BOE.es - DOUE-L-2025-80401 Reglamento Delegado (UE) 2025/22 de la Comisión, de 19 de diciembre de 2024, por el que se modifica el Reglamento Delegado (UE) 2022/1645 en lo que respecta a los requisitos de seguridad de la información para las organizaciones que prestan servicios de asistencia en tierra.

Documento DOUE-L-2025-80401

Reglamento Delegado (UE) 2025/22 de la Comisión, de 19 de diciembre de 2024, por el que se modifica el Reglamento Delegado (UE) 2022/1645 en lo que respecta a los requisitos de seguridad de la información para las organizaciones que prestan servicios de asistencia en tierra.

Publicado en:: «DOUE» núm. 22, de 7 de marzo de 2025, páginas 1 a 4 (4 págs.)
Departamento:: Unión Europea
Referencia:: DOUE-L-2025-80401

Otros formatos:
PDF
XML

Texto

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010 y (UE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (1), y en particular su artículo 39, apartado 1, letra e),

Considerando lo siguiente:

(1)

El Reglamento (UE) 2018/1139 establece los requisitos esenciales para la prestación segura de servicios de asistencia en tierra y para las organizaciones que los prestan, así como requisitos para la supervisión por parte de las autoridades competentes de dichas organizaciones y de los servicios de asistencia en tierra prestados en los aeródromos de la Unión incluidos en el ámbito de aplicación de dicho Reglamento.

(2)

De conformidad con los requisitos esenciales establecidos en el anexo VII, punto 4.2.1, del Reglamento (UE) 2018/1139, así como con las disposiciones del Reglamento Delegado (UE) 2025/20 de la Comisión (2), las organizaciones responsables de la prestación segura de servicios de asistencia en tierra deben aplicar y mantener un sistema de gestión para gestionar los riesgos de seguridad. Estos riesgos de seguridad también pueden derivarse de amenazas para la seguridad de la información. Las organizaciones que prestan servicios de asistencia en tierra deben abordar adecuadamente los riesgos de esta naturaleza. A tal efecto, debe modificarse el ámbito de aplicación del Reglamento Delegado (UE) 2022/1645 de la Comisión (3) para incluir las organizaciones que prestan servicios de asistencia en tierra.

(3)

Las organizaciones sujetas al Reglamento Delegado (UE) 2022/1645, como las organizaciones de asistencia en tierra y las organizaciones que prestan servicios de dirección de plataforma, operan con arreglo a un régimen de declaración. Esto implica que su sistema de gestión o cualquiera de los componentes de este no necesita la aprobación de sus autoridades competentes. El mismo régimen debe permitir a estas organizaciones aplicar las disposiciones sobre la seguridad de la información sin estar obligadas a que la autoridad competente apruebe su manual de gestión de la seguridad de la información ni el proceso de gestión de los cambios. Los requisitos relacionados con estos elementos deben modificarse con objeto de reflejar esta exención para las organizaciones declarantes.

(4)

Las organizaciones cubiertas por el presente Reglamento que ya estén sujetas a los requisitos de seguridad derivados del Reglamento de Ejecución (UE) 2015/1998 de la Comisión (4) deben cumplir asimismo los requisitos del anexo I (parte IS.D.OR.230, «Sistema externo de notificación sobre seguridad de la información») del Reglamento Delegado (UE) 2022/1645, ya que el Reglamento de Ejecución (UE) 2015/1998 no contiene ninguna disposición relativa a la notificación externa de incidentes relacionados con la seguridad de la información.

(5)	Los requisitos establecidos en el presente Reglamento se basan en el Dictamen n.o 01/2024 (5), emitido por la Agencia de conformidad con el artículo 75, apartado 2, letras b) y c), y el artículo 76, apartado 1, del Reglamento (UE) 2018/1139.

(6)	De conformidad con el artículo 128, apartado 4, del Reglamento (UE) 2018/1139, la Comisión consultó a los expertos designados por cada Estado miembro de acuerdo con a los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (6).

(7)	A fin de que las organizaciones dispongan de tiempo suficiente para garantizar el cumplimiento de las nuevas normas y procedimientos introducidos por el presente Reglamento, este debe aplicarse una vez transcurridos seis años desde su fecha de entrada en vigor.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El Reglamento Delegado (UE) 2022/1645 de la Comisión se modifica como sigue:

1) En el artículo 2, apartado 1, se añade la letra c) siguiente:

«c) organizaciones de asistencia en tierra sujetas al Reglamento Delegado (UE) 2025/20 de la Comisión (*1) que:

i) para prestar los servicios respectivos, deben recoger, almacenar, analizar o tratar de otro modo datos facilitados por terceros, o

ii) proporcionan directamente a los operadores de aeronaves datos que se utilizarán con fines operativos.

(*1) Reglamento Delegado (UE) 2025/20 de la Comisión, de 19 de diciembre de 2024, por el que se completa el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo estableciendo requisitos para la prestación segura de servicios de asistencia en tierra y para las organizaciones que los prestan (DO L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).»."

2) En el artículo 5, apartado 1, se añade la letra c) siguiente:

«c) en lo que respecta a las organizaciones contempladas en el artículo 2, letra c), la autoridad competente designada de conformidad con el anexo (parte ARGH) del Reglamento de Ejecución (UE) 2025/23 de la Comisión (*2).

