a także mając na uwadze, co następuje:(1) Zgodnie z zasadniczymi wymogami określonymi w pkt 3.1 lit. b) załącznika II do rozporządzenia (UE) 2018/1139 organizacje zarządzania ciągłą zdatnością do lotu i organizacje obsługi technicznej muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.
(2) Ponadto zgodnie z zasadniczymi wymogami określonymi w pkt 3.3 lit. b) i pkt 5 lit. b) załącznika IV do rozporządzenia (UE) 2018/1139 organizacje szkolące pilotów, organizacje szkolące personel pokładowy, centra medycyny lotniczej dla załóg oraz operatorzy szkoleniowych urządzeń symulacji lotu muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.
(3) Co więcej, zgodnie z zasadniczymi wymogami określonymi w pkt 8.1 lit. c) załącznika V do rozporządzenia (UE) 2018/1139 przewoźnicy lotniczy muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.
(4) Ponadto zgodnie z zasadniczymi wymogami określonymi w pkt 5.1 lit. c) i pkt 5.4 lit. b) załącznika VIII do rozporządzenia (UE) 2018/1139 instytucje zapewniające zarządzanie ruchem lotniczym i instytucje zapewniające służby żeglugi powietrznej, instytucje świadczące usługi U-space i wyłączne instytucje świadczące centralne usługi informacyjne, a także organizacje szkoleniowe i centra medycyny lotniczej dla kontrolerów ruchu lotniczego muszą wdrożyć i utrzymywać system zarządzania w celu zarządzania ryzykiem dotyczącym bezpieczeństwa.
(5) Odnośne ryzyko dotyczące bezpieczeństwa może wynikać z różnych źródeł, takich jak wady projektowe, nieprawidłowe utrzymanie, aspekty wydolności ludzkiej, zagrożenia środowiskowe i zagrożenia dla bezpieczeństwa informacji. W systemach zarządzania wdrożonych przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego ("Agencja"), właściwe organy krajowe oraz organizacje, o których mowa w motywach powyżej, należy zatem uwzględnić nie tylko ryzyko dla bezpieczeństwa wynikające ze zdarzeń losowych, ale również ryzyko dla bezpieczeństwa wynikaj ące z zagrożeń dla bezpieczeństwa informacji, jeżeli występujące wady mogą zostać wykorzystane przez osoby fizyczne w złym zamiarze. Tego typu ryzyko związane z bezpieczeństwem informacji stale wzrasta w środowisku lotnictwa cywilnego wraz z coraz większym powiązaniem obecnie funkcjonuj ących systemów informatycznych, które coraz częściej stają się celem ataków dokonywanych przez osoby działające w złym zamiarze.
(6) Ryzyko związane z tymi systemami informatycznymi nie ogranicza się do ewentualnych ataków w cyberprzestrzeni, ale obejmuje również zagrożenia, które mogą wpływać na procesy i procedury, a także wydolność ludzką.
(7) Aby zapewnić bezpieczeństwo informacji i danych cyfrowych, wiele organizacji już teraz stosuje normy międzynarodowe, takie jak ISO 27001. Normy te mogą nie obejmować wszystkich aspektów lotnictwa cywilnego. Należy zatem określić wymagania dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze.
(8) Ważne jest, aby takie wymagania obejmowały wszystkie dziedziny lotnictwa i ich wzajemne relacje, ponieważ lotnictwo stanowi wysoce powiązany system systemów. Wymagania te muszą zatem mieć zastosowanie do wszystkich organizacji i właściwych organów objętych rozporządzeniami Komisji (UE) nr 748/2012 2 , (UE) nr 1321/2014 3 , (UE) nr 965/2012 4 , (UE) nr 1178/2011 5 , (UE) 2015/340 6 , (UE) nr 139/2014 7 i rozporządzeniem wykonawczym Komisji (UE) 2021/664 8 , a także do tych, które już teraz są zobowiązane do posiadania systemu zarządzania zgodnie z obowiązującymi unijnymi przepisami dotyczącymi bezpieczeństwa lotniczego. Niektóre organizacje należy jednak wyłączyć z zakresu stosowania niniejszego rozporządzenia w celu zapewnienia odpowiedniej proporcjonalno ści do niższego ryzyka związanego z bezpieczeństwem informacji, na jakie narażają one system lotnictwa.
(9) Wymagania określone w niniejszym rozporządzeniu powinny zapewnić konsekwentne wdrażanie we wszystkich dziedzinach lotnictwa, a jednocześnie ich stosowanie powinno mieć jak najmniejszy wpływ na unijne przepisy dotyczące bezpieczeństwa lotniczego mające już zastosowanie do tych dziedzin.
