Til startsiden

Kapittel 3. System for styring av sikring

§ 3-1. Krav til styringssystem for sikring

§ 3-1. Krav til styringssystem for sikring

Jernbanevirksomheten skal ha et styringssystem som dekker sikring.
Styringssystemet skal være tilpasset virksomhetens art og omfang. Styringssystemet skal kontinuerlig forbedres og være oppdatert. Styringssystemet skal være dokumentert, og alle endringer skal være sporbare.
Styringssystemet skal ta hensyn til alle relevante risikoer knyttet til tilsiktede uønskede handlinger forbundet med virksomheten. Styringssystemet skal inneholde bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger.
Ledelsen og relevant personale skal være involvert i å utvikle styringssystemet.
Jernbanevirksomheten skal gjennom avtale stille de samme styringskravene til oppgaver utført av leverandører, som til oppgaver jernbanevirksomheten utfører selv.
Infrastrukturforvalters styringssystem skal også ta hensyn til virkningene av annen virksomhet, og omfatte bestemmelser som skal gjøre det mulig for alle jernbanevirksomheter å drive sikringsarbeid i samsvar med kravene i jernbanelovgivningen.

Første ledd:

Styringssystemet omfatter alle forhold som er en del av styringen av sikring. Kravet om at jernbanevirksomhetene må ha system for styring av sikring er ikke avgrenset til beskrivelser og dokumentasjon, men omfatter også etterlevelse og praktisering av bestemmelser og prosedyrer i systemet.

Andre ledd:

Styringssystemet forutsettes å være tilpasset de aktivitetene som den enkelte jernbanevirksomheten faktisk utfører, og virksomhetens størrelse, kompetanse og kompleksitet. Styringssystemet må bidra til å skape systematikk og kontroll for å nå mål i arbeidet med forebygging og begrensning av tilsiktede uønskede handlinger. Det er derfor viktig at det oppdateres, kontinuerlig forbedres og er dokumentert. Dette innebærer f.eks. at eventuelle nye risikoer som oppdages innarbeides i styringssystemet.

Tredje ledd:

Bestemmelsen inneholder et krav om at styringssystemet må ta hensyn til alle relevante risikoer som er knyttet til tilsiktede uønskede handlinger som er forbundet med virksomheten. Dette innebærer f.eks. at jernbanevirksomhetene må ha et styringssystem for sikring som omfatter systematikk og kontroll med relevante informasjons- og kommunikasjonssystemer i tillegg til andre relevante risikoer.

Det er videre et krav i bestemmelsen at styringssystemet inneholder de bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger. Begrepet «bestemmelser» omfatter også prosedyrer m.m. Det vil si både de utfyllende krav jernbanevirksomheten anser som nødvendig å utarbeide for å oppfylle kravene i jernbanelovgivningen, og fremgangsmåter for hvordan arbeidet faktisk må utføres. Relevante prosedyrer for å fange opp endringer i trusselbildet er et eksempel. Bestemmelsen vil f.eks. også omfatte bestemmelser om systemer, rutiner og tiltak som iverksettes avhengig av beredskapsnivå.

Fjerde ledd:

Bestemmelsen stiller krav til at ledelsen og relevant personale er involvert i å utvikle styringssystemet. Dette er med på å forankre systematikken og kontrollen i sikringsarbeidet på alle nivåer i virksomheten, og vil også være viktig for etterlevelsen og praktiseringen av bestemmelser.

Femte ledd:

Jernbanevirksomheten forutsettes å sikre at leverandørene følger de samme styrings- og sikringskrav som jernbanevirksomheten. Dette oppnås enten ved at leverandøren arbeider etter beskrivelsene i jernbanevirksomhetens styringssystem eller ved at jernbanevirksomheten har vurdert at leverandørens eget styringssystem er tilstrekkelig.

Det forventes at jernbanevirksomheten sikrer seg retten til å følge opp at styrings- og sikringskravene blir fulgt i leverandørens arbeid gjennom avtaler. Det forventes videre at jernbanevirksomheten sikrer seg retten til å iverksette hensiktsmessige reaksjoner dersom leverandøren ikke overholder de krav som er satt. Det vises her til bestemmelsen i § 8 -­1 andre ledd om at jernbanevirksomheten systematisk må gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i eller i medhold av avtaler. Videre vises i denne sammenheng særlig til bestemmelsene om beskyttelse av informasjon og taushetsplikt i § 3-3 og § 3-5 med kommentarer.

