Målgruppe for veilederen: |
---|
Innholdet i veilederen er basert på jernbanelovgivningen. Den retter seg mot jernbaneforetak, infrastrukturforvaltere og ECM (entities in charge of maintenance). |
Innhold
Introduksjon
Relevante krav i jernbanelovgivningen
Eksempler på varer, tjenester og leverandører
Anskaffelsesprosess
Avklare behov
Krav til kompetanse i anskaffelsesprosessen
Risikovurdering
Spesifisere krav
Velge leverandør
Vurdere tilbud
Inngå avtale
Overføre erfaringer
Styre og kontrollere leverandøren
Introduksjon
Veilederen gjelder kun anskaffelser som kan ha en påvirkning på sikkerhet eller sikring, inkludert digital sikkerhet. Veilederen legger til grunn at ledelsen i virksomheten har besluttet at anskaffelsen skal gjennomføres.
For offentlige anskaffelser og kontraktoppfølgingen generelt, anbefaler vi DFØs veiledning.
Prinsippene i veilederen kan også anvendes når en eksisterende avtale skal fornyes.
SJT har veiledere som kan leses sammen med denne veilederen:
Veileder om leverandørstyring
Veileder om fareidentifisering
Veileder om digital sikkerhet
Veileder om beredskap
Relevante krav i jernbanelovgivningen
Jernbanelovgivningen stiller ikke krav til anskaffelser direkte. Krav til hvordan anskaffelser og avtaler skal håndteres, kan leses ut fra kravene som stilles til styring og kontroll av leverandører.
Hva regelverket sier
Følgende forskrifter inneholder bestemmelser som er aktuelle for anskaffelser:
- Sikkerhetsforskriften
- CSM SMS (Forskrift om felles sikkerhetsmetode for krav til sikkerhetsstyringssystemer)
- Sikringsforskriften
- Kravforskriften
- Sidesporforskriften
Forskriftene stiller ikke krav til anskaffelser direkte. Krav til hvordan anskaffelser og avtaler skal håndteres, kan leses ut fra kravene som stilles til styring og kontroll av leverandører.
Forskriftene stiller krav til at virksomheten skal styre leverandører ved å:
- ha kontroll på alle deler av sin virksomhet hvor andre aktører eller tredjepart er involvert i oppgaver som kan påvirke sikkerheten og sikringen
- ha kontroll på risiko for sikkerhet og sikring i oppgaver og tjenester som utføres av leverandører
- ha kompetanse til å kunne spesifisere krav til leverandører
- følge opp utførelsen av oppdragene og leveransene av produkter, gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i avtalen
- påse at leverandørens ansatte har nødvendig kompetanse og at opplæring gjennomføres
Merk: Sikkerhetsforskriften bruker begrepet «underleverandør» om det som omtales som «leverandør» i denne veilederen og i de andre forskriftene.
Eksempler på varer, tjenester og leverandører
Jernbanevirksomhetene kan ha behov for ulike varer og tjenester. Virksomheten bør være bevist på hvordan disse kan påvirke sikkerhet og sikring, inkludert digital sikkerhet.
Varer eller tjenester som kan påvirke sikkerheten og sikringen
Leveranser som kan ha betydning for sikkerhet eller sikring, kan være fysiske og digitale tjenester, systemer, materiell og komponenter, som for eksempel å:
- utføre operative tjenester, som vedlikehold av infrastruktur og rullende materiell
- levere rullende materiell og utstyr
- skifte tog på stasjon eller skifteområder
- tilby buss for tog
- drifte og gi støtte til bruk av IKT- og OT-systemer (se veilederen om digital sikkerhet)
- utføre vakt- og sikringstjenester på hensettingsområder, terminaler eller stasjoner
- bistå med berging og beredskap (se veilederen om beredskap)
- gi råd om å etablere et styringssystem for sikkerhet og sikring
- lede risikovurderinger
- lede eller bidra i revisjoner
- gi opplæring
- yte administrative og andre tjenester (levert av andre konsernenheter eller søsterselskaper)
Innenfor jernbanesektoren er det et stort spekter av kunde-leverandørforhold. Det kan være alt fra små jernbanevirksomheter med store markedsdominante leverandører til virksomheter som er bundet til å bruke konserninterne tjenester eller tjenester fra søsterselskaper.
