Veileder om leverandørstyring TEST

Målgruppe for veilederen:
Styring av leverandører henger naturlig sammen med jernbanevirksomhetens styring av sikkerhet, sikring og digital sikkerhet. Veilederen kan brukes av: jernbaneforetak som har tillatelse og sikkerhetssertifikat til å operere på det nasjonale jernbanenettet infrastrukturforvaltere med sikkerhetsgodkjenning for sikker utforming, drift og vedlikehold av infrastruktur jernbanevirksomheter med tillatelse å drive tunnelbane I veilederen bruker vi «dere» som felles betegnelse for virksomhetene nevnt over. Veilederen er ikke uttømmende. Dere har et selvstendig ansvar for å kjenne til og etterleve jernbanelovgivningen.

Målgruppe for veilederen:

Styring av leverandører henger naturlig sammen med jernbanevirksomhetens styring av sikkerhet, sikring og digital sikkerhet.

Veilederen kan brukes av:

jernbaneforetak som har tillatelse og sikkerhetssertifikat til å operere på det nasjonale jernbanenettet
infrastrukturforvaltere med sikkerhetsgodkjenning for sikker utforming, drift og vedlikehold av infrastruktur
jernbanevirksomheter med tillatelse å drive tunnelbane

I veilederen bruker vi «dere» som felles betegnelse for virksomhetene nevnt over.

Veilederen er ikke uttømmende. Dere har et selvstendig ansvar for å kjenne til og etterleve jernbanelovgivningen.

Veilederens omfang

Veilederen omfatter styring og oppfølging av leverandører som leverer tjenester eller systemer med betydning for sikkerhet, sikring og digital sikkerhet.

Begrepet «leverandør» omfatter alle typer leverandører. Dette kan være:

eksterne selskaper som entreprenører, vaktselskaper m.m.
eiere av jernbanevirksomheten og søsterselskaper i konsernet som gir føringer om bruk av administrative tjenester og bruk av systemer, ofte innen IKT, økonomi og HR m.m.
andre jernbanevirksomheter
konsulent- og rådgivningsselskaper

Det kan også være at dere leier inn ressurser eller kjøper ekstra kapasitet på områder som dere selv har kompetanse og etablerte rutiner for.

Lasting av semihenger på godstog. Tjenester fra leverandører kan være:

vedlikehold av infrastruktur, rullende materiell og annet utstyr
buss for tog
drift og brukerstøtte av IKT-systemer
drift og brukerstøtte av OT-systemer
vakt- og sikringstjenester
berging og beredskap
rådgivning til etablering av styringssystem, risikovurderinger, revisjoner, opplæring m.m.

Begreper i veilederen

Barriere	Menneskelige, tekniske og organisatoriske elementer som hver for seg eller samlet skal redusere muligheten for at konkrete feil og fare- og ulykkessituasjoner inntreffer, eller som begrenser eller forhindrer skader/ulemper.
Inspeksjon	Besiktelse eller kontroll med avgrenset omfang til en aktivitet, type utstyr e.l.
Jernbane- virksomhet	En jernbanevirksomhet som definert i Artikkel 3(1) i direktiv 2012/34/EU, og ethvert annet offentlig eller privat foretak som har som formål å yte transport av gods og/eller passasjerer på jernbane, på grunnlag av at foretaket skal sørge for trekkraft, inkludert foretak som kun leverer trekkraft (direktiv (EU) 2016/798). Ethvert offentlig eller privat foretak som er lisensiert i henhold til dette direktivet, som har som hovedvirksomhet å yte tjenester for godstransport og/eller passasjertransport på jernbane med krav om at foretaket sørger for trekkraft. Dette inkluderer også foretak som kun leverer trekkraft (direktiv 2012/34/EU).
Leverandør	En person eller en virksomhet som har påtatt seg å yte eller utføre en leveranse av varer og eller tjeneste(r).
Operasjonell teknologi (OT)	Brukes til å overvåke, kontrollere og administrere fysiske prosesser i ulike bransjer og kritisk infrastruktur.
Overvåking	Ordninger innført av jernbanevirksomheter, infrastrukturforvaltere eller virksomheter med ansvar for vedlikehold, for å kontrollere at styringssystemet brukes korrekt og at det fungerer (forordning (EU) 1078/2012).
Revisjon	En systematisk, uavhengig og dokumentert prosess for å skaffe revisjonsbevis og evaluere dette objektivt, for å fastslå at omfanget av revisjonskriteriene er oppfylt (ISO 9000).
Samarbeids- partner	Et kommersielt foretak som et annet kommersielt foretak har inngått samarbeid med. Dette forholdet kan være en avtalebasert, eksklusiv beheftelse, der begge foretakene forplikter seg til ikke å samarbeide med noen tredjeparter.
Tiltak	Sette inn eller ta nødvendige forholdsregler for å forhindre, håndtere eller redusere konsekvens.

