Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2013, Gefahrgut/Transport - EU Bund |
Durchführungsverordnung (EU) Nr. 402/2013 der Kommission vom 30. April 2013 über die gemeinsame Sicherheitsmethode für die Evaluierung und Bewertung von Risiken und zur Aufhebung der Verordnung (EG) Nr. 352/2009
(Text von Bedeutung für den EWR)
(ABl. Nr. L 121 vom 03.05.2013 S. 8;
VO (EU) 2015/1136 - ABl. Nr. L 185 vom::14.07.2015 S. 6 Inkrafttreten)
Neufassung - Ersetzt VO (EG) Nr. 352/2009
Die Europäische Kommission -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie 95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn, die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung ("Richtlinie über die Eisenbahnsicherheit") 1, insbesondere auf Artikel 6 Absatz 4,
in Erwägung nachstehender Gründe:
(1) Im Einklang mit der Richtlinie 2004/49/EG sollten gemeinsame Sicherheitsmethoden (CSM) schrittweise eingeführt werden, damit ein hohes Sicherheitsniveau gewährleistet und die Sicherheit, soweit dies erforderlich und nach vernünftigem Ermessen durchführbar ist, verbessert wird.
(2) Am 12. Oktober 2010 hat die Kommission der Europäischen Eisenbahnagentur (die "Agentur") im Einklang mit der Richtlinie 2004/49/EG den Auftrag erteilt, die Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates 2 zu überarbeiten. In die Überarbeitung sollten die Ergebnisse der von der Agentur nach Artikel 9 Absatz 4 der Verordnung vorgenommenen Analyse der allgemeinen Wirksamkeit der CSM für die Risikoevaluierung und -bewertung und der Erfahrungen mit deren Anwendung sowie Weiterentwicklungen hinsichtlich Rolle und Zuständigkeiten der Bewertungsstelle im Sinne des Artikels 6 der genannten Verordnung einfließen. Die Überarbeitung sollte sich auch auf die Qualifikationsanforderungen (durch Entwicklung eines Anerkennungs- /Akkreditierungssystems) an die Bewertungsstelle entsprechend ihrer Rolle bei den CSM erstrecken; dabei sollte es um mehr Klarheit gehen, damit Unterschiede bei der Anwendung in den Mitgliedstaaten vermieden werden, und gleichzeitig sollten die Schnittstellen mit bestehenden Genehmigungs-/Zertifizierungsverfahren der Union im Eisenbahnsektor Berücksichtigung finden. Falls realisierbar, sollten in die Überarbeitung der Verordnung (EG) Nr. 352/2009 auch Weiterentwicklungen bei den Risikoakzeptanzkriterien einfließen, die verwendet werden könnten, um die Vertretbarkeit eines Risikos im Zuge der expliziten Risikoabschätzung und -evaluierung zu bewerten. Die Agentur legte der Kommission ihre Empfehlung hinsichtlich der Überarbeitung der CSM zusammen mit einem Folgenabschätzungsbericht zum Auftrag der Kommission vor. Die vorliegende Verordnung stützt sich auf diese Empfehlung der Agentur.
(3) Im Einklang mit der Richtlinie 2004/49/EG sollten die wesentlichen Bestandteile für das Sicherheitsmanagementsystem Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung von Maßnahmen zur Risikobeherrschung für den Fall umfassen, dass sich aus geänderten Betriebsbedingungen oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben. Dieser wesentliche Bestandteil des Sicherheitsmanagementsystems ist Gegenstand dieser Verordnung.
(4) Artikel 14a Absatz 3 der Richtlinie 2004/49/EG verlangt von den für die Instandhaltung zuständigen Stellen mittels eines Instandhaltungssystems zu gewährleisten, dass die Fahrzeuge, für deren Instandhaltung sie zuständig ist, in einem sicheren Betriebszustand sind. Um mit Änderungen bei Ausrüstung, Verfahren, Organisation, Personalausstattung oder Schnittstellen umgehen zu können, sollten die für die Instandhaltung zuständigen Stellen Risikobewertungsverfahren eingerichtet haben. Diese Anforderung an das Instandhaltungssystem ist ebenfalls Gegenstand dieser Verordnung.
(5) Aus der Anwendung der Richtlinie 91/440/EG des Rates vom 29. Juli 1991 zur Entwicklung der Eisenbahnunternehmen der Gemeinschaft 3 sowie des Artikels 9 Absatz 2 der Richtlinie 2004/49/EG folgt, dass ein besonderes Augenmerk dem Risikomanagement an den Schnittstellen zwischen den in die Anwendung dieser Verordnung einbezogenen Akteuren gelten sollte.
(6) Artikel 15 der Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft 4 sieht vor, dass die Mitgliedstaaten alle gebotenen Maßnahmen treffen, damit die strukturellen Teilsysteme, die Bestandteil des Eisenbahnsystems sind, nur dann in Betrieb genommen werden dürfen, wenn sie so geplant, gebaut und installiert werden, dass die einschlägigen grundlegenden Anforderungen erfüllt werden, wenn sie in das Eisenbahnsystem einbezogen werden. Insbesondere müssen die Mitgliedstaaten die technische Kompatibilität dieser Teilsysteme mit dem Eisenbahnsystem, in das sie integriert werden, und die sichere Integration dieser Teilsysteme im Einklang mit dem Anwendungsbereich dieser Verordnung überprüfen.
