podrobne uvedú opatrenia na zabezpečenie ochrany pred kybernetickými útokmi opísanými v bode 1.7.1, ich odhaľovania, reakcie na ne a obnovy po takýchto útokoch.

1.7.3.

Podrobné opatrenia na ochranu takýchto systémov a údajov pred protiprávnym zasahovaním sa identifikujú, vypracujú a vykonávajú v súlade s posúdením rizík, ktoré vykoná prevádzkovateľ letiska, letecký dopravca prípadne subjekt.

1.7.4.

Ak sú konkrétny orgán alebo konkrétna agentúra zodpovedné za opatrenia súvisiace s kybernetickými hrozbami v rámci jedného členského štátu, daný orgán alebo agentúru možno poveriť koordináciou a/alebo monitorovaním ustanovení v tomto nariadení súvisiacich s kybernetickým priestorom.

1.7.5.

Ak sa na prevádzkovateľov letísk, leteckých dopravcov a subjekty vymedzené vo vnútroštátnom programe bezpečnostnej ochrany civilného letectva vzťahujú osobitné požiadavky na kybernetickú bezpečnosť vyplývajúce z iných právnych predpisov EÚ alebo členských štátov, príslušný orgán môže nahradiť súlad s požiadavkami tohto nariadenia súladom s prvkami obsiahnutými v iných právnych predpisoch EÚ alebo členských štátov. Príslušný orgán zosúladí svoj postup s akýmikoľvek inými dotknutými príslušnými orgánmi s cieľom zabezpečiť koordinované alebo kompatibilné režimy dohľadu.“

Bod 11.1.2 sa nahrádza takto:

„11.1.2.

Títo zamestnanci musia úspešne absolvovať rozšírenú alebo štandardnú previerku osoby:

a)	osoby, ktoré sa prijímajú do zamestnania, aby vykonávali detekčné kontroly, kontroly vstupu alebo iné kontroly bezpečnostnej ochrany v inom ako vo vyhradenom bezpečnostnom priestore, alebo aby boli za ich vykonávanie zodpovedné;

b)	osoby, ktoré majú nesprevádzaný prístup k leteckému nákladu a poštovým zásielkam, k poštovým zásielkam a materiálom leteckého dopravcu, dodávkam potrebným počas letu a letiskovým dodávkam, pri ktorých sa vykonali požadované bezpečnostné kontroly;

osoby, ktoré majú práva administrátora alebo neobmedzený prístup bez dozoru ku kritickým systémom informačných a komunikačných technológií a k údajom používaným na účely bezpečnostnej ochrany civilného letectva opísané v bode 1.7.1 v súlade s vnútroštátnym programom bezpečnostnej ochrany letectva alebo boli inak identifikované v posúdení rizika podľa bodu 1.7.3.

Pokiaľ nie je v tomto nariadení stanovené inak, príslušný orgán v súlade s platnými vnútroštátnymi predpismi určuje, či je potrebné absolvovať rozšírenú alebo štandardnú previerku osoby.“

Vkladá sa tento bod 11.2.8:

„11.2.8. Odborná príprava osôb s úlohami a zodpovednosťou súvisiacimi s kybernetickými hrozbami

11.2.8.1.

Osoby vykonávajúce opatrenia stanovené v bode 1.7.2 musia mať schopnosti a vlohy potrebné na účinné vykonávanie určených úloh. Treba ich informovať o príslušných kybernetických rizikách, ktoré treba poznať.

11.2.8.2.

Osoby, ktoré majú prístup k údajom alebo systémom, musia absolvovať primeranú a špecifickú odbornú prípravu súvisiacu s prácou, ktorá zodpovedá ich úlohe a zodpovednosti, a treba ich informovať o relevantných rizikách, ak si to ich pracovná funkcia vyžaduje. Príslušný orgán, resp. orgán či agentúra uvedená v bode 1.7.4, spresní alebo schváli obsah kurzu.“