Forkortelser

IKT	Informasjons- og kommunikasjonsteknologi.
OT	Operasjonell teknologi.

Krav fra myndighetene

Jernbanelovgivningen krever at dere skal ha kontroll med leverandørene.

Overordnete myndighetskrav finnes i lov om anlegg og drift av jernbane, herunder sporvei, tunnelbane og forstadsbane m.m. (jernbaneloven).

Dere må sikre at sikker drift opprettholdes også ved bruk av leverandørtjenester. Å sette ut oppgaver og tjenester endrer ikke ansvaret for sikkerhet og sikring. Det er bare arbeidsoppgaver som kan delegeres.

Relevante krav i regelverket

Merk at for noen av myndighetskravene er kravteksten avkuttet. Vi vil fremheve de mest relevante delene.

Sikkerhetsforskriften

§ 2-3. Jernbanevirksomhetene

(1) Jernbanevirksomhetene skal:

gjennomføre de nødvendige tiltak for risikohåndtering nevnt i § 3-2 bokstav a, eventuelt i samarbeid med hverandre og med andre aktører,
i sine sikkerhetsstyringssystemer ta hensyn til de risikoene som er forbundet med virksomheten til andre aktører og tredjeparter,
eventuelt kontraktsmessig forplikte de andre aktørene som nevnt i annet ledd som kan ha en mulig virkning på sikker drift av jernbanesystemet i EØS, til å gjennomføre tiltak for risikohåndtering, og
sørge for at underleverandører gjennomfører tiltak for risikohåndtering gjennom bruk av CSM-ene for overvåking nevnt i § 3-2 bokstav c, og at dette er fastlagt i kontrakts regulerte ordninger som skal framlegges på anmodning fra Byrået eller Statens jernbanetilsyn.

(2) Med forbehold om jernbanevirksomhetenes ansvar som nevnt i første ledd, skal ECM og alle andre aktører som har en mulig virkning på sikker drift av jernbanesystemet i EØS, inkludert produsenter, leverandører av vedlikeholdstjenester, innehavere, tjenesteytere, oppdragsgivere, transportører, avsendere, mottakere og laste- og losseforetak:

gjennomføre de nødvendige tiltak for risikohåndtering, eventuelt i samarbeid med andre aktører,
sørge for at delsystemer, tilbehør, utstyr og tjenester som de leverer eller yter, oppfyller de fastsatte kravene og bruksvilkårene, slik at den aktuelle jernbanevirksomheten på en sikker måte kan bruke dem i driften.

(3) Jernbanevirksomheter og enhver aktør som er nevnt i annet ledd som finner eller underrettes om en sikkerhetsrisiko i forbindelse med feil og konstruksjonsmessig manglende samsvar eller funksjonssvikt på teknisk utstyr, herunder på strukturelle delsystemer, skal, innenfor grensene for deres respektive myndighetsområder:

gjennomføre eventuelle nødvendige korrigerende tiltak for å håndtere den sikkerhetsrisikoen som er funnet,
rapportere disse risikoene til de relevante involverte parter for å gjøre dem i stand til å gjennomføre eventuelle nødvendige ytterligere korrigerende tiltak for å sikre at sikkerheten i jernbanesystemet i EØS opprettholdes. Byrået kan utarbeide et verktøy som forenkler informasjonsutvekslingen mellom de relevante aktørene, idet det tas hensyn til de involverte brukernes personvern, resultatene av en nytte- og kostnadsanalyse og IT-applikasjonene og registrene som Byrået allerede har opprettet.

(4) Når det gjelder utveksling av kjøretøyer mellom jernbaneforetakene, skal enhver involvert aktør utveksle all informasjon som er relevant for sikker drift, for eksempel det aktuelle kjøretøyets status og historie, elementer i vedlikeholdsplanene med tanke på sporbarhet, sporbarhet for lasting og fraktbrev mv.