(7) Das Fehlen eines gemeinsamen Konzepts der Mitgliedstaaten zur Festlegung und zum Nachweis der Einhaltung der Sicherheitsniveaus und der Anforderungen des Eisenbahnsystems hat sich als eines der Hindernisse erwiesen, das einer Öffnung des Eisenbahnmarktes im Wege steht. Ein solches gemeinsames Konzept sollte mit dieser Verordnung eingeführt werden.
(8) Zur Erleichterung einer gegenseitigen Anerkennung zwischen den Mitgliedstaaten sollten die für die Ermittlung und das Management von Risiken angewandten Methoden wie auch die Methoden zum Nachweis, dass das Eisenbahnsystem im Gebiet der Union den Sicherheitsanforderungen entspricht, zwischen den an der Entwicklung und dem Betrieb des Eisenbahnsystems beteiligten Akteuren harmonisiert werden. Ein erster notwendiger Schritt ist - im Einklang mit Anhang III Nummer 2 Buchstabe d der Richtlinie 2004/49/EG - die Harmonisierung der Verfahren und Methoden für die Durchführung von Risikobewertungen und die Anwendung von Maßnahmen zur Risikobeherrschung für den Fall, dass sich aus geänderten Betriebsbedingungen oder neuem Material neue Risiken für die Infrastruktur oder den Betrieb ergeben.
(9) Wurde keine nationale Vorschrift notifiziert, anhand deren bestimmt werden kann, ob eine Änderung für die Sicherheit in einem Mitgliedstaat signifikant ist oder nicht, sollte das oder die für die Durchführung der Änderung verantwortliche Unternehmen oder Organisation (im Folgenden "der Vorschlagende" genannt) zunächst die potenziellen Auswirkungen der betreffenden Änderung auf die Sicherheit des Eisenbahnsystems prüfen. Hat die vorgeschlagene Änderung Auswirkungen auf die Sicherheit, sollte der Vorschlagende auf der Grundlage einer Expertenbewertung und anhand von Kriterien, die in dieser Verordnung festgelegt werden sollten, die Signifikanz der Änderung bewerten. Diese Bewertung sollte zu einer von drei Schlussfolgerungen führen. Im ersten Fall wird die Änderung nicht für signifikant erachtet und der Vorschlagende sollte die Änderung durch Anwendung seiner eigenen Sicherheitsmethode vornehmen. Im zweiten Fall wird die Änderung für signifikant erachtet und der Vorschlagende sollte die Änderung durch Anwendung dieser Verordnung vornehmen, ohne dass ein gezieltes Eingreifen der nationalen Sicherheitsbehörde erforderlich ist. Im dritten Fall wird die Änderung für signifikant erachtet, doch existieren Rechtsvorschriften auf Ebene der Europäischen Union, die ein gezieltes Eingreifen der zuständigen nationalen Sicherheitsbehörde erfordern, wie etwa eine neue Genehmigung für die Inbetriebnahme eines Fahrzeugs oder eine Überprüfung/Aktualisierung der Sicherheitsbescheinigung eines Eisenbahnunternehmens oder eine Überprüfung/Aktualisierung der Sicherheitsgenehmigung eines Infrastrukturbetreibers.
(10) Wird eine Änderung an einem bereits in Betrieb befindlichen Eisenbahnsystem vorgenommen, sollte die Signifikanz der Änderung auch unter Berücksichtigung sämtlicher anderer sicherheitsrelevanter Änderungen desselben Teilsystems seit Inkrafttreten dieser Verordnung oder seit der letzten Anwendung des in dieser Verordnung dargelegten Risikomanagementverfahrens - je nachdem, welcher Zeitpunkt der spätere ist - bewertet werden. Dabei gilt es zu beurteilen, ob die Änderungen in ihrer Gesamtheit signifikant sind und damit eine vollständige Anwendung der CSM für die Risikoevaluierung und -bewertung erfordern.
(11) Die Vertretbarkeit des mit einer signifikanten Änderung verbundenen Risikos sollte anhand eines oder mehrerer der folgenden Grundsätze der Risikoakzeptanz bewertet werden: Anwendung von Regelwerken, Vergleich mit ähnlichen Teilen des Eisenbahnsystems oder explizite Risikoabschätzung. All diese Grundsätze werden bereits mit Erfolg bei verschiedenen Eisenbahnanwendungen wie auch bei anderen Verkehrsträgern und in anderen Sektoren angewandt. Der Grundsatz der "expliziten Risikoabschätzung" findet häufig bei komplexen oder innovativen Änderungen Anwendung. Die Entscheidung darüber, nach welchem Grundsatz zu verfahren ist, sollte dem Vorschlagenden obliegen.
(12) Bei Zugrundelegung eines allgemein anerkannten Regelwerks sollte es daher in Übereinstimmung mit dem Grundsatz der Verhältnismäßigkeit möglich sein, den Aufwand für die Anwendung der CSM zu begrenzen. Ebenso sollte es, wenn bestehende Rechtsvorschriften auf Ebene der Union ein gezieltes Eingreifen der nationalen Sicherheitsbehörde erfordern, dieser Behörde gestattet sein, als unabhängige Bewertungsstelle zu agieren, damit eine doppelte Prüfung, unangemessen hohe Kosten für den Sektor und zeitliche Verzögerungen bei der Markteinführung vermieden werden.
(13) Die Agentur sollte, um der Kommission einen Bericht über die Effektivität und die Anwendung dieser Verordnung vorlegen und gegebenenfalls Empfehlungen zu ihrer Verbesserung formulieren zu können, relevante Informationen bei den verschiedenen beteiligten Akteuren einholen können, unter anderem bei den nationalen Sicherheitsbehörden, den für die Zertifizierung von für die Instandhaltung von Güterwagen zuständigen Stellen und anderen für die Instandhaltung zuständigen Stellen, die nicht in den Anwendungsbereich der Verordnung (EU) Nr. 445/2011 der Kommission vom 10. Mai 2011 über ein System zur Zertifizierung von für die Instandhaltung von Güterwagen zuständigen Stellen fallen 5.
