Preguntas frecuentes

La certificación ISO 2700X será considerada para dar cumplimiento con el Reglamento EASA PART-IS en gran parte. Sin embargo, el Reglamento EASA PART-IS introduce requisitos específicos del contexto de la seguridad aérea que no se encuentran contemplados en el marco de la certificación ISO 2700X.  En el seno del Grupo de trabajo de EASA PART-IS para Autoridades se ha elaborado material guía con respecto a la certificación ISO 2700X que le puede resultar de utilidad.
 

La supervisión del Reglamento EASA PART-IS será efectuada por la Autoridad Competente que emitió las aprobaciones para las distintas actividades de la organización. Para aquellas aprobaciones emitidas por AESA, la inspección de cada organización, una vez en vigor el Reglamento, la realizará la Unidad que tenga asignada dicha organización.

El Reglamento 203/2023 del PART-IS establece requisitos de ciberseguridad que deberán cumplir las entidades pertenecientes a la aviación civil desde el punto de vista SAFETY; mientras que el Reglamento 2019/1583 y, su trasposición en el Programa Nacional de Seguridad y la Instrucción SA-16, establece también requisitos de ciberseguridad, pero desde el punto de vista AVSEC (SECURITY).

Por tanto, son reglamentos con medidas relacionadas con la Seguridad de la Información (Ciberseguridad) pero con objetivos diferentes y estableciendo medidas diferentes que en algunos casos podrán o necesitarán de sinergias ya que habrá entidades que se vean afectadas por ambos reglamentos como ocurre muchas veces con las legislaciones de SAFETY y SECURITY. Quede claro que uno no viene a sustituir al otro, y por tanto, ambos deben coexistir.

AESA está en fase de desarrollo de estos aspectos.

La figura del Responsable de Seguridad de la Información de Aviación Civil se define en el apartado 2 de la Instrucción de Seguridad SA-16 como la persona de una entidad encargada de velar por la seguridad de la información de la organización frente a amenazas y ciberataques que pudieran afectar en materia AVSEC, teniendo establecidas las siguientes funciones y responsabilidades (tras la última actualización de la SA-16 del 18/12/2023):

a.    Identificación de las funciones críticas que son de aplicación a la entidad.
b.    Determinación de la criticidad de los sistemas comunicaciones y/o datos críticos en base a las funciones críticas identificadas.
c.    Realización del análisis de riesgos que permita identificar las vulnerabilidades, seleccionar e implantar medidas de seguridad de la entidad.
d.    Desarrollar, mantener y actualizar la documentación de seguridad de la información de la entidad.
e.    Asignación de perfiles y responsabilidades en materia de seguridad de la información.
f.    Comprobar que el personal cumple con lo establecido en el apartado 11.1.2 c) y en la Instrucción SA-20.
g.    Garantizar la concienciación y formación del personal en materia de seguridad de la información.
h.    Punto de contacto con las autoridades competentes nacionales y otras entidades en materia de seguridad de la información.
i.    Gestión de la cadena de suministros en materia de seguridad de la información.
j.    Establecer el procedimiento para el reporte de incidentes de seguridad de la información y monitorizar su cumplimiento.
k.    Gestionar y compartir la información relevante con las autoridades competentes y otras entidades, a propia iniciativa o por petición de las autoridades.
l.    Gestión de incidentes de seguridad de la información y coordinación con el CSIRT de referencia.
m.    Responsable frente a la Autoridad competente de las auditorías de seguridad de la información que se realicen. Gestionar las deficiencias e implantar las medias correctivas que sean necesarias

Así mismo, el Reg. CE nº 2023/203 en la IS.I.OR.240 (b) de Requisitos relativos al personal establece que el gestor responsable nombrará a una persona o grupo de personas que velarán por que la organización cumpla los requisitos del presente Reglamento, y definirá el alcance de su autoridad. Dicha persona o grupo de personas informará directamente al gestor responsable y tendrá los conocimientos, la formación y la experiencia adecuados para ejercer sus responsabilidades. En los procedimientos deberá determinarse quién sustituye a una persona determinada en caso de ausencia prolongada de esta.

