Les exploitants d'aérodromes, les entreprises de transport aérien, ainsi que les entités définies par un arrêté du ministre chargé de l'aviation civile, établissent et tiennent à jour la liste des données et systèmes de technologies de l'information et de la communication critiques mentionnés au point 1.7.1 de l'annexe au règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015, qu'ils doivent, en application du point 1.7 de l'annexe à ce règlement, protéger contre les cyberattaques pouvant affecter la sûreté de l'aviation civile.
Un arrêté du ministre chargé de l'aviation civile énumère les données et systèmes de technologies de l'information et de la communication critiques que cette liste doit, au minimum, comprendre.
Les exploitants d'aérodromes, les entreprises de transport aérien et les entités mentionnées au premier alinéa communiquent leur liste de données et systèmes de technologies de l'information et de la communication critiques, et les mises à jour de celle-ci, au ministre chargé de l'aviation civile.

En application du point 1.7.5 de l'annexe au règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015, sont réputés satisfaire aux exigences mentionnées au point 1.7 de cette annexe :
1° Les opérateurs d'importance vitale mentionnés à l'article L. 1332-1 du code de la défense, pour les données et systèmes critiques mentionnés à l'article R. 6342-57 qui sont des systèmes d'information d'importance vitale tels que définis au deuxième alinéa de l'article R. 1332-41-2 du même code ;
2° Les opérateurs de services essentiels mentionnés à l'article 5 de la loi du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, pour les données et systèmes critiques mentionnés à l'article R. 6342-57 qui sont des réseaux et systèmes d'information tels que définis à l'article 7 du décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.

En application du point 1.7.5 de l'annexe au règlement d'exécution (UE) 2015/1998 de la Commission du 5 novembre 2015, sont réputées satisfaire aux exigences mentionnées au point 11.2.8 de cette annexe :
1° Les personnes ayant suivi une formation à la sécurité des systèmes d'information d'importance vitale au titre de la politique de sécurité des systèmes d'information mise en œuvre par les opérateurs d'importance vitale mentionnés au 1° de l'article R. 6342-58 ;
2° Les personnes ayant suivi une formation à la sécurité des systèmes d'information essentiels au titre de la politique de sécurité des systèmes d'information mise en œuvre par les opérateurs de services essentiels mentionnés au 2° de l'article R. 6342-58.