CSM SMS og ERAs veileder

4.2. Kompetanse

4.2.1 Lovbestemt krav

4.2.1 Organisasjonens kompetansestyringssystem skal sikre at personell som har en rolle som påvirker sikkerheten, er kompetent i de sikkerhetsrelaterte oppgavene de har ansvar for (se 2.3 Organisatoriske roller, ansvar, ansvarlighet og myndigheter), herunder minst:

(d) løpende opplæring og periodisk oppdatering av eksisterende kompetanse

(e) periodisk vurdering av kompetanse og kontroller av psykologisk og fysisk form for å sikre at kvalifikasjoner og ferdigheter opprettholdes over tid

4.2.2 Organisasjonen skal tilby et opplæringsprogram, som nevnt i punkt (c), (d) og (f) i avsnitt 4.2.1, for ansatte som utfører sikkerhetsrelaterte oppgaver som sikrer at:

(a) opplæringsprogrammet leveres i henhold til identifiserte kompetansekrav og individuelle behov hos personalet

(e) opplæringsprogrammet blir jevnlig gjennomgått og revidert (se 6.2 Internrevisjon) og endringer foretatt ved behov (se 5.4 Endringsstyring)

4.2.7 Sjekkpunkter

Når man ser på kompetansestyringssystemet, er det viktig å huske at det vil være kompetansekrav som strekker seg utover organisasjonens ansatte, og som gjelder for leverandører og annet personell.

Organisasjonen bør ha på plass midler for å sikre at innleid personell har kompetanse til å utføre arbeidet. Dette gjelder spesielt der bemanningsbyråenes kontroll av kompetanse gjerne ikke er så grundig som man skulle ønske.

4.5 Dokumentert informasjon

4.5.1 Lovbestemt krav

4.5.1.1 Det er en beskrivelse av sikkerhetsstyringssystemet, inkludert:

(d) identifisering av entreprenører, partnere og leverandører med en beskrivelse av type og omfang av leverte tjenester

(e) identifisering av kontraktsmessige ordninger og andre forretningsavtaler, inngått mellom organisasjonen og andre parter identifisert under (d), som er nødvendige for å kontrollere sikkerhetsrisikoen til organisasjonen og de som er knyttet til bruken av entreprenører

5.3. Leverandører og samarbeidspartnere

5.3.1 Organisasjonen skal identifisere og kontrollere sikkerhetsrisikoer som oppstår fra utkontrakterte aktiviteter, herunder drift eller samarbeid med entreprenører, partnere og leverandører.

5.3.3. Organisasjonen skal overvåke:

a) sikkerhetsytelsen til alle aktiviteter og operasjoner til entreprenører, partnere og leverandører for å sikre at de overholder kravene fastsatt i kontrakt

b) entreprenørers, partneres og leverandørers bevissthet om sikkerhetsrisikoer de medfører for organisasjonens virksomhet

Kravforskriften

§ 3-1.Krav til sikkerhetsstyringssystem
Sikkerhetsstyringssystemet skal omfatte bruk av leverandører. Jernbanevirksomheten skal stille de samme styrings- og sikkerhetskrav til aktiviteter utført av leverandører som til aktiviteter utført av egen virksomhet.

§ 4-2.Sikkerhetspolitikk
Jernbanevirksomhetens øverste ledelse skal utarbeide en dokumentert sikkerhetspolitikk. Sikkerhetspolitikken skal:
d. være formidlet til alle som arbeider for eller på vegne av jernbanevirksomheten

§ 4-8.Ledelsens gjennomgåelse
Jernbanevirksomhetens øverste ledelse skal ved behov og minst en gang per år, gjennomgå sikkerhetsstyringssystemet og resultater fra virksomhetens sikkerhetsarbeid for å sikre at sikkerhetsstyringssystemet fortsatt er hensiktsmessig og oppdatert. Ved gjennomgåelsen skal det tas hensyn til blant annet:

resultater og gjennomføring av tiltak etter interne revisjoner og revisjoner av leverandører, samt vurdering av samsvar med lovgivningens krav og interne krav

§ 5-1.Kompetansekrav
Jernbanevirksomheten skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av alle oppgaver og funksjoner av betydning for jernbanevirksomhetens arbeid med sikkerheten. Jernbanevirksomheten skal videre sørge for at kompetansekrav for oppgaver som utføres av leverandører sikrer den kompetanse som jernbanevirksomheten anser som nødvendig.

§ 5-2.Kompetanse
Jernbanevirksomheten skal ha tilgjengelig den kompetanse som er nødvendig for at virksomheten skal drives innenfor akseptabel risiko.
Dersom oppgavene av sikkerhetsmessig betydning utføres av leverandør skal jernbanevirksomheten ha nødvendig kompetanse blant annet til å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.

Egne ansatte og ansatte hos leverandører, som utfører oppgaver av betydning for jernbanevirksomhetens arbeid med sikkerhet, skal ha tilstrekkelig kompetanse i forhold til oppgavene.

§ 5-3.Opplæring
Jernbanevirksomheten skal stille krav til at leverandører har systemer for å sikre at deres ansattes kompetanse opprettholdes i forhold til arbeid av betydning for sikkerheten som vedkommende skal utføre.

§ 6-2.Oppfølging og oppdatering av risikovurderinger
Jernbanevirksomheten skal systematisk følge opp forutsetningene for, avgrensningene og resultatene av risikovurderingene. Jernbanevirksomheten skal gjennomføre nødvendige tiltak for håndtering av risikoer identifisert i risikovurderinger, eventuelt i samarbeid med annen virksomhet.

