Kapittel 6. Risikostyring
§ 6-1. Aksept av risiko
§ 6-1. Aksept av risiko
§ 6-2. Risikovurderinger
§ 6-2. Risikovurderinger
Første ledd:
Jernbanevirksomheten må gjennom risikovurderinger vise at den driver innenfor den risiko virksomheten aksepterer ved å vise at truslene jernbanevirksomheten kan bli eksponert for, kan håndteres gjennom sikrings- og beredskapstiltak. Risikovurderinger må gjennomføres før jernbanevirksomheten settes i gang, og deretter ved hver endring som kan påvirke risikonivået. Risikovurderinger må derfor planlegges og gjennomføres ved blant annet anskaffelser, utbygginger og modifikasjoner samt ved endring av etablerte krav eller ved endring av organisasjon eller arbeidsform dersom endringen kan ha betydning for sikringsarbeidet. I tillegg må virksomhetene har rutiner for risikovurderinger ved endringer av trusselnivået.
Tredje ledd:
Vurdering av sikringsrisiko handler om å forutse hvilke konsekvenser noen kan ønske å oppnå ved å bruke eller skade virksomheten deres. Det er alltid en menneskelig handling som utløser en sikringshendelse. I risikovurderingene må det derfor vurderes andre faktorer enn i sikkerhetsarbeidet. Det er ikke snakk om hva som kan gå galt, men hva noen kan gjøre.
Ved utføring og oppdatering av vurderingene må det brukes hensiktsmessige og anerkjente metoder for sikring mot tilsiktede uønskede handlinger. Bestemmelsen angir ikke hvilke metoder som skal benyttes, men de må være anerkjente og hensiktsmessige for sikring mot tilsiktede uønskede handlinger.
Risikovurderinger på sikringsområde er basert på verdivurdering, trusselvurdering og sårbarhetsvurdering. Det forventes at metodevalget begrunnes. Jernbanevirksomheten må velge metoder og omfang av vurderingene som på en tilfredsstillende måte sikrer vurdering av verdier, trusler og verdienes sårbarheter overfor mulige trusler. Se blant annet «NS 5830:2012 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger - Terminologi», «NS 5831:2014 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Krav til sikringsrisikostyring og «NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse», og «NS 5814:2021 – Krav til risikovurderinger», som angir anerkjente metoder for risikovurderinger.
For risikostyring av informasjonssikkerhet, se internasjonalt anerkjente rammeverk for informasjonssikkerhet som «ISO/IEC 27001 Ledelsessystemer for informasjonssikkerhet». For informasjon- og cybersikkerhet i styrings- og kontrollsystemer, se blant annet «NEK IEC 62443 Industrial communication networks – Network and system security».
§ 6-3. Oppfølging og oppdatering av risikovurderinger
§ 6-3. Oppfølging og oppdatering av risikovurderinger
Første ledd:
Formålet med bestemmelsen er å stille krav til at risikovurderingene følges opp på en systematisk måte, slik at beslutninger som fattes med støtte i risikovurderingene gir et akseptabelt resultat. Jernbanevirksomheten må forsikre seg om at de risikovurderingene de baserer seg på er oppdatert.
Sikringstiltak må være identifisert gjennom systematisk kartlegging av risiko. Der det er identifisert risikoer må nødvendige tiltak iverksettes med hensyn til virksomhetens risikoaksept. Det kan for eksempel være overvåking av og adgangskontroll til objekter, systemer og områder, eller kontroll av hvem som har vært pålogget systemer som kan misbrukes for å volde skade.
Relevant personell må gjøres kjent med hvilke sikringstiltak som er etablert og de må vite betydningen av disse, og hvordan man skal forholde seg hvis sikringstiltakene skulle falle bort.
Andre ledd:
Hensikten med bestemmelsen er å stille krav til at risikovurderinger som benyttes som beslutningsgrunnlag er gyldige. Beslutninger som er basert på risikovurderinger som er utdaterte eller har feilaktig grunnlag, kan bidra til å svekke sikringsnivået.
Jernbanevirksomheten må vurdere om endringer, som har skjedd siden risikovurderingen ble gjennomført, påvirker gyldigheten til resultatene av risikovurderingen. Dersom det er tilfellet, må det gjøres en dokumentert evaluering av i hvilken utstrekning risikovurderingen fremdeles kan benyttes som beslutningsgrunnlag.
§ 6-4. Sikringstiltak
§ 6-4. Sikringstiltak
Første ledd:
Sikringstiltak som hindrer eller forsinker uønsket adgang til verdier vil typisk være overvåkings - og adgangskontrollsystemer. Valg av sikringstiltak må tilpasses trusselbildet, men bør balanseres mot hensynet til trafikkavviklingen.
Bestemmelsen innebærer at virksomheten må vurdere å etablere eller forsterke sikringstiltak ved endring i trusselbildet. Dersom trusselbildet tilsier at det er spesifikke anlegg eller aktiviteter som trues kan for eksempel forsterket adgangskontroll knyttet til spesifikke anlegg iverksettes.
Andre ledd:
Kravet om uavhengighet mellom sikringstiltak vil øke virksomhetens robusthet mot trusler.
Jernbanevirksomheten må ta stilling til risikoakseptnivået for virksomheten og sikre at virksomheten drives innenfor dette nivået. Dette gjøres gjennom risikovurderinger, se § 6-2.