(14) Die Akkreditierung einer Bewertungsstelle sollte in der Regel von der nationalen Akkreditierungsstelle vorgenommen werden, die die ausschließliche Zuständigkeit für die Beurteilung der Frage hat, ob die Bewertungsstelle die in harmonisierten Normen festgelegten Anforderungen erfüllt. Die Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten 6 enthält genaue Bestimmungen über die Zuständigkeit solcher nationalen Akkreditierungsstellen.
(15) Wenn einheitliche EU-Rechtsvorschriften für ihre Durchführung die Auswahl von Konformitätsbewertungsstellen vorsehen, so sollte die transparente Akkreditierung nach der Verordnung (EG) Nr. 765/2008 unionsweit von den nationalen Behörden als bevorzugtes Mittel zum Nachweis der fachlichen Kompetenz dieser Stellen angesehen werden. Allerdings könnten nationale Behörden die Auffassung vertreten, dass sie die geeigneten Mittel besitzen, um diese Beurteilung selbst vorzunehmen. In solchen Fällen legt der Mitgliedstaat der Kommission und den übrigen Mitgliedstaaten alle Unterlagen vor, die zum Nachweis der Kompetenz der Anerkennungsstelle, die er für die Umsetzung der Rechtsvorschriften der Union auswählt, erforderlich sind. Um ein vergleichbares Maß an Qualität und Vertrauen zu erreichen, wie es von der Akkreditierung erwartet wird, sollten die Anforderungen und Regeln für die Beurteilung und Überwachung von Bewertungsstellen im Fall der Anerkennung denen gleichwertig sein, die für die Akkreditierung herangezogen werden.
(16) Eine unabhängige, fachkundige externe oder interne natürliche Person, Organisation oder Stelle, eine nationale Sicherheitsbehörde, eine benannte Stelle oder eine gemäß Artikel 17 der Richtlinie 2008/57/EG benannte Stelle könnte als Bewertungsstelle agieren, sofern sie die in Anhang II genannten Kriterien erfüllt.
(17) Die Anerkennung interner Bewertungsstellen in Übereinstimmung mit dieser Verordnung bedeutet nicht, dass bereits ausgestellte Sicherheitsbescheinigungen für Eisenbahnunternehmen, Sicherheitsgenehmigungen für Infrastrukturbetreiber und Bescheinigungen für Instandhaltungsstellen unmittelbar überprüft werden müssen. Sie können beim nächsten Antrag auf Erneuerung oder Aktualisierung der Sicherheitsbescheinigung, Sicherheitsgenehmigung oder Instandhaltungsstellen-Bescheinigung überprüft werden.
(18) In den bestehenden Rechtsvorschriften gibt es keine Beschränkungen hinsichtlich der Anzahl der in den einzelnen Mitgliedstaaten akkreditierten oder anerkannten Bewertungsstellen, und es gibt keine dahingehende Verpflichtung, zumindest eine zu haben. Ist noch keine Bewertungsstelle durch bestehende Rechtsvorschriften der Union oder nationale Rechtsvorschriften ausgewiesen, kann der Vorschlagende jede Bewertungsstelle in der Union oder in einem Drittland benennen, die nach gleichwertigen Kriterien akkreditiert wurde und Anforderungen erfüllt, die den in dieser Verordnung enthaltenen Anforderungen gleichwertig sind. Die Mitgliedstaaten sollten die Möglichkeit haben, Akkreditierungen, Anerkennungen oder eine Kombination beider Optionen zu verwenden.
(19) Die Verordnung (EG) Nr. 352/2009 ist hinfällig geworden und sollte daher durch diese Verordnung ersetzt werden.
(20) Angesichts der neuen mit der vorliegenden Verordnung eingeführten Anforderungen in Bezug auf Akkreditierung und Anerkennung der Bewertungsstelle sollte die Anwendung dieser Verordnung aufgeschoben werden, damit die betroffenen Akteure genügend Zeit haben, dieses neue gemeinsame Konzept einzuführen und umzusetzen.
(21) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des nach Artikel 27 Absatz 1 der Richtlinie 2004/49/EG eingesetzten Ausschusses
- hat folgende Verordnung erlassen:
Artikel 1 Gegenstand
Artikel 2 Anwendungsbereich
Solche Änderungen können technischer, betrieblicher oder organisatorischer Art sein. Im Falle organisatorischer Änderungen sind nur solche Änderungen im Hinblick auf die Bestimmungen des Artikels 4 zu berücksichtigen, die sich auf die Betriebs- oder Instandhaltungsprozesse auswirken können.
Artikel 3 Begriffsbestimmungen 15
Für die Zwecke dieser Verordnung gelten die Begriffsbestimmungen von Artikel 3 der Richtlinie 2004/49/EG.
Darüber hinaus bezeichnet der Ausdruck
Artikel 4 Signifikante Änderungen
Hat die vorgeschlagene Änderung keinerlei Auswirkungen auf die Sicherheit, kann auf die Anwendung des in Artikel 5 genannten Risikomanagementverfahrens verzichtet werden.
Artikel 5 Risikomanagementverfahren
Artikel 6 Unabhängige Bewertung
Nach Abschluss ihrer Bewertung gemäß den Buchstaben a, b und c legt die Bewertungsstelle den in Artikel 15 und Anhang III vorgesehenen Sicherheitsbewertungsbericht vor.