§ 7-1.Revisjoner
Jernbanevirksomheten skal systematisk gjennomføre revisjoner av leverandører for å vurdere om leverandører overholder krav i eller i medhold av avtaler.

Revisjoner skal gjennomføres i henhold til anerkjent metodikk, vedtatte revisjonsprogrammer og på en måte som ivaretar objektivitet og uavhengighet.

§ 7-3.Beredskapsøvelser
Jernbanevirksomhetene skal samordne slike øvelser i den grad det er nødvendig.

Sikringsforskriften

§ 2-2 Krav om styring av sikring

Jernbanevirksomheten skal også sikre at styringen utøves i oppgaver som utføres av leverandør.

§ 4-3 Ledelsens gjennomgang

Ledelsens gjennomgang skal avdekke eventuelle behov for endring i styringssystemet. I gjennomgangen skal ledelsen minimum ta hensyn til
d)interne revisjoner, revisjoner av leverandører og gjennomføringen av tiltak basert på resultatene.

§ 5-1 Kompetanse

Jernbanevirksomheten skal sikre at leverandører, som utfører oppgaver av betydning for sikringsarbeidet, har den kompetansen som jernbanevirksomheten krever. Jernbanevirksomheten skal ha nødvendig kompetanse til blant annet å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.

5-2 Kompetansekrav

Jernbanevirksomheten skal ha kompetansekrav som angir den kompetansen som er nødvendig for å utføre alle oppgaver og funksjoner av betydning for sikringsarbeidet.

§ 5-3 Opplæring

Jernbanevirksomheten skal stille krav om at leverandøren opprettholder personellets kompetanse.

§ 6-3 Oppfølging og oppdatering av risikovurderinger

Jernbanevirksomheten skal systematisk følge opp forutsetningene for, avgrensningene og resultatene av risikovurderingene. Jernbanevirksomheten skal gjennomføre nødvendige sikringstiltak for å håndtere identifiserte risikoer, og skal i nødvendig grad samarbeide med andre jernbanevirksomheter og tredjeparter om dette.

§ 7-1 Beredskap

Jernbanevirksomheten skal samordne sine beredskapsplaner med andre relevante aktører og offentlige myndigheter.

§ 8-1 Revisjoner

Jernbanevirksomheten skal systematisk gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i eller i medhold av avtaler.

Styring av leverandører

Styring av leverandøren innebærer at dere må beskrive oppfølgingen av leverandører i styringssystemet. Slik blir styringen en kontinuerlig prosess som ivaretas systematisk og dokumentert.

Dere kan følge opp leverandøren med utgangspunkt i forskjellig regelverk, for eksempel:

jernbanelovgivningen
internasjonale og norske standarder, bransjestandarder
jernbanevirksomhetens bestemmelser for styring av sikkerhet, sikring og digital sikkerhet

Vinter på Alnabru godsterminal. Dere må opprettholde sikker drift også når dere bruker leverandørtjenester. Å sette ut oppgaver og tjenester endrer ikke ansvaret for sikkerhet og sikring. Det er bare selve arbeidsoppgavene som kan delegeres. Dere skal dermed identifisere og styre risikoer som oppstår når oppgaver og tjenester settes ut.

Dere kan styre leverandøren på følgende måter:

Utsettingen av tjenester er risikovurdert.
Leverandøren har fått en tilpasset kravliste som den kan ta inn i styringssystemet sitt.
Kravlisten kan også brukes for å evaluere den eksisterende avtalen.
Leverandøren arbeider etter beskrivelsene i styringssystemet deres.
Dere har vurdert at leverandørens styringssystem er tilstrekkelig.

Krav i leverandøravtalen

Oppgaver som er viktige for sikkerhet, sikring og digital sikkerhet kan bli satt ut til en leverandør fordi dere ikke har kompetansen selv. Dere må likevel ha nok kompetanse for styring og kontroll. Det vil si kompetanse til å kunne stille nødvendige krav til leveransen i avtalen og til å kontrollere at leveransen er i samsvar med kravene.

Lasting på Alnabruterminalen.

Leverandøren skal ivareta gjeldende krav i avtalen med dere, inkludert relevante krav i jernbanelovgivningen. Dere skal spesifisere i avtalen hvilke krav til sikkerhet, sikring og digital sikkerhet m.m. leverandøren skal oppfylle. Deres krav til leverandøren skal være tilpasset oppgavene og tjenestene leverandøren skal utføre.

