Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2009, Gefahrgut/Transport - EU Bund |
Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates
(Text von Bedeutung für den EWR)
(ABl. Nr. L 108 vom 29.04.2009 S. 4;
VO (EU) Nr. 402/2013 - ABl. Nr. L 121 vom 03.05.2013 S. 8 * aufgehoben)
aufgehoben/ersetzt zum 21.05.2015 gemäß Art. 19 der VO (EU) 402/2013 - Inkrafttreten Gültig
Die Kommission der Europäischen Gemeinschaften -
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,
gestützt auf die Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie 95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn, die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung ("Richtlinie über die Eisenbahnsicherheit") 1, insbesondere auf Artikel 6 Absatz 1,
in Erwägung nachstehender Gründe:
(1) Gemäß Artikel 6 Absatz 1 der Richtlinie 2004/49/EG sollte die Kommission auf der Grundlage einer Empfehlung der Europäischen Eisenbahnagentur die erste Reihe gemeinsamer Sicherheitsmethoden (im Folgenden "CSM" genannt) erlassen, die sich zumindest auf die in Artikel 6 Absatz 3 Buchstabe a der Richtlinie genannten Methoden für die Evaluierung und Bewertung von Risiken erstrecken.
(2) Die Europäische Eisenbahnagentur hat am 6. Dezember 2007 eine Empfehlung zur ersten Reihe gemeinsamer Sicherheitsmethoden (ERA-REC-02-2007-SAF) verabschiedet.
(3) Im Einklang mit der Richtlinie 2004/49/EG sollten CSM schrittweise eingeführt werden, damit ein hohes Sicherheitsniveau gewährleistet und die Sicherheit, soweit dies nach vernünftigem Ermessen durchführbar ist, gegebenenfalls verbessert wird.
(4) Artikel 9 Absatz 1 der Richtlinie 2004/49/EG sieht vor, dass Eisenbahnunternehmen und Fahrwegbetreiber ein Sicherheitsmanagementsystem einführen, um sicherzustellen, dass das Eisenbahnsystem mindestens die gemeinsamen Sicherheitsziele ("CST") erreichen kann. Gemäß Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG hat das Sicherheitsmanagementsystem Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung von Maßnahmen zur Risikokontrolle zu umfassen für den Fall, dass sich aus geänderten Betriebsbedingungen oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben. Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.
Aus der Anwendung der Richtlinie 91/440/EG des Rates vom 29. Juli 1991 zur Entwicklung der Eisenbahnunternehmen der Gemeinschaft 2 sowie des Artikels 9 Absatz 2 der Richtlinie 2004/49/EG folgt, dass ein besonderes Augenmerk dem Risikomanagement an den Schnittstellen zwischen den in die Anwendung dieser Verordnung einbezogenen Akteuren gelten sollte.
(5) Artikel 15 der Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft 3 sieht vor, dass die Mitgliedstaaten alle gebotenen Maßnahmen treffen, damit die strukturellen Teilsysteme, die Bestandteil des Eisenbahnsystems sind, nur dann in Betrieb genommen werden dürfen, wenn sie so geplant, gebaut und installiert werden, dass die einschlägigen grundlegenden Anforderungen erfüllt werden, wenn sie in das Eisenbahnsystem einbezogen werden. Insbesondere müssen die Mitgliedstaaten die technische Kohärenz dieser Teilsysteme mit dem Eisenbahnsystem, in das sie sich einfügen, und die sichere Integration dieser Teilsysteme im Einklang mit dieser Verordnung überprüfen.
(6) Das Fehlen einer einheitlichen Vorgehensweise zur Festlegung und zum Nachweis der Einhaltung der Sicherheitsniveaus und der Anforderungen des Eisenbahnsystems hat sich als eines der Hindernisse erwiesen, das einer Öffnung des Eisenbahnmarktes im Wege steht. So nahmen die Mitgliedstaaten in der Vergangenheit vor der Zulassung eines Systems oder eines Teilsystems, das schon in anderen Mitgliedstaaten entwickelt wurde und sich dort als sicher bewährt hatte, ihre eigenen Bewertungen vor.
(7) Zur Förderung einer gegenseitigen Anerkennung zwischen den Mitgliedstaaten sollten die für die Identifizierung und das Management von Risiken angewandten Methoden wie auch die Methoden zum Nachweis dessen, dass das Eisenbahnsystem im Gebiet der Gemeinschaft den Sicherheitsanforderungen entspricht, zwischen den an der Entwicklung und dem Betrieb des Eisenbahnsystems beteiligten Akteuren harmonisiert werden. Ein erster notwendiger Schritt ist - im Einklang mit Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG - die Harmonisierung der Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung von Maßnahmen zur Risikokontrolle für den Fall, dass sich aus geänderten Betriebsbedingungen oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben.
