Kapittel 3. System for styring av sikring

§ 3-1.Krav til styringssystem for sikring

§ 3-1.Krav til styringssystem for sikring

Jernbanevirksomheten skal ha et styringssystem som dekker sikring.
Styringssystemet skal være tilpasset virksomhetens art og omfang. Styringssystemet skal kontinuerlig forbedres og være oppdatert. Styringssystemet skal være dokumentert, og alle endringer skal være sporbare.
Styringssystemet skal ta hensyn til alle relevante risikoer knyttet til tilsiktede uønskede handlinger forbundet med virksomheten. Styringssystemet skal inneholde bestemmelser som er nødvendige for å kunne forebygge og håndtere risikoer som følge av tilsiktede uønskede handlinger.
Ledelsen og relevant personale skal være involvert i å utvikle styringssystemet.
Jernbanevirksomheten skal gjennom avtale stille de samme styringskravene til oppgaver utført av leverandører, som til oppgaver jernbanevirksomheten utfører selv.
Infrastrukturforvalters styringssystem skal også ta hensyn til virkningene av annen virksomhet, og omfatte bestemmelser som skal gjøre det mulig for alle jernbanevirksomheter å drive sikringsarbeid i samsvar med kravene i jernbanelovgivningen.

§ 3-2.Dokumentasjon

§ 3-2.Dokumentasjon

Jernbanevirksomheten skal ha en oppdatert oversikt over alle bestemmelser i styringssystemet der blant annet status for gyldighet for bestemmelsene er angitt.
Jernbanevirksomheten skal ha bestemmelser om styring og kontroll av dokumenter som inngår i styringssystemet.

§ 3-3.Beskyttelse av informasjon

§ 3-3.Beskyttelse av informasjon

Jernbanevirksomheten skal identifisere alle typer informasjon som kan utnyttes til tilsiktede uønskede handlinger.
Jernbanevirksomheten skal sikre at informasjonen
  1. a.
    ikke blir kjent for uvedkommende (konfidensialitet)
  2. b.
    ikke uautorisert endres eller går tapt (integritet)
  3. c.
    er tilgjengelig for den som trenger den i tjenesten (tilgjengelighet).

§ 3-4.Informasjons- og kommunikasjonssystemer

§ 3-4.Informasjons- og kommunikasjonssystemer

Jernbanevirksomheten skal identifisere informasjonssystemer og kommunikasjonssystemer som kan utnyttes til tilsiktede uønskede handlinger og gjennomføre egnede tiltak for å sikre systemene.

§ 3-5.Taushetsplikt

§ 3-5.Taushetsplikt

Alle som får eller har hatt tilgang til informasjon som skal beskyttes etter § 3-3, har taushetsplikt.
Informasjon som skal beskyttes etter § 3-3 kan likevel gis til andre når det er nødvendig for driften eller for samarbeid og samordning av tiltak for å sikre trygg drift. Den som gir informasjonen, skal samtidig gjøre oppmerksom på taushetsplikten.