DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2025/22

z 19. decembra 2024,

ktorým sa mení delegované nariadenie (EÚ) 2022/1645, pokiaľ ide o požiadavky na informačnú bezpečnosť pre organizácie poskytujúce služby pozemnej obsluhy

(Text s významom pre EHP)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 zo 4. júla 2018 o spoločných pravidlách v oblasti civilného letectva, ktorým sa zriaďuje Agentúra Európskej únie pre bezpečnosť letectva a ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 2111/2005, (ES) č. 1008/2008, (EÚ) č. 996/2010, (EÚ) č. 376/2014 a smernice Európskeho parlamentu a Rady 2014/30/EÚ a 2014/53/EÚ a zrušujú nariadenia Európskeho parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nariadenie Rady (EHS) č. 3922/91 (1), a najmä na jeho článok 39 ods. 1 písm. e),

keďže:

(1)

V nariadení (EÚ) 2018/1139 sa stanovujú základné požiadavky na bezpečné poskytovanie služieb pozemnej obsluhy a na organizácie, ktoré ich poskytujú, ako aj požiadavky na dohľad príslušných orgánov nad týmito organizáciami a službami pozemnej obsluhy poskytovanými na letiskách Únie v rámci rozsahu pôsobnosti uvedeného nariadenia.

(2)

V súlade so základnými požiadavkami stanovenými v bode 4.2.1 prílohy VII k nariadeniu (EÚ) 2018/1139 a s delegovaným nariadením Komisie (EÚ) 2025/20 (2) majú organizácie zodpovedné za bezpečné poskytovanie služieb pozemnej obsluhy zaviesť a udržiavať systém riadenia na riadenie bezpečnostných rizík. Takéto bezpečnostné riziká môžu vyplývať aj z hrozieb pre informačnú bezpečnosť. Riziká tejto povahy by mali náležite riešiť organizácie poskytujúce služby pozemnej obsluhy. Na tento účel by sa mal rozsah pôsobnosti delegovaného nariadenia Komisie (EÚ) 2022/1645 (3) zmeniť tak, aby zahŕňal organizácie poskytujúce služby pozemnej obsluhy.

(3)

Organizácie, na ktoré sa vzťahuje delegované nariadenie (EÚ) 2022/1645, ako sú organizácie pozemnej obsluhy a organizácie poskytujúce služby riadenia prevádzky na odbavovacej ploche, pôsobia v režime podávania vyhlásení. To znamená, že ich systém riadenia alebo ktorákoľvek z jeho zložiek nemusia byť schválené ich príslušnými orgánmi. Rovnaký režim by mal týmto organizáciám umožniť uplatňovať ustanovenia o informačnej bezpečnosti bez toho, aby museli dať schváliť svoju príručku riadenia informačnej bezpečnosti alebo proces riadenia zmien príslušnému orgánu. Požiadavky týkajúce sa týchto prvkov by sa mali zmeniť tak, aby odrážali túto výnimku pre organizácie podávajúce vyhlásenia.

(4)

Organizácie, na ktoré sa vzťahuje toto nariadenie a ktoré už podliehajú bezpečnostným požiadavkám vyplývajúcim z vykonávacieho nariadenia Komisie (EÚ) 2015/1998 (4), by mali spĺňať aj požiadavky prílohy I (časť IS.D.OR.230 „Systém externého nahlasovania informačnej bezpečnosti“) k delegovanému nariadeniu (EÚ) 2022/1645, keďže vykonávacie nariadenie (EÚ) 2015/1998 neobsahuje žiadne ustanovenia týkajúce sa externého nahlasovania incidentov v oblasti informačnej bezpečnosti.

(5)	Požiadavky stanovené v tomto nariadení vychádzajú zo stanoviska č. 01/2024 (5) vydaného agentúrou v súlade s článkom 75 ods. 2 písm. b) a c) a článkom 76 ods. 1 nariadenia (EÚ) 2018/1139.

(6)	V súlade s článkom 128 ods. 4 nariadenia (EÚ) 2018/1139 Komisia viedla konzultácie s odborníkmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (6).

(7)	S cieľom poskytnúť organizáciám dostatočný čas na zabezpečenie súladu s novými pravidlami a postupmi zavedenými týmto nariadením by sa toto nariadenie malo uplatňovať po uplynutí šiestich rokov od dátumu nadobudnutia účinnosti,

PRIJALA TOTO NARIADENIE:

Článok 1

Delegované nariadenie Komisie (EÚ) 2022/1645 sa mení takto:

V článku 2 ods. 1 sa dopĺňa toto písmeno c):

„c)

organizácie pozemnej obsluhy, na ktoré sa vzťahuje delegované nariadenie Komisie (EÚ) 2025/20 (*1), ktoré:

i)	na účely poskytovania príslušných služieb musia zhromažďovať, uchovávať, analyzovať alebo inak spracúvať údaje poskytnuté tretími stranami alebo

ii)	poskytujú priamo prevádzkovateľom lietadiel údaje, ktoré sa použijú na prevádzkové účely.