I andre tilfeller er virksomhetene bundet til å forholde seg til en standardavtale basert på politiske beslutninger, for eksempel leie av kjøretøy til persontransport.
Virksomheter kan kjøpe tjenester på områder der de selv mangler kompetanse, eller kjøpe ekstra kapasitet på områder der de har kompetanse.
Eksempler på leverandører som kan påvirke sikkerheten og sikringen
- entreprenører, vaktselskaper, IT-selskaper m.m.
- konsernenheter og søsterselskaper som helt eller delvis styrer administrative tjenester og IKT-systemer
- andre jernbanevirksomheter (infrastrukturforvalter, jernbaneforetak)
- virksomheter som tilbyr rullende materiell
- vedlikeholdsleverandører
- konsulent- og rådgivningsselskaper
Anskaffelsesprosess
Anskaffelser kan gjennomføres på følgende måter:
- Inngå en avtale direkte med en spesifikk leverandør.
- Innhente tilbud fra noen utvalgte leverandører.
- Gjennomføre en åpen konkurranse.
Figuren under illustrerer en anskaffelsesprosess. Veilederen utdyper aktivitetene og fremhever det vi mener er viktig å dokumentere.
Avklare behov
Krav til kompetanse i anskaffelsesprosessen
Virksomheten bør vurdere hvilken kompetanse som trengs for å identifisere krav til sikkerhet og sikring som skal ivaretas gjennom anskaffelsen. Ansatte som involveres i anskaffelsesprosessen skal ha kunnskap om og forståelse for den aktuelle typen leveranse, og hvordan leverandøren kan påvirke sikkerhet og sikring. Ansatt(e) med relevant kompetanse bør delta i hele anskaffelsesprosessen.
Det kan være spesielt viktig å involvere ansatte med relevant fagkompetanse i anskaffelser der leverandøren kan påvirke digital sikkerhet, for eksempel anskaffelser av nye eller endringer av eksisterende IKT- og OT-systemer, og driftsoperasjoner.
Virksomheten bør forsikre seg om at egne ansatte har nødvendig kompetanse og kapasitet til å kunne gjennomføre anskaffelsesprosessen. Hvis ansatte ikke har dette i tilstrekkelig grad, bør virksomheten skaffe bistand. Det kan for eksempel gjelde juridisk kompetanse om kontrakts- og avtalerett.
Risikovurdering
Virksomheten bør alltid gjennomføres en risikovurdering av anskaffelsens påvirkning på sikkerhet og sikring. Her bør det legges til grunn informasjon om eventuelle tidligere erfaringer med leverandører, typer leveranser og avtaler.
Det kan være aktuelt å leie inn ekstern bistand til å lede risikovurderingen, men det er viktig at virksomheten har eierskap til risikovurderingen.
Risikovurderinger skal gjøres i henhold til egnede metoder.
Alle som deltar i risikovurderingen skal ha tilgang til nødvendig dokumentasjon. Dette kan være:
- statistikk over hendelser
- erfaringer med leverandører
- leveranser av produkter eller tjenester
- mulige farer
- aktuelle trusler
Eksempler på spørsmål virksomheten kan stille i risikovurderingen
Følgende spørsmål kan stilles i risikovurderingen:
- Hvilke risikoakseptkriterier har vi for sikkerhet og sikring?
- Har vi gjennomført risikovurderinger av tilsvarende anskaffelser før?
- Hvilke erfaringer har vi fra tidligere anskaffelsesprosesser, for eksempel deltakere og deres kompetanse?
- Har vi hatt utfordringer med denne eller lignende leverandører tidligere?
- Har vi rapporter eller statistikk om uønskede hendelser knyttet til denne typen anskaffelse eller de utvalgte leverandørene?
- Har vi tilstrekkelig informasjon om mulige farer, aktuelle trusler og sårbarheter i våre verdier?
- Kan vi inngå et samarbeid med andre virksomheter som benytter samme leverte tjenester/ produkter for å utveksle erfaringer?
Rapporten fra risikovurderingen skal danne grunnlag for videre beslutninger i anskaffelsesprosessen. Hvis risikovurderingen avdekker at risikoen for sikkerhet eller sikring er høyere enn det virksomheten aksepterer, må ledelsen vurdere på nytt om anskaffelsen skal gjennomføres eller ikke.
Hvis ledelsen beslutter at anskaffelsen skal gjennomføres, skal det tydelig dokumenteres hvilke krav virksomheten skal stille til leverandøren for å holde risikoen på et akseptabelt nivå.
