NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie delegowane 2025/22 zmieniające rozporządzenie delegowane Komisji (UE) 2022/1645 w odniesieniu do wymogów dotyczących bezpieczeństwa informacji dla organizacji świadczących usługi obsługi naziemnej

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2025/22
z dnia 19 grudnia 2024 r.
zmieniające rozporządzenie delegowane Komisji (UE) 2022/1645 w odniesieniu do wymogów dotyczących bezpieczeństwa informacji dla organizacji świadczących usługi obsługi naziemnej
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 1 , w szczególności jego art. 39 ust. 1 lit. e),

a także mając na uwadze, co następuje:

(1) W rozporządzeniu (UE) 2018/1139 ustanowiono zasadnicze wymogi dotyczące bezpiecznego świadczenia usług obsługi naziemnej i organizacji świadczących takie usługi, a także wymogi dotyczące nadzoru sprawowanego przez właściwe organy nad tymi organizacjami i usługami obsługi naziemnej świadczonymi na lotniskach Unii objętych zakresem tego rozporządzenia.

(2) Zgodnie z zasadniczymi wymogami określonymi w pkt 4.2.1 załącznika VII do rozporządzenia (UE) 2018/1139 oraz z rozporządzeniem delegowanym Komisji (UE) 2025/20 2  organizacje odpowiedzialne za bezpieczne świadczenie usług obsługi naziemnej mają wdrożyć i utrzymywać system zarządzania ryzykiem dotyczącym bezpieczeństwa. Takie ryzyko dotyczące bezpieczeństwa może wynikać również z zagrożeń dla bezpieczeństwa informacji. Organizacje świadczące usługi obsługi naziemnej powinny odpowiednio przeciwdziałać tego rodzaju ryzyku. Aby to umożliwić, należy zmienić zakres rozporządzenia delegowanym Komisji (UE) 2022/1645 3  w celu objęcia nim organizacji świadczących usługi obsługi naziemnej.

(3) Organizacje podlegające rozporządzeniu delegowanemu (UE) 2022/1645, takie jak organizacje odpowiedzialne za obsługę naziemną i organizacje zapewniające służby zarządzania płytą postojową, działają w ramach systemu deklaracji. Oznacza to, że ich system zarządzania ani jakikolwiek z jego elementów nie musi być zatwierdzany przez ich właściwe organy. Ten sam system powinien umożliwiać tym organizacjom stosowanie przepisów dotyczących bezpieczeństwa informacji bez konieczności posiadania podręcznika zarządzania bezpieczeństwem informacji lub procesu zarządzania zmianami zatwierdzonego przez właściwy organ. Wymogi dotyczące tych elementów powinny zostać zmienione w celu odzwierciedlenia tego wyłączenia dla organizacji składających deklarację.

(4) Organizacje objęte zakresem stosowania niniejszego rozporządzenia, które już podlegają wymogom w zakresie bezpieczeństwa wynikającym z rozporządzenia wykonawczego Komisji (UE) 2015/1998 4 , powinny również przestrzegać wymogów określonych w załączniku I (część IS.D.OR.230 "System zewnętrznego zgłaszania zdarzeń związanych z bezpieczeństwem informacji") do rozporządzenia delegowanego (UE) 2022/1645, ponieważ rozporządzenie wykonawcze (UE) 2015/1998 nie zawiera żadnych przepisów dotyczących zewnętrznego zgłaszania incydentów związanych z bezpieczeństwem informacji.

(5) Wymagania określone w niniejszym rozporządzeniu opierają się na opinii nr 01/2024 5  wydanej przez Agencję zgodnie z art. 75 ust. 2 lit. b) i c) oraz art. 76 ust. 1 rozporządzenia (UE) 2018/1139.

(6) Zgodnie z art. 128 ust. 4 rozporządzenia (UE) 2018/1139 Komisja skonsultowała się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 6 .

(7) Aby organizacje miały wystarczająco dużo czasu na zapewnienie zgodności z nowymi przepisami i procedurami wprowadzonymi niniejszym rozporządzeniem, niniejsze rozporządzenie powinno mieć zastosowanie 6 lat od daty jego wejścia w życie,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

W rozporządzeniu delegowanym Komisji (UE) 2022/1645 wprowadza się następujące zmiany:

1)
w art. 2 ust. 1 dodaje się lit. c) w brzmieniu:

"c) organizacje odpowiedzialne za obsługę naziemną podlegające rozporządzeniu delegowanemu Komisji (UE) 2025/20 * , które:

(i) w celu świadczenia odpowiednich usług muszą gromadzić, przechowywać, analizować lub w inny sposób przetwarzać dane dostarczone przez osoby trzecie; lub

(ii) przekazują bezpośrednio operatorom statków powietrznych dane, które są później wykorzystywane do celów operacyjnych.";

2)
w art. 5 ust. 1 dodaje się lit. c) w brzmieniu:

"c) w odniesieniu do organizacji, o których mowa w art. 2 lit. c), właściwy organ wyznaczony zgodnie z załącznikiem (część ARGH) do rozporządzenia wykonawczego Komisji (UE) 2025/23 * .".

Artykuł  2

W załączniku do rozporządzenia delegowanego (UE) 2022/1645 wprowadza się zmiany określone w załączniku do niniejszego rozporządzenia.

Artykuł  3
1. 
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
2. 
Art. 1 stosuje się od dnia 27 marca 2031 r.
3. 
Art. 2 stosuje się od dnia 16 października 2025 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 19 grudnia 2024 r.

