(1)

Zgodnie z zasadniczymi wymogami określonymi w pkt 3.1 lit. b) załącznika II do rozporządzenia (UE) 2018/1139 organizacje projektujące i produkujące muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(2)

Ponadto zgodnie z zasadniczymi wymogami określonymi w pkt 2.2.1 i 5.2 załącznika VII do rozporządzenia (UE) 2018/1139 operatorzy lotniska i organizacje odpowiedzialne za zapewnianie służby zarządzania płytą postojową muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(3)

Ryzyko dotyczące bezpieczeństwa, o którym mowa w motywach 1 i 2, może mieć różne źródła, w tym wady projektowe, nieprawidłowe utrzymanie, aspekty wydolności ludzkiej, zagrożenia środowiskowe i zagrożenia dla bezpieczeństwa informacji. W systemach zarządzania wdrożonych przez organizacje, o których mowa w motywach 1 i 2, należy zatem uwzględnić nie tylko ryzyko dla bezpieczeństwa wynikające ze zdarzeń losowych, ale również ryzyko dla bezpieczeństwa wynikające z zagrożeń dla bezpieczeństwa informacji, jeżeli występujące wady mogą zostać wykorzystane przez osoby fizyczne w złym zamiarze. Tego typu ryzyko związane z bezpieczeństwem informacji stale wzrasta w środowisku lotnictwa cywilnego wraz z coraz większym powiązaniem istniejących systemów informatycznych, które coraz częściej stają się celem ataków dokonywanych przez osoby działające w złym zamiarze.

(4)

Ryzyko związane z tymi systemami informatycznymi nie ogranicza się do ewentualnych ataków w cyberprzestrzeni, ale obejmuje również zagrożenia, które mogą wpływać na procesy i procedury, a także wydolność ludzką.

(5)

Aby zapewnić bezpieczeństwo informacji i danych cyfrowych, wiele organizacji już teraz stosuje normy międzynarodowe, takie jak ISO 27001. Normy te mogą nie obejmować wszystkich aspektów lotnictwa cywilnego.

(6)

Należy zatem określić wymagania dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze.

(7)

Ważne jest, aby takie wymagania obejmowały poszczególne dziedziny lotnictwa i ich wzajemne relacje, ponieważ lotnictwo stanowi wysoce powiązany system systemów. Wymagania te muszą zatem mieć zastosowanie do wszystkich organizacji, które już teraz są zobowiązane do posiadania systemu zarządzania zgodnie z obowiązującymi unijnymi przepisami dotyczącymi bezpieczeństwa lotniczego.

(8)

Wymagania określone w niniejszym rozporządzeniu należy konsekwentnie stosować we wszystkich dziedzinach lotnictwa, a jednocześnie ich stosowanie powinno mieć jak najmniejszy wpływ na unijne przepisy dotyczące bezpieczeństwa lotniczego mające już zastosowanie do tych dziedzin.

(9)

Wymagania określone w niniejszym rozporządzeniu powinny pozostawać bez uszczerbku dla wymogów w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa określonych w pkt 1.7 załącznika do rozporządzenia wykonawczego Komisji (UE) 2015/1998 (2) i w art. 14 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (3).

(10)

Definicji terminu "bezpieczeństwo informacji" stosowanej do celów niniejszego aktu prawnego nie należy interpretować jako rozbieżnej z definicją terminu "bezpieczeństwo sieci i systemów informatycznych" określoną w dyrektywie 2016/1148.

(11)

Aby uniknąć powielania wymogów prawnych, jeżeli organizacje objęte zakresem niniejszego rozporządzenia podlegają już wymogom w zakresie bezpieczeństwa wynikającym z innych aktów Unii, o których mowa w motywie 9, i wywierającym taki sam skutek jak przepisy określone w niniejszym rozporządzeniu, zgodność z tymi wymogami w zakresie bezpieczeństwa należy uznać za tożsamą ze zgodnością z wymogami określonymi w niniejszym rozporządzeniu.

(12)

Organizacje objęte zakresem stosowania niniejszego rozporządzenia, które już podlegają wymogom w zakresie bezpieczeństwa wynikającym z rozporządzenia wykonawczego (UE) 2015/1998, powinny również przestrzegać wymogów określonych w załączniku I (część IS.D.OR.230 "System zewnętrznego zgłaszania zdarzeń związanych z bezpieczeństwem informacji") do niniejszego rozporządzenia, ponieważ rozporządzenie wykonawcze (UE) 2015/1998 nie zawiera żadnych przepisów dotyczących zewnętrznego zgłaszania incydentów związanych z bezpieczeństwem informacji.

