Prováděcí nařízení Komise (EU) 2019/1583 ze dne 25. září 2019 , kterým se mění prováděcí nařízení (EU) 2015/1998, kterým se stanoví prováděcí opatření ke společným základním normám letecké bezpečnosti, pokud jde o opatření o kybernetické bezpečnosti (Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy a o zrušení nařízení (ES) č. 2320/2002 [Pozn: Úř. věst. L 97, 9.4.2008, s. 72 .] , a zejména na článek 1 a čl. 4 odst. 3 uvedeného nařízení,
vzhledem k těmto důvodům:
(1) Jedním z hlavních cílů nařízení (ES) č. 300/2008 je poskytnout základ pro společný výklad přílohy 17 (přílohy o ochraně před protiprávními činy, 10. vydání z roku 2017) Úmluvy o mezinárodním civilním letectví [Pozn: https://icao.int/publications/pages/doc7300.aspx] ze dne 7. prosince 1944 , jíž jsou signatáři všechny členské státy EU.
(2) Toho lze dosáhnout a) stanovením společných pravidel a společných základních norem ochrany letectví před protiprávními činy a b) mechanismy pro sledování souladu.
(3) Účelem změny prováděcího aktu je pomoci členským státům zajistit plný soulad s nejnovější změnou (změnou 16) přílohy 17 Úmluvy o mezinárodním civilním letectví, kterou byly zavedeny nové normy v kapitole 3.1.4 týkající se národní organizace a příslušného orgánu a v kapitole 4.9.1 týkající se preventivních opatření v oblasti kybernetické bezpečnosti.
(4) Provedením těchto norem v prováděcích předpisech EU v oblasti ochrany letectví před protiprávními činy se zajistí, že příslušné orgány stanoví a zavedou postupy pro náležité, praktické a včasné sdílení relevantních informací, které jiným vnitrostátním orgánům a agenturám, provozovatelům letišť, leteckým dopravcům a dalším dotčeným subjektům umožní účinně posuzovat bezpečnostní rizika související s jejich provozem, a takto tyto subjekty podpoří při účinném posuzování bezpečnostních rizik souvisejících mimo jiné s kybernetickou bezpečností a při realizaci opatření řešících tato rizika spojená s oblastí kybernetické bezpečnosti.
(5) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 [Pozn: Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii ( Úř. věst. L 194, 19.7.2016, s. 1 ).] o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. směrnice NIS) stanoví opatření s cílem dosáhnout vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii za účelem zlepšení fungování vnitřního trhu. Opatření plynoucí z uvedené směrnice a tohoto nařízení by měla být koordinována na vnitrostátní úrovni, aby nedocházelo k rozporům nebo zdvojování povinností.
(6) Prováděcí nařízení Komise (EU) 2015/1998 [Pozn: Prováděcí nařízení Komise (EU) 2015/1998 ze dne 5. listopadu 2015 , kterým se stanoví prováděcí opatření ke společným základním normám letecké bezpečnosti ( Úř. věst. L 299, 14.11.2015, s. 1 ).] by proto mělo být odpovídajícím způsobem změněno.
(7) Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Výboru pro bezpečnost civilního letectví zřízeného podle čl. 19 odst. 1 nařízení (ES) č. 300/2008,
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Příloha prováděcího nařízení (EU) 2015/1998 se mění v souladu s přílohou tohoto nařízení.
Článek 2
Toto nařízení vstupuje v platnost dnem 31. prosince 2020 .
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 25. září 2019 .
Za Komisi
předseda
Jean-Claude Juncker
Annex 1
L CS CSPŘÍLOHA
Příloha prováděcího nařízení (EU) 2015/1998 se mění takto:
- 1)doplňuje se nový bod 1.0.6, který zní:"1.0.6.Příslušný orgán stanoví a zavede postupy pro náležité, praktické a včasné sdílení relevantních informací, které jiným vnitrostátním orgánům a agenturám, provozovatelům letišť, leteckým dopravcům a dalším dotčeným subjektům umožní účinně posuzovat bezpečnostní rizika související s jejich provozem. ";
- 2)doplňuje se nový bod 1.7, který zní:"IDENTIFIKACE KRITICKÝCH INFORMAČNÍCH A KOMUNIKAČNÍCH SYSTÉMŮ A ÚDAJŮ V CIVILNÍM LETECTVÍ A JEJICH OCHRANA PŘED KYBERNETICKÝMI HROZBAMI1.7.1.Příslušný orgán zajistí, aby provozovatelé letišť, letečtí dopravci a subjekty uvedené v národním bezpečnostním programu ochrany civilního letectví před protiprávními činy identifikovali a chránili svoje kritické informační a komunikační systémy a údaje před kybernetickými útoky, které by mohly ohrozit ochranu civilního letectví před protiprávními činy.1.7.2.Provozovatelé letišť, letečtí dopravci a subjekty ve svém bezpečnostním programu nebo jiném relevantním dokumentu, na který odkazuje bezpečnostní program, identifikují kritické informační a komunikační systémy a údaje uvedené v bodě 1.7.1.
