DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2022/1645

zo 14. júla 2022,

ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (1), a najmä na jeho článok 19 ods. 1 písm. g) a článok 39 ods. 1 písm. b),

keďže:

(1)	V súlade so základnými požiadavkami stanovenými v bode 3.1 písm. b) prílohy II k nariadeniu (EÚ) 2018/1139 majú projekčné a výrobné organizácie zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík.

(2)

Okrem toho v súlade so základnými požiadavkami stanovenými v bodoch 2.2.1 a 5.2 prílohy VII k nariadeniu (EÚ) 2018/1139 majú prevádzkovatelia letísk a organizácie zodpovedné za poskytovanie služieb riadenia prevádzky na odbavovacej ploche zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík.

(3)

Bezpečnostné riziká uvedené v odôvodneniach 1 a 2 môžu pochádzať z rôznych zdrojov vrátane projekčných a údržbových nedostatkov, aspektov ľudskej výkonnosti, environmentálnych hrozieb a hrozieb pre informačnú bezpečnosť. V systémoch riadenia zavedených organizáciami, ako sa uvádza v odôvodneniach 1 a 2, by sa preto mali zohľadňovať nielen bezpečnostné riziká vyplývajúce z náhodných udalostí, ale aj bezpečnostné riziká vyplývajúce z hrozieb pre informačnú bezpečnosť, pri ktorých môžu jednotlivci so zlým úmyslom existujúce nedostatky zneužiť. Tieto riziká v oblasti informačnej bezpečnosti v prostredí civilného letectva neustále narastajú, keďže súčasné informačné systémy sú čoraz viac prepojené a čoraz viac sa stávajú cieľom aktérov so zlými úmyslami.

(4)	Riziká spojené s týmito informačnými systémami sa neobmedzujú len na možné útoky na kybernetický priestor, ale zahŕňajú aj hrozby, ktoré môžu ovplyvniť procesy a postupy, ako aj výkonnosť ľudí.

(5)	Značný počet organizácií už používa medzinárodné normy, ako napríklad ISO 27001, s cieľom riešiť zabezpečenie digitálnych informácií a údajov. Tieto normy nezohľadňujú v plnej miere všetky osobitosti civilného letectva.

(6)	Preto je vhodné stanoviť požiadavky na riadenie rizík v oblasti informačnej bezpečnosti, ktoré by mohli mať vplyv na bezpečnosť letectva.

(7)

Je nevyhnutné, aby sa uvedené požiadavky vzťahovali na rôzne oblasti letectva a ich rozhrania, keďže letectvo je vysoko prepojeným systémom systémov. Preto by sa mali vzťahovať na všetky organizácie, ktoré sú už povinné mať systém riadenia v súlade s existujúcimi právnymi predpismi Únie v oblasti bezpečnosti letectva.

(8)	Požiadavky stanovené v tomto nariadení by sa mali dôsledne uplatňovať vo všetkých oblastiach letectva, pričom by sa mal dosiahnuť minimálny vplyv na právne predpisy Únie v oblasti bezpečnosti letectva, ktoré sa už v týchto oblastiach uplatňujú.

(9)	Požiadavkami stanovenými v tomto nariadení by nemali byť dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu Komisie (EÚ) 2015/1998 (2) a v článku 14 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 (3).

(10)	Vymedzenie pojmu informačnej bezpečnosti použité na účely tohto právneho aktu by sa nemalo vykladať odlišne od vymedzenia pojmu bezpečnosti sietí a informačných systémov stanoveného v smernici 2016/1148.

(11)

S cieľom zabrániť duplicite právnych požiadaviek, ak organizácie, na ktoré sa vzťahuje toto nariadenie, už podliehajú bezpečnostným požiadavkám vyplývajúcim z iných aktov Únie uvedených v odôvodnení 9, ktoré sú v podstate rovnocenné s ustanoveniami tohto nariadenia, súlad s uvedenými bezpečnostnými požiadavkami by sa mal považovať za súlad s požiadavkami stanovenými v tomto nariadení.

(12)

Organizácie, na ktoré sa vzťahuje toto nariadenie a ktoré už podliehajú bezpečnostným požiadavkám vyplývajúcim z vykonávacieho nariadenia (EÚ) 2015/1998, by mali spĺňať aj požiadavky prílohy I (časť IS.D.OR.230 „Systém externého nahlasovania informačnej bezpečnosti“) k tomuto nariadeniu, keďže vykonávacie nariadenie (EÚ) 2015/1998 neobsahuje žiadne ustanovenia týkajúce sa externého nahlasovania incidentov v oblasti informačnej bezpečnosti.

(13)	Nariadenia Komisie (EÚ) č. 748/2012 (4) a (EÚ) č. 139/2014 (5) by sa mali zmeniť s cieľom vytvoriť prepojenie medzi systémami riadenia stanovenými v uvedených nariadeniach a požiadavkami na riadenie informačnej bezpečnosti stanovenými v tomto nariadení.

(14)	S cieľom poskytnúť organizáciám dostatočný čas na zabezpečenie súladu s novými pravidlami a postupmi zavedenými týmto nariadením by sa toto nariadenie malo uplatňovať po uplynutí troch rokov od dátumu nadobudnutia účinnosti.

(15)	Požiadavky stanovené v tomto nariadení vychádzajú zo stanoviska č. 03/2021 (6) vydaného agentúrou v súlade s článkom 75 ods. 2 písm. b) a c) a článkom 76 ods. 1 nariadenia (EÚ) 2018/1139.

(16)	V súlade s článkom 128 ods. 4 nariadenia (EÚ) 2018/1139 Komisia viedla konzultácie s odborníkmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (7),

PRIJALA TOTO NARIADENIE:

Článok 1

Predmet úpravy

V tomto nariadení sa stanovujú požiadavky, ktoré majú spĺňať organizácie uvedené v článku 2, s cieľom identifikovať a riadiť riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, ktoré by mohli ovplyvniť systémy informačných a komunikačných technológií a údaje používané na účely civilného letectva, a odhaľovať udalosti v oblasti informačnej bezpečnosti a identifikovať tie, ktoré sa považujú za incidenty v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, a reagovať na tieto incidenty v oblasti informačnej bezpečnosti a zotaviť sa z nich.