Sjette ledd:

Infrastrukturforvalterens sikringsarbeid forutsettes å ta hensyn til virkningene av annen virksomhet, slik at den samlede jernbanevirksomhet drives med tilfredsstillende nivå på sikringsarbeidet. At infrastrukturforvalters styringssystem for sikring må omfatte bestemmelser som gjør det mulig for alle jernbanevirksomheter å drive i samsvar med krav i jernbanelovgivningen, innebærer blant annet at jernbanevirksomhetene får den faktainformasjon som er nødvendig for å kunne oppfylle kravene i jernbanelovgivningen. Det er derfor viktig at faktainformasjon gjøres tilgjengelig på en hensiktsmessig måte for operatørene. Som eksempel nevnes at infrastrukturforvalter vil være forpliktet til å gi jernbanevirksomhetene faktainformasjon om mistenkelig adferd på enkelte områder eller relevante trusler.

§ 3-2. Dokumentasjon

§ 3-2. Dokumentasjon

Jernbanevirksomheten skal ha en oppdatert oversikt over alle bestemmelser i styringssystemet der blant annet status for gyldighet for bestemmelsene er angitt.
Jernbanevirksomheten skal ha bestemmelser om styring og kontroll av dokumenter som inngår i styringssystemet.

I tillegg til kravene til dokumentasjon av styringssystemet i § 3-1 er det et krav at jernbanevirksomheten har en oppdatert oversikt over alle bestemmelser i styringssystemet med status for gyldighet av bestemmelsene. Dette omfatter også prosedyrer som nevnt i kommentaren til § 3-1 tredje ledd.

§ 3-3. Beskyttelse av informasjon

§ 3-3. Beskyttelse av informasjon

Jernbanevirksomheten skal identifisere alle typer informasjon som kan utnyttes til tilsiktede uønskede handlinger.
Jernbanevirksomheten skal sikre at informasjonen
  1. a.
    ikke blir kjent for uvedkommende (konfidensialitet)
  2. b.
    ikke uautorisert endres eller går tapt (integritet)
  3. c.
    er tilgjengelig for den som trenger den i tjenesten (tilgjengelighet).

Bestemmelsen setter krav om at virksomhetene må identifisere alle typer informasjon som kan la seg utnytte til tilsiktede uønskede handlinger. Dette vil omfatte informasjon som er kritisk i forbindelse med sikring mot tilsiktede uønskede handlinger. Det siktes til informasjon som beskriver sårbarheter som lar seg utnytte til tilsiktede uønskede hendelser.

Dette innebærer sikring av all informasjon som kan la seg utnytte til tilsiktede uønskede handlinger, at den ikke blir kjent for uvedkommende (konfidensialitet), ikke blir endret utilsiktet, av uvedkommende, eller går tapt (integritet). Samtidig er det viktig at informasjonen er tilgjengelig for de som trenger informasjonen for å utføre sitt arbeid (tilgjengelighet). Dette vil f.eks. omfatte systemer og rutiner for tilgangskontroll, merking, oppbevaring og bruk.

Informasjon som håndteres av leverandører må sikres på samme måte. Det vises også til kommentarene til § 3-1 femte ledd og § 3-5.

§ 3-4. Informasjons- og kommunikasjonssystemer

§ 3-4. Informasjons- og kommunikasjonssystemer

Jernbanevirksomheten skal identifisere informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger og gjennomføre egnede tiltak for å sikre systemene.

Bestemmelsen er en tydeliggjøring av at informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger må identifiseres. Bestemmelsen omfatter både systemer som behandler informasjon (IT-systemer) og tekniske systemer (OT-systemer). Med OT-systemer menes i denne forbindelse operative systemer knyttet til f.eks. signal, kommunikasjon og trafikkstyring. Dette innebærer iverksetting av egnede menneskelige, organisatoriske og tekniske tiltak for å sikre systemene mot tilsiktede uønskede handlinger.