Betrifft eine signifikante Änderung ein strukturelles Teilsystem, für dessen Inbetriebnahme eine Genehmigung gemäß Artikel 15 Absatz 1 oder Artikel 20 der Richtlinie 2008/57/EG erforderlich ist, kann der Vorschlagende die nationale Sicherheitsbehörde als Bewertungsstelle auswählen, falls diese nationale Sicherheitsbehörde diesen Dienst anbietet und sofern der Vorschlagende diese Aufgabe nicht bereits einer gemäß Artikel 18 Absatz 2 der Richtlinie benannten Stelle übertragen hat.
Artikel 7 Akkreditierung/Anerkennung der Bewertungsstelle
Die in Artikel 6 genannte Bewertungsstelle muss
Artikel 8 Akzeptieren der Akkreditierung/Anerkennung
Artikel 9 Arten der Anerkennung der Bewertungsstelle
Artikel 10 Gültigkeit der Anerkennung
Artikel 11 Überwachung durch die Anerkennungsstelle
Artikel 12 Gelockerte Kriterien bei nicht notwendiger gegenseitiger Anerkennung einer signifikanten Änderung
Wenn die Risikobewertung einer signifikanten Änderung nicht gegenseitig anerkannt werden muss, benennt der Vorschlagende eine Bewertungsstelle, die zumindest die Anforderungen des Anhangs II in Bezug auf Kompetenz, Unabhängigkeit und Unparteilichkeit erfüllt. Die sonstigen Anforderungen des Anhangs II Nummer 1 können im Einvernehmen mit der nationalen Sicherheitsbehörde gelockert werden, sofern dadurch keine Diskriminierung entsteht.
Artikel 13 Bereitstellung von Informationen für die Agentur
Artikel 14 Unterstützung der Agentur bei der Akkreditierung oder Anerkennung der Bewertungsstelle
Artikel 15 Sicherheitsbewertungsberichte
Artikel 16 Erklärung des Vorschlagenden
Auf der Grundlage der Ergebnisse der Anwendung dieser Verordnung sowie des von der Bewertungsstelle vorgelegten Sicherheitsberichts fasst der Vorschlagende eine schriftliche Erklärung ab, mit der bestätigt wird, dass alle ermittelten Gefährdungen und damit verbundenen Risiken auf einem vertretbaren Niveau gehalten werden.
Artikel 17 Risikomanagement und Überprüfungen
Artikel 18 Rückmeldungen und technischer Fortschritt
Die nationalen Sicherheitsbehörden unterstützen die Agentur bei der Einholung dieser Informationen.
Artikel 19 Aufhebung
Die Verordnung (EG) Nr. 352/2009 wird mit Wirkung vom 21. Mai 2015 aufgehoben.
Verweise auf die aufgehobene Verordnung gelten als Verweise auf die vorliegende Verordnung.
Artikel 20 Inkrafttreten und Geltung
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Sie gilt ab dem 21. Mai 2015.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 30. April 2013
2) ABl. Nr. L 108 vom 29.04.2009 S. 4.
3) ABl. Nr. L 237 vom 24.08.1991 S. 25.
4) ABl. Nr. L 191 vom 18.07.2008 S. 1.
5) ABl. Nr. L 122 vom 11.05.2011 S. 22.
6) ABl. Nr. L 218 vom 13.08.2008 S. 30.
7) ABl. Nr. L 235 vom 17.09.1996 S. 6.
8) ABl. Nr. L 110 vom 20.04.2001 S. 1.
9) ABl. Nr. L 326 vom 10.12.2010 S. 11.
10) ABl. Nr. L 327 vom 11.12.2010 S. 13.
11) ABl. Nr. L 153 vom 14.06.2007 S. 9.
Anhang I 15 |
1. Allgemeine Grundsätze für das Risikomanagementverfahren
1.1. Allgemeine Grundsätze und Verpflichtungen
1.1.1. Das Risikomanagementverfahren beginnt mit der Definition des zu bewertenden Systems und umfasst folgende Schritte:
Das Risikomanagementverfahren ist ein iteratives Verfahren, das in der Anlage grafisch dargestellt ist. Das Verfahren endet, wenn nachgewiesen ist, dass das System alle Sicherheitsanforderungen erfüllt, die im Hinblick auf die Akzeptanz der mit den ermittelten Gefährdungen verbundenen Risiken erforderlich sind.
1.1.2 Das Risikomanagementverfahren beinhaltet angemessene Qualitätssicherungsmaßnahmen und wird von qualifiziertem Personal durchgeführt. Es wird einer unabhängigen Bewertung durch eine oder mehrere Bewertungsstellen unterzogen.
1.1.3 Der Vorschlagende, der für das Risikomanagementverfahren verantwortlich ist, führt ein Gefährdungsprotokoll im Sinne von Nummer 4.
1.1.4 Akteure, die bereits über Methoden oder Instrumente für die Risikobewertung verfügen, können diese weiterhin anwenden, sofern solche Methoden oder Instrumente den Bestimmungen dieser Verordnung entsprechen und folgende Bedingungen erfüllt sind:
1.1.5 Unbeschadet der zivilrechtlichen Haftung nach den Rechtsvorschriften der Mitgliedstaaten unterliegt das Risikobewertungsverfahren der Verantwortung des Vorschlagenden. Insbesondere entscheidet der Vorschlagende in Abstimmung mit den betroffenen Akteuren, wer für die Erfüllung der sich aus der Risikobewertung ergebenden Sicherheitsanforderungen verantwortlich ist. Die von dem Vorschlagenden an diese Akteure gestellten Sicherheitsanforderungen gehen nicht über ihren Verantwortungs- und Kontrollbereich hinaus. Diese Entscheidung ist davon abhängig, welche Art von Sicherheitsmaßnahmen gewählt wurde, um die Risiken auf einem vertretbaren Niveau zu halten. Der Nachweis über die Erfüllung der Sicherheitsanforderungen erfolgt gemäß Nummer 3.