Bezpečnostní program nebo jiný relevantní dokument, na který odkazuje bezpečnostní program, podrobně stanoví opatření k zajištění ochrany před kybernetickými útoky uvedenými v bodě 1.7.1, jejich odhalování a reakce na ně.
1.7.3.Podrobná opatření na ochranu takových systémů a údajů před nezákonnými zásahy se stanoví, vypracují a provádějí v souladu s posouzením rizik provedeným provozovatelem letiště, leteckým dopravcem nebo případně jiným subjektem.1.7.4.Pokud je pro opatření související s kybernetickými hrozbami v jednom členském státě příslušný konkrétní orgán nebo agentura, může být tento orgán nebo agentura určena příslušnou pro koordinaci a/nebo sledování provádění ustanovení tohoto nařízení týkajících se kybernetické bezpečnosti.1.7.5.Pokud se na provozovatele letišť, letecké dopravce a subjekty definované v národním bezpečnostním programu ochrany civilního letectví před protiprávními činy vztahují samostatné požadavky v oblasti kybernetické bezpečnosti plynoucí z jiných vnitrostátních nebo unijních předpisů, může příslušný orgán nahradit soulad s požadavky tohoto nařízení souladem s prvky uvedenými v jiných vnitrostátních nebo unijních předpisech. Příslušný orgán spolupracuje s jinými relevantními příslušnými orgány v zájmu zajištění koordinovaných nebo kompatibilních režimů dohledu. "; - 3)bod 11.1.2 se nahrazuje tímto:"11.1.2Úspěšně absolvovat důkladnější nebo standardní ověření spolehlivosti musí tito pracovníci:
- a)osoby, které jsou přijímány, aby prováděly detekční kontroly, kontroly vstupu nebo jiné bezpečnostní kontroly jinde než ve vyhrazeném bezpečnostním prostoru nebo aby odpovídaly za provádění těchto kontrol;
- b)osoby, které mají přístup bez doprovodu k leteckému nákladu a poště, poště leteckého dopravce a materiálům leteckého dopravce, palubním zásobám a letištním dodávkám, na které byly uplatněny požadované bezpečnostní kontroly;
- c)osoby s právy administrátora nebo s přístupem bez dozoru a bez omezení ke kritickým informačním a komunikačním systémům a údajům používaným k účelům ochrany civilního letectví před protiprávními činy uvedenými v bodě 1.7.1 v souladu s národním bezpečnostním programem ochrany letectví před protiprávními činy nebo osoby, které byly jinak identifikovány v rámci posouzení rizik v souladu s bodem 1.7.3.
Není-li v tomto nařízení stanoveno jinak, o tom, zda má být provedeno důkladnější, nebo standardní ověření spolehlivosti, rozhoduje příslušný orgán v souladu s platnými vnitrostátními předpisy. ";
- 4)doplňuje se nový bod 11.2.8, který zní:"11.2.8.Odborná příprava osob s rolemi a odpovědností souvisejícími s kybernetickými hrozbami11.2.8.1.Osoby, které provádějí opatření podle bodu 1.7.2, disponují dovednostmi a schopnostmi, které jsou nezbytné k efektivnímu plnění jim přidělených úkolů. O relevantních kybernetických rizicích jsou tyto osoby informovány podle potřeby znát.11.2.8.2.Osoby, které mají přístup k údajům nebo systémům, absolvují vhodnou a specifickou odbornou přípravu, která je přiměřená jejich roli a odpovědnosti, a jsou přitom informovány o relevantních rizicích, pokud to jejich funkce vyžaduje. Obsah tohoto kurzu odborné přípravy stanoví nebo schválí příslušný orgán nebo orgán či agentura podle bodu 1.7.4. "