Preguntas frecuentes

La figura del Responsable de Seguridad de la Información de Aviación Civil se define en el apartado 2 de la Instrucción de Seguridad SA-16 como la persona de una entidad encargada de velar por la seguridad de la información de la organización frente a amenazas y ciberataques que pudieran afectar en materia AVSEC, teniendo establecidas las siguientes funciones y responsabilidades (tras la última actualización de la SA-16 del 18/12/2023):

a.    Identificación de las funciones críticas que son de aplicación a la entidad.
b.    Determinación de la criticidad de los sistemas comunicaciones y/o datos críticos en base a las funciones críticas identificadas.
c.    Realización del análisis de riesgos que permita identificar las vulnerabilidades, seleccionar e implantar medidas de seguridad de la entidad.
d.    Desarrollar, mantener y actualizar la documentación de seguridad de la información de la entidad.
e.    Asignación de perfiles y responsabilidades en materia de seguridad de la información.
f.    Comprobar que el personal cumple con lo establecido en el apartado 11.1.2 c) y en la Instrucción SA-20.
g.    Garantizar la concienciación y formación del personal en materia de seguridad de la información.
h.    Punto de contacto con las autoridades competentes nacionales y otras entidades en materia de seguridad de la información.
i.    Gestión de la cadena de suministros en materia de seguridad de la información.
j.    Establecer el procedimiento para el reporte de incidentes de seguridad de la información y monitorizar su cumplimiento.
k.    Gestionar y compartir la información relevante con las autoridades competentes y otras entidades, a propia iniciativa o por petición de las autoridades.
l.    Gestión de incidentes de seguridad de la información y coordinación con el CSIRT de referencia.
m.    Responsable frente a la Autoridad competente de las auditorías de seguridad de la información que se realicen. Gestionar las deficiencias e implantar las medias correctivas que sean necesarias

Así mismo, el Reg. CE nº 2023/203 en la IS.I.OR.240 (b) de Requisitos relativos al personal establece que el gestor responsable nombrará a una persona o grupo de personas que velarán por que la organización cumpla los requisitos del presente Reglamento, y definirá el alcance de su autoridad. Dicha persona o grupo de personas informará directamente al gestor responsable y tendrá los conocimientos, la formación y la experiencia adecuados para ejercer sus responsabilidades. En los procedimientos deberá determinarse quién sustituye a una persona determinada en caso de ausencia prolongada de esta.

Además, en la IS.I.OR.240 (d) se indica que, si la organización comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con áreas de su propia organización que no formen parte de la aprobación o declaración, el gestor responsable podrá delegar sus actividades en una Common Responsable Person (CRP).

En las “Acceptable Means of Compliance and Guidance Material to Annex II (Part-IS.I.OR) to Commission Implementing Regulation (EU) 2023/203” se aclara que:

“La posibilidad de delegar un CRP se aplica a una organización que comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con partes de su propia organización que no forman parte de la autorización o declaración, por lo que se espera que este CRP tenga responsabilidades y competencias en materia de seguridad de la información. En particular, el CRP debe ser capaz de gestionar la estrategia de seguridad de la información de la organización y su aplicación para garantizar la consecución de los objetivos descritos en el artículo 1. De acuerdo con el Marco Europeo de Capacidades en Ciberseguridad (ECSF) publicado por ENISA en septiembre de 2022, esta persona puede describirse, por ejemplo, como (jefe) responsable de seguridad de la información, director del programa de ciberseguridad o responsable de seguridad de la información.”

Por todo ello, tanto la normativa AVSEC, a través del RSIAC, como la normativa SAFETY (PART-IS) a través del CRP establecen la necesidad de que se nombre a una persona o varias que garanticen el cumplimiento de los requisitos de Seguridad de la Información que establecen dichos reglamentos.

Será potestad de cada entidad establecer si la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista AVSEC (RSIAC) y la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista SAFETY (CRP) es una figura común o son personas distintas coordinadas, así como la posible estructura organizativa que asegure el cumplimiento de ambas legislaciones. 

AESA está en fase de desarrollo de estos aspectos.

El Reglamento 203/2023 del PART-IS establece requisitos de ciberseguridad que deberán cumplir las entidades pertenecientes a la aviación civil desde el punto de vista SAFETY; mientras que el Reglamento 2019/1583 y, su trasposición en el Programa Nacional de Seguridad y la Instrucción SA-16, establece también requisitos de ciberseguridad, pero desde el punto de vista AVSEC (SECURITY).