1.1.6 Der erste Schritt des Risikomanagementverfahrens besteht darin, dass in einem vom Vorschlagenden zu erstellenden Dokument die Aufgaben der verschiedenen Akteure und ihre Risikomanagementmaßnahmen festgehalten werden. Der Vorschlagende ist verantwortlich für die Koordinierung einer engen Zusammenarbeit zwischen den verschiedenen beteiligten Akteuren, wobei ihre jeweiligen Aufgaben berücksichtigt werden und ein ordnungsgemäßes Management der Gefährdungen und der zugehörigen Sicherheitsmaßnahmen angestrebt wird.
1.1.7 Für die Bewertung der ordnungsgemäßen Anwendung des Risikomanagementverfahrens ist die Bewertungsstelle zuständig.
1.2. Schnittstellen-Management
1.2.1 An allen Schnittstellen, die für das zu bewertende System von Bedeutung sind, arbeiten die betroffenen Akteure des Eisenbahnsektors - unbeschadet der in einschlägigen TSI definierten Schnittstellenspezifikationen - zusammen, um gemeinsam die Ermittlung und das Management der Gefährdungen und der entsprechenden Sicherheitsmaßnahmen, die an diesen Schnittstellen relevant sind, zu bewerkstelligen. Das Management gemeinsamer Risiken an den Schnittstellen wird vom Vorschlagenden koordiniert.
1.2.2 Wenn ein Akteur feststellt, dass zur Erfüllung einer Sicherheitsanforderung eine Sicherheitsmaßnahme notwendig ist, die er nicht selbst umsetzen kann, überträgt er die Zuständigkeit für das Management der in Frage stehenden Gefährdung auf einen anderen Akteur, mit dem er eine entsprechende Vereinbarung getroffen hat, wobei er das in Nummer 4 dargelegte Verfahren einhält.
1.2.3 In Bezug auf das System, das der Bewertung unterzogen wird, ist jeder Akteur, der feststellt, dass eine Sicherheitsmaßnahme nicht den Anforderungen genügt oder unzureichend ist, dafür verantwortlich, dass der Vorschlagende davon in Kenntnis gesetzt wird; dieser unterrichtet seinerseits den für die Umsetzung der Sicherheitsmaßnahme zuständigen Akteur.
1.2.4 Der Akteur, der die Sicherheitsmaßnahme umsetzt, informiert daraufhin alle Akteure, die von dem Problem betroffen sind, sei es innerhalb des zu bewertenden Systems oder - soweit dem betreffenden Akteur bekannt - innerhalb anderer bestehender Systeme, die dieselbe Sicherheitsmaßnahme anwenden.
1.2.5 Wenn zwischen zwei oder mehreren Akteuren keine Einigung erzielt werden kann, obliegt es dem Vorschlagenden, eine Lösung zu finden.
1.2.6 Kann eine in einer notifizierten nationalen Vorschrift festgelegte Anforderung von einem Akteur nicht erfüllt werden, holt der Vorschlagende den Rat der zuständigen Behörde ein.
1.2.7 Unabhängig von der Definition des zu bewertenden Systems hat der Vorschlagende sicherzustellen, dass das Risikomanagement das System selbst wie auch dessen Integration in das Eisenbahnsystem als Ganzes abdeckt.
2. Beschreibung des Risikobewertungsverfahrens
2.1. Allgemeine Beschreibung
2.1.1. Das Risikobewertungsverfahren ist der iterative Gesamtprozess, der folgende Schritte umfasst:
Das Risikobewertungsverfahren wird in Interaktion mit dem Gefährdungsmanagement gemäß Nummer 4.1 durchgeführt.
2.1.2. Bei der Systemdefinition werden mindestens folgende Aspekte berücksichtigt:
2.1.3 Für das definierte System wird eine Gefährdungsermittlung gemäß Nummer 2.2 vorgenommen.
2.1.4. Die Vertretbarkeit des Risikos des zu bewertenden Systems wird unter Zugrundelegung eines oder mehrerer der folgenden Grundsätze der Risikoakzeptanz evaluiert:
In Übereinstimmung mit dem allgemeinen Grundsatz gemäß Nummer 1.1.5 sieht die Bewertungsstelle davon ab, dem Vorschlagenden Auflagen bezüglich des anzuwendenden Grundsatzes der Risikoakzeptanz zu machen.
2.1.5 Der Vorschlagende weist in der Risikoevaluierung nach, dass der gewählte Risikoakzeptanzgrundsatz in angemessener Weise angewandt wird. Darüber hinaus überprüft der Vorschlagende, dass die ausgewählten Risikoakzeptanzgrundsätze einheitlich angewandt werden.
2.1.6 Mit der Anwendung dieser Risikoakzeptanzgrundsätze werden mögliche Sicherheitsmaßnahmen festgelegt, mit denen das Risiko (die Risiken) des zu bewertenden Systems auf ein vertretbares Maß beschränkt wird (werden). Von diesen Sicherheitsmaßnahmen werden diejenigen, die für die Risikobeherrschung ausgewählt wurden, zu Sicherheitsanforderungen, die vom System erfüllt werden müssen. Die Erfüllung dieser Sicherheitsanforderungen wird gemäß Nummer 3 nachgewiesen.
