Zalecane sposoby zarządzania danymi lotniczymi i informacjami lotniczymi, zgodnie z ADR.OR.D.007 rozporządzenia (UE) nr 2018/1139.
Dzienniki resortowe
Dz.Urz.ULC.2021.68
Akt obowiązujący Wersja od: 3 grudnia 2021 r.
WYTYCZNE NR 10
PREZESA URZĘDU LOTNICTWA CYWILNEGO
z dnia 3 grudnia 2021 r.
w sprawie zalecanych sposobów zarządzania danymi lotniczymi i informacjami lotniczymi, zgodnie z ADR.OR.D.007 rozporządzenia (UE) nr 2018/1139
Na podstawie art. 21 ust. 2 pkt 16 oraz art. 23 ust. 2 pkt 2 ustawy z dnia 3 lipca 2002 r. - Prawo lotnicze (Dz. U. z 2020 r. poz. 1970 oraz z 2021 r. poz. 784, 847 i 1898) ogłasza się, co następuje:
§ 1.
W celu zapewnienia właściwego, skutecznego i efektywnego stosowania przepisów lotniczych w dziedzinie lotnictwa cywilnego w odniesieniu do lotnisk podlegających wymaganiom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa lotniczego oraz zmieniającego rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywę Parlamentu Europejskiego i Rady 2014/03/UE i 2014/53/UE, a także uchylającego rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (Dz. Urz. UE L 212 z 22.08.2018, str. 1, z późn. zm.), uwzględniając wymagania określone w ADR.OR.D.007 załącznika III do rozporządzenia Komisji (UE) nr 139/2014 z dnia 12 lutego 2014 r. ustanawiającego wymagania oraz procedury administracyjne dotyczące lotnisk zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 216/2008 (Dz. Urz. UE L 44 z 14.02.2014, str. 1, z późn. zm.) i w AMC1 ADR.OR.D.007 (b) załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R oraz mając na uwadze wymagania określone w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz. 742), ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2020 r. poz. 1856 oraz z 2021 r. poz. 159), ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369) i ustawie z dnia 12 września 2002 r. o normalizacji (Dz. U. z 2015 r. poz. 1483), a także aktualny stan normalizacji krajowej, o której mowa w ustawie z dnia 12 września 2002 r. o normalizacji, zaleca się stosowanie wytycznych.§ 2.
Ilekroć w wytycznych jest mowa o:1)
danych lotniczych - należy przez to rozumieć przedstawienie faktów, pojęć lub instrukcji lotniczych w sposób sformalizowany, dostosowany do potrzeb komunikowania się, interpretowania lub przetwarzania, o których mowa w Załączniku 15 "Służby informacji lotniczej" do Konwencji o międzynarodowym lotnictwie cywilnym, sporządzonej w Chicago dnia 7 grudnia 1944 r. (Dz. U. z 1959 r. poz. 212 i 214, z późn. zm.1#)), ogłoszonym w załączniku do obwieszczenia nr 20 Prezesa Urzędu Lotnictwa Cywilnego z dnia 30 grudnia 2020 r. w sprawie ogłoszenia tekstu Załącznika 15 do Konwencji o międzynarodowym lotnictwie cywilnym, sporządzonej w Chicago dnia 7 grudnia 1944 r. (Dz. Urz. ULC poz. 80) (w brzmieniu z dnia 31 grudnia 2020 r.);2)
informacjach lotniczych - należy przez to rozumieć informacje powstałe w wyniku gromadzenia, analizowania i formatowania danych lotniczych, o których mowa w Załączniku 15 "Służby informacji lotniczej" do Konwencji o międzynarodowym lotnictwie cywilnym;3)
łańcuchu dostaw (danych i informacji lotniczych) - należy przez to rozumieć zintegrowany zestaw zasobów i procesów, które rozpoczynają się od pozyskania surowców (danych lotniczych) i kończą się dostawą produktów (informacji lotniczych) lub usług do użytkownika końcowego, z wykorzystaniem różnych środków transportu (technologii informatycznych), o którym mowa w normie ISO 28000:2007;4)
programach zarządzania ochroną (łańcucha dostaw danych i informacji lotniczych) - należy przez to rozumieć środki, za pomocą których cele zarządzania ochroną (łańcucha dostaw danych i informacji lotniczych) są osiągane, o których jest mowa w normie ISO 28000:2007;5)
systemie zarządzania bezpieczeństwem informacji - należy przez to rozumieć część całościowego systemu zarządzania, opartą na podejściu wynikającym z ryzyka biznesowego, odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji, o którym mowa w normie PN-EN ISO/IEC 27001:2017;6)
systemie zarządzania jakością - należy przez to rozumieć część systemu zarządzania (zbiór wzajemnie powiązanych lub wzajemnie oddziałujących elementów organizacji do ustanawiania polityk i celów oraz procesów do osiągania tych celów) dotyczącą jakości (stopień, w jakim zbiór inherentnych właściwości obiektu spełnia wymagania), o którym mowa w normie PN-EN ISO 9001:2015.§ 3.
1.
Zaleca się, aby system zarządzania jakością zarządzającego lotniskiem, o którym mowa w ADR.OR.D.007 lit. a załącznika III do rozporządzenia nr 139/2014/UE był zgodny z wymaganiami normy PN-EN ISO 9001:2015.2.