(9) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung in einem Mitgliedstaat signifikant ist oder nicht, sollte die für die Durchführung der Änderung verantwortliche Person (im Folgenden "der Vorschlagende" genannt) zunächst die potenziellen Auswirkungen der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems prüfen. Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, sollte der Vorschlagende auf der Grundlage eines Sachverständigenurteils und anhand von Kriterien, die in dieser Verordnung festgelegt werden sollten, die Signifikanz der Änderung bewerten. Aus dieser Bewertung sollte sich eine von drei Schlussfolgerungen ableiten lassen. Im ersten Fall wird die Änderung nicht für signifikant erachtet und der Vorschlagende sollte die Änderung durch Anwendung seiner eigenen Sicherheitsmethode vornehmen. Im zweiten Fall wird die Änderung für signifikant erachtet und der Vorschlagende sollte die Änderung durch Anwendung dieser Verordnung vornehmen, ohne dass eine spezifische Intervention der Sicherheitsbehörde erforderlich ist. Im dritten Fall wird die Änderung für signifikant erachtet, doch existieren gemeinschaftliche Rechtsvorschriften, die eine spezifische Intervention der zuständigen Sicherheitsbehörde erfordern, wie etwa eine neue Genehmigung für die Inbetriebnahme eines Fahrzeugs oder eine Überprüfung/Aktualisierung der Sicherheitsbescheinigung eines Eisenbahnunternehmens oder eine Überprüfung/Aktualisierung der Sicherheitsgenehmigung eines Infrastrukturbetreibers.
(10) Wird eine Änderung an einem bereits in Betrieb befindlichen Eisenbahnsystem vorgenommen, sollte die Signifikanz der Änderung auch unter Berücksichtigung sämtlicher anderer sicherheitsrelevanter Änderungen desselben Teilsystems seit Inkrafttreten dieser Verordnung oder seit der letzten Anwendung des in dieser Verordnung beschriebenen Risikomanagementverfahrens - je nachdem, welcher Zeitpunkt der spätere ist - bewertet werden. Dabei gilt es zu beurteilen, ob die Änderungen in ihrer Gesamtheit signifikant sind und damit eine vollständige Anwendung der CSM für die Risikoevaluierung und -bewertung erfordern.
(11) Die Vertretbarkeit des mit einer signifikanten Änderung verbundenen Risikos sollte anhand eines oder mehrerer der folgenden Grundsätze der Risikoakzeptanz bewertet werden: Anwendung anerkannter Regeln der Technik, Vergleich mit ähnlichen Teilen des Eisenbahnsystems, explizite Risikoabschätzung. All diese Grundsätze werden bereits mit Erfolg bei verschiedenen Eisenbahnanwendungen wie auch bei anderen Verkehrsträgern und in anderen Sektoren angewandt. Der Grundsatz der "expliziten Risikoabschätzung" findet häufig bei komplexen oder innovativen Änderungen Anwendung. Die Entscheidung darüber, nach welchem Grundsatz zu verfahren ist, sollte dem Vorschlagenden obliegen.
(12) Entsprechend dem in Artikel 5 EG-Vertrag verankerten Grundsatz der Verhältnismäßigkeit sollte diese Verordnung nicht über das für die Erreichung ihres Ziels -also der Festlegung einer CSM für die Evaluierung und Bewertung von Risiken - erforderliche Maß hinausgehen. Bei Zugrundelegung allgemein anerkannter Regeln der Technik sollte es daher möglich sein, die Anwendung der CSM zu begrenzen. Ebenso sollte es, wenn bestehende gemeinschaftliche Rechtsvorschriften eine spezifische behördliche Intervention erfordern, der Sicherheitsbehörde gestattet sein, als unabhängige Bewertungsstelle zu agieren, damit doppelte Kontrollen, unangemessen hohe Kosten für den Sektor und zeitliche Verzögerungen bei der Markteinführung vermieden werden.
(13) Gemäß Artikel 6 Absatz 5 der Richtlinie 2004/49/EG haben die Mitgliedstaaten alle Änderungen an ihren nationalen Sicherheitsvorschriften vorzunehmen, die zur Einhaltung der CSM erforderlich sind.
(14) Angesichts der derzeit angewandten unterschiedlichen Verfahren zur Bewertung der Sicherheit ist es notwendig, einen Übergangszeitraum vorzusehen, damit den betroffenen Akteuren ausreichend Zeit zur Verfügung steht, um sich, soweit erforderlich, mit der neuen einheitlichen Vorgehensweise und ihrer Anwendung vertraut zu machen und erste Erfahrungen zu sammeln.
(15) Da ein formalisierter risikobasierter Ansatz in einigen Mitgliedstaaten ein relatives Novum darstellt, sollte die Anwendung der CSM für die Evaluierung und Bewertung von Risiken, soweit es um betriebliche und organisatorische Änderungen geht, bis zum 1. Juli 2012 auf freiwilliger Basis erfolgen. Dies sollte es der Europäischen Eisenbahnagentur ermöglichen, die Anwendung, soweit machbar, unterstützend zu begleiten und gegebenenfalls bis zum 1. Juli 2012 Änderungen an dieser CSM vorzuschlagen.
(16) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 27 Absatz 1 der Richtlinie 2004/49/EG eingesetzten Ausschusses
- hat folgende Verordnung erlassen:
Artikel 1 Zweck
(1) Diese Verordnung legt eine gemeinsame Sicherheitsmethode (CSM) für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie 2004/49/EG fest.