2.1.7 Das iterative Risikobewertungsverfahren wird als abgeschlossen betrachtet, wenn nachgewiesen ist, dass alle Sicherheitsanforderungen erfüllt werden und keine weiteren, nach vernünftigem Ermessen vorhersehbaren Gefährdungen zu berücksichtigen sind.
2.2. Gefährdungsermittlung
2.2.1 Der Vorschlagende ermittelt systematisch unter Rückgriff auf die umfassende Fachkenntnis eines qualifizierten Teams sämtliche nach vernünftigem Ermessen vorhersehbaren Gefährdungen für das gesamte zu bewertende System und gegebenenfalls für dessen relevante Funktionen sowie dessen Schnittstellen.
Alle erkannten Gefährdungen werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.
2.2.2 Mit dem Ziel, die Risikobewertung auf die wichtigsten Risiken zu konzentrieren, werden die Gefährdungen nach dem sich aus ihnen ergebenden geschätzten Risiko eingestuft. Auf der Grundlage einer Expertenbewertung müssen Gefährdungen, die mit einem allgemein vertretbaren Risiko verbunden sind, nicht weiter analysiert, sondern lediglich im Gefährdungsprotokoll erfasst werden. Die Einstufung der Gefährdungen ist zu begründen, damit eine unabhängige Bewertung durch eine Bewertungsstelle vorgenommen werden kann.
2.2.3 Aus Gefährdungen resultierende Risiken können beispielsweise dann als allgemein vertretbar eingestuft werden, wenn das Risiko so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen nicht angemessen wäre. Die Expertenbewertung berücksichtigt, dass der Gesamtumfang aller allgemein vertretbaren Risiken einen bestimmten Anteil am Gesamtrisiko nicht übersteigen darf.
2.2.4 Bei der Gefährdungsermittlung können Sicherheitsmaßnahmen festgelegt werden. Diese werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.
2.2.5 Die Gefährdungsermittlung muss nur so detailliert durchgeführt werden, dass bestimmt werden kann, in welchen Fällen davon auszugehen ist, dass durch Sicherheitsmaßnahmen die Risiken gemäß einem der in Nummer 2.1.4 genannten Risikoakzeptanzgrundsätze unter Kontrolle gehalten werden können. Die Phasen der Risikoanalyse und der Risikoevaluierung müssen gegebenenfalls mehrfach durchlaufen werden, bis ein ausreichender Detaillierungsgrad für die Erkennung von Gefährdungen erreicht ist.
2.2.6. Wird zur Risikobeherrschung auf ein Regelwerk oder auf ein Referenzsystem zurückgegriffen, kann die Gefährdungsermittlung beschränkt werden auf
2.3. Zugrundelegung von Regelwerken und Risikoevaluierung
2.3.1 Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine, mehrere oder alle Gefährdungen durch die Anwendung relevanter Regelwerke angemessen abgedeckt werden.
2.3.2. Die Regelwerke müssen mindestens folgende Anforderungen erfüllen:
2.3.3 In Fällen, in denen gemäß der Richtlinie 2008/57/EG die Einhaltung von TSI verlangt wird und die relevanten TSI nicht das durch diese Verordnung vorgeschriebene Risikomanagementverfahren vorsehen, können die TSI als Regelwerke für die Beherrschung von Gefährdungen betrachtet werden, sofern die unter Nummer 2.3.2 Buchstabe b genannte Anforderung erfüllt ist.
2.3.4 Nationale Vorschriften, die gemäß Artikel 8 der Richtlinie 2004/49/EG und Artikel 17 Absatz 3 der Richtlinie 2008/57/EG notifiziert werden, können als Regelwerke betrachtet werden, sofern die unter Nummer 2.3.2 genannten Anforderungen erfüllt sind.
2.3.5 Wenn eine oder mehrere Gefährdungen durch Regelwerke unter Kontrolle gehalten werden, die die Anforderungen unter Nummer 2.3.2 erfüllen, sind die mit diesen Gefährdungen verbundenen Risiken als vertretbar anzusehen. Dies bedeutet,
2.3.6 Entspricht der verfolgte Ansatz einem Regelwerk nicht in vollem Umfang, hat der Vorschlagende nachzuweisen, dass der stattdessen verfolgte Ansatz mindestens dasselbe Sicherheitsniveau gewährleistet.
2.3.7 Kann das aus einer bestimmten Gefährdung erwachsende Risiko nicht durch Anwendung von Regelwerken auf ein vertretbares Maß eingedämmt werden, werden zusätzliche Sicherheitsmaßnahmen festgelegt, indem einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird.
2.3.8. Werden sämtliche Gefährdungen durch Anwendung von Regelwerken unter Kontrolle gehalten, kann das Risikomanagementverfahren beschränkt werden auf
2.4. Heranziehung eines Referenzsystems und Risikoevaluierung
2.4.1 Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine, mehrere oder alle Gefährdung(en) durch ein ähnliches System angemessen abgedeckt wird bzw. werden, das als Referenzsystem herangezogen werden könnte.
2.4.2. Ein Referenzsystem muss mindestens folgende Anforderungen erfüllen:
2.4.3. Erfüllt ein Referenzsystem die unter Nummer 2.4.2 genannten Anforderungen, gilt für das zu bewertende System Folgendes:
2.4.4 Weicht das zu bewertende System vom Referenzsystem ab, muss aus der Risikoevaluierung hervorgehen, dass dieses System mindestens das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, indem ein anderes Referenzsystem herangezogen oder einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird. Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden in diesem Fall als vertretbar angesehen.
