RÈGLEMENT D’EXÉCUTION (UE) 2023/203 DE LA COMMISSION
du 27 octobre 2022
portant modalités d’application du règlement (UE) 2018/1139 du Parlement européen et du Conseil en ce qui concerne les exigences en matière de gestion des risques liés à la sécurité de l’information susceptibles d’avoir une incidence sur la sécurité aérienne pour les organismes relevant des règlements (UE) no 1321/2014, (UE) no 965/2012, (UE) no 1178/2011 et (UE) 2015/340 de la Commission, des règlements d’exécution (UE) 2017/373 et (UE) 2021/664 de la Commission, et pour les autorités compétentes relevant des règlements (UE) no 748/2012, (UE) no 1321/2014, (UE) no 965/2012, (UE) no 1178/2011, (UE) 2015/340 et (UE) no 139/2014 de la Commission, des règlements d’exécution (UE) 2017/373 et (UE) 2021/664 de la Commission, et modifiant les règlements (UE) no 1178/2011, (UE) no 748/2012, (UE) no 965/2012, (UE) no 139/2014, (UE) no 1321/2014 et (UE) 2015/340 de la Commission, et les règlements d’exécution (UE) 2017/373 et (UE) 2021/664 de la Commission
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) no 2111/2005, (CE) no 1008/2008, (UE) no 996/2010, (UE) no 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) no 552/2004 et (CE) no 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) no 3922/91 du Conseil (1), et notamment son article 17, paragraphe 1, point b), son article 27, paragraphe 1, point a), son article 31, paragraphe 1, point b), son article 43, paragraphe 1, point b), son article 53, paragraphe 1, point a), et son article 62, paragraphe 15, point c),
considérant ce qui suit:
| (1) | Conformément aux exigences essentielles énoncées à l’annexe II, point 3.1 b), du règlement (UE) 2018/1139, les organismes responsables de la gestion du maintien de la navigabilité et les organismes responsables de la maintenance sont tenus de mettre en œuvre et d’entretenir un système de gestion afin d’assurer la gestion des risques pour la sécurité. |
| (2) | En outre, conformément aux exigences essentielles énoncées à l’annexe IV, points 3.3.b) et 5 b), du règlement (UE) 2018/1139, les organismes de formation des pilotes, les organismes de formation des membres d’équipage de cabine, les centres aéromédicaux pour les membres d’équipage et les exploitants de simulateurs d’entraînement au vol sont tenus de mettre en œuvre et d’entretenir un système de gestion afin d’assurer la gestion des risques pour la sécurité. |
| (3) | En outre, conformément aux exigences essentielles énoncées à l’annexe V, point 8.1 c), du règlement (UE) 2018/1139, les transporteurs aériens sont tenus de mettre en œuvre et d’entretenir un système de gestion afin d’assurer la gestion des risques pour la sécurité. |
| (4) | Qui plus est, conformément aux exigences essentielles énoncées à l’annexe VIII, points 5.1 c) et 5.4 b), du règlement (UE) 2018/1139, les prestataires de services de gestion du trafic aérien et de services de navigation aérienne, les prestataires de services U-space et les prestataires uniques de services d’informations communes, ainsi que les organismes de formation et les centres aéromédicaux pour les contrôleurs de la circulation aérienne doivent mettre en œuvre et entretenir un système de gestion afin d’assurer la gestion des risques pour la sécurité. |
| (5) | Ces risques pour la sécurité peuvent provenir de sources diverses, telles que des défauts de conception et d’entretien, des aspects liés aux performances humaines, des menaces environnementales et des menaces relatives à la sécurité de l’information. Par conséquent, les systèmes de gestion mis en œuvre par l’Agence de l’Union européenne pour la sécurité aérienne (ci-après l’«Agence»), les autorités nationales compétentes et les organismes visés aux considérants ci-dessus devraient tenir compte non seulement des risques pour la sécurité découlant d’événements fortuits, mais aussi de ceux découlant de menaces relatives à la sécurité de l’information lorsque des failles existantes peuvent être exploitées par des personnes animées d’intentions malveillantes. Ces risques liés à la sécurité de l’information ne cessent de croître dans le contexte de l’aviation civile, les systèmes d’information actuels étant de plus en plus interconnectés et ciblés par des acteurs malveillants. |
| (6) | Les risques associés à ces systèmes d’information ne se limitent pas à d’éventuelles attaques dans le cyberespace, mais comprennent également des menaces pesant sur les processus et procédures ainsi que sur les performances des êtres humains. |
