Er gaat geen dag voorbij of er wordt in het nieuws wel melding gemaakt van computer hacks of fraude met AI (Artificial Intelligence) op grote schaal door criminele organisaties, politieke groeperingen en zelf landen die vertegenwoordigd zijn. Vaak is men naarstig op zoek naar bedrijfsinformatie, financiële informatie of probeert men de samenleving en specifiek in onze sector de burgerluchtvaart, te ontwrichten.
Met de uitgifte op 2 mei 2024 van de aanwijzing “Cyberbeveiliging van entiteiten binnen de vrachtsector en leveranciers ter bescherming van de burgerluchtvaart” (kenmerk 543805) is de nationale invoering van vereiste cyberbeveiligingsmaatregelen zoals voorgeschreven in de Uitvoeringsverordening (EU) 2015/1998 afgerond.
Deze aanwijzing schrijft cyberbeveiligingsmaatregelen voor van als kritiek beoordeelde informatie- en communicatiesystemen en data zoals door u gebruikt die indien gecompromitteerd de beveiliging van de burgerluchtvaart in gevaar kunnen brengen.
Voor wie geldt deze aanwijzing: Deze aanwijzing geldt nu voor alle entiteiten: Erkend agenten, bekende afzenders, erkende en bekende leveranciers van vlucht- en luchthaven benodigdheden en erkende vervoerders.
Wat zijn de kritieke informatie- en communicatiesystemen: Om dit voor uw bedrijf, deze kunnen nl. verschillen van bedrijf tot bedrijf, te kunnen duiden dient u een actuele risico-inventarisatie uit te voeren van uw informatie- en communicatiesystemen. Maar de Europese commissie heeft informatie- en communicatiesystemen al als kritiek geïdentificeerd die worden gebruikt voor de beveiliging van de burgerluchtvaart zoals oa:
- Toegang en controlesystemen
- CCTV
- Apparatuur gebruikt bij beveiligingsonderzoeken
- Databases en archieven van identiteitskaarten, documenten ten behoeve van indiensttreding, achtergrondonderzoeken, training en certificering van personeel
- Toegang tot de EU-database erkend agenten en bekende afzenders
- Toegang tot digitale processen waarin statussen van zendingen worden vastgesteld
- Beveiligingsprogramma’s en procedures van de entiteiten.
Wat wordt van u verwacht: U dient een risico-inventarisatie uit te voeren van uw informatie- en communicatiesystemen waarin van alle onderdelen wordt aangegeven hoe belangrijk deze zijn, hoe groot de impact is als deze gecompromitteerd worden en welke maatregelen u neemt of gaat nemen waardoor de beveiliging van de burgerluchtvaart gewaarborgd blijft..
Zodra dit duidelijk is dient u de bijlage bij het beveiligingsprogramma die u heeft ontvangen op te maken en te bewaren waarbij deze in de inspecties door de Koninklijke Marechaussee zal worden meegenomen.
Wanneer moet het uiterlijk klaar zijn: De Cybersecurity bijlage bij het beveiligingsprogramma dient u voor 1 augustus 2024 bij het beveiligingsprogramma te voegen. U hoeft het niet in te sturen omdat deze bij een inspectie door de KMar wordt meegenomen.
Help wanted: U kunt, als u dat wilt, PMT consultancy laten weten als u nog vragen heeft of meer assistentie nodig heeft met de uiteindelijke (Cybersecurity) bijlage bij het beveiligingsprogramma. Vanwege ons mobiele programma is het handig om met een e-mail te beginnen.
Met vriendelijke groet,
PMT Consultancy
consultancy@pmt-aviation.com