Actualités

Le règlement (UE) 2022/1645 est applicable aux organismes de production Partie-21G à partir du 16 octobre 2025 et le règlement (UE) 2023/203 est applicable à partir du 22 février 2026 en particulier pour les compagnies aériennes (CTA), les organismes de formation pilotes (ATO), les organismes de simulateurs de vol (FSTDO), les organismes de gestion du maintien de la navigabilité (Partie-CAMO), les organismes d’entretien (Partie-145), les opérateurs de type SPO et NCC. 

En préparation de la mise en œuvre de ces règlements relatifs à la Partie-IS, dont l’exigence principale est de mettre en œuvre un Système de Management de la Sécurité de l’Information, une forte collaboration entre les différents services de la DSAC et OSAC a été établie. Le but était de définir une stratégie d’instruction et de surveillance commune de ces nouvelles exigences.

Pour les organismes visés par l'article 2 (champ d'application) des règlements (UE) 2022/1645 et (UE) 2023/203, l’application de ces nouvelles exigences est une condition de maintien des certificat(s), agrément(s) ou déclaration(s).

Dans cette perspective, nous vous invitons à prendre connaissance des documents ci-joints qui vous expliquent la procédure à suivre :

• BI 2025/03
   
• Matrice d’auto-évaluation de votre conformité au règlement Partie-IS, incluant en particulier un engagement du dirigeant responsable à appliquer ces règlements.

Les règlements relatifs à la Partie-IS - Points IS.I/D.OR 200(e) prévoient la possibilité que l’Autorité puisse dispenser un organisme, pour une période limitée dans le temps, d’appliquer certains éléments de la Partie-IS.

En particulier, l’organisme a la possibilité de ne pas mettre en œuvre un Système de Management de la Sécurité de l’Information (SMSI) s’il démontre, au travers d’une analyse de risque formalisée comme défini aux pointx IS.I/D.OR.205, qu’il présente un risque limité pour la sécurité aérienne au regard de son exposition globale dans son activité quotidienne.

Les organismes de type SPO, NCC, ATO, FSTDO, certains CAT (notamment les moins complexes), certains Partie-CAMO, Partie-145, et Partie-21G sont potentiellement concernés par cette dispense.

Pour ces trois derniers (Partie-CAMO, Partie-145, et Partie-21G), des critères en fonction du domaine d’activité de l’agrément sont détaillés dans le BI 2025/03.

Nous vous invitons à prendre connaissance des pièces ci-après, notamment la PJ2 qui vous explique la procédure à suivre.

• Outil d’analyse de l’exposition au risque cyber qui est un outil d’aide pour les organismes afin d’évaluer leur exposition au risque. Cette évaluation permet d’initier leur analyse de risque et d’argumenter un dossier de demande de dispense au sens des paragraphes IS.I/D.OR.200(e), si l’organisme établit qu’il répond aux critères.
   
• Formulaire de demande de dispense à l’application de certaines exigences des règlements Partie-IS intégrant un engagement du dirigeant responsable relatif au traitement du risque cyber impactant la sécurité aérienne (en annexe I du BI 2025/03).

Dans cette perspective, la DSAC et OSAC invitent les organismes de type CAT, SPO, NCC, ATO, FSTD, Partie-CAMO, Partie-145 et Partie-21G à participer à un séminaire en ligne. 

Ce séminaire aura deux objectifs : 

• Présenter les exigences Partie-IS et les attendus en matière de mise en œuvre d'un système de Management de la Sécurité de l’Information (SMSI) ; 

• Présenter les modalités d’instruction communes DSAC/OSAC telles que décrites dans la communication DSAC via METEOR (COM#37760) et le BI OSAC 2025/03

         - des demandes de mise en conformité à la Partie-IS ; 

         - des demandes de dispense à l’application de certaines exigences des règlements Partie-IS pour les organismes éligibles. 

La participation à ce séminaire est libre et accessible à partir du lien ci-dessous. Nous invitons au moins les responsables de l’assurance de la conformité / responsables qualité des organismes à y participer.