Zaleca się, aby system zarządzania ochroną zarządzającego lotniskiem, o którym mowa w ADR.OR.D.007 lit. b załącznika III do rozporządzenia nr 139/2014/UE był zgodny z wymaganiami normy PN-EN ISO/IEC 27001:2017.3.
Zaleca się, aby system zarządzania ochroną zarządzającego lotniskiem, o którym mowa w ADR.OR.D.007 lit. c załącznika III do rozporządzenia nr 139/2014/UE był zgodny z wymaganiami normy PN-EN ISO/IEC 27001:2017, a procedury i środki ochrony były oparte na normie PN-ISO/IEC 27005:2014.4.
Zaleca się, aby członkowie personelu zarządzającego lotniskiem, o których mowa w ADR.OR.D.007 lit. d załącznika III do rozporządzenia nr 139/2014/UE, posiadali odpowiednie poświadczenia bezpieczeństwa w zakresie dostępu do informacji niejawnych oznaczonych klauzulą "poufne" oraz odbyli szkolenie w zakresie ochrony informacji niejawnych, zgodnie z przepisami ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych.5.
Zaleca się, aby warunkiem wyrażenia przez kierownika jednostki organizacyjnej pisemnej zgody na udostępnienie informacji niejawnych o klauzuli "poufne" osobie należącej do członków personelu zarządzającego lotniskiem, o których mowa w ADR.OR.D.007 lit. d załącznika III do rozporządzenia nr 139/2014/UE, wobec której wszczęto postępowanie sprawdzające, było odbycie przez tą osobę szkolenia, o którym mowa w ust. 4.6.
Zaleca się, aby działania, o których mowa w ADR.OR.D.007 lit. e załącznika III do rozporządzenia nr 139/2014/UE były zgodne z wymaganiami normy PN-EN ISO/IEC 27001:2017 i oparte na normie PNISO/IEC 27005:2014.§ 4.
1.
Zaleca się, aby cele zarządzania ochroną, o których mowa w AMC1 ADR.OR.D.007 (b) lit. a pkt 1 załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R zostały ustanowione zgodnie z wymaganiami pkt 6.2 normy PN-EN ISO/IEC 27001:2017 i oparte na załączniku A (normatywnym) tej normy.2.
Zaleca się, aby środki zarządzania ochroną, o których mowa w AMC1 ADR.OR.D.007 (b) lit. a pkt 2 załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R, w zakresie dotyczącym ochrony infrastruktury krytycznej, o której mowa w ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, zapewniały funkcjonalność, ciągłość działań i integralność zasobów i aktywów procesów zarządzania danymi lotniczymi i informacjami lotniczymi w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczały i neutralizowały ich skutki, a także umożliwiały szybkie ich odtworzenie w przypadku awarii, ataków oraz innych zdarzeń zakłócających ich prawidłowe funkcjonowanie.3.
Zaleca się, aby środki zarządzania ochroną, o których mowa w AMC1 ADR.OR.D.007 (b) lit. a pkt 2 ppkt i załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R były zgodne z wymaganiami normy PN-EN ISO/IEC 27001:2017.4.
Zaleca się, aby środki zarządzania ochroną, o których mowa w AMC1 ADR.OR.D.007 (b) lit. a pkt 2 ppkt ii załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R w odniesieniu do działań i procesów w łańcuchu dostaw (danych i informacji lotniczych), które występują na wejściu do procesów zarządzającego lotniskiem ("upstream" w rozumieniu normy ISO 28000:2007) i po wyjściu z procesów zarządzającego lotniskiem ("downstream" w rozumieniu normy ISO 28000:2007), będące przedmiotem programów zarządzania ochroną, zostały objęte zakresem systemu zarządzania jakością, o którym mowa w ADR.OR.D.007 lit. a załącznika III do rozporządzenia nr 139/2014/UE, jeżeli nie wdrożono systemu zarządzania ochroną łańcucha dostaw, o którym mowa w normie ISO 28000:2007.5.
Zaleca się, aby do czasu wydania przez akredytowaną jednostkę certyfikatów zgodności z normami ISO PN-EN ISO 9001:2015, PN-EN ISO/IEC 27001:2017 i ISO 28000:2007, zarządzający lotniskiem zapewnił monitorowanie zgodności, o którym mowa w GM1 ADR.OR.D.007 (a) załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R, w odniesieniu do wymagań określonych w tych normach, przy czym w odniesieniu do normy ISO 28000:2007 dopuszczalnym jest wykonanie samooceny i pisemne zadeklarowanie zgodności ze specyfikacją tej normy.6.
Zaleca się, aby zarządzający lotniskami, o których mowa w przepisach wydanych na podstawie art. 6 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w celu optymalizacji i niepowielania funkcji oraz działań w zakresie cyberbezpieczeństwa, o którym mowa w tej ustawie, integrowali i implementowali, zgodne z AMC1 ADR.OR.D.007 (b) decyzji załącznika do decyzji Dyrektora Wykonawczego EASA nr ED 2014/012/R i wymagane w ADR.OR.D.007 załącznika III do rozporządzenia nr 139/2014/UE, systemy, środki i procedury do systemu zarządzania bezpieczeństwem w systemie informacyjnym, o którym mowa w art. 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.§ 5.
Wytyczne wchodzą w życie z dniem podpisania.