Regulamento de Execução (UE) 2019/1583, de 25 de setembro – Alteração do regulamento sobre a segurança da aviação quanto à cibersegurança
Altera o Regulamento de Execução (UE) 2015/1998 da Comissão que estabelece as medidas de execução das normas de base comuns sobre a segurança da aviação, no que respeita às medidas de cibersegurança
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32019R1583&from=EN
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (CE) n.o 300/2008 do Parlamento Europeu e do Conselho, de 11 de março de 2008, relativo ao estabelecimento de regras comuns no domínio da segurança da aviação civil e que revoga o Regulamento (CE) n.o 2320/2002 (1), nomeadamente o artigo 1.o e o artigo 4.o, n.o 3,
Considerando o seguinte:
(1) Um dos principais objetivos do Regulamento (CE) n.o 300/2008 é estabelecer a base para uma interpretação comum do anexo 17 (anexo relativo à segurança) da Convenção sobre a Aviação Civil Internacional (2), de 7 de dezembro de 1944, 9.o edição, 2017, da qual todos os Estados-Membros da UE são signatários.
(2) Os meios para atingir os objetivos são a) o estabelecimento de regras comuns e normas de base comuns sobre a segurança da aviação e b) mecanismos de controlo do cumprimento.
(3) O objetivo da alteração da legislação de execução consiste em apoiar os Estados-Membros no sentido de assegurarem a plena conformidade com a alteração mais recente (alteração 16) do anexo 17 da Convenção sobre a Aviação Civil Internacional, que introduziu novas normas no âmbito dos capítulos 3.1.4, relativas à organização nacional e à autoridade competente, e 4.9.1, relativas a medidas de cibersegurança preventivas.
(4) Ao transpor estas normas para a aplicação da legislação em matéria de segurança da aviação a nível da UE, será garantido que as autoridades competentes estabelecem e aplicam procedimentos para partilhar, se necessário e em tempo útil, informações pertinentes para assistir as outras autoridades e agências nacionais, os operadores aeroportuários, as transportadoras aéreas e outras entidades em causa, na realização de avaliações eficazes dos riscos para a segurança relacionados com as suas operações e, dessa forma, apoiar essas entidades na realização de avaliações eficazes dos riscos para a segurança relacionadas, entre outros domínios, com a cibersegurança e a aplicação de medidas destinadas a combater as ciberameaças.
(5) A Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (3) relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (Diretiva SRI) estabelece medidas destinadas a alcançar um elevado nível comum de segurança das redes e da informação na União, a fim de melhorar o funcionamento do mercado interno. As medidas decorrentes da Diretiva SRI e do presente regulamento devem ser coordenadas a nível nacional para evitar lacunas e duplicações de obrigações.
(6) Por conseguinte, o Regulamento de Execução (UE) 2015/1998 da Comissão (4) deve ser alterado em conformidade.
(7) As medidas previstas no presente regulamento estão em conformidade com o parecer do Comité para a Segurança da Aviação Civil, instituído nos termos do artigo 19.o, n.o 1, do Regulamento (CE) n.o 300/2008,
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
O anexo do Regulamento de Execução (UE) 2015/1998 é alterado em conformidade com o anexo do presente regulamento.
Artigo 2.o
O presente regulamento entra em vigor em 31 de dezembro de 2020.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 25 de setembro de 2019.
Pela Comissão
O Presidente
Jean-Claude JUNCKER
(1) JO L 97 de 9.4.2008, p. 72.
(2) https://icao.int/publications/pages/doc7300.aspx
(3) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).
(4) Regulamento de Execução (UE) 2015/1998 da Comissão, de 5 de novembro de 2015, que estabelece as medidas de execução das normas de base comuns sobre a segurança da aviação (JO L 299 de 14.11.2015, p. 1).
ANEXO
O anexo do Regulamento de Execução (UE) 2015/1998 é alterado do seguinte modo:
1) É aditado o ponto 1.0.6, com a seguinte redação:
«1.0.6. A autoridade competente deve estabelecer e aplicar procedimentos para a partilha, se adequado e em tempo útil, de informações pertinentes para assistir as outras autoridades e agências nacionais, os operadores aeroportuários, as transportadoras aéreas e outras entidades em causa, na realização de avaliações dos riscos de segurança eficazes relacionadas com as suas operações.»;
2) É aditado o ponto 1.7, com a seguinte redação:
«1.7 IDENTIFICAÇÃO E PROTEÇÃO CONTRA CIBERAMEAÇAS DOS SISTEMAS E DADOS CRÍTICOS DAS TECNOLOGIAS DA INFORMAÇÃO E DAS COMUNICAÇÕES PARA A AVIAÇÃO CIVIL
1.7.1. A autoridade competente deve assegurar que os operadores aeroportuários, as transportadoras aéreas e as entidades definidas no programa nacional de segurança da aviação civil identificam e protegem os seus sistemas e dados críticos das tecnologias da informação e das comunicações contra ciberataques que possam afetar a segurança da aviação.