2.4.5 Kann nicht nachgewiesen werden, dass das System zumindest das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, werden für die Abweichungen zusätzliche Sicherheitsmaßnahmen festgelegt, indem einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird.
2.5. Explizite Risikoabschätzung und -evaluierung
2.5.1 Wenn die Gefährdungen nicht von einem der beiden Risikoakzeptanzgrundsätze abgedeckt werden, die in den Nummern 2.3 und 2.4 festgelegt sind, wird der Nachweis über die Vertretbarkeit des Risikos in Form einer expliziten Risikoabschätzung und -evaluierung erbracht. Risiken, die sich aus diesen Gefährdungen ergeben, werden unter Berücksichtigung der vorhandenen Sicherheitsmaßnahmen quantitativ oder qualitativ oder gegebenenfalls quantitativ und qualitativ beurteilt.
2.5.2 Die Vertretbarkeit der geschätzten Risiken wird anhand von Risikoakzeptanzkriterien bewertet, die aus in Rechtsvorschriften der Union oder notifizierten nationalen Vorschriften enthaltenen gesetzlichen Anforderungen abgeleitet werden oder darauf beruhen. In Abhängigkeit von den Risikoakzeptanzkriterien kann die Vertretbarkeit des Risikos entweder für jede Gefährdung einzeln oder insgesamt für die Kombination aller bei der expliziten Risikoabschätzung berücksichtigten Gefährdungen bewertet werden.
Wenn das geschätzte Risiko nicht vertretbar ist, werden zusätzliche Sicherheitsmaßnahmen festgelegt und umgesetzt, damit das Risiko auf ein vertretbares Maß gesenkt werden kann.
2.5.3 Wird das mit einer Gefährdung oder mit einer Kombination mehrerer Gefährdungen verbundene Risiko als vertretbar angesehen, werden die festgelegten Sicherheitsmaßnahmen im Gefährdungsprotokoll erfasst.
2.5.4. Der Vorschlagende ist nicht verpflichtet, zusätzliche explizite Risikoabschätzungen für Risiken vorzunehmen, die durch Zugrundelegung von Regelwerken oder Referenzsystemen bereits als vertretbar angesehen werden.
2.5.5 Führen Funktionsausfälle eines technischen Systems zu Gefährdungen, gelten unbeschadet der Nummern 2.5.1 und 2.5.4 die folgenden harmonisierten Entwurfsziele für diese Ausfälle:
Die Einordnung in die Begriffsbestimmung Nummer 23 oder Nummer 35 ergibt sich aus der als am wahrscheinlichsten anzunehmenden nicht mehr tolerierbaren Folge eines Ausfalls.
2.5.6 Unbeschadet der Nummern 2.5.1 und 2.5.4 sind die in Nummer 2.5.5 festgelegten harmonisierten Entwurfsziele für den Entwurf der elektrischen, elektronischen und programmierbaren elektronischen technischen Systeme zugrunde zu legen. Dabei muss es sich um die strengsten Entwurfsziele handeln, die für die gegenseitige Anerkennung gefordert werden können.
Sie dürfen weder als quantitative Gesamtziele für das gesamte Eisenbahnsystem eines Mitgliedstaats noch für den Entwurf eines rein mechanischen technischen Systems zugrunde gelegt werden.
Bei gemischten technischen Systemen, die sowohl aus einem rein mechanischen Teil als auch einem elektrischen, elektronischen und programmierbaren elektronischen Teil bestehen, ist die Gefährdung gemäß Nummer 2.2.5 zu ermitteln. Gefährdungen, die sich aus dem rein mechanischen Teil ergeben, dürfen nicht unter Zugrundelegung der in Nummer 2.5.5 festgelegten harmonisierten Entwurfsziele unter Kontrolle gehalten werden.
2.5.7. Das mit den in Nummer 2.5.5 genannten Funktionsausfällen technischer Systeme verbundene Risiko ist als vertretbar anzusehen, wenn außerdem die folgenden Anforderungen erfüllt sind:
2.5.8. Die folgenden Begriffsbestimmungen gelten speziell in Bezug auf die harmonisierten quantitativen Entwurfsziele der technischen Systeme:
2.5.9. Führt der Ausfall einer Funktion des zu bewertenden technischen Systems nicht unmittelbar zu dem zu prüfenden Risiko, ist die Anwendung eines weniger strengen Entwurfsziels zulässig, sofern der Vorschlagende nachweisen kann, dass das gleiche Sicherheitsniveau erreicht werden kann, wenn die in Artikel 3 Nummer 34 definierten Vorkehrungen getroffen wurden.
2.5.10. Unbeschadet der in Artikel 8 der Richtlinie 2004/49/EG oder in Artikel 17 Absatz 3 der Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates * vorgesehenen Verfahren kann im Interesse der Aufrechterhaltung eines nationalen Sicherheitsniveaus im Wege einer notifizierten nationalen Vorschrift für das zu bewertende technische System ein strengeres Entwurfsziel als das in Nummer 2.5.5 festgelegte harmonisierte Entwurfsziel festgelegt werden. Werden zusätzliche Genehmigungen für die Inbetriebnahme von Fahrzeugen verlangt, gelten die Verfahren der Artikel 23 und 25 der Richtlinie 2008/57/EG.