(2) Zweck der CSM für die Evaluierung und Bewertung von Risiken ist es, das Sicherheitsniveau im Schienenverkehr in der Gemeinschaft aufrechtzuerhalten oder - soweit erforderlich und nach vernünftigem Ermessen durchführbar - zu verbessern. Die CSM erleichtert den Zugang zum Markt für Schienenverkehrsdienste durch eine Harmonisierung
Artikel 2 Anwendungsbereich
(1) Die CSM für die Evaluierung und Bewertung von Risiken gilt für alle in einem Mitgliedstaat vorgenommenen Änderungen des Eisenbahnsystems im Sinne von Anhang III Ziffer 2 Buchstabe d der Richtlinie 2004/49/EG, die im Sinne von Artikel 4 dieser Verordnung für signifikant erachtet werden. Diese Änderungen können technischer, betrieblicher oder organisatorischer Art sein. Im Falle organisatorischer Änderungen sind nur solche Änderungen zu berücksichtigen, die sich auf die Betriebsbedingungen auswirken können.
(2) Betreffen die signifikanten Änderungen strukturelle Teilsysteme, die der Richtlinie 2008/57/EG unterliegen, findet die CSM für die Risikoevaluierung und -bewertung Anwendung,
Im in Unterabsatz 1 Buchstabe b genannten Fall darf die Anwendung der CSM jedoch nicht dazu führen, dass Anforderungen gestellt werden, die den verbindlichen Anforderungen der relevanten TSI widersprechen.
Erwächst dennoch aus der Anwendung der CSM eine Anforderung, die den verbindlichen Anforderungen der relevanten TSI widerspricht, informiert der Vorschlagende die betroffenen Mitgliedstaaten, die in diesem Fall beschließen können, eine Überarbeitung der TSI gemäß Artikel 6 Absatz 2 oder Artikel 7 der Richtlinie 2008/57/EG oder eine Ausnahme gemäß Artikel 9 dieser Richtlinie zu beantragen.
(3) Diese Verordnung gilt nicht für
(4) Diese Verordnung gilt nicht für Systeme und Änderungen, die zum Zeitpunkt des Inkrafttretens dieser Verordnung Vorhaben in fortgeschrittenem Entwicklungsstadium im Sinne von Artikel 2 Buchstabe t der Richtlinie 2008/57/EG sind.
Artikel 3 Begriffsbestimmungen
Für die Zwecke dieser Verordnung gelten die Begriffsbestimmungen von Artikel 3 der Richtlinie 2004/49/EG .
Darüber hinaus bezeichnet der Ausdruck:
Artikel 4 Signifikante Änderungen
(1) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung in einem Mitgliedstaat signifikant ist oder nicht, prüft der Vorschlagende die potenziellen Auswirkungen der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems.
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung des in Artikel 5 beschriebenen Risikomanagementverfahrens verzichtet werden.
(2) Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, entscheidet der Vorschlagende auf der Grundlage eines Sachverständigenurteils über die Signifikanz der Änderung, wobei er folgende Kriterien berücksichtigt:
Der Vorschlagende bewahrt zweckdienliche Unterlagen auf, die es ihm ermöglichen, die Gründe für seine Entscheidung zu dokumentieren.
Artikel 5 Risikomanagementverfahren
(1) Das in Anhang I beschriebene Risikomanagementverfahren findet Anwendung
(2) Das in Anhang I beschriebene Risikomanagementverfahren wird vom Vorschlagenden angewandt.
(3) Der Vorschlagende gewährleistet das Management der von Zulieferern und Dienstleistern, einschließlich ihrer Subunternehmer, ausgehenden Risiken. Zu diesem Zweck kann er verlangen, dass Zulieferer und Dienstleister, einschließlich ihrer Subunternehmer, an dem in Anhang I beschriebenen Risikomanagementverfahren mitwirken.
Artikel 6 Unabhängige Bewertung
(1) Die ordnungsgemäße Anwendung des in Anhang I beschriebenen Risikomanagementverfahrens und die Ergebnisse dieser Anwendung werden von einer Stelle, die den in Anhang II genannten Kriterien entspricht, einer unabhängigen Bewertung unterzogen. Soweit die zuständige Bewertungsstelle noch nicht in gemeinschaftlichen oder nationalen Rechtsvorschriften festgelegt ist, benennt der Vorschlagende selbst eine Bewertungsstelle, bei der es sich um eine andere Organisation oder auch um eine interne Abteilung handeln kann.
(2) Doppelarbeit zwischen der gemäß Richtlinie 2004/49/EG erforderlichen Konformitätsbewertung des Sicherheitsmanagementsystems, der gemäß Richtlinie 2008/57/EG durchgeführten Konformitätsbewertung durch eine benannte oder eine nationale Stelle und einer gemäß dieser Verordnung von der Bewertungsstelle durchgeführten unabhängigen Sicherheitsbewertung gilt es zu vermeiden.
(3) In folgenden Fällen signifikanter Änderungen kann die Sicherheitsbehörde als Bewertungsstelle agieren:
(4) Betrifft eine signifikante Änderung ein strukturelles Teilsystem, für dessen Inbetriebnahme eine Genehmigung gemäß Artikel 15 Absatz 1 oder Artikel 20 der Richtlinie 2008/57/EG erforderlich ist, kann die Sicherheitsbehörde als Bewertungsstelle agieren, sofern der Vorschlagende diese Aufgabe nicht bereits einer gemäß Artikel 18 Absatz 2 der Richtlinie 2008/57/EG benannten Stelle übertragen hat.
