Der Anhang der Durchführungsverordnung (EU) 2015/1998 wird wie folgt geändert:

1.

Die folgende Nummer 1.0.6 wird angefügt:

1.0.6.

Die zuständige Behörde legt Verfahren für einen angemessenen, praktikablen und rechtzeitigen Austausch relevanter Informationen fest und setzt sie um, um andere nationale Behörden und Agenturen, Flughafenbetreiber, Luftfahrtunternehmen und andere beteiligte Akteure zu unterstützen, wirksame Sicherheitsrisikobewertungen in Bezug auf ihre Tätigkeiten durchzuführen.

2.

Folgende Nummer 1.7 wird angefügt:

1.7

ERMITTLUNG KRITISCHER INFORMATIONS- UND KOMMUNIKATIONSTECHNISCHER SYSTEME UND DATEN IM BEREICH DER ZIVILLUFTFAHRT UND SCHUTZ DIESER SYSTEME UND DATEN VOR CYBERBEDROHUNGEN

1.7.1.

Die zuständige Behörde stellt sicher, dass Flughafenbetreiber, Luftfahrtunternehmen und im nationalen Programm für die Sicherheit der Zivilluftfahrt genannte Stellen ihre für Zivilluftfahrtzwecke genutzten kritischen informations- und kommunikationstechnischen Systeme und Daten ermitteln und vor Cyberangriffen, die sich auf die Sicherheit der Zivilluftfahrt auswirken könnten, schützen.

1.7.2.

Die Flughafenbetreiber, Luftfahrtunternehmen und Stellen bestimmen in ihrem Sicherheitsprogramm oder in einem im Sicherheitsprogramm genannten relevanten Dokument die unter Nummer 1.7.1 genannten kritischen informations- und kommunikationstechnischen Systeme und Daten.

Das Sicherheitsprogramm oder ein im Sicherheitsprogramm genanntes relevantes Dokument muss detaillierte Maßnahmen enthalten, mit denen der Schutz vor den unter Nummer 1.7.1 genannten Cyberangriffen sowie die Erkennung solcher Cyberangriffe, die Reaktionen darauf und ihre Bewältigung sichergestellt sind.

1.7.3.

Die detaillierten Maßnahmen zum Schutz dieser Systeme und Daten vor rechtswidrigen Eingriffen werden im Einklang mit einer vom Flughafenbetreiber, dem Luftfahrtunternehmen oder der Stelle vorgenommenen Risikobewertung ermittelt, entwickelt und umgesetzt.

1.7.4.

Ist innerhalb eines einzelnen Mitgliedstaats eine bestimmte Behörde oder Agentur für Maßnahmen in Bezug auf Cyberbedrohungen zuständig, so kann diese Behörde oder Agentur als zuständig benannt werden, die Maßnahmen gemäß den Bestimmungen dieser Verordnung in Bezug auf Cyberbedrohungen zu koordinieren und/oder zu überwachen.

1.7.5.

Unterliegen Flughafenbetreiber, Luftfahrtunternehmen und im nationalen Programm für die Sicherheit der Zivilluftfahrt genannte Stellen gesonderten Cybersicherheitsanforderungen, die sich aus anderen EU- oder nationalen Rechtsvorschriften ergeben, so kann die zuständige Behörde entscheiden, dass die Einhaltung der Anforderungen der vorliegenden Verordnung durch die Einhaltung der Elemente anderer EU- oder nationaler Rechtsvorschriften ersetzt wird. Die zuständige Behörde stimmt sich mit allen anderen einschlägigen zuständigen Behörden ab, um eine koordinierte oder kompatible Aufsicht sicherzustellen.

3.

Nummer 11.1.2 erhält folgende Fassung:

11.1.2

Die folgenden Personen müssen eine erweiterte oder eine normale Zuverlässigkeitsüberprüfung erfolgreich durchlaufen haben:

a)

Personen, die eingestellt werden, um Kontrollen, Zugangskontrollen oder andere Sicherheitskontrollen in anderen Bereichen als Sicherheitsbereichen durchzuführen;

b)

Personen, die unbegleiteten Zugang zu Luftfracht und Luftpost, Post und Material von Luftfahrtunternehmen, Bordvorräten und Flughafenlieferungen haben, die den erforderlichen Sicherheitskontrollen unterzogen wurden;

c)

Personen, die gemäß dem nationalen Programm für die Sicherheit der Zivilluftfahrt Administrator-Rechte oder unbeaufsichtigten und unbeschränkten Zugang zu den unter Nummer 1.7.1 genannten, für Zivilluftfahrtzwecke genutzten kritischen informations- und kommunikationstechnischen Systemen und Daten haben oder die in der Risikobewertung gemäß Nummer 1.7.3 anderweitig ermittelt wurden.

Wenn in dieser Verordnung nichts anderes bestimmt ist, entscheidet die zuständige Behörde nach Maßgabe der anwendbaren nationalen Vorschriften, ob eine erweiterte oder eine normale Zuverlässigkeitsüberprüfung durchzuführen ist.

4.

Die folgende Nummer 11.2.8 wird angefügt:

11.2.8.

Schulung von Personen mit Funktionen und Verantwortlichkeiten in Bezug auf Cyberbedrohungen

11.2.8.1.

Personen, die die unter Nummer 1.7.2 genannten Maßnahmen durchführen, müssen über die erforderlichen Fähigkeiten und Eignungen zur wirksamen Wahrnehmung der ihnen zugewiesenen Aufgaben verfügen. Sie werden über relevante Cyberrisiken nach dem Grundsatz 'Kenntnis nur wenn nötig' informiert.

11.2.8.2.

Personen, die Zugang zu Daten oder Systemen haben, müssen geeignete und spezifische aufgabenbezogene Schulungen absolvieren, die ihren Funktionen und Verantwortlichkeiten entsprechen, wobei sie auch über relevante Risiken informiert werden, wenn dies aufgrund ihrer beruflichen Funktion erforderlich ist. Die zuständige Behörde oder die unter Nummer 1.7.4 genannte Behörde oder Agentur bestimmt oder genehmigt den Inhalt der Schulung.