Spesifisere krav
Ved alle typer anskaffelser er det viktig å spesifisere kravene som stilles til leverandøren om sikkerhet og sikring, og at de er klart definert i tilbudsforespørsel eller konkurransedokumenter. Kravene skal være basert på jernbanelovgivningen, virksomhetens interne bestemmelser om sikkerhet og sikring, samt resultater fra risikovurderingen.
Eksempler på krav til sikkerhet og sikring som kan stilles til leverandøren
Følgende spørsmål kan stilles til å spesifisere krav i tilbudsforespørselen og konkurransedokumenter:
- Hvilket regelverk skal leverandøren forholde seg til?
- Hva skal leverandørens styringssystem omfatte, inkludert ansvarsforhold, opplæring, risikostyring og beredskap, informasjonssikkerhet, avvikshåndtering og revisjoner?
- Skal leverandøren forholde seg til spesifikke deler av virksomhetens styringssystem?
- Vil vi ha rett til å få tilgang til eller å få presentert leverandørens styringssystem?
- Hvilken kompetanse skal leverandørens personell ha som for eksempel formell utdanning og arbeidserfaring?
- Hvor tilgjengelig skal leverandørens personell være med hensyn på omfang av oppdraget?
- Hvordan forholder vi oss til leverandørens bruk av underleverandører, for eksempel informasjon om antall ledd i leverandørkjeden og hvilke underleverandører brukes til hvilke oppgaver eller tjenester?
- Hvilken beredskap skal leverandøren ha?
- Hvordan vil vi gjennomføre revisjoner av leverandøren og eventuelle underleverandører?
- Er det spesiell krav til konfidensialitet, for eksempel taushetsplikt, autorisasjon eller sikkerhetsklarering?
Velge leverandør
Vurdere tilbud
Virksomheten vurderer innsendte tilbud fra leverandører opp mot kravene som var angitt i tilbudsforespørselen eller konkurransedokumenter. Det kan være nødvendig å gjennomføre forhandlinger med leverandørene for å verifisere at de er i stand til å oppfylle de spesifiserte kravene.
Ansatte med kompetanse innen sikkerhet og sikring bør delta i å vurdere tilbudene og eventuelle forhandlinger.
Virksomheten bør bruke sjekklister for å vurdere tilbudene og gjennomføre forhandlinger. I sjekklistene bør relevante krav i regelverket og virksomhetens egne krav angis som kriterier for vurderingene.
Hvis det under vurderingen av tilbudene kommer frem ny informasjon som har vesentlig betydning for sikkerhet eller sikring, bør risikovurderingen oppdateres før neste aktivitet i anskaffelsesprosessen startes.
Inngå avtale
Hvis virksomheten anvender egne standardavtaler, bør avtalen tilpasses det konkrete avtaleforholdet.
Det kan være en utfordring at en leverandør, spesielt de store markedsdominante, vil bruke sin egen standardavtale. Utfordringen kan forsterkes hvis det gjelder for et produkt eller en tjeneste hvor virksomheten selv har liten kompetanse. Et eksempel er digitale produkter, som IT-programvare. Dette kan håndteres gjennom å kreve at virksomhetens spesifikke krav til leveransen vedlegges standard avtalen.
Hvis virksomheten ønsker å endre bestemmelser i standardavtalen, ikke bare legge til et vedlegg, bør virksomheten innhente juridisk bistand.
Det er viktig å huske å oppdatere standardavtaler og sjekklister kontinuerlig med nye lov- og forskriftskrav, interne bestemmelser og når andre behov eller ny risiko blir identifisert.
En avtale som ivaretar virksomhetens behov for å kunne oppfylle regelverket er nøkkelen til god styring av leverandøren for å ivareta sikkerhet og sikring i tråd med regelverket. Avtalen bør ivareta eventuelle tiltak fra risikovurdering(er) som virksomheten kan ansvarlig gjøre leverandøren for.
Eksempler på hvilke krav til sikkerhet og sikring kan stilles i avtalen
Dette kan være punkter å sjekke ut før avtalen med en leverandør inngås, fordi de kan påvirke virksomhetens arbeid med sikkerhet og sikring:
- Har vi spesifisert hvilket regelverk leverandøren skal forholde seg til?
- Skal leverandøren bruke virksomhetens styringssystem?