Artikel 7 Sicherheitsbewertungsberichte
(1) Die Bewertungsstelle unterbreitet dem Vorschlagenden einen Sicherheitsbewertungsbericht.
(2) In dem in Artikel 5 Absatz 1 Buchstabe a genannten Fall wird der Sicherheitsbewertungsbericht von der nationalen Sicherheitsbehörde bei ihrer Entscheidung über die Genehmigung der Inbetriebnahme von Teilsystemen und Fahrzeugen berücksichtigt.
(3) In dem in Artikel 5 Absatz 1 Buchstabe b genannten Fall gehört die unabhängige Bewertung zu den Aufgaben der benannten Stelle, sofern die TSI nichts anderes vorschreibt.
Wenn die unabhängige Bewertung nicht zu den Aufgaben der benannten Stelle gehört, wird der Sicherheitsbewertungsbericht von der benannten Stelle, die für die Ausstellung der Konformitätsbescheinigung verantwortlich ist, oder vom Auftraggeber, der für die Ausstellung der EG-Prüferklärung zuständig ist, berücksichtigt.
(4) Wurde ein System oder Teilsystem bereits in Anwendung des in dieser Verordnung festgelegten Risikomanagementverfahrens zugelassen, kann der daraus resultierende Sicherheitsbewertungsbericht nicht von einer anderen Bewertungsstelle, die mit einer erneuten Bewertung desselben Systems beauftragt ist, in Frage gestellt werden. Voraussetzung für die Anerkennung ist der Nachweis, dass das System unter denselben funktionalen, betrieblichen und Umweltbedingungen wie das bereits zugelassene System eingesetzt wird und dass gleichwertige Risikoakzeptanzkriterien angelegt werden.
Artikel 8 Risikokontrolle/interne und externe Prüfungen
(1) Die Eisenbahnunternehmen und Infrastrukturbetreiber sehen im Rahmen der regelmäßigen Überprüfung des gemäß Artikel 9 der Richtlinie 2004/49/EG einzuführenden Sicherheitsmanagementsystems eine Überprüfung der Anwendung der CSM für die Risikoevaluierung und -bewertung vor.
(2) Im Rahmen der ihr durch Artikel 16 Absatz 2 Buchstabe e der Richtlinie 2004/49/EG übertragenen Aufgaben überwacht die zuständige nationale Sicherheitsbehörde die Anwendung der CSM für die Risikoevaluierung und -bewertung.
Artikel 9 Rückmeldungen und technischer Fortschritt
(1) Jeder Infrastrukturbetreiber und jedes Eisenbahnunternehmen berichtet in seinem gemäß Artikel 9 Absatz 4 der Richtlinie 2004/49/EG vorzulegenden jährlichen Sicherheitsbericht kurz über seine Erfahrungen mit der Anwendung der CSM für die Risikoevaluierung und -bewertung. Darüber hinaus enthält der Bericht eine zusammenfassende Darstellung der Entscheidungen bezüglich der Signifikanz der Änderungen.
(2) Jede nationale Sicherheitsbehörde berichtet in ihrem gemäß Artikel 18 der Richtlinie 2004/49/EG vorzulegenden jährlichen Sicherheitsbericht über die Erfahrungen der Vorschlagenden mit der Anwendung der CSM für die Risikoevaluierung und -bewertung sowie gegebenenfalls über ihre eigenen Erfahrungen.
(3) Die Europäische Eisenbahnagentur überwacht die Anwendung der CSM für die Risikoevaluierung und -bewertung, nimmt Rückmeldungen entgegen und richtet gegebenenfalls Empfehlungen für Verbesserungen an die Kommission.
(4) Die Europäischen Eisenbahnagentur legt der Kommission spätestens zum 31. Dezember 2011 einen Bericht vor, der Folgendes umfasst:
Die Sicherheitsbehörden unterstützen die Agentur, indem sie Fälle der Anwendung der CSM für die Risikoevaluierung und -bewertung ermitteln.
Artikel 10 Inkrafttreten
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Diese Verordnung gilt ab 1. Juli 2012.
Jedoch gilt sie ab 19. Juli 2010:
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 24. April 2009
________________
1) ABl. Nr. L 164 vom 30.04.2004 S. 44. Berichtigte Fassung im ABl. Nr. L 220 vom 21.06.2004 S. 16.
2) ABl. Nr. L 237 vom 24.08.1991 S. 25.
3) ABl. Nr. L 191 vom 18.07.2008 S. 1.
4) ABl. Nr. L 235 vom 17.09.1996 S. 6.
5) ABl. Nr. L 110 vom 20.04.2001 S. 1.
Anhang I |
1. Allgemeine Grundsätze für das Risikomanagementverfahren
1.1. Allgemeine Grundsätze und Verpflichtungen
1.1.1. Das Risikomanagementverfahren, das Gegenstand dieser Verordnung ist, beginnt mit der Definition des zu bewertenden Systems und umfasst folgende Schritte:
Das Risikomanagementverfahren ist ein iteratives Verfahren, das in der Anlage grafisch dargestellt ist. Das Verfahren endet, wenn nachgewiesen ist, dass das System alle Sicherheitsanforderungen erfüllt, die im Hinblick auf die Akzeptanz der mit den ermittelten Gefährdungen verbundenen Risiken erforderlich sind.