(13)

Rozporządzenia Komisji (UE) nr 748/2012 (4) i (UE) nr 139/2014 (5) należy zmienić, aby ustanowić związek między systemami zarządzania określonymi w wyżej wymienionych rozporządzeniach a wymaganiami dotyczącymi zarządzania bezpieczeństwem informacji określonymi w niniejszym rozporządzeniu.

(14)

Aby organizacje miały wystarczająco dużo czasu na zapewnienie zgodności z nowymi przepisami i procedurami wprowadzonymi niniejszym rozporządzeniem, niniejsze rozporządzenie powinno mieć zastosowanie 3 lata od daty jego wejścia w życie.

(15)

Wymagania określone w niniejszym rozporządzeniu opierają się na opinii nr 03/2021 (6) wydanej przez Agencję zgodnie z art. 75 ust. 2 lit. b) i c) oraz art. 76 ust. 1 rozporządzenia (UE) 2018/1139.

(16)

Zgodnie z art. 128 ust. 4 rozporządzenia (UE) 2018/1139 Komisja skonsultowała się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa (7),

IS.D.OR.100

IS.D.OR.200

IS.D.OR.205

IS.D.OR.210

IS.D.OR.215

IS.D.OR.220

IS.D.OR.225

IS.D.OR.230

IS.D.OR.235

IS.D.OR.240

IS.D.OR.245

IS.D.OR.250

IS.D.OR.255

IS.D.OR.260

a)

Aby osiągnąć cele określone w art. 1, organizacja ustanawia, wdraża i utrzymuje system zarządzania bezpieczeństwem informacji (SZBI) zapewniający, aby dana organizacja:

b)

Aby zapewnić stałe przestrzeganie wymagań, o których mowa w art. 1, organizacja wdraża proces ciągłego doskonalenia zgodnie z pkt IS.D.OR.260.

c)

Organizacja dokumentuje, zgodnie z pkt IS.D.OR.250, wszystkie najważniejsze procesy, procedury, funkcje i obowiązki konieczne do zapewnienia zgodności z pkt IS.D.OR.200 lit. a) oraz ustanawia tryb zmiany tej dokumentacji. Zarządzanie zmianami tych procesów, procedur, funkcji i obowiązków przebiega zgodnie z pkt IS.D.OR.255.

d)

Procesy, procedury, funkcje i obowiązki utworzone przez organizację w celu zapewnienia zgodności z pkt IS.D.OR.200 lit. a) odpowiadają charakterowi i złożoności działalności tej organizacji, na podstawie oceny właściwego dla tej działalności ryzyka związanego z bezpieczeństwem informacji, oraz mogą zostać włączone do innych systemów zarządzania już wdrożonych przez tę organizację.

e)

Bez uszczerbku dla obowiązku przestrzegania wymagań w zakresie zgłaszania zdarzeń zawartych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 376/2014 (1) i wymagań pkt IS.D.OR.200 lit. a) ppkt 13 właściwy organ może zezwolić organizacji na niewdrożenie wymagań, o których mowa w lit. a)-d), oraz powiązanych wymagań zawartych w pkt IS.D.OR.205 do IS.D.OR.260, jeżeli organizacja ta wykaże w sposób spełniający oczekiwania tego organu, że jej działalność, obiekty i zasoby, a także służby, które obsługuje, zapewnia, otrzymuje i utrzymuje, nie stwarzają żadnego ryzyka związanego z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze ani wobec tej organizacji, ani wobec innych organizacji. Takie zezwolenie musi opierać się na udokumentowanej ocenie ryzyka związanego z bezpieczeństwem informacji przeprowadzonej przez tę organizację lub przez stronę trzecią zgodnie z pkt IS.D.OR.205 oraz sprawdzonej i zatwierdzonej przez jej właściwy organ.