Además, en la IS.I.OR.240 (d) se indica que, si la organización comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con áreas de su propia organización que no formen parte de la aprobación o declaración, el gestor responsable podrá delegar sus actividades en una Common Responsable Person (CRP).

En las “Acceptable Means of Compliance and Guidance Material to Annex II (Part-IS.I.OR) to Commission Implementing Regulation (EU) 2023/203” se aclara que:

“La posibilidad de delegar un CRP se aplica a una organización que comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con partes de su propia organización que no forman parte de la autorización o declaración, por lo que se espera que este CRP tenga responsabilidades y competencias en materia de seguridad de la información. En particular, el CRP debe ser capaz de gestionar la estrategia de seguridad de la información de la organización y su aplicación para garantizar la consecución de los objetivos descritos en el artículo 1. De acuerdo con el Marco Europeo de Capacidades en Ciberseguridad (ECSF) publicado por ENISA en septiembre de 2022, esta persona puede describirse, por ejemplo, como (jefe) responsable de seguridad de la información, director del programa de ciberseguridad o responsable de seguridad de la información.”

Por todo ello, tanto la normativa AVSEC, a través del RSIAC, como la normativa SAFETY (PART-IS) a través del CRP establecen la necesidad de que se nombre a una persona o varias que garanticen el cumplimiento de los requisitos de Seguridad de la Información que establecen dichos reglamentos.

Será potestad de cada entidad establecer si la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista AVSEC (RSIAC) y la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista SAFETY (CRP) es una figura común o son personas distintas coordinadas, así como la posible estructura organizativa que asegure el cumplimiento de ambas legislaciones. 

La Autoridad Competente también tiene la obligación de implantar un sistema de gestión de la seguridad de la información. Entre los aspectos que contempla este sistema de gestión es: la protección de la confidencialidad de toda información que la autoridad competente pueda tener en relación con las organizaciones sujetas a su supervisión y la información recibida a través de los sistemas externos de notificación de la organización. Ver requisito IS.AR.200 a) (9).

Existen 2 sedes habilitadas:

• SEDE DE MADRID

Departamento de exámenes – Avda. Hispanidad nº 12
EDIFICIO DE CRISTAL – 2ª PLANTA – CBT 3
Horario de exámenes de 08:30 a 14:30 hrs.
Telf.: (+34) 91 301 94 38
Fax: (+34) 91 301 94 35
e-mail: Info.lma@senasa.es

• SEDE DE BARCELONA

CENTRE DE PROMOCIÓ ECONÓMICA.
AJUNTAMENT DEL PRAT DE LLOBREGAT.

Cualquier aspirante que se registre en la aplicación con su Documento de Identidad podrá inscribirse en los exámenes.

• Los exámenes de “Limitaciones” son para aquellos técnicos que tienen el aprobado de Salamanca o la licencia LMA Parte 66 con limitaciones.
• Los exámenes de “Diferencias” son para aquellos técnicos que habiendo obtenido la licencia LMA Parte 66 con una categoría / subcategoría por conversión de su licencia nacional, quieran obtener otra categoría / subcategoría.
• Los exámenes de LMA son para aquellos aspirantes que quieren obtener directamente la licencia de LMA Parte 66.
• Para realizar exámenes de “Limitaciones y Diferencias” es necesario registrarse en la aplicación de “Limitaciones y Diferencias” puesto que es independiente del registro en los exámenes de “LMA” (son aplicaciones informáticas diferentes).
• Tabla con los exámenes a realizar por categoría:

Una matrícula no se puede guardar si no tiene reservados días de examen, obligatoriamente se tiene que dar de alta al menos un examen. La aplicación borra automáticamente las matrículas que no tienen días reservados de examen.