1.1.2. Dieses iterative Risikomanagementverfahren
1.1.3. Der Vorschlagende, der für das durch diese Verordnung vorgeschriebene Risikomanagementverfahren verantwortlich ist, führt ein Gefährdungsprotokoll im Sinne von Abschnitt 4.
1.1.4. Akteure, die bereits über Methoden oder Instrumente für die Risikobewertung verfügen, können diese weiterhin anwenden, sofern sie den Bestimmungen dieser Verordnung entsprechen und sofern folgende Bedingungen erfüllt sind:
1.1.5. Unbeschadet der zivilrechtlichen Haftung nach den Rechtsvorschriften der Mitgliedstaaten unterliegt das Risikobewertungsverfahren der Verantwortung des Vorschlagenden. Insbesondere entscheidet der Vorschlagende in Abstimmung mit den betroffenen Akteuren, wer für die Erfüllung der sich aus der Risikobewertung ergebenden Sicherheitsanforderungen verantwortlich ist. Diese Entscheidung ist davon abhängig, welche Art von Sicherheitsmaßnahmen gewählt wurde, um die Risiken auf einem vertretbaren Niveau zu halten. Der Nachweis über die Erfüllung der Sicherheitsanforderungen erfolgt gemäß Abschnitt 3.
1.1.6. Der erste Schritt des Risikomanagementverfahrens besteht darin, dass in einem vom Vorschlagenden zu erstellenden Dokument die Aufgaben der verschiedenen Akteure sowie ihre Risikomanagementmaßnahmen festgehalten werden. Der Vorschlagende sorgt für eine enge Zusammenarbeit zwischen den verschiedenen beteiligten Akteuren und koordiniert ihre Tätigkeiten - unter Berücksichtigung ihrer jeweiligen Aufgaben - im Sinne eines ordnungsgemäßen Managements der Gefährdungen und der entsprechenden Sicherheitsmaßnahmen.
1.1.7. Für die Bewertung der ordnungsgemäßen Anwendung des in dieser Verordnung beschriebenen Risikomanagementverfahrens ist die Bewertungsstelle zuständig.
1.2. Schnittstellen-Management
1.2.1. An allen Schnittstellen, die für das zu bewertende System von Bedeutung sind, arbeiten die betroffenen Akteure des Eisenbahnsektors - unbeschadet der in einschlägigen TSI definierten Schnittstellenspezifikationen - zusammen, um gemeinsam die Ermittlung und das Management der Gefährdungen und der entsprechenden Sicherheitsmaßnahmen, die an diesen Schnittstellen relevant sind, zu bewerkstelligen. Das Management gemeinsamer Risiken an den Schnittstellen wird vom Vorschlagenden koordiniert.
1.2.2. Wenn ein Akteur feststellt, dass zur Erfüllung einer Sicherheitsanforderung eine Sicherheitsmaßnahme notwendig ist, die er nicht selbst umsetzen kann, überträgt er die Zuständigkeit für das Management der in Frage stehenden Gefährdung auf einen anderen Akteur, mit dem er eine entsprechende Vereinbarung getroffen hat. Dabei ist das in Abschnitt 4 beschriebene Verfahren einzuhalten.
1.2.3. In Bezug auf das System, das der Bewertung unterzogen wird, ist jeder Akteur, der feststellt, dass eine Sicherheitsmaßnahme nicht den Anforderungen genügt oder unzureichend ist, dafür verantwortlich, dass der Vorschlagende davon in Kenntnis gesetzt wird; dieser unterrichtet seinerseits den für die Umsetzung der Sicherheitsmaßnahme zuständigen Akteur.
1.2.4. Der Akteur, der die Sicherheitsmaßnahme umsetzt, informiert daraufhin alle Akteure, die von dem Problem betroffen sind, sei es innerhalb des zu bewertenden Systems oder - soweit dem betreffenden Akteur bekannt - innerhalb anderer bestehender Systeme, die dieselbe Sicherheitsmaßnahme anwenden.
1.2.5. Wenn zwischen zwei oder mehreren Akteuren keine Einigung erzielt werden kann, obliegt es dem Vorschlagenden, eine angemessene Lösung zu finden.
1.2.6. Kann eine in einer notifizierten nationalen Vorschrift festgelegte Anforderung von einem Akteur nicht erfüllt werden, holt der Vorschlagende den Rat der zuständigen Behörde ein.
1.2.7. Unabhängig von der Definition des zu bewertenden Systems hat der Vorschlagende sicherzustellen, dass das Risikomanagement das System selbst wie auch die Integration des Systems in das Eisenbahnsystem als Ganzes abdeckt.
2. Beschreibung des Risikobewertungsverfahrens
2.1. Allgemeine Beschreibung
2.1.1. Das Risikobewertungsverfahren ist der iterative Gesamtprozess, der folgende Schritte umfasst:
Das Risikobewertungsverfahren wird in Interaktion mit dem Gefährdungsmanagement gemäß Abschnitt 4.1 durchgeführt.