Właściwy organ będzie przeprowadzał przegląd ciągłości ważności takiego zezwolenia po mającym zastosowanie cyklu nadzoru audytowego i zawsze gdy wprowadzane są zmiany w zakresie prac danej organizacji.

a)

Organizacja identyfikuje wszystkie swoje elementy, które mogą być narażone na ryzyko związane z bezpieczeństwem informacji. Elementy te obejmują:

b)

Organizacja powinna zidentyfikować łączące ją z innymi organizacjami interfejsy, które mogą powodować wzajemne narażenie na ryzyko związane z bezpieczeństwem informacji.

c)

Jeżeli chodzi o elementy i interfejsy, o których mowa w lit. a) i b), organizacja identyfikuje ryzyko związane z bezpieczeństwem informacji, które może mieć potencjalny wpływ na bezpieczeństwo lotnicze. W odniesieniu do każdego zidentyfikowanego rodzaju ryzyka organizacja:

W ramach wstępnie określonej klasyfikacji, o której mowa w pkt 1, bierze się pod uwagę możliwość wystąpienia scenariusza zagrożenia i dotkliwość jego skutków dla bezpieczeństwa. Na podstawie tej klasyfikacji i biorąc pod uwagę kwestię, czy organizacja stosuje zorganizowany i powtarzalny proces zarządzania ryzykiem w odniesieniu do operacji, taka organizacja musi być w stanie ustalić, czy ryzyko jest dopuszczalne czy wymaga zmniejszenia zgodnie z pkt IS.D.OR.210.

Aby umożliwić wzajemną porównywalność oceny ryzyka, przypisując poziom ryzyka na podstawie pkt 1, należy brać pod uwagę istotne informacje otrzymane we współpracy z organizacjami, o których mowa w lit. b).

d)

Organizacja przeprowadza przegląd oceny ryzyka przeprowadzonej zgodnie z lit. a), b) i c) i aktualizuje ją we wszystkich następujących sytuacjach:

a)

Organizacja opracowuje środki służące wyeliminowaniu niedopuszczalnego ryzyka zidentyfikowanego zgodnie z pkt IS.D.OR.205, terminowo wdraża te środki i kontroluje ich ciągłą skuteczność. Środki te umożliwiają organizacji:

Środki te nie mogą stwarzać jakiegokolwiek nowego potencjalnego niedopuszczalnego ryzyka dla bezpieczeństwa lotniczego.

b)

Osobę, o której mowa w pkt IS.D.OR.240 lit. a) i b), oraz innych narażonych członków personelu organizacji należy powiadomić o wyniku oceny ryzyka przeprowadzonej zgodnie z pkt IS.D.OR.205 oraz o powiązanych scenariuszach zagrożenia i wprowadzanych środkach.

Organizacja informuje również organizacje, z którymi jest połączona interfejsem zgodnie z pkt IS.D.OR.205 lit. b), o każdym rodzaju ryzyka wspólnym dla obu organizacji.

a)

Organizacja ustanawia system wewnętrznego zgłaszania zdarzeń, aby móc gromadzić informacje o zdarzeniach związanych z bezpieczeństwem informacji, w tym o zdarzeniach zgłaszanych na podstawie pkt IS.D.OR.230, oraz oceniać takie zdarzenia.

b)

Dzięki temu systemowi i procesowi, o którym mowa w pkt IS.D.OR.220, organizacja może:

c)

Każda organizacja przyjmująca zlecenie, która może narazić organizację na ryzyko związane z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze, jest zobowiązana do zgłaszania organizacji zdarzeń związanych z bezpieczeństwem informacji. Takie zgłoszenia są dokonywane z użyciem procedur ustanowionych w drodze szczegółowych uzgodnień umownych oraz podlegają ocenie zgodnie z lit. b).

d)

Organizacja współpracuje w ramach badań z każdą inną organizacją, która w sposób istotny przyczynia się do bezpieczeństwa informacji własnej działalności.

e)

Organizacja może zintegrować taki system zgłaszania zdarzeń z innymi systemami zgłaszania, które już wdrożyła.

a)

Na podstawie wyniku oceny ryzyka przeprowadzonej zgodnie z pkt IS.D.OR.205 i wyniku procesu zmniejszania ryzyka przeprowadzonego zgodnie z pkt IS.D.OR.210 organizacja wdraża środki służące do wykrywania incydentów i podatności, które wskazują na ewentualne urzeczywistnienie się niedopuszczalnego ryzyka i mogą mieć potencjalny wpływ na bezpieczeństwo lotnicze. Dzięki takim środkom wykrywania organizacja może:

b)

Organizacja wdraża środki reagowania na wszelkie zdarzenia zidentyfikowane zgodnie z lit. a), które mogą przerodzić się lub już przerodziły się w incydent związany z bezpieczeństwem informacji. Dzięki takim środkom reagowania organizacja może:

c)