| (7) | De nombreux organismes recourent déjà à des normes internationales, telles que la norme ISO 27001, pour assurer la sécurité des données et des informations numériques. Il est possible que ces normes ne tiennent pas pleinement compte de toutes les spécificités de l’aviation civile. Il convient, dès lors, d’établir des exigences pour la gestion des risques liés à la sécurité de l’information susceptibles d’avoir une incidence sur la sécurité aérienne. |
| (8) | Il est essentiel que ces exigences couvrent tous les domaines de l’aviation et leurs interfaces car l’aviation constitue un système de systèmes fortement interconnecté. Par conséquent, elles devraient s’appliquer à tous les organismes et autorités compétentes relevant des règlements (UE) no 748/2012 (2), (UE) no 1321/2014 (3), (UE) no 965/2012 (4), (UE) no 1178/2011 (5), (UE) 2015/340 (6) et (UE) no 139/2014 (7) de la Commission et du règlement d’exécution (UE) 2021/664 de la Commission (8), ainsi qu’à ceux qui sont déjà tenus de disposer d’un système de gestion conformément à la législation de l’Union en vigueur en matière de sécurité aérienne. Toutefois, certains organismes devraient être exclus du champ d’application du présent règlement afin de garantir une proportionnalité appropriée, les risques liés à la sécurité de l’information qu’ils représentent pour le système aéronautique étant moins élevés. |
| (9) | Les exigences énoncées dans le présent règlement devraient garantir une application cohérente dans tous les domaines de l’aviation, en réduisant au minimum les répercussions sur la législation de l’Union en matière de sécurité aérienne déjà applicable à ces domaines. |
| (11) | Les exigences de sécurité énoncées aux articles 33 à 43 du titre V «Sécurité du programme» du règlement (UE) 2021/696 du Parlement européen et du Conseil (11) sont considérées comme équivalentes aux exigences énoncées dans le présent règlement, sauf en ce qui concerne le point IS.I.OR.230 de l’annexe II du présent règlement, qui devrait être respecté. |
| (12) | Afin de garantir la sécurité juridique, l’interprétation du terme «sécurité de l’information» tel que défini dans le présent règlement, qui reflète son utilisation commune dans l’aviation civile à l’échelle mondiale, devrait être considérée comme cohérente avec celle de l’expression «sécurité des réseaux et des systèmes d’information» telle que définie à l’article 4, point 2), de la directive (UE) 2016/1148. La définition de la sécurité de l’information aux fins du présent règlement ne devrait pas être interprétée comme s’écartant de celle relative à la sécurité des réseaux et des systèmes d’information figurant dans la directive (UE) 2016/1148. |
| (13) | Afin d’éviter la duplication des exigences légales, lorsque des organismes relevant du présent règlement sont déjà soumis à des exigences de sécurité découlant d’actes de l’Union visés aux considérants 10 et 11, dont l’effet équivaut à celui des dispositions du présent règlement, le respect de ces exigences de sécurité devrait valoir respect des exigences fixées dans le présent règlement. |
| (14) | Les organismes relevant du présent règlement qui sont déjà soumis aux exigences de sécurité découlant du règlement d’exécution (UE) 2015/1998 ou du règlement (UE) 2021/696, ou des deux, devraient également se conformer aux exigences de l’annexe II (partie IS.I.OR.230 «Système de comptes rendus externes en matière de sécurité de l’information») du présent règlement, dès lors qu’aucun des deux premiers règlements ne contient de disposition liée aux comptes rendus externes des incidents relatifs à la sécurité de l’information. |
| (15) | Par souci d’exhaustivité, il convient de modifier les règlements (UE) no 1178/2011, (UE) no 748/2012, (UE) no 965/2012, (UE) no 139/2014, (UE) no 1321/2014 et (UE) 2015/340 et les règlements d’exécution (UE) 2017/373 (12) et (UE) 2021/664 afin d’introduire les exigences relatives aux systèmes de gestion de la sécurité de l’information prévues dans le présent règlement, ainsi que celles relatives aux systèmes de gestion qui y sont énoncées, et de définir les exigences applicables aux autorités compétentes en ce qui concerne la surveillance des organismes mettant en œuvre les exigences susmentionnées en matière de gestion de la sécurité de l’information. |
| (16) | Afin de donner aux organismes suffisamment de temps pour assurer le respect des nouvelles règles et procédures, le présent règlement devrait s’appliquer 3 ans |
...