2.1.2. Bei der Systemdefinition sollten mindestens folgende Aspekte berücksichtigt werden:
2.1.3. Für das definierte System wird eine Gefährdungsermittlung gemäß Abschnitt 2.2 vorgenommen.
2.1.4. Die Vertretbarkeit des Risikos des zu bewertenden Systems wird unter Zugrundelegung eines oder mehrerer der folgenden Grundsätze der Risikoakzeptanz evaluiert:
In Übereinstimmung mit dem allgemeinen Grundsatz gemäß Abschnitt 1.1.5 sieht die Bewertungsstelle davon ab, dem Vorschlagenden Auflagen bezüglich des anzuwendenden Grundsatzes der Risikoakzeptanz zu machen.
2.1.5. Der Vorschlagende weist in der Risikoevaluierung nach, dass der gewählte Risikoakzeptanzgrundsatz in angemessener Weise angewandt wird. Darüber hinaus überprüft der Vorschlagende, dass die ausgewählten Risikoakzeptanzgrundsätze einheitlich angewandt werden.
2.1.6. Mit der Anwendung dieser Risikoakzeptanzgrundsätze werden mögliche Sicherheitsmaßnahmen ermittelt, mit denen die Risiken des zu bewertenden Systems auf ein vertretbares Maß beschränkt werden. Von diesen Sicherheitsmaßnahmen werden diejenigen, die für die Risikokontrolle ausgewählt wurden, zu Sicherheitsanforderungen, die vom System erfüllt werden müssen. Die Erfüllung dieser Sicherheitsanforderungen wird gemäß Abschnitt 3 nachgewiesen.
2.1.7. Das iterative Risikobewertungsverfahren kann als abgeschlossen betrachtet werden, wenn nachgewiesen ist, dass alle Sicherheitsanforderungen eingehalten werden und keine weiteren, nach vernünftigem Ermessen vorhersehbaren Gefährdungen zu berücksichtigen sind.
2.2. Gefährdungsermittlung
2.2.1. Der Vorschlagende ermittelt systematisch unter Rückgriff auf die umfassende Fachkenntnis eines qualifizierten Teams sämtliche nach vernünftigem Ermessen vorhersehbaren Gefährdungen für das gesamte zu bewertende System und gegebenenfalls für dessen relevante Funktionen sowie dessen Schnittstellen.
Alle erkannten Gefährdungen werden gemäß Abschnitt 4 im Gefährdungsprotokoll erfasst.
2.2.2. Mit dem Ziel, die Risikobewertung auf die wichtigsten Risiken zu konzentrieren, werden die Gefährdungen nach dem sich aus ihnen ergebenden geschätzten Risiko eingestuft. Auf der Grundlage eines Sachverständigenurteils müssen Gefährdungen, die mit einem weitgehend akzeptablen Risiko verbunden sind, nicht weiter analysiert, sondern lediglich im Gefährdungsprotokoll erfasst werden. Die Einstufung der Gefährdungen ist zu begründen, damit eine unabhängige Bewertung durch eine Bewertungsstelle vorgenommen werden kann.
2.2.3. Aus Gefährdungen resultierende Risiken können beispielsweise dann als weitgehend akzeptabel eingestuft werden, wenn das Risiko so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen nicht angemessen wäre. Das Sachverständigenurteil berücksichtigt, dass der Gesamtumfang aller weitgehend akzeptablen Risiken einen bestimmten Anteil am Gesamtrisiko nicht übersteigen darf.
2.2.4. Bei der Gefährdungsermittlung können Sicherheitsmaßnahmen identifiziert werden. Diese werden gemäß Abschnitt 4 im Gefährdungsprotokoll erfasst.
2.2.5. Die Gefährdungsermittlung muss nur so detailliert durchgeführt werden, dass bestimmt werden kann, in welchen Fällen davon auszugehen ist, dass durch Sicherheitsmaßnahmen die Risiken gemäß einem der in Ziffer 2.1.4 genannten Risikoakzeptanzgrundsätze kontrolliert werden können. Somit müssen die Phasen der Risikoanalyse und der Risikoevaluierung gegebenenfalls mehrfach durchlaufen werden, bis ein ausreichender Detaillierungsgrad für die Erkennung von Gefährdungen erreicht ist.
2.2.6. Wird zur Risikokontrolle auf anerkannte Regeln der Technik oder auf ein Referenzsystem zurückgegriffen, kann die Gefährdungsermittlung beschränkt werden auf
2.3. Zugrundelegung der anerkannten Regeln der Technik und Risikoevaluierung
2.3.1. Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure und auf der Grundlage der unter Ziffer 2.3.2 genannten Anforderungen, ob eine oder mehrere Gefährdungen durch die Anwendung der relevanten anerkannten Regeln der Technik angemessen abgedeckt werden.
2.3.2. Die anerkannten Regeln der Technik müssen mindestens folgende Anforderungen erfüllen:
2.3.3. In Fällen, in denen gemäß der Richtlinie 2008/57/EG die Einhaltung von TSI verlangt wird und die relevanten TSI nicht das durch diese Verordnung vorgeschriebene Risikomanagementverfahren vorsehen, können die TSI als anerkannte Regeln der Technik für die Kontrolle von Gefährdungen betrachtet werden, sofern die unter Ziffer 2.3.2 Buchstabe c genannte Anforderung erfüllt ist.