Dere bør sikre at leverandøren har kompetanse til å kunne oppfylle kravene. Det kan være spesifikke krav til leverandører innen for eksempel renhold, IKT-tjenester, vakt- og sikringstjenester og vedlikeholdstjenester av materiell og utstyr.

Avtalen med leverandøren er et viktig virkemiddel for å sikre at dere har rett til å følge opp at krav blir etterlevd i oppgaver som leverandøren utfører. Dette gjelder også for eventuelle underleverandører.

Dere skal angi i avtalen med leverandøren hvilke krav som stilles til bruk av underleverandører. Dette er for at dere kan påse at sikkerhet, sikring og digital sikkerhet ivaretas i alle ledd.

Kontroll med underleverandøren

Dere setter krav til at leverandøren skal ha kontroll på alle underleverandører som brukes i leveransen. Leverandøren skal redegjøre for alle underleverandører som brukes. Dere skal bli informert, og avtalen oppdatert, hvis det skjer et bytte av underleverandører.

Dere må undersøke muligheten for å få nødvendig informasjon til å kontrollere underleverandører. Å kontrollere underleverandører kan bli komplisert og kreve mye ressurser. Før anskaffelsen må dere vurdere om de har nødvendig kompetanse og tilgjengelige ressurser til å følge opp.

Gjennom styring og kontroll kan dere verifisere at leverandøren oppfyller de avtalefestete kravene, inkludert krav i jernbanelovgivningen. På forespørsel fra dere skal leverandøren gi tilgang til informasjon og relevant dokumentasjon om eventuelle tredjeparters revisjonsrapporter.

Eksemplene under viser at dere må ha en risikobasert styring av leverandører. I daglig drift er det viktig å fange opp risikoer som en del av den fortløpende forbedringsprosessen.

Eksempel på hva SJT fant under tilsyn

1. Oversikt over leverandører

Jernbanevirksomheten hadde ikke dokumentert hvilke leverandører de bruker, og hvilken betydning leverandørene har for jernbanevirksomhetens arbeid med sikring med hensyn til hvilke oppgaver og tjenester leverandørene utfører. Den overordnete risikovurderingen viste at «avhengigheter av andre virksomheter» utgjør en sikringsrisiko. I kritikalitetsvurderinger av IKT-systemer ble leverandører av IKT-systemene vurdert med hensyn til risiko for sikkerhet, men risiko for sikring var mangelfull vurdert. Det var uklart om den overordnete risikovurderingen og kritikalitetsvurderingene av IKT-systemer peker på de samme leverandørene eller om det finnes andre leverandører med betydning for sikring.

2. Risikovurdering av leverandør og mangelfull leveranse

Jernbanevirksomheten hadde ikke vurdert hvilken risiko bruken av en vedlikeholdsleverandør og manglende eller mangelfullt utført vedlikehold utgjør for sikkerheten.

3. Kartlegge beredskapsressurser og lage beredskapsplan

Jernbanevirksomheten hadde ikke kartlagt og dokumentert hvilke interne og eksterne beredskapsressurser som er tilgjengelige ved hendelser som krever at det blir satt i verk beredskapstiltak. Det var ikke dokumentert om ansatte med ansvar for IKT og leverandører av IKT-tjenester inngår i beredskapsorganisasjonen, uansett om det gjelder IKT-hendelser eller andre sikringshendelser.

Beredskapsanalysen og valgte beredskapstiltak var ikke basert på relevante risikovurderinger og beredskapsanalyser, og omfattet ikke fysisk sikring og informasjonssikkerhet.

Metoder for å følge opp leverandører

Å følge opp leverandører bør basere seg på avtalen og anskaffelsens art, omfang, verdi og kompleksitet.

Metoder

Dere kan følge opp leverandører gjennom ulike aktiviteter.

Evaluering av leveransen:

Egenrapportering fra leverandøren.
Gjennomgang av drifts- og vaktlogger.
Resultater fra tredjepartsrevisjoner.
Gjennomgang av rapporter for håndtering av uønskede hendelser, avvik og endringer i rutiner og systemer.

Kontroll: Kontrollere om innleid personell har nødvendig kunnskap og evne til å utføre oppgaven i henhold til kravene dere stiller.

Eksempel på kontroll av kompetansen til innleid personell

Jernbanevirksomheten er ansvarlig for at innleid personell har rett kompetanse til å utføre oppgavene sine.

Ved innleie av skiftepersonell er det viktig å kontrollere om krav til kompetanse er oppfylt. Relevante kontrollpunkter kan være:

Er vedkommende kjent med de fysiske forholdene og operasjonelle rutinene på området?
Er det et sikret eller usikret område?
Kjenner operatøren til signaler og skilt på området?
Har operatøren nødvendig kompetanse til å betjene materiell og utstyr?