Článok 2

Rozsah pôsobnosti

1. Toto nariadenie sa uplatňuje na tieto organizácie:

výrobné organizácie a projekčné organizácie, na ktoré sa vzťahujú oddiel A podčasti G a J prílohy I (časť 21) k nariadeniu (EÚ) č. 748/2012, s výnimkou projekčných a výrobných organizácií, ktoré sú zapojené výlučne do projektovania a/alebo výroby lietadiel ELA2 vymedzených v článku 1 ods. 2 písm. j) nariadenia (EÚ) č. 748/2012;

b)	prevádzkovateľov letísk a poskytovateľov služieb riadenia prevádzky na odbavovacej ploche, na ktorých sa vzťahuje príloha III „Požiadavky na organizáciu (časť ADR.OR)“ k nariadeniu (EÚ) č. 139/2014.

2. Týmto nariadením nie sú dotknuté požiadavky na informačnú bezpečnosť a kybernetickú bezpečnosť stanovené v bode 1.7 prílohy k vykonávaciemu nariadeniu Komisie (EÚ) 2015/1998 a v článku 14 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148.

Článok 3

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

1.	„informačná bezpečnosť“ je zachovanie dôvernosti, integrity, pravosti a dostupnosti sietí a informačných systémov;

„udalosť v oblasti informačnej bezpečnosti“ je identifikovaný výskyt stavu systému, služby alebo siete, ktorý naznačuje možné porušenie politiky informačnej bezpečnosti alebo zlyhanie kontrol informačnej bezpečnosti, alebo predtým neznámej situácie, ktorá môže byť relevantná pre informačnú bezpečnosť;

3.	„incident“ je každá udalosť, ktorá má nepriaznivý vplyv na bezpečnosť sietí a informačných systémov v zmysle vymedzenia v článku 4 ods. 7 smernice (EÚ) 2016/1148;

„riziko v oblasti informačnej bezpečnosti“ je riziko pre organizačnú prevádzku civilného letectva, aktíva, jednotlivcov a iné organizácie z dôvodu možného výskytu udalosti v oblasti informačnej bezpečnosti. Riziká v oblasti informačnej bezpečnosti sú spojené s potenciálom, že hrozby využijú zraniteľnosti informačného aktíva alebo skupiny informačných aktív;

5.	„hrozba“ je potenciálne porušenie informačnej bezpečnosti, ktoré existuje v prípade subjektu, okolnosti, konania alebo udalosti, ktoré by mohli spôsobiť škodu;

6.	„zraniteľnosť“ je chyba alebo slabá stránka aktíva alebo systému, postupov, projektu, vykonávania alebo opatrení informačnej bezpečnosti, ktoré môžu byť využité a viesť k porušeniu politiky informačnej bezpečnosti.

Článok 4

Požiadavky vyplývajúce z iných právnych predpisov Únie

1. Ak organizácia uvedená v článku 2 spĺňa bezpečnostné požiadavky stanovené v článku 14 smernice (EÚ) 2016/1148, ktoré sú rovnocenné s požiadavkami stanovenými v tomto nariadení, súlad s týmito bezpečnostnými požiadavkami sa považuje za súlad s požiadavkami stanovenými v tomto nariadení.

2. Ak je organizácia uvedená v článku 2 prevádzkovateľom alebo subjektom uvedeným vo vnútroštátnych programoch bezpečnostnej ochrany civilného letectva členských štátov stanovených v súlade s článkom 10 nariadenia Európskeho parlamentu a Rady (ES) č. 300/2008 (8), požiadavky kybernetickej bezpečnosti uvedené v bode 1.7 prílohy k vykonávaciemu nariadeniu (EÚ) 2015/1998 sa považujú za rovnocenné s požiadavkami stanovenými v tomto nariadení, s výnimkou ustanovenia IS.D.OR.230 prílohy k tomuto nariadeniu, ktoré sa musí dodržiavať.

3. Po konzultácii s agentúrou EASA a skupinou pre spoluprácu uvedenou v článku 11 smernice (EÚ) 2016/1148 môže Komisia vydať usmernenia na posúdenie rovnocennosti požiadaviek stanovených v tomto nariadení a smernici (EÚ) 2016/1148.

Článok 5

Príslušný orgán

1. Orgánom zodpovedným za osvedčovanie a dohľad nad dodržiavaním tohto nariadenia je:

a)	vzhľadom na organizácie uvedené v článku 2 písm. a), príslušný orgán určený v súlade s prílohou I (časť 21) k nariadeniu (EÚ) č. 748/2012;

b)	vzhľadom na organizácie uvedené v článku 2 písm. b), príslušný orgán určený v súlade s prílohou III (časť ADR.OR) k nariadeniu (EÚ) č. 139/2014.

2. Členské štáty môžu na účely tohto nariadenia určiť nezávislý a autonómny subjekt, ktorý bude plniť pridelené úlohy a povinnosti príslušných orgánov uvedených v odseku 1. V takom prípade sa stanovia koordinačné opatrenia medzi týmto subjektom a príslušnými orgánmi podľa odseku 1 s cieľom zabezpečiť účinný dohľad nad všetkými požiadavkami, ktoré má organizácia spĺňať.

Článok 6

Zmena nariadenia (EÚ) č. 748/2012

Príloha I (časť 21) k nariadeniu (EÚ) č. 748/2012 sa mení takto:

Obsah sa mení takto:

Za nadpis 21.A.139 sa vkladá tento nadpis:

„21.A.139A

Systém riadenia informačnej bezpečnosti“;

Za nadpis 21.A.239 sa vkladá tento nadpis:

„21.A.239A

Systém riadenia informačnej bezpečnosti“.