2.3.4. Nationale Vorschriften, die gemäß Artikel 8 der Richtlinie 2004/49/EG und Artikel 17 Absatz 3 der Richtlinie 2008/57/EG notifiziert werden, können als anerkannte Regeln der Technik betrachtet werden, sofern die unter Ziffer 2.3.2 genannten Anforderungen erfüllt sind.
2.3.5. Wenn eine oder mehrere Gefährdungen durch anerkannte Regeln der Technik kontrolliert werden, die die Anforderungen unter Ziffer 2.3.2 erfüllen, sind die mit diesen Gefährdungen verbundenen Risiken als vertretbar anzusehen. Dies bedeutet,
2.3.6. Entspricht der verfolgte Ansatz den relevanten anerkannten Regeln der Technik nicht in vollem Umfang, hat der Vorschlagende nachzuweisen, dass der stattdessen verfolgte Ansatz mindestens dasselbe Sicherheitsniveau gewährleistet.
2.3.7. Kann das aus einer bestimmten Gefährdung erwachsende Risiko nicht durch Anwendung anerkannter Regeln der Technik auf ein akzeptables Maß eingedämmt werden, werden zusätzliche Sicherheitsmaßnahmen ermittelt, bei denen einer der beiden anderen Risikoakzeptanzgrundsätze zur Anwendung kommt.
2.3.8. Erfolgt die Kontrolle sämtlicher Gefährdungen durch Anwendung der anerkannten Regeln der Technik, kann das Risikomanagementverfahren beschränkt werden auf
2.4. Heranziehung eines Referenzsystems und Risikoevaluierung
2.4.1. Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine oder mehrere Gefährdungen durch ein ähnliches System abgedeckt werden, das als Referenzsystem herangezogen werden könnte.
2.4.2. Ein Referenzsystem muss mindestens folgende Anforderungen erfüllen:
2.4.3. Erfüllt ein Referenzsystem die unter Ziffer 2.4.2 genannten Anforderungen, gilt für das zu bewertende System Folgendes:
2.4.4. Weicht das zu bewertende System vom Referenzsystem ab, muss aus der Risikoevaluierung hervorgehen, dass das bewertete System mindestens das gleiche Sicherheitsniveau erreicht wie das Referenzsystem. Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden in diesem Fall als vertretbar angesehen.
2.4.5. Kann nicht nachgewiesen werden, dass das System das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, werden für die Abweichungen zusätzliche Sicherheitsmaßnahmen ermittelt, bei denen einer der beiden anderen Risikoakzeptanzgrundsätze zur Anwendung kommt.
2.5. Explizite Risikoabschätzung und -evaluierung
2.5.1. Wenn die Gefährdungen nicht von einem der beiden Risikoakzeptanzgrundsätze abgedeckt werden, die in den Abschnitten 2.3 und 2.4 beschrieben sind, wird der Nachweis über die Vertretbarkeit des Risikos in Form einer expliziten Risikoabschätzung und -evaluierung erbracht. Risiken, die sich aus diesen Gefährdungen ergeben, werden unter Berücksichtigung der vorhandenen Sicherheitsmaßnahmen quantitativ oder qualitativ beurteilt.
2.5.2. Die Vertretbarkeit der geschätzten Risiken wird anhand von Risikoakzeptanzkriterien bewertet, die aus in gemeinschaftlichen Rechtsvorschriften oder notifizierten nationalen Vorschriften niedergelegten gesetzlichen Anforderungen abgeleitet werden oder darauf beruhen. In Abhängigkeit von den Risikoakzeptanzkriterien kann die Vertretbarkeit des Risikos entweder für jede Gefährdung einzeln oder insgesamt für die Kombination aller bei der expliziten Risikoabschätzung berücksichtigten Gefährdungen bewertet werden.
Wenn das geschätzte Risiko nicht vertretbar ist, werden zusätzliche Sicherheitsmaßnahmen ermittelt und eingeführt, damit das Risiko auf ein vertretbares Maß gesenkt werden kann.
2.5.3. Wird das mit einer Gefährdung oder mit einer Kombination mehrerer Gefährdungen verbundene Risiko als vertretbar angesehen, werden die ermittelten Sicherheitsmaßnahmen im Gefährdungsprotokoll erfasst.
2.5.4. Wenn sich aus Ausfällen technischer Systeme Gefährdungen ergeben, die nicht von den anerkannten Regeln der Technik oder der Verwendung eines Referenzsystems abgedeckt werden, gilt für die Planung des technischen Systems folgendes Risikoakzeptanzkriterium:
Bei technischen Systemen, bei denen im Falle eines funktionellen Ausfalls von unmittelbaren katastrophalen Folgen auszugehen ist, muss das damit verbundene Risiko nicht weiter eingedämmt werden, wenn die Ausfallrate pro Betriebsstunde kleiner oder gleich 10 -9 ist.
2.5.5. Unbeschadet des in Artikel 8 der Richtlinie 2004/49/EG vorgesehenen Verfahrens kann im Interesse der Aufrechterhaltung eines nationalen Sicherheitsniveaus im Wege einer nationalen Vorschrift ein strengeres Kriterium festgelegt werden. Werden jedoch zusätzliche Genehmigungen für die Inbetriebnahme von Fahrzeugen verlangt, gelten die Verfahren der Artikel 23 und 25 der Richtlinie 2008/57/EG .