Ledelsens gjennomgåelse: Vurdere resultater av risikovurderinger, revisjoner, rapportering og behandling av uønskede hendelser m.m.

Nivået og omfanget av en slik oppfølging bør være risikobasert. Deres behov for å beskytte verdier som leverandøren eller underleverandørene har tilgang til, vil ha betydning for hvilken metode som velges for å følge opp.

Målstyring: Dere kan bruke sikkerhetsindikatorer til å måle sikkerhetsnivået hos leverandøren. Dette kan dere gjøre ved å følge opp leverandørens rapportering og behandling av hendelser.

Eksempel på oppfølging av hendelser

Eksempel på oppfølging av hendelser

Jernbanevirksomheten skal ha et system for å rapportere, registrere, granske og analysere og følge opp hendelser som har betydning for sikkerhet, sikring eller digital sikkerhet. Hendelser og ulykker skal kategoriseres og vurderes ut fra hvilken risiko de utgjør for sikkerhet, sikring eller digital sikkerhet. Korrigerende tiltak og/eller forbedringstiltak skal settes i verk.

Hendelser knyttet til bruk av leverandører – og som har betydning for arbeidet med sikkerhet, sikring eller digital sikkerhet – må rapporteres og behandles i systemet. Det kan være hendelser knyttet til vedlikehold, tilgang til informasjon, adgang til områder m.m. Alle ansatte i jernbanevirksomheten, innleid personell og leverandørens ansatte skal kjenne til gjeldende prosedyrer og rutiner for rapportering av hendelser.

Jernbanevirksomheten skal kunne legge frem en oversikt over uønskede hendelser som oppstod fordi leverandøren har utført vedlikeholdsarbeidet feil eller mangelfullt.

Eksempel på slike hendelser er:

Avstand mellom spor og plattform er for stor.
En truck har revet ned hengetråd på skifteområdet.
Porter til berøringsfarlig høyspenning står åpne.
Etter brøyting hindrer snø sikt til signaler og skilter.
Feil deler er montert på kjøretøy.
Hjul ble dreid feil.
Overleveringserklæringen er mangelfull.

Overvåking:

Be om å få oversendt periodiske rapporter om vesentlige forhold.
Krev jevnlig egenrapportering.
Still krav til oversendelse av rapporter av nye og oppdaterte risikovurderinger og nye og endrete styrende dokumenter.
Følg opp rapportering av uønskede hendelser, inkludert tilsiktede handlinger.

Periodiske møter: Bruk avtalefestede møter, der etterlevelse av krav i avtalen er et fast punkt, eller andre tema som ønskes belyst, for eksempel møter om kontrakten og driften.

Revisjon og inspeksjon: Bruk dette virkemiddelet overfor leverandøren og underleverandører med sjekklister. Dette kan dere gjøre når nye avtaler inngås eller det skjer omfattende endringer.

Revisjon av leverandører

Dere skal bruke revisjon som et verktøy for å overvåke fortløpende om leverandøren oppfyller krav til sikkerhet, sikring og ivaretakelse av digital sikkerhet.

Revisjonen gjennomføres i henhold til de interne rutinene dere har, og de skal følge anerkjent metodikk for revisjon. Revisjoner kan for eksempel gjennomføres etter den anerkjente standarden ISO 19011 Veiledning for revisjon av ledelsessystemer.

En revisjon må tilpasses ansvarsfordelingen som avtalen beskriver. Sørg for at en revisjon omfatter både deres egne tiltak og tiltakene leverandøren har ansvaret for.

Risikobasert revisjon

Dere bør gjennomføre revisjoner basert på risiko. Det vil si at revisjonene skal bidra til at negativ risiko reduseres mest mulig med lavest mulig ressursbruk. Det påvirker hva som bør revideres, hvor ofte det skjer og hva dere fokuserer på. Dette skal gjenspeiles i revisjonsprogrammet deres og hvordan hver enkelt revisjon utføres og følges opp.

Revisjoner bør gjennomføres på områder som er kritiske for verdiene og prosessene dere har.

Revisjonsprogrammet bør dekke både interne og eksterne revisjoner:

Interne revisjoner bør omfatte prosesser for styring og kontroll av leverandører.
Eksterne revisjoner er rettet mot leverandører og eventuelle underleverandører.

Dere bør også være opptatt av at hver revisjon skal gi mest mulig verdi til leverandøren. Å kartlegge og vurdere risiko hos dere selv og hos leverandøren, vil gi god informasjon om hvordan revisjonsprogrammet skal bygges opp for å tilføre begge parter verdi.

