Alle som får eller har hatt tilgang til informasjon som skal beskyttes etter § 3-3, har taushetsplikt.Informasjon som skal beskyttes etter § 3-3 kan likevel gis til andre når det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift. Den som gir informasjonen, skal samtidig gjøre oppmerksom på taushetsplikten.
Første ledd:
Alle som får tilgang til informasjon som må beskyttes etter § 3-3 eller som har hatt tilgang til slik informasjon har taushetsplikt om informasjonen. Dette betyr at enhver leverandør av varer og tjenester som har oppdrag for jernbanevirksomheten, har taushetsplikt.
§ 3-3 omfatter informasjon som kan la seg utnytte til tilsiktede uønskede handlinger. Dette vil omfatte informasjon som er kritisk i forbindelse med sikring mot tilsiktede uønskede handlinger. Det siktes til informasjon som beskriver sårbarheter som lar seg utnytte til slike handlinger som beskrevet i kommentarene til § 3-3. Det er avgjørende for oppfyllelse av forskriftens formål å sikre at slik informasjon ikke blir gjort tilgjengelig for uvedkommende.
Taushetsplikten gjelder uavhengig av hvilken form informasjonen har. Dette innebærer at den f.eks. gjelder både muntlig, skriftlig og elektronisk informasjon. Den gjelder også kompromitterende informasjon om svakheter og sammenstillinger av informasjon som faller inn under § 3-3.
Taushetsplikten innebærer både en passiv plikt til å tie og en aktiv plikt til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Det er i utgangspunktet forbudt å gi informasjon som er underlagt taushetsplikt til uvedkommende.
Andre ledd:
Bestemmelsen inneholder unntak fra taushetspliktsreglene i første ledd der det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift.
Dette innebærer f.eks. at jernbanevirksomheten har mulighet til å dele taushetsbelagt informasjon med leverandører der det er nødvendig for driften. Det er viktig at jernbanevirksomheten gjør leverandøren kjent med taushetsplikten, for eksempel gjennom kontrakt og taushetserklæring.
Det er også viktig at jernbanevirksomheten sikrer at leverandøren oppfyller kravet i § 3-3 på en tilfredsstillende måte. Det kan gjennomføres ved at leverandøren forplikter seg til å følge jernbanevirksomhetens eget system for styring av sikring, eller ved at jernbanevirksomheten forsikrer seg om at leverandøren har tilstrekkelige rutiner mv, se § 2-2 andre ledd og § 3-1 femte ledd med kommentarer.
Sikringsforskriften inneholder også bestemmelser som nødvendiggjør dialog og samarbeid mellom jernbanevirksomheter samt mellom jernbanevirksomheter og tredjeparter. Det forutsettes f.eks. i bestemmelsen om Samarbeidsforum for sikring og nasjonal beredskap § 2-3 andre ledd at det kan være aktuelt for medlemmene å gi eller motta informasjon som er taushetsbelagt for å kunne sørge for samordning og evaluering av sikringstiltak i sektoren, koordinering av beredskapsplanlegging, og gjennomføring og evaluering av øvelser. Det kan også være nødvendig å gi taushetsbelagt informasjon til politiet for at sikringsutvalget skal kunne utføre sine oppgaver.
Videre kan det bli aktuelt for jernbanevirksomheten å dele informasjon med Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap, Norges vassdrags- og energidirektorat, Nasjonal kommunikasjonsmyndighet og Etterretningstjenesten eller andre myndigheter.
For Statens jernbanetilsyn kan det være nødvendig å gi taushetsbelagt informasjon til de samme myndighetene i forbindelse med oppfølging av jernbanevirksomhetens oppfyllelse av sikringsforskriften, se også jernbaneloven § 11 siste ledd.
Det er viktig at det foretas en konkret vurdering av nødvendigheten av å dele taushetsbelagt informasjon i det enkelte tilfelle, og at det ikke skjer i større utstrekning enn det som er strengt nødvendig.
Første ledd:
Alle som får tilgang til informasjon som må beskyttes etter § 3-3 eller som har hatt tilgang til slik informasjon har taushetsplikt om informasjonen. Dette betyr at enhver leverandør av varer og tjenester som har oppdrag for jernbanevirksomheten, har taushetsplikt.
§ 3-3 omfatter informasjon som kan la seg utnytte til tilsiktede uønskede handlinger. Dette vil omfatte informasjon som er kritisk i forbindelse med sikring mot tilsiktede uønskede handlinger. Det siktes til informasjon som beskriver sårbarheter som lar seg utnytte til slike handlinger som beskrevet i kommentarene til § 3-3. Det er avgjørende for oppfyllelse av forskriftens formål å sikre at slik informasjon ikke blir gjort tilgjengelig for uvedkommende.
Taushetsplikten gjelder uavhengig av hvilken form informasjonen har. Dette innebærer at den f.eks. gjelder både muntlig, skriftlig og elektronisk informasjon. Den gjelder også kompromitterende informasjon om svakheter og sammenstillinger av informasjon som faller inn under § 3-3.
Taushetsplikten innebærer både en passiv plikt til å tie og en aktiv plikt til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Det er i utgangspunktet forbudt å gi informasjon som er underlagt taushetsplikt til uvedkommende.
Andre ledd:
Bestemmelsen inneholder unntak fra taushetspliktsreglene i første ledd der det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift.
Dette innebærer f.eks. at jernbanevirksomheten har mulighet til å dele taushetsbelagt informasjon med leverandører der det er nødvendig for driften. Det er viktig at jernbanevirksomheten gjør leverandøren kjent med taushetsplikten, for eksempel gjennom kontrakt og taushetserklæring.
Det er også viktig at jernbanevirksomheten sikrer at leverandøren oppfyller kravet i § 3-3 på en tilfredsstillende måte. Det kan gjennomføres ved at leverandøren forplikter seg til å følge jernbanevirksomhetens eget system for styring av sikring, eller ved at jernbanevirksomheten forsikrer seg om at leverandøren har tilstrekkelige rutiner mv, se § 2-2 andre ledd og § 3-1 femte ledd med kommentarer.
Sikringsforskriften inneholder også bestemmelser som nødvendiggjør dialog og samarbeid mellom jernbanevirksomheter samt mellom jernbanevirksomheter og tredjeparter. Det forutsettes f.eks. i bestemmelsen om Samarbeidsforum for sikring og nasjonal beredskap § 2-3 andre ledd at det kan være aktuelt for medlemmene å gi eller motta informasjon som er taushetsbelagt for å kunne sørge for samordning og evaluering av sikringstiltak i sektoren, koordinering av beredskapsplanlegging, og gjennomføring og evaluering av øvelser. Det kan også være nødvendig å gi taushetsbelagt informasjon til politiet for at sikringsutvalget skal kunne utføre sine oppgaver.
Videre kan det bli aktuelt for jernbanevirksomheten å dele informasjon med Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap, Norges vassdrags- og energidirektorat, Nasjonal kommunikasjonsmyndighet og Etterretningstjenesten eller andre myndigheter.
For Statens jernbanetilsyn kan det være nødvendig å gi taushetsbelagt informasjon til de samme myndighetene i forbindelse med oppfølging av jernbanevirksomhetens oppfyllelse av sikringsforskriften, se også jernbaneloven § 11 siste ledd.
Det er viktig at det foretas en konkret vurdering av nødvendigheten av å dele taushetsbelagt informasjon i det enkelte tilfelle, og at det ikke skjer i større utstrekning enn det som er strengt nødvendig.