Organizacja wdraża środki służące przywróceniu stanu sprzed incydentów związanych z bezpieczeństwem informacji, w tym w razie potrzeby środki reagowania w sytuacjach zagrożeń. Dzięki takim środkom naprawczym organizacja może:

a)

Po otrzymaniu powiadomienia o niezgodnościach stwierdzonych przez właściwy organ organizacja:

b)

Działania, o których mowa w lit. a), przeprowadza się w okresie uzgodnionym z właściwym organem.

a)

Organizacja wdraża system zgłaszania zdarzeń związanych z bezpieczeństwem informacji, który jest zgodny z wymaganiami określonymi w rozporządzeniu (UE) nr 376/2014 i w jego aktach delegowanych i wykonawczych, jeżeli rozporządzenie to ma zastosowanie do danej organizacji.

b)

Bez uszczerbku dla obowiązków określonych w rozporządzeniu (UE) nr 376/2014 organizacja zapewnia, aby każdy incydent związany z bezpieczeństwem informacji lub podatność, które mogą stanowić poważne ryzyko dla bezpieczeństwa lotniczego, zgłaszano właściwemu organowi, któremu podlega. Ponadto:

c)

Organizacja zgłasza stan, o których mowa w lit. b), w następujący sposób:

a)

Organizacja zapewnia, aby w przypadku zlecenia innym organizacjom realizacji dowolnej części czynności, o których mowa w pkt IS.D.OR.200, zlecane czynności były zgodne z wymaganiami określonymi w niniejszym rozporządzeniu, a organizacja przyjmująca zlecenie wykonywała prace pod jej nadzorem. Organizacja zapewnia odpowiednie zarządzanie ryzykiem związanym ze zlecanymi czynnościami.

b)

Organizacja zapewnia właściwemu organowi, na żądanie, możliwość dostępu do organizacji przyjmującej zlecenie w celu ustalenia stałego przestrzegania mających zastosowanie wymagań określonych w niniejszym rozporządzeniu.

a)

Kierownik odpowiedzialny w organizacji lub, w przypadku organizacji projektujących, dyrektor organizacji projektującej wyznaczony zgodnie z rozporządzeniem (UE) nr 748/2012 i rozporządzeniem (UE) nr 139/2014, o których to organizacjach jest mowa w art. 2 ust. 1 lit. a) i b) niniejszego rozporządzenia, posiada uprawnienia służbowe w celu zapewnienia możliwości finansowania i prowadzenia wszystkich czynności wymaganych w niniejszym rozporządzeniu. Osoba ta:

b)

Kierownik odpowiedzialny lub, w przypadku organizacji projektujących, dyrektor organizacji projektującej wyznacza osobę lub grupę osób odpowiedzialnych za utrzymanie zgodności organizacji z wymaganiami niniejszego rozporządzenia oraz określa zakres kompetencji tych osób. Taka osoba lub grupa osób odpowiada bezpośrednio przed kierownikiem odpowiedzialnym lub w przypadku organizacji projektujących dyrektorem organizacji projektującej oraz legitymuje się wiedzą, praktyką i doświadczeniem zawodowym odpowiednimi do powierzonego zakresu odpowiedzialności. W procedurach określa się, kto zastępuje daną osobę w przypadku jej długotrwałej nieobecności.

c)

Kierownik odpowiedzialny lub, w przypadku organizacji projektujących, dyrektor organizacji projektującej wyznacza osobę lub grupę osób odpowiedzialnych za zarządzanie funkcją monitorowania zgodności, o której mowa w pkt IS.D.OR.200 lit. a) ppkt 12.

d)

Jeżeli struktury organizacyjne, strategie, procesy i procedury w zakresie bezpieczeństwa informacji organizacji są wspólne z innymi organizacjami lub z obszarami własnej organizacji, które nie są objęte zatwierdzeniem ani oświadczeniem, kierownik odpowiedzialny lub, w przypadku organizacji projektujących, dyrektor organizacji projektującej mogą delegować swoje działania wspólnej osobie odpowiedzialnej.

