La section 5 du chapitre III du titre Ier du livre II du même code est ainsi modifiée :
I.-A l'article R. 213-5-2, les mots : « et 11.2.3.7 de l'annexe au règlement (UE) n° 185/2010 de la Commission du 4 mars 2010 » sont remplacés par les mots : «, à l'exclusion des opérations de surveillance et de patrouille, de l'annexe au règlement d'exécution (UE) n° 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le secteur de la sûreté de l'aviation civile, ».
II.-Il est ajouté un article R. 213-5-7ainsi rédigé :
« Art. R. 213-5-7.-I.-Les exploitants d'aérodromes, les entreprises de transport aérien, ainsi que les entités définies par un arrêté du ministre chargé de l'aviation civile, établissent et tiennent à jour la liste des données et systèmes de technologies de l'information et de la communication critiques mentionnés au point 1.7.1 de l'annexe au règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le secteur de la sûreté de l'aviation civile, qu'ils doivent, en application du point 1.7 de l'annexe à ce règlement, protéger contre les cyberattaques pouvant affecter la sûreté de l'aviation civile.
« Un arrêté du ministre chargé de l'aviation civile énumère les données et systèmes de technologies de l'information et de la communication critiques que cette liste doit, au minimum, comprendre.
« Les exploitants d'aérodromes, les entreprises de transport aérien et les entités mentionnées au premier alinéa communiquent leur liste de données et systèmes de technologies de l'information et de la communication critiques, et les mises à jour de celle-ci, au ministre chargé de l'aviation civile.
« II.-En application du point 1.7.5 de l'annexe au règlement d'exécution (UE) 2015/1998, sont réputés satisfaire aux exigences mentionnées au point 1.7 de cette annexe :
« 1° Les opérateurs d'importance vitale mentionnés à l'article L. 1332-1 du code de la défense, pour les données et systèmes critiques mentionnés au I qui sont des systèmes d'information d'importance vitale tels que définis au deuxième alinéa de l'article R. 1332-41-2 du même code ;
« 2° Les opérateurs de services essentiels mentionnés à l'article 5 de la loi du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, pour les données et systèmes critiques mentionnés au I qui sont des réseaux et systèmes d'information tels que définis à l'article 7 du décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.
« III.-En application du point 1.7.5 de l'annexe au règlement d'exécution (UE) 2015/1998, sont réputées satisfaire aux exigences mentionnées au point 11.2.8 de cette annexe :
« 1° Les personnes ayant suivi une formation à la sécurité des systèmes d'information d'importance vitale au titre de la politique de sécurité des systèmes d'information mise en œuvre par les opérateurs d'importance vitale mentionnés au 1° du II ;
« 2° Les personnes ayant suivi une formation à la sécurité des systèmes d'information essentiels au titre de la politique de sécurité des systèmes d'information mise en œuvre par les opérateurs de services essentiels mentionnés au 2° du II. »