(10) Wymagania określone w niniejszym rozporządzeniu powinny pozostawać bez uszczerbku dla wymogów w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa określonych w pkt 1.7 załącznika do rozporządzenia wykonawczego Komisji (UE) 2015/1998 9 i w art. 14 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 10 .
(11) Wymogi bezpieczeństwa określone w art. 33-43 tytułu V "Bezpieczeństwo programu" rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/696 11 uznaje się za równoważne wymogom określonym w niniejszym rozporządzeniu, z wyjątkiem pkt IS.I.OR.230 załącznika II do niniejszego rozporządzenia, którego należy przestrzegać.
(12) W celu zagwarantowania pewności prawa należy uznać, że interpretacja terminu "bezpieczeństwo informacji" zdefiniowanego w niniejszym rozporządzeniu, odzwierciedlaj ąca jego powszechne stosowanie w lotnictwie cywilnym na świecie, jest zgodna z interpretacj ą terminu "bezpieczeństwo sieci i systemów informatycznych " zdefiniowanego w art. 4 pkt 2 dyrektywy (UE) 2016/1148. Definicji terminu "bezpieczeństwo informacji" stosowanej do celów niniejszego rozporządzenia nie należy interpretować jako definicji rozbieżnej z definicją terminu "bezpieczeństwo sieci i systemów informatycznych " określoną w dyrektywie (UE) 2016/1148.
(13) Aby uniknąć powielania wymogów prawnych, jeżeli organizacje objęte zakresem niniejszego rozporządzenia podlegają już wymogom w zakresie bezpieczeństwa wynikającym z aktów Unii, o których mowa w motywach 10 i 11, i wywierającym taki sam skutek jak przepisy określone w niniejszym rozporządzeniu, zgodność z takimi wymogami w zakresie bezpieczeństwa należy uznać za tożsamą ze zgodnością z wymogami określonymi w niniejszym rozporządzeniu.
(14) Organizacje objęte zakresem stosowania niniejszego rozporządzenia, które już podlegają wymogom w zakresie bezpieczeństwa wynikającym z rozporządzenia wykonawczego (UE) 2015/1998 lub rozporządzenia (UE) 2021/696 bądź obydwu tych rozporządzeń, powinny również przestrzegać wymogów określonych w załączniku II (część IS.I.OR.230 "System zewnętrznego zgłaszania zdarzeń związanych z bezpieczeństwem informacji") do niniejszego rozporządzenia, ponieważ żadne z tych rozporządzeń nie zawiera przepisów dotyczących zewnętrznego zgłaszania incydentów związanych z bezpieczeństwem informacji.
(15) W celu zapewnienia kompletności należy zmienić rozporządzenia (UE) nr 1178/2011, (UE) nr 748/2012, (UE) nr 965/2012, (UE) nr 139/2014, (UE) nr 1321/2014, (UE) 2015/340 oraz rozporządzenia wykonawcze (UE) 2017/373 12 i (UE) 2021/664, aby wprowadzić wymogi dotyczące systemu zarządzania bezpieczeństwem informacji przewidziane w niniejszym rozporządzeniu wraz z określonymi w nim systemami zarządzania oraz aby określić wymogi dla właściwych organów w zakresie nadzoru nad organizacjami wdrażającymi wspomniane wymogi dotycz ące zarządzania bezpieczeństwem informacji.
(16) Aby organizacje miały wystarczaj ąco dużo czasu na zapewnienie zgodności z nowymi przepisami i procedurami, niniejsze rozporz ądzenie stosuje się po upływie 3 lat od daty jego wejścia w życie, z wyjątkiem instytucji zapewniaj ącej służby żeglugi powietrznej w ramach europejskiego systemu wspomagania satelitarnego (EGNOS) zdefiniowanej w rozporządzeniu wykonawczym (UE) 2017/373, w odniesieniu do której w związku z trwającą akredytacją bezpieczeństwa systemu i usług EGNOS zgodnie z rozporządzeniem (UE) 2021/696 niniejsze rozporządzenie powinno mieć zastosowanie od 1 stycznia 2026 r.
(17) Wymagania określone w niniejszym rozporządzeniu opierają się na opinii nr 03/2021 13 wydanej przez Agencję zgodnie z art. 75 ust. 2 lit. b) i c) oraz art. 76 ust. 1 rozporządzenia (UE) 2018/1139.
(18) Wymagania określone w niniejszym rozporządzeniu są zgodne z opinią komitetu ds. stosowania wspólnych zasad bezpieczeństwa w dziedzinie lotnictwa cywilnego ustanowionego na mocy art. 127 rozporządzenia (UE) 2018/1139,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE: