Jernbanevirksomheten skal ha et styringssystem som dekker sikring.Styringssystemet skal være tilpasset virksomhetens art og omfang. Styringssystemet skal kontinuerlig forbedres og være oppdatert. Styringssystemet skal være dokumentert, og alle endringer skal være sporbare.Styringssystemet skal ta hensyn til alle relevante risikoer knyttet til tilsiktede uønskede handlinger forbundet med virksomheten. Styringssystemet skal inneholde bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger.Ledelsen og relevant personale skal være involvert i å utvikle styringssystemet.Jernbanevirksomheten skal gjennom avtale stille de samme styringskravene til oppgaver utført av leverandører, som til oppgaver jernbanevirksomheten utfører selv.Infrastrukturforvalters styringssystem skal også ta hensyn til virkningene av annen virksomhet, og omfatte bestemmelser som skal gjøre det mulig for alle jernbanevirksomheter å drive sikringsarbeid i samsvar med kravene i jernbanelovgivningen.
Første ledd:
Styringssystemet omfatter alle forhold som er en del av styringen av sikring. Kravet om at jernbanevirksomhetene må ha system for styring av sikring er ikke avgrenset til beskrivelser og dokumentasjon, men omfatter også etterlevelse og praktisering av bestemmelser og prosedyrer i systemet.
Andre ledd:
Styringssystemet forutsettes å være tilpasset de aktivitetene som den enkelte jernbanevirksomheten faktisk utfører, og virksomhetens størrelse, kompetanse og kompleksitet. Styringssystemet må bidra til å skape systematikk og kontroll for å nå mål i arbeidet med forebygging og begrensning av tilsiktede uønskede handlinger. Det er derfor viktig at det oppdateres, kontinuerlig forbedres og er dokumentert. Dette innebærer f.eks. at eventuelle nye risikoer som oppdages innarbeides i styringssystemet.
Tredje ledd:
Bestemmelsen inneholder et krav om at styringssystemet må ta hensyn til alle relevante risikoer som er knyttet til tilsiktede uønskede handlinger som er forbundet med virksomheten. Dette innebærer f.eks. at jernbanevirksomhetene må ha et styringssystem for sikring som omfatter systematikk og kontroll med relevante informasjons- og kommunikasjonssystemer i tillegg til andre relevante risikoer.
Det er videre et krav i bestemmelsen at styringssystemet inneholder de bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger. Begrepet «bestemmelser» omfatter også prosedyrer m.m. Det vil si både de utfyllende krav jernbanevirksomheten anser som nødvendig å utarbeide for å oppfylle kravene i jernbanelovgivningen, og fremgangsmåter for hvordan arbeidet faktisk må utføres. Relevante prosedyrer for å fange opp endringer i trusselbildet er et eksempel. Bestemmelsen vil f.eks. også omfatte bestemmelser om systemer, rutiner og tiltak som iverksettes avhengig av beredskapsnivå.
Fjerde ledd:
Bestemmelsen stiller krav til at ledelsen og relevant personale er involvert i å utvikle styringssystemet. Dette er med på å forankre systematikken og kontrollen i sikringsarbeidet på alle nivåer i virksomheten, og vil også være viktig for etterlevelsen og praktiseringen av bestemmelser.
Femte ledd:
Jernbanevirksomheten forutsettes å sikre at leverandørene følger de samme styrings- og sikringskrav som jernbanevirksomheten. Dette oppnås enten ved at leverandøren arbeider etter beskrivelsene i jernbanevirksomhetens styringssystem eller ved at jernbanevirksomheten har vurdert at leverandørens eget styringssystem er tilstrekkelig.
Det forventes at jernbanevirksomheten sikrer seg retten til å følge opp at styrings- og sikringskravene blir fulgt i leverandørens arbeid gjennom avtaler. Det forventes videre at jernbanevirksomheten sikrer seg retten til å iverksette hensiktsmessige reaksjoner dersom leverandøren ikke overholder de krav som er satt. Det vises her til bestemmelsen i § 8 -1 andre ledd om at jernbanevirksomheten systematisk må gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i eller i medhold av avtaler. Videre vises i denne sammenheng særlig til bestemmelsene om beskyttelse av informasjon og taushetsplikt i § 3-3 og § 3-5 med kommentarer.
Sjette ledd:
Infrastrukturforvalterens sikringsarbeid forutsettes å ta hensyn til virkningene av annen virksomhet, slik at den samlede jernbanevirksomhet drives med tilfredsstillende nivå på sikringsarbeidet. At infrastrukturforvalters styringssystem for sikring må omfatte bestemmelser som gjør det mulig for alle jernbanevirksomheter å drive i samsvar med krav i jernbanelovgivningen, innebærer blant annet at jernbanevirksomhetene får den faktainformasjon som er nødvendig for å kunne oppfylle kravene i jernbanelovgivningen. Det er derfor viktig at faktainformasjon gjøres tilgjengelig på en hensiktsmessig måte for operatørene. Som eksempel nevnes at infrastrukturforvalter vil være forpliktet til å gi jernbanevirksomhetene faktainformasjon om mistenkelig adferd på enkelte områder eller relevante trusler.
Første ledd:
Styringssystemet omfatter alle forhold som er en del av styringen av sikring. Kravet om at jernbanevirksomhetene må ha system for styring av sikring er ikke avgrenset til beskrivelser og dokumentasjon, men omfatter også etterlevelse og praktisering av bestemmelser og prosedyrer i systemet.
Andre ledd:
Styringssystemet forutsettes å være tilpasset de aktivitetene som den enkelte jernbanevirksomheten faktisk utfører, og virksomhetens størrelse, kompetanse og kompleksitet. Styringssystemet må bidra til å skape systematikk og kontroll for å nå mål i arbeidet med forebygging og begrensning av tilsiktede uønskede handlinger. Det er derfor viktig at det oppdateres, kontinuerlig forbedres og er dokumentert. Dette innebærer f.eks. at eventuelle nye risikoer som oppdages innarbeides i styringssystemet.
Tredje ledd:
Bestemmelsen inneholder et krav om at styringssystemet må ta hensyn til alle relevante risikoer som er knyttet til tilsiktede uønskede handlinger som er forbundet med virksomheten. Dette innebærer f.eks. at jernbanevirksomhetene må ha et styringssystem for sikring som omfatter systematikk og kontroll med relevante informasjons- og kommunikasjonssystemer i tillegg til andre relevante risikoer.
Det er videre et krav i bestemmelsen at styringssystemet inneholder de bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger. Begrepet «bestemmelser» omfatter også prosedyrer m.m. Det vil si både de utfyllende krav jernbanevirksomheten anser som nødvendig å utarbeide for å oppfylle kravene i jernbanelovgivningen, og fremgangsmåter for hvordan arbeidet faktisk må utføres. Relevante prosedyrer for å fange opp endringer i trusselbildet er et eksempel. Bestemmelsen vil f.eks. også omfatte bestemmelser om systemer, rutiner og tiltak som iverksettes avhengig av beredskapsnivå.
Fjerde ledd:
Bestemmelsen stiller krav til at ledelsen og relevant personale er involvert i å utvikle styringssystemet. Dette er med på å forankre systematikken og kontrollen i sikringsarbeidet på alle nivåer i virksomheten, og vil også være viktig for etterlevelsen og praktiseringen av bestemmelser.
Femte ledd:
Jernbanevirksomheten forutsettes å sikre at leverandørene følger de samme styrings- og sikringskrav som jernbanevirksomheten. Dette oppnås enten ved at leverandøren arbeider etter beskrivelsene i jernbanevirksomhetens styringssystem eller ved at jernbanevirksomheten har vurdert at leverandørens eget styringssystem er tilstrekkelig.
Det forventes at jernbanevirksomheten sikrer seg retten til å følge opp at styrings- og sikringskravene blir fulgt i leverandørens arbeid gjennom avtaler. Det forventes videre at jernbanevirksomheten sikrer seg retten til å iverksette hensiktsmessige reaksjoner dersom leverandøren ikke overholder de krav som er satt. Det vises her til bestemmelsen i § 8 -1 andre ledd om at jernbanevirksomheten systematisk må gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i eller i medhold av avtaler. Videre vises i denne sammenheng særlig til bestemmelsene om beskyttelse av informasjon og taushetsplikt i § 3-3 og § 3-5 med kommentarer.
Sjette ledd:
Infrastrukturforvalterens sikringsarbeid forutsettes å ta hensyn til virkningene av annen virksomhet, slik at den samlede jernbanevirksomhet drives med tilfredsstillende nivå på sikringsarbeidet. At infrastrukturforvalters styringssystem for sikring må omfatte bestemmelser som gjør det mulig for alle jernbanevirksomheter å drive i samsvar med krav i jernbanelovgivningen, innebærer blant annet at jernbanevirksomhetene får den faktainformasjon som er nødvendig for å kunne oppfylle kravene i jernbanelovgivningen. Det er derfor viktig at faktainformasjon gjøres tilgjengelig på en hensiktsmessig måte for operatørene. Som eksempel nevnes at infrastrukturforvalter vil være forpliktet til å gi jernbanevirksomhetene faktainformasjon om mistenkelig adferd på enkelte områder eller relevante trusler.