Hensikten med revisjonen

Jernbanelovgivningen stiller krav til hvordan revisjoner gjennomføres. De skal utføres i henhold til vedtatte revisjonsprogrammer og slik at objektivitet og uavhengighet blir ivaretatt. Daglig oppfølging og kontroller sikrer ikke objektivitet og uavhengighet slik som en revisjon i regi av et revisjonsteam som ikke har ansvar for (daglig) periodisk oppfølging av leverandørens leveranser.

Revisjoner bør ikke gjennomføres der dere tror det er sannsynlig at noe vil gå galt. Dersom det allerede finnes kunnskap om mangler, er det bedre å bruke ressursene til å etablere tiltak for å utbedre kjente feil. Revisjoner bør fokusere på å undersøke områder der risikoen er vurdert høy og svært høy. Risikoen kan ofte bli høyere når aktiviteter settes ut til leverandører, i alle fall om den ikke følges godt opp.

En revisjon er ikke bare et verktøy for å vurdere samsvar med krav eller forventninger. Brukt på en god måte kan en revisjon gi betydelig innsikt i om tiltak, systemer og rutiner faktisk fungerer etter hensikten og om de er tilstrekkelige og effektive.

Revisjoner er også et godt verktøy for å se om kultur, kompetanse og organisering fungerer godt sammen. Revisjonen blir da et viktig verktøy for å skaffe beslutningsgrunnlag til ledelsen. Samtidig kan revisjoner gi viktig informasjon tilbake for å oppdatere risikobildet: Det blir avdekket om barrierer og tiltak fungerer som forutsatt i risikovurderingene.

Når dere følger opp leverandører, bør dere anbefale og støtte at det blir gjennomført konkrete forbedringstiltak og aktiviteter etter revisjoner. Det er for å verifisere at tiltakene er gjennomført og at de reduserer risikoen som forventet.

Revisjonsrapporten vil være et viktig styringsdokument for ledelsen deres og hos leverandøren, for eksempel under ledelsens gjennomgang.

Eksempel på hva SJT fant under tilsyn

Jernbanevirksomheten kunne ikke vise dokumentasjon på at de systematisk gjennomfører revisjoner av leverandører som utfører oppgaver av betydning for sikring.

Det var ikke planlagt og/eller gjennomført revisjon av en leverandør som jernbanevirksomheten hadde identifisert som en leverandør med betydning for sikring. Jernbanevirksomheten hadde rutiner for å følge opp daglig leverandøren som har en kritisk funksjon. Man så ikke noe behov for å gjennomføre en revisjon av leverandøren. I et møte med leverandøren konkluderte jernbanevirksomheten med at leverandørens styringssystem ivaretar kravene i sikringsforskriften. Basert på risiko har jernbanevirksomheten vurdert at det ikke er behov for å utføre detaljerte kontroller av leverandøren. Jernbanevirksomheten anbefalte ved en eventuelt fremtidig kontroll å utføre operative kontroller på et konkret objekt.

Definisjoner og forkortelser – oppfølging av skytjenester

Infrastructure as a Service (IaaS)	Jernbanevirksomheten kan kontrollere fundamental infrastruktur og har muligheten til å innføre og kjøre vilkårlig programvare. Virksomheten kan kontrollere relevante applikasjoner, servere, operativsystemer, samt i noen tilfeller visse elementer i nettverket (for eksempel brannmur). Delt kontroll med leverandøren.
Platform as a Service (PaaS)	Jernbanevirksomheten kan innføre egenutviklede eller innkjøpte applikasjoner på leverandørens skyinfrastruktur ved å bruke programmeringsspråk og verktøy støttet av leverandøren. Virksomheten kontrollerer ikke den underliggende skyinfrastrukturen, inkludert nettverk, servere, operativsystem eller lagringsmuligheter. Jernbanevirksomheten har kontroll over applikasjoner og i noen tilfeller konfigurasjonsmuligheter for miljøet som applikasjoner kjører i. Delt kontroll med leverandøren.
Software as a Service (SaaS)	Jernbanevirksomheten bruker applikasjoner som kjører på leverandørens skyinfrastruktur. Jernbanevirksomheten kan i noen tilfeller kontrollere begrensete kundespesifikke applikasjonsinnstillinger, men kontrollerer ikke den underliggende skyinfrastrukturen, inkludert nettverk, servere, operativsystemer eller lagringsmuligheter. Leverandøren har kontroll.
Skytjeneste	En modell som gjør det mulig å få tilgang til et sett konfigurerbare dataressurser (for eksempel nettverk, servere, lagring, applikasjoner og tjenester) som er lett tilgjengelige over alt, blir levert og priset etter bruk, kan skaffes raskt og gjøres tilgjengelig med minimalt med administrasjon.