- Hvis ja, hvilken tilgang og opplæring skal leverandørens ansatte få.
- Hvis nei, hva skal leverandørens styringssystem dekke, for eksempel hvilke krav i gjeldende regelverk skal ivaretas?
- Har vi spesifisert kompetansekrav til personell som skal utføre oppgaver som har betydning for sikkerhet og sikring?
- Har vi avklart når og hvor leverandørens personell skal være tilgjengelig?
- Har vi spesifikke krav til bruk av arbeidsklær og verktøy?
- Hvordan skal leverandøren sikre seg tilstrekkelig kontroll med underleverandører?
- Har vi stilt krav til leverandøren om å korrigere påviste avvik og mangler innen en frist som vi setter?
- Kan vi gjennomføre revisjoner av leverandøren og underleverandøre?
- Er det beskrevet rutiner og prosedyrer for å utveksle informasjon om endringer i regelverket, organisasjonen, underleverandører eller andre opplysninger som ha betydning for sikkerhet/sikring?
- Har vi sikret oss rett til å godkjenne endringer som leverandøren gjør, hvis de har betydning for sikkerhet/sikring?
- Har vi angitt krav til bruk av digitalt utstyr og tilgang til virksomhetens IKT- og OT-systemer?
- Skal leverandørens personell ha taushetsplikt i og etter avtaleperioden?
- Hvilken beredskap skal leverandøren ha?
- Er det er mulig å gjennomføre en mottakskontroll av det leverte produktet, og kan eventuelt stikkprøvebasert mottakskontroll være tilstrekkelig?
- Er det adgang til å avvise et produkt som virksomheten mistenker ikke har avtalt kvalitet?
- Vil det være nok å følge med på den leverte tjenesten gjennom kontinuerlig eller stikkprøvebasert overvåking av utvalgte egenskaper?
- Kan vi sikre oss effektivt innsyn på et særlig kritisk punkt i produksjonsprosessen hos leverandøren?
- Hvis ja, er det mulig å ta inn en bestemmelse i kontrakten for å sikre nødvendig innsyn?
- Om hvilke endringer skal leverandøren informere oss, for eksempel endringer i organisasjonen, operative rutiner eller systemer?
- Skal vi pålegge leverandørens ansatte taushetsplikt i og etter avtaleperioden?
Overføre erfaringer
Gjennom hele anskaffelsesprosessen, og deretter gjennom leverandøroppfølgingen, bør virksomheten ta vare på erfaringer som kan brukes til senere anskaffelser. Risiko knyttet til sikkerhet og sikring kan reduseres gjennom læring og erfaringsoverføring. Under følger eksempler på funn fra våre tilsyn.
Eksempler på regelverksbrudd og svakheter SJT har funnet under tilsyn
Dette er eksempler på funn fra våre tilsyn:
- Avtaler inneholdt ikke entydige og hensiktsmessige krav for å kunne avgjøre om leveransene hadde mangler i forhold til virksomhetens krav.
- Avtalen beskriver ikke tydelige krav og forpliktelser for leverandøren.
- Avtalen regulerer ikke krav til kompetanse hos leverandørens personell.
- Avtalen angir ikke virksomhetens rett til å revidere leverandøren.
- Avtalen stiller ingen krav til leverandørens styring av sikkerhet/sikring og beredskap.
- Avtalen stiller ingen krav til å rapportere uønskede hendelser og tilsiktede handlinger.
- Avtalen mangler henvisning til teknisk regelverk krav til å bruk av hovedsikkerhetsvakt eller bruk av spesielle typer materiell og utstyr.
- Avtalen mangler bestemmelser som begrenser leverandørens rett til overføring av sine rettigheter og plikter til en tredjepart.
- Avtalen inneholder motstridende krav i selve avtaleteksten og vedleggene.
- Leverandørens standardavtale åpner for at virksomhetens krav kan til side settes på grunn av leverandørens forrangsbestemmelser.
- Avtalen er ikke signert av begge parter.
- Avtalen er ikke datert og/eller angir ikke når den gjelder fra eller til.
- Avtalen er utløpt på dato uten å ha blitt fornyet.
- Avtalen plasserer ansvar hos leverandøren som etter jernbanelovgivningen ikke kan overlates til en leverandør som ikke har egen lisens og eget sikkerhetssertifikat (alternativt tillatelse).