Za ustanovenie 21.A.139 sa vkladá toto ustanovenie 21.A.139A:

„21.A.139A

Systém riadenia informačnej bezpečnosti

Okrem systému riadenia výroby požadovaného podľa ustanovenia 21.A.139 musí výrobná organizácia vytvoriť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením Komisie (EÚ) 2022/1645 (*1) s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.

(*1) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18)“."

Za ustanovenie 21.A.239 sa vkladá toto ustanovenie 21.A.239A:

„21.A.239A

Systém riadenia informačnej bezpečnosti

Okrem systému riadenia projektovania požadovaného podľa ustanovenia 21.A.239 musí projekčná organizácia vytvoriť, zaviesť a udržiavať systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením (EÚ) 2022/1645 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“

Článok 7

Zmena nariadenia (EÚ) č. 139/2014

Príloha III (časť ADR.OR) k nariadeniu (EÚ) č. 139/2014 sa mení takto:

Za ustanovenie ADR.OR.D.005 sa vkladá toto ustanovenie ADR.OR.D.005A:

„ADR.OR.D.005A

Systém riadenia informačnej bezpečnosti

Prevádzkovateľ letiska vytvorí, zavedie a udržiava systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením Komisie (EÚ) 2022/1645 (*2) s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.

(*2) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18)“."

Ustanovenie ADR.OR.D.007 sa nahrádza takto:

„ADR.OR.D.007.

Správa leteckých údajov a leteckých informácií

V rámci svojho systému riadenia prevádzkovateľ letiska zavedie a udržiava systém riadenia kvality zahŕňajúci tieto činnosti:

1.	jeho činnosti súvisiace s leteckými údajmi;

2.	jeho činnosti súvisiace s poskytovaním leteckých informácií.

b)	Prevádzkovateľ letiska ako súčasť svojho systému riadenia vytvorí systém riadenia bezpečnostnej ochrany s cieľom zaistiť ochranu prevádzkových údajov, ktoré prijíma, tvorí alebo inak používa, tak, aby bol prístup k uvedeným prevádzkovým údajom vyhradený len pre oprávnené osoby.

V systéme riadenia bezpečnostnej ochrany sa vymedzujú tieto prvky:

1.	postupy súvisiace s posudzovaním rizík bezpečnosti údajov a ich zmierňovaním, monitorovaním bezpečnostnej ochrany a jej zlepšovaním, preskúmaním bezpečnostnej ochrany a šírením poznatkov;

2.	prostriedky určené na zistenie narušenia bezpečnosti a na upozornenie pracovníkov vhodnými bezpečnostnými upozorneniami;

3.	prostriedky na obmedzenie následkov narušenia bezpečnosti a na identifikovanie nápravných opatrení a zmierňujúcich postupov s cieľom zabrániť ich opätovnému výskytu.

d)	Prevádzkovateľ letiska zabezpečí bezpečnostnú previerku svojich zamestnancov s ohľadom na zabezpečenie leteckých údajov.

e)	Aspekty súvisiace s informačnou bezpečnosťou sa upravujú v súlade s ustanovením ADR.OR.D.005A.“

Za ustanovenie ADR.OR.F.045 sa vkladá toto ustanovenie ADR.OR.F.045A:

„ADR.OR.F.045A

Systém riadenia informačnej bezpečnosti

Organizácia zodpovedná za poskytovanie AMS vytvorí, zavedie a udržiava systém riadenia informačnej bezpečnosti v súlade s delegovaným nariadením (EÚ) 2022/1645 s cieľom zabezpečiť riadne riadenie rizík v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva.“

Článok 8

Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

Uplatňuje sa po uplynutí 16. októbra 2025.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 14. júla 2022

Za Komisiu

predsedníčka

Ursula VON DER LEYEN

(1) Ú. v. EÚ L 212, 22.8.2018, s. 1.

(2) Vykonávacie nariadenie Komisie (EÚ) 2015/1998 z 5. novembra 2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14.11.2015, s. 1).

(3) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).

(4) Nariadenie Komisie (EÚ) č. 748/2012 z 3. augusta 2012 stanovujúce vykonávacie pravidlá osvedčovania letovej spôsobilosti a environmentálneho osvedčovania lietadiel a prislúchajúcich výrobkov, častí a zariadení, ako aj osvedčovania projekčných a výrobných organizácií (Ú. v. EÚ L 224, 21.8.2012, s. 1).

(5) Nariadenie Komisie (EÚ) č. 139/2014 z 12. februára 2014, ktorým sa stanovujú požiadavky a administratívne postupy týkajúce sa letísk podľa nariadenia Európskeho parlamentu a Rady (ES) č. 216/2008 (Ú. v. EÚ L 44, 14.2.2014, s. 1).

(6) https://www.easa.europa.eu/document-library/opinions.

(7) Ú. v. EÚ L 123, 12.5.2016, s. 1.

(8) Nariadenie Európskeho parlamentu a Rady (ES) č. 300/2008 z 11. marca 2008 o spoločných pravidlách v oblasti bezpečnostnej ochrany civilného letectva a o zrušení nariadenia (ES) č. 2320/2002 (Ú. v. EÚ L 97, 9.4.2008, s. 72).

PRÍLOHA

INFORMAČNÁ BEZPEČNOSŤ – ORGANIZAČNÉ POŽIADAVKY

[ČASŤ IS.D.OR]

IS.D.OR.100.

Rozsah pôsobnosti

IS.D.OR.200.

Systém riadenia informačnej bezpečnosti

IS.D.OR.205.

Posúdenie rizika v oblasti informačnej bezpečnosti

IS.D.OR.210.

Riešenie rizika v oblasti informačnej bezpečnosti

IS.D.OR.215.

Systém interného nahlasovania informačnej bezpečnosti

IS.D.OR.220.

Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a obnova

IS.D.OR.225.

Reakcia na zistenia oznámené príslušným orgánom

IS.D.OR.230.

Systém externého nahlasovania informačnej bezpečnosti

IS.D.OR.235.

Zadávanie činností riadenia informačnej bezpečnosti

IS.D.OR.240.