§ 3-5. Taushetsplikt

§ 3-5. Taushetsplikt

Alle som får eller har hatt tilgang til informasjon som skal beskyttes etter § 3-3, har taushetsplikt.
Informasjon som skal beskyttes etter § 3-3 kan likevel gis til andre når det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift. Den som gir informasjonen, skal samtidig gjøre oppmerksom på taushetsplikten.

Første ledd:

Alle som får tilgang til informasjon som må beskyttes etter § 3-3 eller som har hatt tilgang til slik informasjon har taushetsplikt om informasjonen. Dette betyr at enhver leverandør av varer og tjenester som har oppdrag for jernbanevirksomheten, har taushetsplikt.

§ 3-3 omfatter informasjon som kan la seg utnytte til tilsiktede uønskede handlinger. Dette vil omfatte informasjon som er kritisk i forbindelse med sikring mot tilsiktede uønskede handlinger. Det siktes til informasjon som beskriver sårbarheter som lar seg utnytte til slike handlinger som beskrevet i kommentarene til § 3-3. Det er avgjørende for oppfyllelse av forskriftens formål å sikre at slik informasjon ikke blir gjort tilgjengelig for uvedkommende.

Taushetsplikten gjelder uavhengig av hvilken form informasjonen har. Dette innebærer at den f.eks. gjelder både muntlig, skriftlig og elektronisk informasjon. Den gjelder også kompromitterende informasjon om svakheter og sammenstillinger av informasjon som faller inn under § 3-3.

Taushetsplikten innebærer både en passiv plikt til å tie og en aktiv plikt til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Det er i utgangspunktet forbudt å gi informasjon som er underlagt taushetsplikt til uvedkommende.

Andre ledd:

Bestemmelsen inneholder unntak fra taushetspliktsreglene i første ledd der det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift.

Dette innebærer f.eks. at jernbanevirksomheten har mulighet til å dele taushetsbelagt informasjon med leverandører der det er nødvendig for driften. Det er viktig at jernbanevirksomheten gjør leverandøren kjent med taushetsplikten, for eksempel gjennom kontrakt og taushetserklæring.

Det er også viktig at jernbanevirksomheten sikrer at leverandøren oppfyller kravet i § 3-3 på en tilfredsstillende måte. Det kan gjennomføres ved at leverandøren forplikter seg til å følge jernbanevirksomhetens eget system for styring av sikring, eller ved at jernbanevirksomheten forsikrer seg om at leverandøren har tilstrekkelige rutiner mv, se § 2-2 andre ledd og § 3-1 femte ledd med kommentarer.

Sikringsforskriften inneholder også bestemmelser som nødvendiggjør dialog og samarbeid mellom jernbanevirksomheter samt mellom jernbanevirksomheter og tredjeparter. Det forutsettes f.eks. i bestemmelsen om Samarbeidsforum for sikring og nasjonal beredskap § 2-3 andre ledd at det kan være aktuelt for medlemmene å gi eller motta informasjon som er taushetsbelagt for å kunne sørge for samordning og evaluering av sikringstiltak i sektoren, koordinering av beredskapsplanlegging, og gjennomføring og evaluering av øvelser. Det kan også være nødvendig å gi taushetsbelagt informasjon til politiet for at sikringsutvalget skal kunne utføre sine oppgaver.

Videre kan det bli aktuelt for jernbanevirksomheten å dele informasjon med Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap, Norges vassdrags- og energidirektorat, Nasjonal kommunikasjonsmyndighet og Etterretningstjenesten eller andre myndigheter.

For Statens jernbanetilsyn kan det være nødvendig å gi taushetsbelagt informasjon til de samme myndighetene i forbindelse med oppfølging av jernbanevirksomhetens oppfyllelse av sikringsforskriften, se også jernbaneloven § 11 siste ledd.

Det er viktig at det foretas en konkret vurdering av nødvendigheten av å dele taushetsbelagt informasjon i det enkelte tilfelle, og at det ikke skjer i større utstrekning enn det som er strengt nødvendig.