2.5.6. Wird ein technisches System unter Zugrundlegung des unter Ziffer 2.5.4 festgelegten Kriteriums einer Ausfallrate von 10 -9 entwickelt, findet das Prinzip der gegenseitigen Anerkennung gemäß Artikel 7 Absatz 4 dieser Verordnung Anwendung.
Weist der Vorschlagende jedoch nach, dass das nationale Sicherheitsniveau im betreffenden Mitgliedstaat sich auch bei einer Ausfallrate pro Betriebsstunde von über 10 -9 aufrechterhalten lässt, kann das entsprechende Kriterium vom Vorschlagenden im betreffenden Mitgliedstaat angewandt werden.
2.5.7. Die explizite Risikoabschätzung und -evaluierung muss mindestens folgende Anforderungen erfüllen:
3. Nachweis der Erfüllung der Sicherheitsanforderungen
3.1. Bevor die Sicherheit einer Änderung bescheinigt wird, ist - unter Aufsicht des Vorschlagenden - die Erfüllung der sich aus der Phase der Risikobewertung ergebenden Sicherheitsanforderungen nachzuweisen.
3.2. Dieser Nachweis wird von jedem der für die Erfüllung der gemäß Ziffer 1.1.5 bestimmten Sicherheitsanforderungen verantwortlichen Akteure erbracht.
3.3. Die für den Nachweis der Erfüllung der Sicherheitsanforderungen gewählte Vorgehensweise sowie der Nachweis selbst werden einer unabhängigen Bewertung durch eine Bewertungsstelle unterzogen.
3.4. Eine Unangemessenheit der Sicherheitsmaßnahmen, durch die die Sicherheitsanforderungen erfüllt werden sollen, oder eine Gefährdung, die beim Nachweis der Erfüllung der Sicherheitsanforderungen entdeckt wird, hat gemäß Abschnitt 2 eine erneute Bewertung und Evaluierung der damit verbundenen Risiken durch den Vorschlagenden zur Folge. Die neuen Gefährdungen werden gemäß Abschnitt 4 im Gefährdungsprotokoll festgehalten.
4. Gefährdungsmanagement
4.1. Gefährdungsmanagementverfahren
4.1.1. Im Verlauf der Planung und Durchführung werden - bis zur Genehmigung der Änderung oder der Vorlage des Sicherheitsbewertungsberichts - vom Vorschlagenden Gefährdungsprotokolle angelegt bzw. aktualisiert (sofern sie bereits bestehen). Im Gefährdungsprotokoll werden die Fortschritte in der Überwachung der aus den ermittelten Gefährdungen resultierenden Risiken aufgezeichnet. Gemäß Anhang III Ziffer 2 Buchstabe g der Richtlinie 2004/49/EG wird das Gefährdungsprotokoll, sobald das System genehmigt und in Betrieb genommen wurde, von dem Infrastrukturbetreiber oder dem Eisenbahnunternehmen, der bzw. das für den Betrieb des der Bewertung unterzogenen Systems verantwortlich ist, als integraler Bestandteil seines Sicherheitsmanagementsystems weitergeführt.
4.1.2. Im Gefährdungsprotokoll sind alle Gefährdungen sowie alle entsprechenden Sicherheitsmaßnahmen und Systemannahmen aufgeführt, die im Zuge des Risikobewertungsverfahrens identifiziert wurden. Insbesondere enthält das Protokoll einen eindeutigen Verweis auf die Herkunft und die gewählten Risikoakzeptanzgrundsätze sowie genaue Angaben zu den Akteuren, die für die Kontrolle der einzelnen Gefährdungen verantwortlich sind.
4.2. Informationsaustausch
Alle Gefährdungen und damit zusammenhängenden Sicherheitsanforderungen, die nicht durch einen Akteur allein kontrolliert werden können, werden einem weiteren beteiligten Akteur gemeldet, damit gemeinsam eine angemessene Lösung gefunden werden kann. Die Gefährdungen, die im Gefährdungsprotokoll des Akteurs aufgezeichnet sind, der die Zuständigkeit auf einen anderen Akteur überträgt, gelten nur dann als "kontrolliert", wenn die Evaluierung der Risiken im Zusammenhang mit diesen Gefährdungen von dem anderen Akteur vorgenommen wird und sich alle Beteiligten auf eine Lösung einigen.
5. Dokumentation der Anwendung des Risikomanagementverfahrens
5.1. Das Risikomanagementverfahren, das für die Bewertung der Sicherheitsniveaus und der Erfüllung der Sicherheitsanforderungen angewandt wird, ist vom Vorschlagenden in einer Weise zu dokumentieren, dass einer Bewertungsstelle alle erforderlichen Nachweise über die ordnungsgemäße Anwendung des Risikomanagementverfahrens zugänglich sind. Die Bewertungsstelle hält ihre Schlussfolgerungen in einem Sicherheitsbewertungsbericht fest.
5.2. Das vom Vorschlagenden gemäß Ziffer 5.1 erstellte Dokument enthält mindestens
Risikomanagementverfahren und unabhängige Bewertung | Anlage |
Von den Bewertungsstellen zu erfüllende Kriterien | Anhang II |
ENDE |