Jernbanevirksomheten skal planlegge og gjennomføre nødvendige risikovurderinger for å fastslå om driften av virksomheten er innenfor den risikoen jernbanevirksomheten aksepterer.Det skal fremgå hva som er formålet med de enkelte risikovurderingene samt hvilke forutsetninger og avgrensninger som er lagt til grunn.Risikovurderingene skal gjennomføres etter anerkjente og hensiktsmessige metoder.
Første ledd:
Jernbanevirksomheten må gjennom risikovurderinger vise at den driver innenfor den risiko virksomheten aksepterer ved å vise at truslene jernbanevirksomheten kan bli eksponert for, kan håndteres gjennom sikrings- og beredskapstiltak. Risikovurderinger må gjennomføres før jernbanevirksomheten settes i gang, og deretter ved hver endring som kan påvirke risikonivået. Risikovurderinger må derfor planlegges og gjennomføres ved blant annet anskaffelser, utbygginger og modifikasjoner samt ved endring av etablerte krav eller ved endring av organisasjon eller arbeidsform dersom endringen kan ha betydning for sikringsarbeidet. I tillegg må virksomhetene har rutiner for risikovurderinger ved endringer av trusselnivået.
Tredje ledd:
Vurdering av sikringsrisiko handler om å forutse hvilke konsekvenser noen kan ønske å oppnå ved å bruke eller skade virksomheten deres. Det er alltid en menneskelig handling som utløser en sikringshendelse. I risikovurderingene må det derfor vurderes andre faktorer enn i sikkerhetsarbeidet. Det er ikke snakk om hva som kan gå galt, men hva noen kan gjøre.
Ved utføring og oppdatering av vurderingene må det brukes hensiktsmessige og anerkjente metoder for sikring mot tilsiktede uønskede handlinger. Bestemmelsen angir ikke hvilke metoder som skal benyttes, men de må være anerkjente og hensiktsmessige for sikring mot tilsiktede uønskede handlinger.
Risikovurderinger på sikringsområde er basert på verdivurdering, trusselvurdering og sårbarhetsvurdering. Det forventes at metodevalget begrunnes. Jernbanevirksomheten må velge metoder og omfang av vurderingene som på en tilfredsstillende måte sikrer vurdering av verdier, trusler og verdienes sårbarheter overfor mulige trusler. Se blant annet «NS 5830:2012 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger - Terminologi», «NS 5831:2014 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Krav til sikringsrisikostyring og «NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse», og «NS 5814:2021 – Krav til risikovurderinger», som angir anerkjente metoder for risikovurderinger.
For risikostyring av informasjonssikkerhet, se internasjonalt anerkjente rammeverk for informasjonssikkerhet som «ISO/IEC 27001 Ledelsessystemer for informasjonssikkerhet». For informasjon- og cybersikkerhet i styrings- og kontrollsystemer, se blant annet «NEK IEC 62443 Industrial communication networks – Network and system security».
Første ledd:
Jernbanevirksomheten må gjennom risikovurderinger vise at den driver innenfor den risiko virksomheten aksepterer ved å vise at truslene jernbanevirksomheten kan bli eksponert for, kan håndteres gjennom sikrings- og beredskapstiltak. Risikovurderinger må gjennomføres før jernbanevirksomheten settes i gang, og deretter ved hver endring som kan påvirke risikonivået. Risikovurderinger må derfor planlegges og gjennomføres ved blant annet anskaffelser, utbygginger og modifikasjoner samt ved endring av etablerte krav eller ved endring av organisasjon eller arbeidsform dersom endringen kan ha betydning for sikringsarbeidet. I tillegg må virksomhetene har rutiner for risikovurderinger ved endringer av trusselnivået.
Tredje ledd:
Vurdering av sikringsrisiko handler om å forutse hvilke konsekvenser noen kan ønske å oppnå ved å bruke eller skade virksomheten deres. Det er alltid en menneskelig handling som utløser en sikringshendelse. I risikovurderingene må det derfor vurderes andre faktorer enn i sikkerhetsarbeidet. Det er ikke snakk om hva som kan gå galt, men hva noen kan gjøre.
Ved utføring og oppdatering av vurderingene må det brukes hensiktsmessige og anerkjente metoder for sikring mot tilsiktede uønskede handlinger. Bestemmelsen angir ikke hvilke metoder som skal benyttes, men de må være anerkjente og hensiktsmessige for sikring mot tilsiktede uønskede handlinger.
Risikovurderinger på sikringsområde er basert på verdivurdering, trusselvurdering og sårbarhetsvurdering. Det forventes at metodevalget begrunnes. Jernbanevirksomheten må velge metoder og omfang av vurderingene som på en tilfredsstillende måte sikrer vurdering av verdier, trusler og verdienes sårbarheter overfor mulige trusler. Se blant annet «NS 5830:2012 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger - Terminologi», «NS 5831:2014 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Krav til sikringsrisikostyring og «NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse», og «NS 5814:2021 – Krav til risikovurderinger», som angir anerkjente metoder for risikovurderinger.
For risikostyring av informasjonssikkerhet, se internasjonalt anerkjente rammeverk for informasjonssikkerhet som «ISO/IEC 27001 Ledelsessystemer for informasjonssikkerhet». For informasjon- og cybersikkerhet i styrings- og kontrollsystemer, se blant annet «NEK IEC 62443 Industrial communication networks – Network and system security».