W takim przypadku wprowadza się środki koordynacji między kierownikiem odpowiedzialnym organizacji lub, w przypadku organizacji projektujących, dyrektorem organizacji projektującej a wspólną osobą odpowiedzialną w celu zapewnienia odpowiedniej integracji zarządzania bezpieczeństwem informacji w organizacji.

e)

Kierownik odpowiedzialny, lub dyrektor organizacji projektującej, lub wspólna osoba odpowiedzialna, o której mowa w lit. d), posiada uprawnienia służbowe do ustanowienia i utrzymania struktur organizacyjnych, strategii, procesów i procedur niezbędnych do wdrożenia pkt IS.D.OR.200.

f)

Organizacja stosuje procedurę zapewniającą dysponowanie personelem dyżurującym wystarczającym do przeprowadzenia czynności objętych niniejszym załącznikiem.

g)

Organizacja stosuje procedurę zapewniającą, aby personel, o którym mowa w lit. f), posiadał niezbędne kompetencje do realizacji powierzonych mu zadań.

h)

Organizacja stosuje procedurę zapewniającą, aby personel przyjmował do wiadomości obowiązki związane z przydzielonymi funkcjami i zadaniami.

i)

Organizacja zapewnia, aby prawidłowo ustalono tożsamość i wiarygodność personelu mającego dostęp do systemów informatycznych i danych podlegających wymaganiom niniejszego rozporządzenia.

a)

Organizacja prowadzi rejestr swoich działań w zakresie zarządzania bezpieczeństwem informacji.

b)

Organizacja prowadzi rejestr kwalifikacji i doświadczenia własnego personelu zaangażowanego w działania w zakresie zarządzania bezpieczeństwem informacji.

c)

Format dokumentacji musi być określony w procedurach organizacji.

d)

Rejestry przechowuje się w sposób zapewniający ochronę przed uszkodzeniem, zmianą i kradzieżą, a informacje klasyfikowane, w razie potrzeby, w zależności od poziomu klauzuli tajności. Organizacja zapewnia przechowywanie rejestrów w sposób gwarantujący ich integralność, autentyczność i uprawniony dostęp.

a)

Organizacja udostępnia właściwemu organowi podręcznik zarządzania bezpieczeństwem informacji oraz, w stosownych przypadkach, wszelkie przywołane powiązane podręczniki i procedury, zawierający:

b)

Właściwy organ zatwierdza pierwsze wydanie podręcznika zarządzania bezpieczeństwem informacji i zachowuje jego egzemplarz. W razie potrzeby w podręczniku zarządzania bezpieczeństwem informacji wprowadza się zmiany niezbędne do zachowania aktualnego opisu SZBI organizacji. Właściwy organ otrzymuje egzemplarz wszelkich zmian w podręczniku zarządzania bezpieczeństwem informacji.

c)

Zarządzanie zmianami podręcznika zarządzania bezpieczeństwem informacji przebiega zgodnie z procedurą ustanowioną przez organizację. Wszelkie zmiany nieobjęte zakresem stosowania tej procedury, jak również wszelkie zmiany związane ze zmianami, o których mowa w pkt IS.D.OR.255 lit. b), podlegają zatwierdzeniu przez właściwy organ.

d)

Organizacja może włączyć podręcznik zarządzania bezpieczeństwem informacji do innych posiadanych charakterystyk i podręczników zarządzania, pod warunkiem że stosuje się wyraźne odniesienia wskazujące, które części charakterystyki lub podręcznika zarządzania odnoszą się do poszczególnych wymagań zawartych w niniejszym załączniku.

a)

Zarządzanie zmianami w SZBI i powiadamianie o nich właściwego organu może przebiegać w ramach procedury opracowanej przez organizację. Taką procedurę zatwierdza właściwy organ.

b)

Jeżeli chodzi o zmiany w SZBI nieobjęte procedurą, o której mowa w lit. a), organizacja ubiega się o zatwierdzenie wydawane przez właściwy organ i musi uzyskać takie zatwierdzenie.

W odniesieniu do takich zmian:

a)

Organizacja dokonuje oceny - stosując odpowiednie wskaźniki skuteczności działania - skuteczności i stopnia zaawansowania SZBI. Oceny tej dokonuje się według kalendarza wcześniej ustalonego przez organizację lub po wystąpieniu incydentu związanego z bezpieczeństwem informacji.

b)

Jeżeli w toku oceny przeprowadzonej zgodnie z lit. a) zostają wykryte uchybienia, organizacja podejmuje niezbędne środki poprawy w celu zapewnienia, aby system SZBI w dalszym ciągu był zgodny z mającymi zastosowanie wymaganiami i umożliwiał utrzymanie dopuszczalnego poziomu ryzyka związanego z bezpieczeństwem informacji. Ponadto organizacja ponownie ocenia elementy SZBI, na które przyjęte środki wpływają.