Eksempel – leverandørstyring ved bruk av skytjenester

De fleste store leverandører av skytjenester tilbyr verktøy og tjenester som kan være til nytte i virksomhetens revisjon av egne sikringstiltak. Det kan være sikkerhetsportaler med innsikt i relevante konfigurasjoner og sårbarheter med tilhørende forslag til utbedring.

Verktøyene har ofte en funksjonalitet for å sammenligne gjeldende konfigurasjon med anerkjente sikkerhetsstandarder. Slike verktøy kan være til stor nytte, men de vil ikke kunne avdekke alle forhold. Jernbanevirksomheten må derfor må sørge for at alle iverksatte tiltak revideres.

Det kan være en utfordring å gjennomføre revisjoner hos store globale skyleverandører. Skyleverandøren gir derimot ofte tilgang til revisjonsrapporter fra revisjoner de selv har utført eller i samarbeid med tredjepartsrevisorer. Jernbanevirksomheten kan overvåke leverandørens tjenester ved å gjennomgå revisjonsrapporter fra tredjeparter.

Merknad: Jernbanevirksomheten bør ikke begrense overvåkingen av leverandørens skytjenester og andre IKT-tjenester til å gjennomgå revisjonsrapporter fra tredjeparter. Jernbanevirksomheten bør også revidere egne tiltak, som for eksempel interne prosesser, tilgangsstyring, tjenestekonfigurasjoner, logger, etc.

Eksempel – hva bør revisoren revidere?

En jernbanevirksomhet skal revidere leverandøren av skytjenester. Denne tjenesten kan være en SaaS-basert samhandlingstjeneste. Leverandøren skal ha kontroll på applikasjoner, øvrige tjenester, server, lagring og nettverk. Jernbanevirksomheten og leverandøren av skytjenester har delt kontroll av dataene.

Revisoren henter frem jernbanevirksomhetens risikovurdering av tjenesten. Revisoren gjennomgår identifiserte risikoer og tiltak og påser at de samsvarer med den avtalte fordelingen av kontroll mellom jernbanevirksomheten og leverandøren som er definert i tjenesteavtalen.

Revisoren gjennomgår tiltakene jernbanevirksomheten selv skal ha utført, og undersøker at de fungerer etter hensikten Dette kan for eksempel være å:

undersøke at jernbanevirksomhetens prosess for tilgangsstyring fungerer
ha multifaktorautentisering aktivert for alle brukere
sørge for at brukerne klassifiserer og merker informasjon (i henhold til interne krav om klassifisering)
følge opp informasjon og varsler fra leverandøren
sørge for at brukernes mulighet til å dele informasjon med eksterne parter er riktig konfigurert, etc.

Revisoren bruker også skytjenestens sikkerhetsportal til å få innsikt i eventuelle øvrige sårbarheter som jernbanevirksomheten selv må følge opp.

Videre ber revisoren leverandøren av skytjenesten om innsyn i en revisjonsrapport utført av tredjepart. Revisor undersøker om jernbanevirksomheten selv har utført tiltak som kan motvirke eller redusere eventuelle sårbarheter som er påpekt i rapporten fra tredjepart, eller om det finnes sårbarheter av en slik karakter at jernbanevirksomheten bør revurdere innholdet og omfanget av avtalen med leverandøren av skytjenesten.

Et eksempel på dette kan være at man revurderer eller kjøper andre typer tjenester (IaaS eller PaaS) av leverandøren av skytjenester – for eksempel at jernbanevirksomheten har en større andel av den delte kontrollen med leverandøren. Dette kan innebære at jernbanevirksomheten selv må skaffe kompetanse på et område den normalt ikke har kompetanse på.

Leverandører med sterk posisjon på sitt fagfelt

Noen ganger kjøper dere tjenester av leverandører med stor markedsmakt, for eksempel Microsoft, Norske Tog m.m. Tjenestene eller produkter som de leverer, kan være av en slik art at det er vanskelig å styre leverandøren. Hvordan håndteres dette?

Avhengig av hvor stor risikoen er, kan dere vurdere disse tiltakene for å ha kontroll:

Er det mulig å gjennomføre en mottakskontroll av det leverte produktet?
- Kan eventuelt mottakskontroll på stikkprøvebasis være tilstrekkelig?
Er det mulig å avvise et produkt hvis dere mistenker at det ikke oppfyller krav og spesifikasjoner i henhold til avtalen?
Er det mulig å følge opp produktet etter at det er tatt i bruk gjennom fortløpende og stikkprøvebasert overvåking av utvalgte egenskaper?
Kan dere inngå et samarbeid med andre virksomheter som bruker samme leverte tjenester/produkt for å utveksle erfaringer?
Kan dere sikre effektivt innsyn på et særlig kritisk punkt i produksjonsprosessen hos leverandøren? Vil det i så fall være mulig å sikre nødvendig innsyn i akkurat dette punktet?