ISMS – Deroga: se le linee guida diventano legge, qualcosa non va.

Sono state emesse a luglio le modifiche ai regolamenti ed alla AMC&GM relativi all’introduzione del Sistema di gestione di Sicurezza delle Informazioni (ISMS) e, proprio in questi giorni entrerà in vigore il Regolamento per le organizzazioni DOA e POA (Reg. UE 2022/1645).

Vista la complessità dell’argomento sin da maggio Daidalos ha organizzato workshop informativi per le Aziende. In aggiunta, a settembre, sono stati tenuti corsi sull’ISMS al fine di agevolare la comprensione e delineare una “roadmap” per l’introduzione dell’ISMS nelle organizzazioni aeronautiche nel dominio dell’aeronavigabilità.

Il Regolamento prevede che, per le organizzazioni che non pongono alcun rischio di sicurezza delle informazioni con impatto sulle sicurezza aerea, per sé o per le altre organizzazioni, possano andare in deroga e questa la si può ottenere mediante un processo di valutazione dei rischi che sostanzi questa circostanza.

Qui abbiamo un primo problema: come si può dire che “l’organizzazione può essere autorizzata dall’autorità competente a non attuare i requisiti di cui alle lettere da a) a d) (ad eccezione dell’a)13))  e i relativi requisiti contenuti ai punti da IS.D/I.OR.205 a IS.D/I.OR.260, se dimostra, in modo giudicato soddisfacente da detta autorità, che le sue attività … non comportano rischi per la sicurezza delle informazioni con un potenziale impatto sulla sicurezza aerea né per se stessa né per altre imprese.”, se per la valutazione di questi rischi devo prendere a riferimento il punto IS.D/I.OR 205 per il Risk Assessment, in cui il minimo rischio è, per quanto piccolo, maggiore di 0 e, in una qualsiasi matrice (anche una 20X20, l’EASA ne consiglia addirittura una 3X3!) sarebbe almeno 1? Non si capisce.

Ma la cosa singolare è quanto viene riportato nelle rinnovate AMC&GM ed in particolare la GM1 IS.D/I.OR 200(e) (completamente rivista): in questa GM ad un certo punto si dice “Ensure that the accountable manager … can demonstrate an understanding of the derogation process and the terms on which the approval has been granted. This means that at least one person in the organisation needs to have a basic understanding of the Regulation. To this end, point IS.D.OR.240(a)(3) and the related AMC and GM should be considered”.

Chiaramente, questa previsione è contemplata anche nelle Linee Guida EASA per la deroga (emesse a luglio 2024) dove si riportava, al riguardo “IS.I.OR.240 – Additional personnel requirements – At least IS.I.OR.240 (3) should still be applicable. Someone needs to have an understanding of the rule.”

Ecco, al di là del refuso (è (a)(3) e non (3)), è evidente che stiamo introducendo un requisito “additional” (lo dicono le Linee Guida, ma è evidente anche a un ignorante) al testo regolamentare.

Così facendo, si introduce un nuovo requisito oltre quelli contenuti nella legge e siccome l’EASA non ha potestà normativa, questa previsione è da considerarsi nulla.

Uno potrebbe dire che quella previsione è valida “AFTER DEROGATION APPROVAL” e, invece, no, come ha comunicato l’ENAC, è pre-condizione per la deroga (ma non varrebbe manco dopo, se la deroga è approvata).

Ma la cosa è divertente perché: nella GM (che non è manco un AMC, è pure di rango inferiore) è previsto proprio che l’AM abbia una “basic understanding” e poi chiaramente cosa questo significhi ce lo spiegano la GM e l’AMC relative e cioè, l’AM “may gain the necessary understanding by attending a training covering the content the Regulation and the technical basis for compliance. In particular, the training material should cover the overarching objectives of Part-IS, and the assessment should evaluate the understanding of these regulatory objectives.”

Quindi ci troviamo in presenza di linee guida che vanno oltre il dettato normativo e, quindi, stiamo fuori dal perimetro legale (“ultra vires” direbbero gli esperti in diritto).

Che farà l’ENAC? Ha già cominciato a fare, direi: ha inviato lettere alle Aziende ponendo questa come condizione per la deroga. Perché? L’ENAC non conosce la gerarchia delle fonti in ambito europeo? Sarebbe un’enormità, quindi non voglio crederlo. Allora perché? Perché lo dice l’EASA? Ma l’EASA dà linee guida, mica stabilisce requisiti. Allora perché? Per pigrizia? E, se così fosse, imporremmo un costo aggiuntivo alle Aziende non previsto dalla legge? Non sarebbe serio.

Dopodichè, è abbastanza chiaro, che la stessa domanda di deroga, che non può non essere firmata dall’AM trattandosi di materia che afferisce la certificazione dell’Impresa, non può non presupporre che l’AM sia informato del nuovo regolamento e che gliene sia stato spiegato il senso. Non basta? Io credo debba bastare e credo anche che le organizzazioni che vanno in deroga su richiesta abbiano del personale che abbia almeno un “basic understanding” (se non altro tutti quelli all’interno dell’Azienda che hanno lavorato alla deroga) specie se hanno seguito i workshop e i corsi tenuti da Daidalos. Peraltro, nelle linee guida si dice “Someone needs to have an understanding of the rule”, magari basta il CMM che pure ci ha dovuto lavorare. Speriamo prevalga il buon senso. C’è il rischio di avere al solito “interpretazioni locali”, per cui alcuni vorranno un corso dell’AM, altri vorranno anche l’esame di valutazione dell’AM, altri ancora applicheranno il buon senso e non chiederanno né un corso né un esame all’AM e riterranno sufficiente che chi ha lavorato alla deroga abbia fatto un corso o un workshop informativo. Non è il modo migliore di fare standard.

#EASA #PartIS #Regolamentazione #Compliance #Cybersecurity #Deroghe #AviationSafety #AviationLaw