ZAŁĄCZNIK

W załączniku do rozporządzenia delegowanego (UE) 2022/1645 wprowadza się następujące zmiany:
1)
pkt IS.D.OR.200 lit. a) ppkt 5 otrzymuje brzmienie:

"5) zdefiniował i wdrożył, zgodnie z pkt IS.D.OR.220, środki konieczne do wykrywania zdarzeń związanych z bezpieczeństwem informacji, identyfikował takie zdarzenia, które uznaje się za incydenty o potencjalnym wpływie na bezpieczeństwo lotnicze, oraz reagował na takie incydenty związane z bezpieczeństwem informacji i przywracał sytuację sprzed takich incydentów związanych z bezpieczeństwem informacji;";

2)
pkt IS.D.OR.250 lit. b) i c) otrzymują brzmienie:

"b) Właściwy organ zatwierdza pierwsze wydanie podręcznika zarządzania bezpieczeństwem informacji i zachowuje jego egzemplarz. Zatwierdzenie nie jest wymagane w przypadku organizacji składających deklarację."; W razie potrzeby w podręczniku zarządzania bezpieczeństwem informacji wprowadza się zmiany niezbędne do zachowania aktualnego opisu SZBI organizacji. Właściwy organ otrzymuje egzemplarz wszelkich zmian w podręczniku zarządzania bezpieczeństwem informacji.

c) Zarządzanie zmianami podręcznika zarządzania bezpieczeństwem informacji przebiega zgodnie z procedurą ustanowioną przez organizację. Wszelkie zmiany nieobjęte zakresem stosowania tej procedury, jak również wszelkie zmiany związane ze zmianami, o których mowa w pkt IS.D.OR.255 lit. b), podlegają zatwierdzeniu przez właściwy organ. Zatwierdzenie nie jest wymagane w przypadku organizacji składających deklarację.";

3)
pkt IS.D.OR.255 otrzymuje brzmienie:

"IS.D.OR.255 Zmiany w systemie zarządzania bezpieczeństwem informacji

a) Zarządzanie zmianami w SZBI i powiadamianie o nich właściwego organu może przebiegać w ramach procedury opracowanej przez organizację. Procedurę tę zatwierdza właściwy organ, z wyjątkiem organizacji składających deklarację.

b) Jeżeli chodzi o zmiany w SZBI nieobjęte procedurą, o której mowa w lit. a), organizacja ubiega się o zatwierdzenie wydawane przez właściwy organ i musi uzyskać takie zatwierdzenie, z wyjątkiem organizacji składających deklarację, dla których nie jest ono wymagane.

W odniesieniu do tych zmian:

1) wniosek składa się przed wprowadzeniem wszelkich zmian w celu umożliwienia właściwemu organowi stwierdzenia, czy zachowana zostanie zgodność z niniejszym rozporządzeniem, oraz - jeśli zajdzie taka potrzeba - zmiany certyfikatu organizacji szkoleniowej i powiązanych warunków zatwierdzania dołączonych do certyfikatu;

2) organizacja przekazuje właściwemu organowi wszelkie informacje, których organ ten zażąda w celu dokonania oceny zmiany;

3) zmianę wprowadza się dopiero po otrzymaniu formalnego zatwierdzenia ze strony właściwego organu, z wyjątkiem organizacji składających deklarację, które mogą niezwłocznie wprowadzić zmianę;

4) organizacja wprowadza tego typu zmiany zgodnie z warunkami określonymi przez właściwy organ.".

1 Dz.U. L 212 z 22.8.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.
2 Rozporządzenie delegowane Komisji (UE) 2025/20 z dnia 19 grudnia 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 poprzez ustanowienie wymogów dotyczących bezpiecznego świadczenia usług obsługi naziemnej oraz organizacji świadczących te usługi (Dz.U. L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).
3 Rozporządzenie delegowane Komisji (UE) 2022/1645 z dnia 14 lipca 2022 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 w odniesieniu do wymagań dotyczących zarządzania ryzykiem związanym z bezpieczeństwem informacji o potencjalnym wpływie na bezpieczeństwo lotnicze w odniesieniu do organizacji objętych zakresem stosowania rozporządzeń Komisji (UE) nr 748/2012 i (UE) nr 139/2014 oraz zmieniające rozporządzenia Komisji (UE) nr 748/2012 i (UE) nr 139/2014 (Dz.U. L 248 z 26.9.2022, s. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).
4 Rozporządzenie wykonawcze Komisji (UE) 2015/1998 z dnia 5 listopada 2015 r. ustanawiające szczegółowe środki w celu wprowadzenia w życie wspólnych podstawowych norm ochrony lotnictwa cywilnego (Dz.U. L 299 z 14.11.2015, s. 1, ELI: http:// =data.europa.eu/eli/reg_impl/2015/1998/oj).
6Dz.U. L 123, 12.5.2016, s. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.
* Rozporządzenie delegowane Komisji (UE) 2025/20 z dnia 19 grudnia 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 poprzez ustanowienie wymogów dotyczących bezpiecznego świadczenia usług obsługi naziemnej oraz organizacji świadczących te usługi (Dz.U. L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).
* Rozporządzenie wykonawcze Komisji (UE) 2025/23 z dnia 19 grudnia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 w odniesieniu do wymogów dotyczących nadzoru nad usługami obsługi naziemnej i organizacjami świadczącymi takie usługi (Dz.U. L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.22

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie delegowane 2025/22 zmieniające rozporządzenie delegowane Komisji (UE) 2022/1645 w odniesieniu do wymogów dotyczących bezpieczeństwa informacji dla organizacji świadczących usługi obsługi naziemnej
Data aktu:2024-12-19
Data ogłoszenia:2025-03-07
Data wejścia w życie:2025-03-27, 2025-10-16, 2031-03-27