Požiadavky na personál

IS.D.OR.245.

Vedenie záznamov

IS.D.OR.250.

Príručka riadenia informačnej bezpečnosti (ISMM)

IS.D.OR.255.

Zmeny systému riadenia informačnej bezpečnosti

IS.D.OR.260.

Neustále zlepšovanie

IS.D.OR.100. Rozsah pôsobnosti

V tejto časti sa stanovujú požiadavky, ktoré musia spĺňať organizácie uvedené v článku 2 tohto nariadenia.

IS.D.OR.200. Systém riadenia informačnej bezpečnosti (ISMS)

Na dosiahnutie cieľov stanovených v článku 1 organizácia zriadi, vykonáva a udržiava systém riadenia informačnej bezpečnosti (ISMS), ktorý zabezpečí, aby organizácia:

1.	stanovila politiku v oblasti informačnej bezpečnosti, v ktorej určí celkové zásady organizácie, pokiaľ ide o potenciálny vplyv rizík v oblasti informačnej bezpečnosti na bezpečnosť letectva;

2.	identifikovala a preskúmala riziká v oblasti informačnej bezpečnosti v súlade s ustanovením IS.D.OR.205;

3.	určila a vykonávala opatrenia na riešenie rizík v oblasti informačnej bezpečnosti v súlade s ustanovením IS.D.OR.210;

4.	zaviedla systém interného nahlasovania informačnej bezpečnosti v súlade s ustanovením IS.D.OR.215;

vymedzila a vykonávala v súlade s ustanovením IS.D.OR.220 opatrenia potrebné na odhaľovanie udalostí v oblasti informačnej bezpečnosti, identifikovala tie udalosti, ktoré sa považujú za incidenty s potenciálnym vplyvom na bezpečnosť letectva, s výnimkou prípadov povolených v ustanovení IS.D.OR.205 písm. e), a reagovala na uvedené incidenty v oblasti informačnej bezpečnosti a aby sa z uvedených incidentov zotavila;

6.	vykonávala opatrenia, ktoré oznámil príslušný orgán ako okamžitú reakciu na incident alebo zraniteľnosť v oblasti informačnej bezpečnosti s vplyvom na bezpečnosť letectva;

7.	prijímala vhodné opatrenia v súlade s ustanovením IS.D.OR.225 s cieľom riešiť zistenia oznámené príslušným orgánom;

8.	vykonávala systém externého nahlasovania v súlade s ustanovením IS.D.OR.230 s cieľom umožniť príslušnému orgánu prijať vhodné opatrenia;

9.	spĺňala požiadavky uvedené v ustanovení IS.D.OR.235 pri zadávaní akejkoľvek časti činností uvedených v ustanovení IS.D.OR.200 iným organizáciám;

10.	spĺňala požiadavky na personál určené v ustanovení IS.D.OR.240;

11.	spĺňala požiadavky na vedenie záznamov určené v ustanovení IS.D.OR.245;

12.	monitorovala dodržiavanie požiadaviek tohto nariadenia zo strany organizácie a poskytovala spätnú väzbu o zisteniach zodpovednému manažérovi alebo v prípade projekčných organizácií vedúcemu projekčnej organizácie s cieľom zabezpečiť účinné vykonávanie nápravných opatrení;

13.	bez toho, aby boli dotknuté príslušné požiadavky na nahlasovanie incidentov, chránila dôvernosť všetkých informácií, ktoré organizácia mohla získať od iných organizácií, podľa úrovne ich citlivosti.

b)	V záujme nepretržitého plnenia požiadaviek uvedených v článku 1 musí organizácia zaviesť postup neustáleho zlepšovania v súlade s ustanovením IS.D.OR.260.

Organizácia musí v súlade s ustanovením IS.D.OR.250 dokumentovať všetky kľúčové procesy, postupy, úlohy a zodpovednosti požadované na dosiahnutie súladu s ustanovením IS.D.OR.200 písm. a) a zaviesť postup zmeny tejto dokumentácie. Zmeny týchto procesov, postupov, úloh a zodpovedností sa riadia v súlade s ustanovením IS.D.OR.255.

Procesy, postupy, úlohy a zodpovednosti stanovené organizáciou s cieľom dosiahnuť súlad s ustanovením IS.D.OR.200 písm. a) musia zodpovedať povahe a zložitosti jej činností na základe posúdenia rizík v oblasti informačnej bezpečnosti, ktoré sú vlastné týmto činnostiam, a môžu byť začlenené do iných existujúcich systémov riadenia, ktoré už organizácia zaviedla.

Bez toho, aby bola dotknutá povinnosť dodržiavať požiadavky na podávanie správ uvedené v nariadení (EÚ) č. 376/2014 (1) a požiadavky uvedené v ustanovení IS.D.OR.200 písm. a) bode 13, môže príslušný orgán udeliť organizácii súhlas s nevykonávaním požiadaviek uvedených v písmenách a) až d) a príslušných požiadaviek uvedených v ustanoveniach IS.D.OR.205 až IS.D.OR.260, ak preukáže k spokojnosti uvedeného orgánu, že jej činnosti, zariadenia a zdroje, ako aj služby, ktoré prevádzkuje, poskytuje, prijíma a udržiava, nepredstavujú žiadne riziká v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva, a to ani pre seba, ani pre iné organizácie. Tento súhlas musí vychádzať zo zdokumentovaného posúdenia rizika v oblasti informačnej bezpečnosti, ktoré organizácia alebo tretia strana vykoná v súlade s ustanovením IS.D.OR.205 a ktoré preskúma a schváli jej príslušný orgán.

Zachovanie platnosti tohto súhlasu preskúma príslušný orgán na základe príslušného cyklu auditu dohľadu a vždy, keď sa vykonajú zmeny v rozsahu práce organizácie.

IS.D.OR.205. Posúdenie rizika v oblasti informačnej bezpečnosti

Organizácia identifikuje všetky svoje prvky, ktoré by mohli byť vystavené rizikám v oblasti informačnej bezpečnosti. To zahŕňa:

1.	činnosti, zariadenia a zdroje organizácie, ako aj služby, ktoré organizácia prevádzkuje, poskytuje, prijíma alebo udržiava;

2.	vybavenie, systémy, údaje a informácie, ktoré prispievajú k fungovaniu prvkov uvedených v bode 1.

b)	Organizácia identifikuje rozhrania, ktoré má s inými organizáciami a ktoré by mohli viesť k vzájomnému vystaveniu rizikám v oblasti informačnej bezpečnosti.

Pokiaľ ide o prvky a rozhrania uvedené v písmenách a) a b), organizácia identifikuje riziká v oblasti informačnej bezpečnosti, ktoré môžu mať vplyv na bezpečnosť letectva. Za každé identifikované riziko organizácia:

1.	priradí úroveň rizika podľa vopred určenej klasifikácie stanovenej organizáciou;

2.	spojí každé riziko a jeho úroveň so zodpovedajúcim prvkom alebo rozhraním určeným v súlade s písmenami a) a b).

Vo vopred určenej klasifikácii uvedenej v bode 1 sa zohľadňuje možnosť výskytu scenára ohrozenia a závažnosť jeho bezpečnostných dôsledkov. Na základe tejto klasifikácie a s prihliadnutím na to, či organizácia disponuje štruktúrovaným a opakovateľným procesom riadenia rizík pre prevádzku, musí byť organizácia schopná stanoviť, či je riziko prijateľné alebo či je potrebné s ním zaobchádzať v súlade s ustanovením IS.D.OR.210.

S cieľom uľahčiť vzájomnú porovnateľnosť posúdení rizík sa pri priraďovaní úrovne rizika podľa bodu 1 zohľadňujú príslušné informácie získané v koordinácii s organizáciami uvedenými v písmene b).

Organizácia preskúma a aktualizuje posúdenie rizika vykonané v súlade s písmenami a), b) a c) v ktorejkoľvek z týchto situácií:

1.	došlo k zmene prvkov, ktoré sú vystavené rizikám v oblasti informačnej bezpečnosti;

2.	došlo k zmene v rozhraniach medzi organizáciou a inými organizáciami alebo v rizikách oznámených inými organizáciami;

3.	došlo k zmene informácií alebo poznatkov použitých na identifikáciu, analýzu a klasifikáciu rizík;

4.	analýza incidentov v oblasti informačnej bezpečnosti priniesla poznatky.

IS.D.OR.210. Riešenie rizika v oblasti informačnej bezpečnosti

Organizácia vypracuje opatrenia na riešenie neprijateľných rizík identifikovaných v súlade s ustanovením IS.D.OR.205, včas ich vykoná a skontroluje, či si zachovávajú účinnosť. Tieto opatrenia umožnia organizácii:

1.	kontrolovať okolnosti, ktoré prispievajú k skutočnému výskytu scenára ohrozenia;

2.	znížiť dôsledky na bezpečnosť letectva spojené s realizáciou scenára ohrozenia;

3.	vyhýbať sa rizikám.

Týmito opatreniami sa nesmú zavádzať žiadne nové možné neprijateľné riziká pre bezpečnosť letectva.

Osoba uvedená v ustanovení IS.D.OR.240 písm. a) a b) a iný dotknutý personál organizácie musia byť informovaní o výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.D.OR.205, zodpovedajúcich scenároch ohrozenia a opatreniach, ktoré sa majú vykonať.

Organizácia musí informovať aj organizácie, s ktorými má rozhranie v súlade s ustanovením IS.D.OR.205 písm. b), o akomkoľvek spoločnom riziku pre obe organizácie.

IS.D.OR.215. Systém interného nahlasovania informačnej bezpečnosti

a)	Organizácia zriadi systém interného nahlasovania s cieľom umožniť zhromažďovanie a hodnotenie udalostí v oblasti informačnej bezpečnosti vrátane udalostí, ktoré sa majú nahlasovať podľa ustanovenia IS.D.OR.230.

Systém a proces uvedený v ustanovení IS.D.OR.220 musia umožniť organizácii:

1.	identifikovať, ktoré z udalostí nahlásených podľa písmena a) sa považujú za incidenty alebo zraniteľnosti v oblasti informačnej bezpečnosti s možným vplyvom na bezpečnosť letectva;

2.	identifikovať príčiny a faktory prispievajúce k incidentom a zraniteľnostiam v oblasti informačnej bezpečnosti identifikovaným v súlade s bodom 1 a riešiť ich ako súčasť procesu riadenia rizík v oblasti informačnej bezpečnosti v súlade s ustanoveniami IS.D.OR.205 a IS.D.OR.220;

3.	zabezpečiť hodnotenie všetkých známych relevantných informácií týkajúcich sa incidentov a zraniteľností v oblasti informačnej bezpečnosti identifikovaných v súlade s bodom 1;

4.	zabezpečiť zavedenie metódy interného šírenia informácií podľa potreby.

Každá zazmluvnená organizácia, ktorá môže vystaviť organizáciu rizikám v oblasti informačnej bezpečnosti s možným vplyvom na bezpečnosť letectva, je povinná nahlásiť organizácii udalosti v oblasti informačnej bezpečnosti. Uvedené správy sa predkladajú s použitím postupov stanovených v osobitných zmluvných dojednaniach a vyhodnocujú sa v súlade s písmenom b).

d)	Organizácia spolupracuje pri vyšetrovaniach s akoukoľvek inou organizáciou, ktorá významne prispieva k informačnej bezpečnosti svojich vlastných činností.

e)	Organizácia môže zlúčiť tento systém nahlasovania s inými systémami nahlasovania, ktoré už zaviedla.

