Kommissionens delegerade förordning (EU) 2025/22 av den 19 december 2024 om ändring av kommissionens delegerade förordning (EU) 2022/1645 vad gäller krav på informationssäkerhet för organisationer som tillhandahåller marktjänster

Europeiska unionens
officiella tidning

L-serien

2025/22

7.3.2025

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/22

av den 19 december 2024

om ändring av kommissionens delegerade förordning (EU) 2022/1645 vad gäller krav på informationssäkerhet för organisationer som tillhandahåller marktjänster

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91 (1), särskilt artikel 39.1 e, och

av följande skäl:

(1)

I förordning (EU) 2018/1139 fastställs de grundläggande kraven för ett säkert tillhandahållande av marktjänster och för organisationer som tillhandahåller dem samt krav för behöriga myndigheters tillsyn över dessa organisationer och de marktjänster som tillhandahålls vid de unionsflygplatser som omfattas av den förordningen.

(2)

I enlighet med de grundläggande kraven i punkt 4.2.1 i bilaga VII till förordning (EU) 2018/1139 och med kommissionens delegerade förordning (EU) 2025/20 (2), ska organisationer som ansvarar för ett säkert tillhandahållande av marktjänster införa och upprätthålla ett ledningssystem för att hantera säkerhetsrisker. Sådana säkerhetsrisker kan också härröra från informationssäkerhetshot. Dessa risker bör hanteras på lämpligt sätt av organisationer som tillhandahåller marktjänster. För att möjliggöra detta bör tillämpningsområdet för kommissionens delegerade förordning (EU) 2022/1645 (3) ändras så att det omfattar organisationer som tillhandahåller marktjänster.

(3)

Organisationer som omfattas av delegerade förordning (EU) 2022/1645, såsom marktjänstorganisationer och organisationer som tillhandahåller ledningstjänster för trafik på plattan, verkar enligt ett system med deklarationer. Detta innebär att varken deras ledningssystem eller någon del av systemet behöver godkännas av deras behöriga myndigheter. Samma system bör göra det möjligt för dessa organisationer att tillämpa bestämmelserna om informationssäkerhet utan att behöva få sin handbok för hantering av informationssäkerhet eller processen för att hantera ändringar godkänd av den behöriga myndigheten. De krav som rör dessa delar bör ändras för att återspegla detta undantag för de organisationer som avger deklarationer.

(4)

Organisationer som omfattas av denna förordning och som redan omfattas av säkerhetskrav som följer av genomförandeförordning (EU) 2015/1998 (4) bör också uppfylla kraven i bilaga I (Del IS.D.OR.230 ”Externt rapporteringssystem för informationssäkerhet”) till delegerad förordning (EU) 2022/1645, eftersom kommissionens genomförandeförordning (EU) 2015/1998 inte innehåller några bestämmelser om extern rapportering av informationssäkerhetsincidenter.

(5)	De krav som fastställs i denna förordning grundar sig på yttrande nr 01/2024 (5) som utfärdats av byrån i enlighet med artikel 75.2 b och c och artikel 76.1 i förordning (EU) 2018/1139.

(6)	I enlighet med artikel 128.4 i förordning (EU) 2018/1139 samrådde kommissionen med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (6).

(7)	För att ge organisationerna tillräckligt med tid för att säkerställa efterlevnaden av de nya regler och förfaranden som införs genom den här förordningen bör den tillämpas från och med sex år efter dagen för ikraftträdandet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Delegerade förordning (EU) 2022/1645 ska ändras på följande sätt:

(1)

I artikel 2.1 ska följande led läggas till som led c:

”c)

Marktjänstorganisationer som omfattas av kommissionens delegerade förordning (EU) 2025/20 (*1) som

i)	för att kunna tillhandahålla respektive tjänster måste samla in, lagra, analysera eller på annat sätt behandla data som tillhandahålls av tredje part, eller

ii)	direkt till luftfartygsoperatörer tillhandahålla data som kommer att användas för operativa ändamål.

(*1) Kommissionens delegerade förordning (EU) 2025/20 av den 19 december 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2018/1139 genom fastställande av krav för ett säkert tillhandahållande av marktjänster och för organisationer som tillhandahåller dem (EUT L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).” "

(2)

I artikel 5.1 ska följande led läggas till som led c:

”c)	den behöriga myndighet som utsetts i enlighet med bilagan (Del-ARGH) till kommissionens genomförandeförordning (EU)2025/23 (*2), när det gäller de organisationer som avses i artikel 2 c.