(*2) Reglamento de Ejecución (UE) 2025/23 de la Comisión, de 19 de diciembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo en lo que respecta a los requisitos para la supervisión de los servicios de asistencia en tierra y las organizaciones que los prestan (DO L, 2025/23, 7.3.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/23/oj).»."

Artículo 2

El anexo del Reglamento Delegado (UE) 2022/1645 se modifica de conformidad con el anexo del presente Reglamento.

Artículo 3

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. El artículo 1 será aplicable a partir del 27 de marzo de 2031.

3. El artículo 2 será aplicable a partir del 16 de octubre de 2025.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 19 de diciembre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 212 de 22.8.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1139/oj.

(2) Reglamento Delegado (UE) 2025/20 de la Comisión, de 19 de diciembre de 2024, por el que se completa el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo estableciendo requisitos para la prestación segura de servicios de asistencia en tierra y para las organizaciones que los prestan (DO L, 2025/20, 7.3.2025, ELI: http://data.europa.eu/eli/reg_del/2025/20/oj).

(3) Reglamento Delegado (UE) 2022/1645 de la Comisión, de 14 de julio de 2022, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo en lo que se refiere a los requisitos relativos a la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea destinados a las organizaciones contempladas en los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión, y por el que se modifican los Reglamentos (UE) n.o 748/2012 y (UE) n.o 139/2014 de la Comisión (DO L 248 de 26.9.2022, p. 18, ELI: http://data.europa.eu/eli/reg_del/2022/1645/oj).

(4) Reglamento de Ejecución (UE) 2015/1998 de la Comisión, de 5 de noviembre de 2015, por el que se establecen medidas detalladas para la aplicación de las normas básicas comunes de seguridad aérea (DO L 299 de 14.11.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1998/oj).

(5) https://www.easa.europa.eu/en/document-library/opinions/opinion-no-012024.

(6) DO L 123 de 12.5.2016, p. 1, ELI: http://data.europa.eu/eli/agree_interinstit/2016/512/oj.

ANEXO

El anexo del Reglamento Delegado (UE) 2022/1645 se modifica como sigue:

El punto IS.D.OR.200, letra a), punto 5, se modifica como sigue:

«5)

define y aplica, de conformidad con el punto IS.D.OR.220, las medidas necesarias para detectar eventos de seguridad de la información, determina cuáles de ellos se consideran incidentes con posibles repercusiones sobre la seguridad aérea y responde a dichos incidentes de seguridad de la información y se recupera de ellos;».

El punto IS.D.OR.250, letras b) y c), se modifica como sigue:

«b)

La autoridad competente aprobará la edición inicial del MGSI y conservará una copia. No será necesaria una aprobación para las organizaciones declarantes. El MGSI se modificará según sea necesario para seguir constituyendo una descripción actualizada del SGSI de la organización. Se entregará a la autoridad competente una copia de las modificaciones introducidas en el MGSI.

Las modificaciones del MGSI se gestionarán mediante un procedimiento establecido por la organización. Las modificaciones que no estén incluidas en el ámbito de este procedimiento, así como las modificaciones relacionadas con los cambios a que se refiere el punto IS.D.OR.255, letra b), serán aprobadas por la autoridad competente. No será necesaria una aprobación para las organizaciones declarantes.».

El punto IS.D.OR.255 se sustituye por el texto siguiente:

«IS.D.OR.255 Cambios en el sistema de gestión de la seguridad de la información

a)	Los cambios en el SGSI podrán gestionarse y notificarse a la autoridad competente mediante un procedimiento elaborado por la organización. Este procedimiento deberá ser aprobado por la autoridad competente, excepto en el caso de las organizaciones declarantes.

Por lo que respecta a los cambios en el SGSI no cubiertos por el procedimiento a que se refiere la letra a), la organización solicitará y obtendrá una aprobación expedida por la autoridad competente, excepto en el caso de las organizaciones declarantes, para las que no se requiere aprobación.

Por lo que se refiere a estos cambios:

1) la solicitud deberá presentarse antes de que tenga lugar cualquiera de estos cambios, para que la autoridad competente pueda determinar si se sigue cumpliendo el presente Reglamento y, si fuera necesario, modificar el certificado de la organización y las correspondientes condiciones de aprobación que lleva adjuntas;

2) la organización pondrá a disposición de la autoridad competente toda la información que solicite para evaluar el cambio;

3) el cambio solo se aplicará tras la recepción de una aprobación formal por parte de la autoridad competente, excepto en el caso de las organizaciones declarantes, que podrán aplicarlo inmediatamente;

4) la organización operará bajo las condiciones prescritas por la autoridad competente durante la aplicación de dichos cambios.».

Análisis

ANÁLISIS

Rango: Reglamento
Fecha de disposición: 19/12/2024
Fecha de publicación: 07/03/2025
Fecha de entrada en vigor: 27/03/2025
Aplicable el art. 1 desde el 27 de marzo de 2031 y el art. 2 desde el 16 de octubre de 2025.
Permalink ELI EUR-Lex: https://data.europa.eu/eli/reg_del/2025/22/spa

Referencias anteriores

MODIFICA los arts. 3 y 5 y el anexo del Reglamento 2022/1645, de 14 de julio (Ref. DOUE-L-2022-81402).

Materias

Acceso a la información
Aeronaves
Aeropuertos y aeródromos
Navegación aérea
Requisitos conjuntos de aviación JAR
Seguridad informática

subir

Agencia Estatal Boletín Oficial del Estado