(*1) Delegované nariadenie Komisie (EÚ) 2025/20 z 19. decembra 2024, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 stanovením požiadaviek týkajúcich sa bezpečného poskytovania služieb pozemnej obsluhy a určených organizáciám, ktoré ich poskytujú (Ú. v. EÚ L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).“ "

V článku 5 ods. 1 sa dopĺňa toto písmeno c):

„c)	vzhľadom na organizácie uvedené v článku 2 písm. c), príslušný orgán určený v súlade s prílohou (časť ARGH) k vykonávaciemu nariadeniu Komisie (EÚ) 2025/23 (*2).

(*2) Vykonávacie nariadenie Komisie (EÚ) 2025/23 z 19. decembra 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na dohľad nad službami pozemnej obsluhy a organizáciami, ktoré ich poskytujú (Ú. v. EÚ L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).“ "

Článok 2

Príloha k delegovanému nariadeniu (EÚ) 2022/1645 sa mení v súlade s prílohou k tomuto nariadeniu.

Článok 3

1. Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.

2. Článok 1 sa uplatňuje od 27. marca 2031.

3. Článok 2 sa uplatňuje od 16. októbra 2025.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 19. decembra 2024

Za Komisiu

predsedníčka

Ursula VON DER LEYEN

(1) Ú. v. EÚ L 212, 22.8.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2) Delegované nariadenie Komisie (EÚ) 2025/20 z 19. decembra 2024, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1139 stanovením požiadaviek týkajúcich sa bezpečného poskytovania služieb pozemnej obsluhy a určených organizáciám, ktoré ich poskytujú (Ú. v. EÚ L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3) Delegované nariadenie Komisie (EÚ) 2022/1645 zo 14. júla 2022, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1139, pokiaľ ide o požiadavky na riadenie rizík v oblasti informačnej bezpečnosti s potenciálnym vplyvom na bezpečnosť letectva pre organizácie, na ktoré sa vzťahujú nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014, a ktorým sa menia nariadenia Komisie (EÚ) č. 748/2012 a (EÚ) č. 139/2014 (Ú. v. EÚ L 248, 26.9.2022, s. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4) Vykonávacie nariadenie Komisie (EÚ) 2015/1998 z 5. novembra 2015, ktorým sa stanovujú podrobné opatrenia na vykonávanie spoločných základných noriem bezpečnostnej ochrany letectva (Ú. v. EÚ L 299, 14.11.2015, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5) https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6) Ú. v. EÚ L 123, 12.5.2016, s. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

PRÍLOHA

Príloha k delegovanému nariadeniu (EÚ) 2022/1645 sa nahrádza takto:

V ustanovení IS.D.OR.200 písm. a) sa odsek 5 mení takto:

„5.

vymedzila a vykonávala v súlade s ustanovením IS.D.OR.220 opatrenia potrebné na odhaľovanie udalostí v oblasti informačnej bezpečnosti, identifikovala tie udalosti, ktoré sa považujú za incidenty s potenciálnym vplyvom na bezpečnosť letectva, a reagovala na uvedené incidenty v oblasti informačnej bezpečnosti a aby sa z uvedených incidentov zotavila;“.

V ustanovení IS.D.OR.250 sa písmená b) a c) menia takto:

„b)	Prvé vydanie ISMM schvaľuje a jej kópiu si ponechá príslušný orgán. Schválenie sa nevyžaduje v prípade organizácií podávajúcich vyhlásenia. ISMM sa podľa potreby zmení tak, aby bola naďalej aktuálnym opisom ISMS organizácie. Príslušnému orgánu sa poskytne kópia všetkých zmien ISMM.

Zmeny ISMM sa riadia postupom, ktorý stanovuje organizácia. Všetky zmeny, ktoré nepatria do rozsahu pôsobnosti tohto postupu, a akékoľvek zmeny týkajúce sa zmien uvedených v ustanovení IS.D.OR.255 písm. b) schvaľuje príslušný orgán. Schválenie sa nevyžaduje v prípade organizácií podávajúcich vyhlásenia.“

Ustanovenie IS.D.OR.255 sa nahrádza takto:

„IS.D.OR.255 Zmeny v systéme riadenia informačnej bezpečnosti

a)	Zmeny ISMS sa môžu riadiť a oznamovať príslušnému orgánu v rámci postupu, ktorý vypracuje organizácia. Tento postup musí schváliť príslušný orgán s výnimkou organizácií podávajúcich vyhlásenia.

Pokiaľ ide o zmeny ISMS, na ktoré sa nevzťahuje postup uvedený v písmene a), organizácia musí požiadať o schválenie vydané príslušným orgánom a získať ho, s výnimkou organizácií podávajúcich vyhlásenia, v prípade ktorých sa schválenie nevyžaduje.

Pokiaľ ide o tieto zmeny:

1.	žiadosť musí podať skôr, než uskutoční akúkoľvek takúto zmenu, aby sa príslušnému orgánu umožnilo stanoviť, či sa zachováva súlad s týmto nariadením, a v prípade potreby zmeniť osvedčenie organizácie a súvisiace podmienky schválenia, ktoré sú jeho prílohou;

2.	organizácia musí sprístupniť príslušnému orgánu všetky informácie, ktoré si vyžiada na posúdenie zmeny;

3.	zmena sa vykoná až po získaní formálneho schválenia príslušným orgánom, s výnimkou organizácií podávajúcich vyhlásenia, ktoré môžu zmenu vykonať okamžite;

4.	organizácia musí počas vykonávania takýchto zmien fungovať za podmienok predpísaných príslušným orgánom.“