(*2) Kommissionens genomförandeförordning (EU) 2025/23 av den 19 december 2024 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2018/1139 vad gäller kraven för tillsyn av marktjänster och för organisationer som tillhandahåller dem (OJ L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).” "

Artikel 2

Bilagan till delegerade förordning (EU) 2022/1645 ska ändras i enlighet med bilagan till den här förordningen.

Artikel 3

1. Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2. Artikel 1 ska tillämpas från och med den 27 mars 2031.

3. Artikel 2 ska tillämpas från och med den 16 oktober 2025.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 19 december 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 212, 22.8.2018, s. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2) Kommissionens delegerade förordning (EU) 2025/20 av den 19 december 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2018/1139 genom fastställande av krav för ett säkert tillhandahållande av marktjänster och för organisationer som tillhandahåller dem (EUT L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3) Kommissionens delegerade förordning (EU) 2022/1645 av den 14 juli 2022 om fastställande av tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2018/1139 vad gäller krav för hantering av informationssäkerhetsrisker med potentiell inverkan på flygsäkerheten för organisationer som omfattas av kommissionens förordningar (EU) nr 748/2012 och (EU) nr 139/2014, och om ändring av kommissionens förordningar (EU) nr 748/2012 och (EU) nr 139/2014 (EUT L 248, 26.9.2022, s. 18, ELI : http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4) Kommissionens genomförandeförordning (EU) 2015/1998 av den 5 november 2015 om detaljerade bestämmelser för genomförande av de gemensamma grundläggande standarderna avseende luftfartsskydd (EUT L 299, 14.11.2015, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5) https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6) EUT L 123, 12.5.2016, s. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

BILAGA

Bilaga till delegerade förordning (EU) 2022/1645 ska ändras på följande sätt:

Punkt IS.D.OR.200 a 5 ska ändras på följande sätt:

”5)

definierar och genomför, i enlighet med punkt IS.D.OR.220, de åtgärder som krävs för att upptäcka informationssäkerhetshändelser, identifierar de händelser som anses vara incidenter med en potentiell inverkan på flygsäkerheten samt hanterar och sköter återställning efter sådana informationssäkerhetsincidenter,”

Punkt IS.D.OR.250 b och c ska ändras på följande sätt:

”b)

Det första utfärdandet av ISMM ska godkännas och en kopia ska behållas av den behöriga myndigheten. Ett godkännande ska inte krävas av organisationer som avger deklarationer.” ISMM ska vid behov ändras så att den förblir en aktuell beskrivning av organisationens ISMS. En kopia av eventuella ändringar av ISMM ska lämnas till den behöriga myndigheten.

Ändringar av ISMM ska hanteras enligt ett förfarande som fastställs av organisationen. Ändringar som inte omfattas av detta förfarande och eventuella ändringar som rör de ändringar som avses i punkt IS.D. OR.255 b ska godkännas av den behöriga myndigheten. Ett godkännande ska inte krävas av organisationer som avger deklarationer.”

Punkt IS.D.OR.255 ska ersättas med följande:

”IS.D.OR.255 Ändringar av systemet för hantering av informationssäkerhet (ISMS)

a)	Ändringar av ISMS får hanteras och anmälas till den behöriga myndigheten genom ett förfarande som utarbetats av organisationen. Detta förfarande ska godkännas av den behöriga myndigheten, förutom i fråga om organisationer som avger deklarationer.

När det gäller ändringar av ISMS som inte omfattas av det förfarande som avses i punkt a ska organisationen ansöka om och erhålla ett godkännande från den behöriga myndigheten, förutom i fråga om organisationer som avger deklarationer, för vilka det inte krävs godkännande.

För dessa ändringar gäller följande:

1.	Ansökan ska lämnas in innan någon ändring äger rum för att den behöriga myndigheten ska kunna fastställa fortsatt efterlevnad av denna förordning samt vid behov ändra organisationens certifikat och de villkor för godkännande som bifogas certifikatet.

2.	Organisationen ska ge den behöriga myndigheten tillgång till all information den begär för att kunna utvärdera ändringen.

3.	Ändringen ska genomföras först efter att ett formellt godkännande har mottagits från den behöriga myndigheten, förutom i fråga om organisationer som avger deklarationer, som får genomföra ändringen omedelbart.

4.	Vid genomförandet av sådana ändringar ska organisationen agera enligt de villkor som föreskrivs av den behöriga myndigheten.”

ELI: http://data.europa.eu/eli/reg_del/2025/22/oj

ISSN 1977-0820 (electronic edition)