IS.D.OR.220. Incidenty v oblasti informačnej bezpečnosti – odhaľovanie, reakcia a obnova

Na základe výsledku posúdenia rizika vykonaného v súlade s ustanovením IS.D.OR.205 a výsledku riešenia rizík vykonaného v súlade s ustanovením IS.D.OR.210 musí organizácia zaviesť opatrenia na odhaľovanie incidentov a zraniteľností, ktoré naznačujú možnú realizáciu neprijateľných rizík a ktoré môžu mať vplyv na bezpečnosť letectva. Uvedené opatrenia na odhaľovanie umožnia organizácii:

1.	identifikovať odchýlky od vopred stanovenej základnej funkčnej výkonnosti;

2.	spúšťať upozornenia na aktiváciu vhodných reakčných opatrení v prípade akejkoľvek odchýlky.

Organizácia musí zaviesť opatrenia s cieľom reagovať na všetky podmienky udalosti identifikované v súlade s písmenom a), ktoré sa môžu vyvinúť alebo sa vyvinuli do incidentu v oblasti informačnej bezpečnosti. Uvedené opatrenia reakcie umožnia organizácii:

1.	iniciovať reakciu na varovania uvedené v písmene a) bode 2 aktivovaním vopred stanovených zdrojov a priebehu činností;

2.	obmedziť šírenie útoku a zabrániť úplnej realizácii scenára ohrozenia;

3.	regulovať poruchový režim dotknutých prvkov vymedzených v ustanovení IS.D.OR.205 písm. a).

Organizácia musí zaviesť opatrenia zamerané na obnovu po incidentoch v oblasti informačnej bezpečnosti vrátane núdzových opatrení, ak je to potrebné. Uvedené opatrenia na obnovu umožnia organizácii:

1.	odstrániť stav spôsobený incidentom, alebo ho obmedziť na prípustnú úroveň;

2.	dosiahnuť bezpečný stav dotknutých prvkov vymedzených v ustanovení IS.D.OR.205 písm. a) v rámci času na zotavenie, ktorý predtým vymedzila organizácia.

IS.D.OR.225. Reakcia na zistenia oznámené príslušným orgánom

Po prijatí oznámenia o zisteniach, ktoré predložil príslušný orgán, musí organizácia:

1.	určiť hlavnú príčinu alebo príčiny nesúladu a faktory prispievajúce k nesúladu;

2.	stanoviť plán nápravných opatrení;

3.	preukázať nápravu nesúladu k spokojnosti príslušného orgánu.

b)	Opatrenia uvedené v písmene a) sa vykonajú v lehote dohodnutej s príslušným orgánom.

IS.D.OR.230. Systém externého nahlasovania informačnej bezpečnosti

a)	Organizácia musí zaviesť systém nahlasovania informačnej bezpečnosti, ktorý je v súlade s požiadavkami stanovenými v nariadení (EÚ) č. 376/2014 a jeho delegovaných a vykonávacích aktoch, ak sa uvedené nariadenie vzťahuje na organizáciu.

Bez toho, aby boli dotknuté povinnosti stanovené v nariadení (EÚ) č. 376/2014, organizácia zabezpečí, aby sa akýkoľvek incident alebo zraniteľnosť v oblasti informačnej bezpečnosti, ktoré môžu predstavovať závažné riziko pre bezpečnosť letectva, nahlásil jej príslušnému orgánu. Okrem toho:

1.	ak takýto incident alebo zraniteľnosť ovplyvňuje lietadlo alebo súvisiaci systém či komponent, organizácia to musí nahlásiť aj držiteľovi schválenia projektu;

2.	ak takýto incident alebo zraniteľnosť ovplyvňuje systém alebo komponent používaný organizáciou, organizácia to nahlási organizácii zodpovednej za projekt systému alebo komponentu.

Organizácia nahlasuje podmienky uvedené v písmene b) takto:

1.	oznámenie sa predloží príslušnému orgánu a v prípade potreby držiteľovi schválenia projektu alebo organizácii zodpovednej za projekt systému alebo komponentu hneď, ako sa organizácia dozvie o týchto podmienkach;

správa sa predloží príslušnému orgánu a prípadne držiteľovi schválenia projektu alebo organizácii zodpovednej za projekt systému alebo komponentu, a to čo najskôr, najneskôr však do 72 hodín od momentu, keď sa organizácia dozvedela o podmienkach, pokiaľ tomu nebránia výnimočné okolnosti.

Správa sa vypracuje v podobe určenej príslušným orgánom a obsahuje všetky relevantné informácie o podmienkach, ktoré sú organizácii známe;

príslušnému orgánu a prípadne držiteľovi schválenia projektu alebo organizácii zodpovednej za projekt systému alebo komponentu sa predloží kontrolná správa, v ktorej sa uvedú podrobnosti o opatreniach, ktoré organizácia prijala alebo plánuje prijať na zotavenie sa z incidentu, a opatrenia, ktoré má v úmysle prijať na zabránenie podobným incidentom v oblasti informačnej bezpečnosti v budúcnosti.

Kontrolná správa sa predloží ihneď po určení týchto opatrení a vypracuje sa v podobe, ktorú určí príslušný orgán.

IS.D.OR.235. Zadávanie činností riadenia informačnej bezpečnosti

Organizácia zabezpečí, aby pri zazmluvňovaní akejkoľvek časti činností uvedených v ustanovení IS.D.OR.200 s inými organizáciami boli zazmluvnené činnosti v súlade s požiadavkami tohto nariadenia a aby zazmluvnená organizácia pracovala pod jej dohľadom. Organizácia zabezpečí, aby riziká spojené so zazmluvnenými činnosťami boli primerane riadené.

b)	Organizácia zabezpečí príslušnému orgánu na jeho žiadosť prístup k zazmluvnenej organizácii s cieľom určiť, či naďalej spĺňa príslušné požiadavky stanovené v tomto nariadení.

IS.D.OR.240. Požiadavky na personál

Zodpovedný manažér organizácie alebo v prípade projekčných organizácií vedúci projekčnej organizácie určený v súlade s nariadením (EÚ) č. 748/2012 a nariadením (EÚ) č. 139/2014, ako sa uvádza v článku 2 ods. 1 písm. a) a b) tohto nariadenia, má podnikovú právomoc na zabezpečenie toho, aby sa všetky činnosti požadované v tomto nariadení mohli financovať a vykonávať. Táto osoba:

1.	zabezpečuje, aby boli k dispozícii všetky potrebné zdroje na splnenie požiadaviek tohto nariadenia;

2.	stanovuje a presadzuje politiku informačnej bezpečnosti uvedenú v ustanovení IS.D.OR.200 písm. a) bode 1;

3.	preukáže základné znalosti o tomto nariadení.

Zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie vymenuje osobu alebo skupinu osôb, aby sa zabezpečilo, že organizácia spĺňa požiadavky tohto nariadenia, a vymedzí rozsah ich právomocí. Uvedená osoba alebo skupina osôb podlieha priamo zodpovednému manažérovi alebo v prípade projekčných organizácií vedúcemu projekčnej organizácie a musí mať primerané znalosti, prax a skúsenosti na plnenie svojich povinností. V postupoch sa určí, kto zastupuje určitú osobu v prípade dlhodobej neprítomnosti uvedenej osoby.

c)	Zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie vymenuje osobu alebo skupinu osôb, ktoré budú zodpovedné za riadenie funkcie monitorovania súladu podľa ustanovenia IS.D.OR.200 písm. a) bodu 12).

Ak organizácia zdieľa organizačné štruktúry, politiky, procesy a postupy v oblasti informačnej bezpečnosti s inými organizáciami alebo oblasťami svojej vlastnej organizácie, ktoré nie sú súčasťou schválenia alebo vyhlásenia, zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie môže delegovať svoje činnosti na spoločnú zodpovednú osobu.

V takom prípade sa stanovia koordinačné opatrenia medzi zodpovedným manažérom organizácie alebo v prípade projekčných organizácií vedúcim projekčnej organizácie a spoločnou zodpovednou osobou s cieľom zabezpečiť primeranú integráciu riadenia informačnej bezpečnosti v rámci organizácie.

e)	Zodpovedný manažér alebo vedúci projekčnej organizácie alebo spoločná zodpovedná osoba uvedená v písmene d) majú podnikovú právomoc zriadiť a udržiavať organizačné štruktúry, politiky, procesy a postupy potrebné na vykonávanie ustanovenia IS.D.OR.200.

f)	Organizácia musí mať zavedený postup na zabezpečenie dostatočného počtu zamestnancov v službe na vykonávanie činností, na ktoré sa vzťahuje táto príloha.

g)	Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uvedení v písmene f) mali potrebnú spôsobilosť na plnenie svojich úloh.

h)	Organizácia musí mať zavedený postup na zabezpečenie toho, aby zamestnanci uznali povinnosti spojené s pridelenými rolami a úlohami.

i)	Organizácia zabezpečí, aby bola náležite stanovená totožnosť a dôveryhodnosť pracovníkov, ktorí majú prístup k informačným systémom a údajom, na ktoré sa vzťahujú požiadavky tohto nariadenia.

IS.D.OR.245. Vedenie záznamov

Organizácia vedie záznamy o svojich činnostiach riadenia informačnej bezpečnosti.

Organizácia zabezpečí archiváciu a vysledovateľnosť týchto záznamov:

i)	každé prijaté schválenie a akékoľvek súvisiace posúdenie rizika v oblasti informačnej bezpečnosti v súlade s ustanovením IS.D.OR.200 písm. e);

ii)	zmluvy o činnostiach uvedených v ustanovení IS.D.OR.200 písm. a) bode 9;

iii)	záznamy o kľúčových procesoch uvedených v ustanovení IS.D.OR.200 písm. d);

iv)	záznamy o rizikách identifikovaných v posúdení rizika uvedenom v ustanovení IS.D.OR.205 spolu so súvisiacimi opatreniami na riešenie rizík uvedenými v ustanovení IS.D.OR.210;

v)	záznamy o incidentoch a zraniteľnostiach v oblasti informačnej bezpečnosti nahlásených v súlade so systémami nahlasovania uvedenými v ustanoveniach IS.D.OR.215 a IS.D.OR.230;

vi)	záznamy o tých udalostiach v oblasti informačnej bezpečnosti, ktoré možno bude potrebné prehodnotiť, aby sa odhalili nezistené incidenty alebo zraniteľnosti v oblasti informačnej bezpečnosti.

2.	Záznamy uvedené v bode 1 podbode i) sa uchovávajú aspoň 5 rokov po uplynutí platnosti schválenia.

3.	Záznamy uvedené v bode 1 podbode ii) sa uchovávajú aspoň 5 rokov po zmene alebo vypovedaní zmluvy.

4.	Záznamy uvedené v bode 1 podbode iii), iv) a v) sa uchovávajú najmenej 5 rokov.

5.	Záznamy uvedené v bode 1 podbode vi) sa uchovávajú dovtedy, kým sa uvedené udalosti v oblasti informačnej bezpečnosti opätovne neposúdia v súlade s periodicitou vymedzenou v postupe stanovenom organizáciou.

Organizácia vedie záznamy o kvalifikácii a skúsenostiach svojich vlastných zamestnancov zapojených do činností riadenia informačnej bezpečnosti.

1.	Záznamy o kvalifikácii a skúsenostiach zamestnancov sa uchovávajú, pokiaľ daná osoba pracuje pre organizáciu, a najmenej 3 roky po tom, čo osoba opustila organizáciu.

2.	Zamestnancom sa na ich žiadosť poskytne prístup k ich individuálnym záznamom. Okrem toho im organizácia na ich žiadosť poskytne kópiu individuálnych záznamov pri odchode z organizácie.

c)	Formát týchto záznamov sa stanoví v postupoch organizácie.

Záznamy sa uchovávajú spôsobom, ktorým sa zabezpečí ochrana pred poškodením, pozmeňovaním a krádežou, pričom informácie sa v prípade potreby identifikujú na základe ich stupňa utajenia. Organizácia zabezpečí, aby sa záznamy uchovávali s použitím prostriedkov na zabezpečenie integrity, pravosti a oprávneného prístupu.