Por tanto, son reglamentos con medidas relacionadas con la Seguridad de la Información (Ciberseguridad) pero con objetivos diferentes y estableciendo medidas diferentes que en algunos casos podrán o necesitarán de sinergias ya que habrá entidades que se vean afectadas por ambos reglamentos como ocurre muchas veces con las legislaciones de SAFETY y SECURITY. Quede claro que uno no viene a sustituir al otro, y por tanto, ambos deben coexistir.

La supervisión del Reglamento EASA PART-IS será efectuada por la Autoridad Competente que emitió las aprobaciones para las distintas actividades de la organización. Para aquellas aprobaciones emitidas por AESA, la inspección de cada organización, una vez en vigor el Reglamento, la realizará la Unidad que tenga asignada dicha organización.

La certificación ISO 2700X será considerada para dar cumplimiento con el Reglamento EASA PART-IS en gran parte. Sin embargo, el Reglamento EASA PART-IS introduce requisitos específicos del contexto de la seguridad aérea que no se encuentran contemplados en el marco de la certificación ISO 2700X.  En el seno del Grupo de trabajo de EASA PART-IS para Autoridades se ha elaborado material guía con respecto a la certificación ISO 2700X que le puede resultar de utilidad.
 

Tener un único manual será una cuestión por evaluar en cada organización, según sus características. En la regulación, de manera explícita no se requiere.

Puede encontrar las materias de cada uno de los módulos en el Apéndice I del Anexo III (Parte 66) del Reglamento (UE) 1321/2014, y sus posteriores modificaciones.

Las organizaciones de mantenimiento que no tengan desarrollado en el apartado 3.15 del MOE el procedimiento de realización del OJT deberán ajustarse a los requisitos establecidos en la guía AC-OJT-DT01:

En este enlace figura la cita de una guía, el libro de tareas y el formato de evaluación.

Respecto del libro de tareas:

• Debe realizar al menos el 50% de las tareas aplicables a la aeronave y a la categoría de licencia.
• Las tareas que no sean aplicables deberán de figurar como tales.
• Se debe realizar al menos una tarea de cada ATA aplicable.

Se tiene que aportar también:

• Nombramiento por escrito de los supervisores y del evaluador por parte del Responsable de Calidad de la organización.
• Se tiene que aportar copia de la credencial certificadora y de la licencia de los supervisores y del evaluador.
• Se tiene que aportar copia del formato 4 de EASA sobre el nombramiento del Responsable de Calidad de la organización que nombra al personal supervisor/evaluador
• Copia del certificado de aprobación de la organización de mantenimiento.

Si el OJT se ha realizado en base al apartado 3.15 del MOE de la organización de mantenimiento, y ésta ha sido aprobada por AESA, el solicitante tendría que aportar:

• Formato de evaluación en el lugar de trabajo como justificación de haber realizado satisfactoriamente el OJT de acuerdo con los requisitos de la Parte 66.

• Libro de tareas debidamente rellenado y firmado.

En el caso de que el OJT haya sido realizado en base al apartado 3.15 del MOE en una organización de mantenimiento aprobada según la parte 145 o parte M subparte F y Parte CAO, no por AESA, pero sí por una Autoridad de un país miembro de la Unión Europea, se debe aportar:

• Formato de evaluación en el lugar de trabajo como justificación de haber realizado satisfactoriamente el OJT de acuerdo con los requisitos de la Parte 66.

• Copia del apartado 3.15 del MOE.

• Libro de tareas debidamente rellenado y firmado.

El Reglamento (UE) 1321/2014 establece en el apartado b) del 66.A.25 que los cursos de formación básica y los exámenes se realizarán en los diez años anteriores a la solicitud de la licencia de mantenimiento de aeronaves o de la adición de una categoría o subcategoría a dicha licencia.

Aquellos módulos que hayan superado los 10 años será necesario volverse a examinar si el temario de dichos módulos ha cambiado desde que se aprobó hasta la fecha en la cual se solicita la licencia. Si el temario de dichos módulos no hubiera cambiado no habría que volverse a examinar. 

La información sobre la experiencia necesaria para la obtención de una licencia se encuentra en la “Guía del usuario” (LIC-P66-P01-GU01), en la web AESA.

La experiencia obtenida fuera del entorno de EASA podrá aceptarse siempre que se demuestre la autenticidad de la misma, que cumpla con los estándares de la Parte 66 y que se acredite de manera aceptable para AESA. Dichos estándares deberán ser similares a los de un centro de mantenimiento Parte 145 EASA.

Para ello, adicionalmente se debe aportar la aprobación del centro de mantenimiento en cuestión emitida por la autoridad local, así como el nombramiento del Responsable de dicho centro que firma los certificados.