Przejdź do treści
Źródło artykułu

Rozporządzenia wykonawcze Komisji ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139

W Dzienniku Urzędowym L 31/1 Unii Europejskiej z 2 lutego 2023 r. zostało opublikowane rozporządzenie wykonawcze Komisji (UE) 2023/203 z dnia 27 października 2022 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 w kwestii wymagań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze w odniesieniu do organizacji objętych zakresem stosowania rozporządzeń Komisji (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373 i (UE) 2021/664 oraz właściwych organów objętych zakresem stosowania rozporządzeń Komisji (UE) nr 748/2012, (UE) nr 1321/2014, (UE) nr 965/2012, (UE) nr 1178/2011, (UE) 2015/340, rozporządzeń wykonawczych Komisji (UE) 2017/373, (UE) nr 139/2014 i (UE) 2021/664 oraz zmieniające rozporządzenia Komisji (UE) nr 1178/2011, (UE) nr 748/2012, (UE) nr 965/2012, (UE) nr 139/2014, (UE) nr 1321/2014, (UE) 2015/340 oraz rozporządzenia wykonawcze Komisji (UE) 2017/373 i (UE) 2021/664.

Komisja Europejska, uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (1), w szczególności jego art. 17 ust. 1 lit. b), art. 27 ust. 1 lit. a), art. 31 ust. 1 lit. b), art. 43 ust. 1 lit. b), art. 53 ust. 1 lit. a) i art. 62 ust. 15 lit. c), a także mając na uwadze, co następuje:

(1) Zgodnie z zasadniczymi wymogami określonymi w pkt 3.1 lit. b) załącznika II do rozporządzenia (UE) 2018/1139 organizacje zarządzania ciągłą zdatnością do lotu i organizacje obsługi technicznej muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(2) Ponadto zgodnie z zasadniczymi wymogami określonymi w pkt 3.3 lit. b) i pkt 5 lit. b) załącznika IV do rozporządzenia (UE) 2018/1139 organizacje szkolące pilotów, organizacje szkolące personel pokładowy, centra medycyny lotniczej dla załóg oraz operatorzy szkoleniowych urządzeń symulacji lotu muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(3) Co więcej, zgodnie z zasadniczymi wymogami określonymi w pkt 8.1 lit. c) załącznika V do rozporządzenia (UE) 2018/1139 przewoźnicy lotniczy muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(4) Ponadto zgodnie z zasadniczymi wymogami określonymi w pkt 5.1 lit. c) i pkt 5.4 lit. b) załącznika VIII do rozporządzenia (UE) 2018/1139 instytucje zapewniające zarządzanie ruchem lotniczym i instytucje zapewniające służby żeglugi powietrznej, instytucje świadczące usługi U-space i wyłączne instytucje świadczące centralne usługi informacyjne, a także organizacje szkoleniowe i centra medycyny lotniczej dla kontrolerów ruchu lotniczego muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.

(5) Odnośne ryzyko dotyczące bezpieczeństwa może wynikać z różnych źródeł, takich jak wady projektowe, nieprawidłowe utrzymanie, aspekty wydolności ludzkiej, zagrożenia środowiskowe i zagrożenia dla bezpieczeństwa informacji. W systemach zarządzania wdrożonych przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego („Agencja”), właściwe organy krajowe oraz organizacje, o których mowa w motywach powyżej, należy zatem uwzględnić nie tylko ryzyko dla bezpieczeństwa wynikające ze zdarzeń losowych, ale również ryzyko dla bezpieczeństwa wynikające z zagrożeń dla bezpieczeństwa informacji, jeżeli występujące wady mogą zostać wykorzystane przez osoby fizyczne w złym zamiarze. Tego typu ryzyko związane z bezpieczeństwem informacji stale wzrasta w środowisku lotnictwa cywilnego wraz z coraz większym powiązaniem obecnie funkcjonujących systemów informatycznych, które coraz częściej stają się celem ataków dokonywanych przez osoby działające w złym zamiarze.

(6) Ryzyko związane z tymi systemami informatycznymi nie ogranicza się do ewentualnych ataków w cyberprzestrzeni, ale obejmuje również zagrożenia, które mogą wpływać na procesy i procedury, a także wydolność ludzką.

(7) Aby zapewnić bezpieczeństwo informacji i danych cyfrowych, wiele organizacji już teraz stosuje normy międzynarodowe, takie jak ISO 27001. Normy te mogą nie obejmować wszystkich aspektów lotnictwa cywilnego. Należy zatem określić wymagania dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze.

(8) Ważne jest, aby takie wymagania obejmowały wszystkie dziedziny lotnictwa i ich wzajemne relacje, ponieważ lotnictwo stanowi wysoce powiązany system systemów. Wymagania te muszą zatem mieć zastosowanie do wszystkich organizacji i właściwych organów objętych rozporządzeniami Komisji (UE) nr 748/2012 (2), (UE) nr 1321/2014 (3), (UE) nr 965/2012 (4), (UE) nr 1178/2011 (5), (UE) 2015/340 (6), (UE) nr 139/2014 (7) i rozporządzeniem wykonawczym Komisji (UE) 2021/664 (8), a także do tych, które już teraz są zobowiązane do posiadania systemu zarządzania zgodnie z obowiązującymi unijnymi przepisami dotyczącymi bezpieczeństwa lotniczego. Niektóre organizacje należy jednak wyłączyć z zakresu stosowania niniejszego rozporządzenia w celu zapewnienia odpowiedniej proporcjonalno ści do niższego ryzyka związanego z bezpieczeństwem informacji, na jakie narażają one system lotnictwa.

