Commission Implementing Regulation (EU) 2019/1583 of 25 September 2019 amending Implementing Regulation (EU) 2015/1998 laying down detailed measures for the implementation of the common basic standards on aviation security, as regards cybersecurity measures (Text with EEA relevance.)
Modified by
- Règlement d’exécution (UE) 2020/910 de la Commissiondu 30 juin 2020modifiant les règlements d’exécution (UE) 2015/1998, (UE) 2019/103 et (UE) 2019/1583 en ce qui concerne le renouvellement de la désignation des compagnies aériennes, des exploitants et des entités assurant des contrôles de sûreté sur le fret et le courrier en provenance de pays tiers, ainsi que le report de certaines exigences réglementaires dans le domaine de la cybersécurité, de la vérification des antécédents, des normes relatives aux équipements de détection d’explosifs, et des équipements de détection des traces d’explosifs, en raison de la pandémie de COVID-19(Texte présentant de l’intérêt pour l’EEE), 32020R0910, 1 juillet 2020
1) le point 1.0.6 suivant est ajouté: "1.0.6. L'autorité compétente établit et met en œuvre des procédures pour partager des informations de manière pratique et opportune, selon qu'il convient, avec les autres autorités et agences nationales, les exploitants d'aéroport, les transporteurs aériens et les autres entités concernées, afin de les aider à effectuer des évaluations des risques efficaces concernant leurs opérations." 2) le point 1.7 suivant est ajouté: "1.7. IDENTIFICATION DES DONNÉES ET SYSTÈMES DE TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION CRITIQUES POUR L'AVIATION CIVILE ET PROTECTION DE CES DONNÉES ET SYSTÈMES CONTRE LES CYBERMENACES 1.7.1. L'autorité compétente veille à ce que les exploitants d'aéroport, les transporteurs aériens et les entités tels que définis dans le programme national de sûreté de l'aviation civile identifient et protègent leurs données et systèmes de technologies de l'information et de la communication critiques contre les cyberattaques pouvant affecter la sûreté de l'aviation civile. 1.7.2. Les exploitants d'aéroport, les transporteurs aériens et les entités déterminent dans leur programme de sûreté, ou tout document pertinent référencé dans le programme de sûreté, les données et systèmes de technologies de l'information et de la communication critiques décrits au point 1.7.1. Le programme de sûreté, ou tout document pertinent référencé dans le programme de sûreté, détaille les mesures de protection contre les cyberattaques décrites au point 1.7.1, de détection de ces attaques, de réaction à celles-ci et de rétablissement après celles-ci. 1.7.3. Les mesures détaillées visant à protéger ces systèmes et données contre toute intervention illicite sont définies, mises au point et appliquées conformément à une évaluation des risques effectuée par l'exploitant de l'aéroport, le transporteur aérien ou l'entité, selon le cas. 1.7.4. Lorsqu'une autorité ou une agence spécifique est compétente pour les mesures liées aux cybermenaces à l'intérieur d'un même État membre, cette autorité ou agence peut être désignée comme compétente pour la coordination et/ou le suivi des dispositions du présent règlement relatives à la cybersécurité. 1.7.5. Lorsque les exploitants d'aéroport, les transporteurs aériens et les entités tels que définis dans le programme national de sûreté de l'aviation civile sont soumis à des exigences distinctes en matière de cybersécurité découlant d'autres législations de l'Union européenne ou nationales, l'autorité compétente peut remplacer la conformité aux exigences du présent règlement par le respect des éléments figurant dans les autres législations de l'Union européenne ou nationales. L'autorité compétente se concerte avec les autres autorités compétentes pour garantir la coordination ou la compatibilité des régimes de surveillance." 3) le point 11.1.2 est remplacé par le texte suivant: "11.1.2. Le personnel suivant devra avoir subi avec succès une vérification ordinaire ou renforcée des antécédents: a) les personnes recrutées pour mettre en œuvre ou être responsables de la mise en œuvre de l'inspection/filtrage, du contrôle d'accès ou d'autres contrôles de sûreté ailleurs que dans une zone de sûreté à accès réglementé; b) les personnes disposant d'un accès non accompagné au fret aérien et au courrier aérien, au courrier des transporteurs aériens et au matériel des transporteurs aériens, aux approvisionnements de bord et aux fournitures destinées aux aéroports qui ont fait l'objet des contrôles de sûreté requis; c) les personnes ayant des droits d'administrateur ou un accès non surveillé et illimité aux données et systèmes de technologies de l'information et de la communication critiques utilisés aux fins de la sûreté de l'aviation civile comme décrit au point 1.7.1 conformément au programme national de sûreté de l'aviation, ou qui ont été identifiées d'une autre manière dans l'évaluation des risques conformément au point 1.7.3.
Sauf indication contraire dans le présent règlement, la nécessité de procéder à une vérification ordinaire ou renforcée des antécédents doit être déterminée par l'autorité compétente conformément aux dispositions nationales applicables." 4) le point 11.2.8 suivant est ajouté: "11.2.8. Formation des personnes ayant un rôle ou une responsabilité en lien avec les cybermenaces 11.2.8.1. Les personnes mettant en œuvre les mesures visées au point 1.7.2 doivent avoir les compétences et aptitudes requises pour mener à bien de manière efficace les tâches qui leur sont assignées. Elles sont informées des cyber-risques pertinents selon le principe du "besoin d'en connaître". 11.2.8.2. Les personnes ayant accès aux données ou aux systèmes reçoivent une formation appropriée et spécifique en rapport avec leur fonction, à la hauteur de leur rôle et de leurs responsabilités, comprenant une information sur les risques pertinents lorsque leur fonction l'exige. L'autorité compétente, ou l'autorité ou l'agence visée au point 1.7.4, détermine ou approuve le contenu du cours."
Loading ...