1.7.2. Os operadores aeroportuários, as transportadoras aéreas e as entidades devem identificar, no seu programa de segurança ou em qualquer documento pertinente que remeta para o programa de segurança, os sistemas e dados críticos das tecnologias da informação e das comunicações descritos no ponto 1.7.1.
O programa de segurança ou qualquer documento pertinente que remeta para o programa de segurança deve especificar as medidas destinadas a assegurar a proteção contra ciberataques, bem como a deteção de ciberataques, a resposta e a recuperação dos mesmos, conforme descritas no ponto 1.7.1.
1.7.3. As medidas detalhadas de proteção desses sistemas e dados contra interferências ilícitas devem ser identificadas, desenvolvidas e aplicadas de acordo com uma avaliação dos riscos efetuada pelo operador aeroportuário, pela transportadora aérea ou pela entidade, conforme adequado.
1.7.4. Quando uma autoridade ou agência específica for competente para tomar medidas relacionadas com ciberameaças dentro de um Estado-Membro, essa autoridade ou agência pode ser designada como competente para a coordenação e/ou o acompanhamento das disposições em matéria de cibersegurança constantes do presente regulamento.
1.7.5. Sempre que os operadores aeroportuários, as transportadoras aéreas e as entidades definidas no programa nacional de segurança da aviação civil estejam sujeitos a requisitos de cibersegurança distintos decorrentes de outra legislação da UE ou nacional, a autoridade competente pode substituir o cumprimento dos requisitos do presente regulamento pelo cumprimento dos elementos contidos noutra legislação da UE ou nacional. A autoridade competente deve assegurar a coordenação com quaisquer outras autoridades competentes na matéria para assegurar regimes de supervisão coordenados ou compatíveis.»;
3) O ponto 11.1.2 passa a ter a seguinte redação:
«11.1.2 O pessoal seguinte deve ter concluído, com êxito, um inquérito pessoal reforçado ou normal:
a) As pessoas recrutadas para executar ou para serem responsáveis pela execução do rastreio, do controlo de acessos ou de outros controlos de segurança em áreas que não sejam zonas restritas de segurança;
b) As pessoas com acesso sem escolta à carga e ao correio aéreos, ao correio e ao material da transportadora aérea, às provisões de bordo e às provisões do aeroporto a que tenham sido aplicados os controlos de segurança necessários;
c) As pessoas com direitos de administrador ou de acesso não controlado e ilimitado a sistemas e dados críticos das tecnologias da informação e das comunicações utilizados para a segurança da aviação civil, conforme descrito no ponto 1.7.1, em conformidade com o programa nacional de segurança da aviação, ou que tenham sido identificadas de outra forma na avaliação dos riscos em conformidade com o ponto 1.7.3.
Salvo indicação em contrário no presente regulamento, compete à autoridade competente decidir, em conformidade com as regras nacionais aplicáveis, se deve ser realizado um inquérito pessoal reforçado ou um inquérito pessoal normal.»;
4) É aditado o ponto 11.2.8, com a seguinte redação:
«11.2.8. Formação de pessoas com funções e responsabilidades no domínio das ciberameaças
11.2.8.1. As pessoas que executam as medidas previstas no ponto 1.7.2 devem possuir as competências e aptidões necessárias para desempenhar as suas funções designadas de forma eficaz. Devem ser sensibilizados para os riscos de cibersegurança respetivos, com base na “necessidade de tomar conhecimento”.
11.2.8.2. As pessoas com acesso a dados ou sistemas devem receber formação adequada e específica relacionada com o posto de trabalho, consentânea com as suas funções e responsabilidades, incluindo a tomada de conhecimento dos riscos pertinentes, caso a sua função profissional o exija. A autoridade competente, ou a autoridade ou agência prevista no ponto 1.7.4, deve especificar ou aprovar o conteúdo da ação de formação.».