(9) Wymagania określone w niniejszym rozporządzeniu powinny zapewnić konsekwentne wdrażanie we wszystkich dziedzinach lotnictwa, a jednocześnie ich stosowanie powinno mieć jak najmniejszy wpływ na unijne przepisy dotyczące bezpieczeństwa lotniczego mające już zastosowanie do tych dziedzin.

(10) Wymagania określone w niniejszym rozporządzeniu powinny pozostawać bez uszczerbku dla wymogów w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa określonych w pkt 1.7 załącznika do rozporządzenia wykonawczego Komisji (UE) 2015/1998 (9) i w art. 14 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (10).

(11) Wymogi bezpieczeństwa określone w art. 33–43 tytułu V „Bezpieczeństwo programu” rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/696 (11) uznaje się za równoważne wymogom określonym w niniejszym rozporządzeniu, z wyjątkiem pkt IS.I.OR.230 załącznika II do niniejszego rozporządzenia, którego należy przestrzegać.

(12) W celu zagwarantowania pewności prawa należy uznać, że interpretacja terminu „bezpieczeństwo informacji” zdefiniowanego w niniejszym rozporządzeniu, odzwierciedlająca jego powszechne stosowanie w lotnictwie cywilnym na świecie, jest zgodna z interpretacją terminu „bezpieczeństwo sieci i systemów informatycznych” zdefiniowanego w art. 4 pkt 2 dyrektywy (UE) 2016/1148. Definicji terminu „bezpieczeństwo informacji” stosowanej do celów niniejszego rozporządzenia nie należy interpretować jako definicji rozbieżnej z definicją terminu „bezpieczeństwo sieci i systemów informatycznych ” określoną w dyrektywie (UE) 2016/1148.

(13) Aby uniknąć powielania wymogów prawnych, jeżeli organizacje objęte zakresem niniejszego rozporządzenia podlegają już wymogom w zakresie bezpieczeństwa wynikającym z aktów Unii, o których mowa w motywach 10 i 11, i wywierającym taki sam skutek jak przepisy określone w niniejszym rozporządzeniu, zgodność z takimi wymogami w zakresie bezpieczeństwa należy uznać za tożsamą ze zgodnością z wymogami określonymi w niniejszym rozporządzeniu.

(14) Organizacje objęte zakresem stosowania niniejszego rozporządzenia, które już podlegają wymogom w zakresie bezpieczeństwa wynikającym z rozporządzenia wykonawczego (UE) 2015/1998 lub rozporządzenia (UE) 2021/696 bądź obydwu tych rozporządzeń, powinny również przestrzegać wymogów określonych w załączniku II (część IS.I.OR.230 „System zewnętrznego zgłaszania zdarzeń związanych z bezpieczeństwem informacji”) do niniejszego rozporządzenia, ponieważ żadne z tych rozporządzeń nie zawiera przepisów dotyczących zewnętrznego zgłaszania incydentów związanych z bezpieczeństwem informacji.

(15) W celu zapewnienia kompletności należy zmienić rozporządzenia (UE) nr 1178/2011, (UE) nr 748/2012, (UE) nr 965/2012, (UE) nr 139/2014, (UE) nr 1321/2014, (UE) 2015/340 oraz rozporządzenia wykonawcze (UE) 2017/373 (12) i (UE) 2021/664, aby wprowadzić wymogi dotyczące systemu zarządzania bezpieczeństwem informacji przewidziane w niniejszym rozporządzeniu wraz z określonymi w nim systemami zarządzania oraz aby określić wymogi dla właściwych organów w zakresie nadzoru nad organizacjami wdrażającymi wspomniane wymogi dotyczące zarządzania bezpieczeństwem informacji.

(16) Aby organizacje miały wystarczająco dużo czasu na zapewnienie zgodności z nowymi przepisami i procedurami, niniejsze rozporządzenie stosuje się po upływie 3 lat od daty jego wejścia w życie, z wyjątkiem instytucji zapewniającej służby żeglugi powietrznej w ramach europejskiego systemu wspomagania satelitarnego (EGNOS) zdefiniowanej w rozporządzeniu wykonawczym (UE) 2017/373, w odniesieniu do której w związku z trwającą akredytacją bezpieczeństwa systemu i usług EGNOS zgodnie z rozporządzeniem (UE) 2021/696 niniejsze rozporządzenie powinno mieć zastosowanie od 1 stycznia 2026 r.

(17) Wymagania określone w niniejszym rozporządzeniu opierają się na opinii nr 03/2021 (13) wydanej przez Agencję zgodnie z art. 75 ust. 2 lit. b) i c) oraz art. 76 ust. 1 rozporządzenia (UE) 2018/1139.

(18) Wymagania określone w niniejszym rozporządzeniu są zgodne z opinią komitetu ds. stosowania wspólnych zasad bezpieczeństwa w dziedzinie lotnictwa cywilnego ustanowionego na mocy art. 127 rozporządzenia (UE) 2018/1139,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE.

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 22 lutego 2026 r.

Natomiast w odniesieniu do instytucji zapewniającej służby żeglugi powietrznej w ramach EGNOS podlegającej rozporządzeniu wykonawczemu (UE) 2017/373 niniejsze rozporządzenie stosuje się od dnia 1 stycznia 2026 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 27 października 2022 r.

Pełny tekst rozporządzenia wykonawczego Komisji (UE) 2023/203 dostępny jest tutaj (LINK)

FacebookTwitterWykop
Źródło artykułu

Nasze strony