IS.D.OR.250. Príručka riadenia informačnej bezpečnosti (ISMM)

Organizácia sprístupní príslušnému orgánu príručku riadenia informačnej bezpečnosti (ISMM) a prípadne všetky súvisiace príručky a postupy, na ktoré sa odkazuje, obsahujúcu:

vyhlásenie podpísané zodpovedným manažérom alebo v prípade projekčných organizácií vedúcim projekčnej organizácie, ktorým sa potvrdzuje, že organizácia bude vždy pracovať v súlade s touto prílohou a s ISMM. Ak zodpovedný manažér alebo v prípade projekčných organizácií vedúci projekčnej organizácie nie je výkonným riaditeľom organizácie, potom vyhlásenie spolupodpíše takýto výkonný riaditeľ;

2.	titul(-y), meno(-á), úlohy, zodpovednosť, povinnosti a právomoci osoby alebo osôb uvedených v ustanovení IS.D.OR.240 písm. b) a c);

3.	prípadne titul, meno, úlohy, zodpovednosť, povinnosti a právomoci spoločnej zodpovednej osoby uvedenej v ustanovení IS.D.OR.240 písm. d);

4.	politiku informačnej bezpečnosti organizácie, ako sa uvádza v ustanovení IS.D.OR.200 písm. a) bode 1;

5.	všeobecný opis počtu a kategórie zamestnancov a zavedeného systému na plánovanie dostupnosti personálu, ako sa vyžaduje v ustanovení IS.D.OR.240;

6.	titul(-y), meno(-á), úlohy, zodpovednosť, povinnosti a právomoci kľúčových osôb zodpovedných za vykonávanie ustanovenia IS.D.OR.200 vrátane osoby alebo osôb zodpovedných za funkciu monitorovania súladu uvedenú v ustanovení IS.D.OR.200 písm. a) bode 12;

7.	organizačnú schému znázorňujúcu súvisiace reťazce zodpovednosti a povinností osôb uvedených v bodoch 2 a 6;

8.	opis schémy interného nahlasovania uvedenej v ustanovení IS.D.OR.215;

postupy, ktoré špecifikujú, ako organizácia zabezpečuje súlad s touto časťou, a najmä:

i)	dokumentáciu podľa ustanovenia IS.D.OR.200 písm. c);

ii)	postupy, ktorými sa vymedzuje, ako organizácia kontroluje akékoľvek zazmluvnené činnosti uvedené v ustanovení IS.D.OR.200 písm. a) bode 9;

iii)	postup zmeny ISMM vymedzený v písmene c);

10.	podrobné údaje o v súčasnosti schválenom náhradnom spôsobe dosiahnutia súladu.

b)	Prvé vydanie ISMM schvaľuje a jej kópiu si ponechá príslušný orgán. ISMM sa podľa potreby zmení tak, aby bola naďalej aktuálnym opisom ISMS organizácie. Príslušnému orgánu sa poskytne kópia všetkých zmien ISMM.

c)	Zmeny ISMM sa riadia postupom, ktorý stanovuje organizácia. Všetky zmeny, ktoré nepatria do rozsahu pôsobnosti tohto postupu, a akékoľvek zmeny týkajúce sa zmien uvedených v ustanovení IS.D.OR.255 písm. b) schvaľuje príslušný orgán.

d)	Organizácia môže zlúčiť ISMM s inými príručkami riadenia alebo manuálmi, ktoré má k dispozícii, za predpokladu, že uvedie jasný odkaz označujúci časti príručky riadenia alebo manuálu, ktoré zodpovedajú rôznym požiadavkám obsiahnutým v tejto prílohe.

IS.D.OR.255. Zmeny systému riadenia informačnej bezpečnosti

a)	Zmeny ISMS sa môžu riadiť a oznamovať príslušnému orgánu v rámci postupu, ktorý vypracuje organizácia. Tento postup musí schváliť príslušný orgán.

Pokiaľ ide o zmeny ISMS, na ktoré sa nevzťahuje postup uvedený v písmene a), organizácia musí požiadať o schválenie vydané príslušným orgánom a získať ho.

Pokiaľ ide o tieto zmeny:

1.	žiadosť musí podať skôr, než uskutoční akúkoľvek takúto zmenu, aby sa príslušnému orgánu umožnilo stanoviť, či sa zachováva súlad s týmto nariadením, a v prípade potreby zmeniť osvedčenie organizácie a súvisiace podmienky schválenia, ktoré sú jeho prílohou;

2.	organizácia musí sprístupniť príslušnému orgánu všetky informácie, ktoré si vyžiada na posúdenie zmeny;

3.	zmena sa vykoná až po získaní formálneho schválenia od príslušného orgánu;

4.	organizácia musí počas vykonávania takýchto zmien fungovať za podmienok predpísaných príslušným orgánom.

IS.D.OR.260. Neustále zlepšovanie

a)	Organizácia s použitím primeraných ukazovateľov výkonnosti posúdi účinnosť a vyspelosť ISMS. Toto posúdenie sa vykonáva na základe harmonogramu, ktorý vopred stanoví organizácia, alebo v nadväznosti na incident v oblasti informačnej bezpečnosti.

Ak sa po posúdení vykonanom v súlade s písmenom a) zistia nedostatky, organizácia prijme potrebné opatrenia na zlepšenie s cieľom zabezpečiť, aby ISMS naďalej spĺňal príslušné požiadavky a udržiaval riziká v oblasti informačnej bezpečnosti na prijateľnej úrovni. Okrem toho organizácia opätovne posúdi tie prvky ISMS, ktorých sa týkajú prijaté opatrenia.

(1) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 376/2014 z 3. apríla 2014 o ohlasovaní udalostí, ich analýze a na ne nadväzujúcich opatreniach v civilnom letectve, ktorým sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 996/2010 a ktorým sa zrušuje smernica Európskeho parlamentu a Rady 2003/42/ES a nariadenia Komisie (ES) č. 1321/2007 a (ES) č. 1330/2007 (Ú. v. EÚ L 122, 24.4.2014, s. 18).