2.5.11. Wird ein technisches System unter Zugrundelegung der unter Nummer 2.5.5 niedergelegten Anforderungen entwickelt, findet das Prinzip der gegenseitigen Anerkennung gemäß Artikel 15 Absatz 5 Anwendung.
Weist der Vorschlagende jedoch für eine bestimmte Gefährdung nach, dass das bestehende nationale Sicherheitsniveau in dem Mitgliedstaat, in dem das System zum Einsatz kommt, sich auch mit einem weniger strengen Entwurfsziel als dem harmonisierten Entwurfsziel aufrechterhalten lässt, kann statt des harmonisierten Entwurfsziels dieses weniger strenge Entwurfsziel vom Vorschlagenden im betreffenden Mitgliedstaat zugrunde gelegt werden.
2.5.12. Die explizite Risikoabschätzung und -evaluierung muss mindestens folgende Anforderungen erfüllen:
3. Nachweis der Erfüllung der Sicherheitsanforderungen
3.1 Bevor die Sicherheit einer Änderung bescheinigt wird, ist - unter Aufsicht des Vorschlagenden - die Erfüllung der sich aus der Phase der Risikobewertung ergebenden Sicherheitsanforderungen nachzuweisen.
3.2 Dieser Nachweis wird von jedem der für die Erfüllung der gemäß Nummer 1.1.5 bestimmten Sicherheitsanforderungen verantwortlichen Akteure erbracht.
3.3 Die für den Nachweis der Erfüllung der Sicherheitsanforderungen gewählte Vorgehensweise sowie der Nachweis selbst werden einer unabhängigen Bewertung durch eine Bewertungsstelle unterzogen.
3.4 Eine Unangemessenheit der Sicherheitsmaßnahmen, durch die die Sicherheitsanforderungen erfüllt werden sollen, oder eine Gefährdung, die beim Nachweis der Erfüllung der Sicherheitsanforderungen entdeckt wird, hat eine erneute Bewertung und Evaluierung der damit verbundenen Risiken durch den Vorschlagenden gemäß Nummer 2 zur Folge. Die neuen Gefährdungen werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.
4. Gefährdungsmanagement
4.1. Gefährdungsmanagementverfahren
4.1.1 Im Verlauf der Planung und Durchführung werden - bis zur Genehmigung der Änderung oder der Vorlage des Sicherheitsbewertungsberichts - vom Vorschlagenden Gefährdungsprotokolle angelegt bzw. aktualisiert (sofern sie bereits bestehen). In einem Gefährdungsprotokoll werden die Fortschritte bei der Überwachung der aus den ermittelten Gefährdungen resultierenden Risiken aufgezeichnet. Sobald das System genehmigt und in Betrieb genommen wurde, wird das Gefährdungsprotokoll von dem Infrastrukturbetreiber oder dem Eisenbahnunternehmen, der bzw. das für den Betrieb des der Bewertung unterzogenen Systems verantwortlich ist, als integraler Bestandteil seines Sicherheitsmanagementsystems weitergeführt.
4.1.2 Im Gefährdungsprotokoll sind alle Gefährdungen sowie alle entsprechenden Sicherheitsmaßnahmen und Systemannahmen aufgeführt, die im Zuge des Risikobewertungsverfahrens ermittelt wurden. Das Protokoll enthält einen eindeutigen Verweis auf den Ursprung der Gefährdungen und die gewählten Risikoakzeptanzgrundsätze sowie genaue Angaben zu dem (den) Akteur(en), der (die) jeweils dafür zuständig ist (sind), die einzelnen Gefährdungen unter Kontrolle zu halten.
4.2. Informationsaustausch
Alle Gefährdungen und damit zusammenhängenden Sicherheitsanforderungen, die nicht durch einen Akteur allein unter Kontrolle gehalten werden können, werden einem weiteren beteiligten Akteur gemeldet, damit gemeinsam eine angemessene Lösung gefunden werden kann. Die Gefährdungen, die im Gefährdungsprotokoll des Akteurs aufgezeichnet sind, der die Zuständigkeit auf einen anderen Akteur überträgt, gelten nur dann als beherrscht, wenn die Evaluierung der Risiken im Zusammenhang mit diesen Gefährdungen von dem anderen Akteur vorgenommen wird und sich alle Beteiligten auf eine Lösung einigen.
5. Nachweise für die Anwendung des Risikomanagementverfahrens
5.1 Das Risikomanagementverfahren, das für die Bewertung der Sicherheitsniveaus und der Erfüllung der Sicherheitsanforderungen angewandt wird, ist vom Vorschlagenden in einer solchen Weise zu dokumentieren, dass einer Bewertungsstelle alle erforderlichen Nachweise hinsichtlich der Eignung sowohl der Anwendung des Risikomanagementverfahrens als auch seiner Ergebnisse zugänglich sind.
5.2. Das vom Vorschlagenden gemäß Nummer 5.1 erstellte Dokument enthält mindestens
5.3 Die Bewertungsstelle hält ihre Schlussfolgerungen in einem nach Anhang III abgefassten Sicherheitsbewertungsbericht fest.
_________
*) Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates vom 17. Juni 2008 über die Interoperabilität des Eisenbahnsystems in der Gemeinschaft (ABl. Nr. L 191 vom 18.07.2008 S. 1).
Risikomanagementverfahren und unabhängige Bewertung | Anlage |
Kriterien für die Akkreditierung oder Anerkennung der Bewertungsstelle | Anhang II |
Sicherheitsbewertungsbericht der Bewertungsstelle | Anhang III |
Der Sicherheitsbewertungsbericht der Bewertungsstelle enthält zumindest die folgenden Informationen:
ENDE |