1.

ALLGEMEINE GRUNDSÄTZE FÜR DAS RISIKOMANAGEMENTVERFAHREN

1.1.

Allgemeine Grundsätze und Verpflichtungen

1.1.1.

Das Risikomanagementverfahren beginnt mit der Definition des zu bewertenden Systems und umfasst folgende Schritte:

a)

das Risikobewertungsverfahren, in dessen Rahmen die Gefährdungen, die Risiken, die zugehörigen Sicherheitsmaßnahmen und die sich daraus ergebenden Sicherheitsanforderungen, die das zu bewertende System erfüllen muss, ermittelt werden;

b)

den Nachweis, dass das System die ermittelten Sicherheitsanforderungen erfüllt, und

c)

das Management aller ermittelten Gefährdungen und der entsprechenden Sicherheitsmaßnahmen.

Das Risikomanagementverfahren ist ein iteratives Verfahren, das in der Anlage grafisch dargestellt ist. Das Verfahren endet, wenn nachgewiesen ist, dass das System alle Sicherheitsanforderungen erfüllt, die im Hinblick auf die Akzeptanz der mit den ermittelten Gefährdungen verbundenen Risiken erforderlich sind.

1.1.2.

Das Risikomanagementverfahren beinhaltet angemessene Qualitätssicherungsmaßnahmen und wird von qualifiziertem Personal durchgeführt. Es wird einer unabhängigen Bewertung durch eine oder mehrere Bewertungsstellen unterzogen.

1.1.3.

Der Vorschlagende, der für das Risikomanagementverfahren verantwortlich ist, führt ein Gefährdungsprotokoll im Sinne von Nummer 4.

1.1.4.

Akteure, die bereits über Methoden oder Instrumente für die Risikobewertung verfügen, können diese weiterhin anwenden, sofern solche Methoden oder Instrumente den Bestimmungen dieser Verordnung entsprechen und folgende Bedingungen erfüllt sind:

a)

Die Risikobewertungsmethoden oder -instrumente sind im Rahmen eines Sicherheitsmanagementsystems beschrieben, das von einer nationalen Sicherheitsbehörde gemäß Artikel 10 Absatz 2 Buchstabe a oder Artikel 11 Absatz 1 Buchstabe a der Richtlinie 2004/49/EG zugelassen wurde, oder

b)

die Risikobewertungsmethoden oder -instrumente sind aufgrund einer TSI vorgeschrieben oder entsprechen öffentlich zugänglichen anerkannten Normen, die in notifizierten nationalen Vorschriften niedergelegt sind.

1.1.5.

Unbeschadet der zivilrechtlichen Haftung nach den Rechtsvorschriften der Mitgliedstaaten unterliegt das Risikobewertungsverfahren der Verantwortung des Vorschlagenden. Insbesondere entscheidet der Vorschlagende in Abstimmung mit den betroffenen Akteuren, wer für die Erfüllung der sich aus der Risikobewertung ergebenden Sicherheitsanforderungen verantwortlich ist. Die von dem Vorschlagenden an diese Akteure gestellten Sicherheitsanforderungen gehen nicht über ihren Verantwortungs- und Kontrollbereich hinaus. Diese Entscheidung ist davon abhängig, welche Art von Sicherheitsmaßnahmen gewählt wurde, um die Risiken auf einem vertretbaren Niveau zu halten. Der Nachweis über die Erfüllung der Sicherheitsanforderungen erfolgt gemäß Nummer 3.

1.1.6.

Der erste Schritt des Risikomanagementverfahrens besteht darin, dass in einem vom Vorschlagenden zu erstellenden Dokument die Aufgaben der verschiedenen Akteure und ihre Risikomanagementmaßnahmen festgehalten werden. Der Vorschlagende ist verantwortlich für die Koordinierung einer engen Zusammenarbeit zwischen den verschiedenen beteiligten Akteuren, wobei ihre jeweiligen Aufgaben berücksichtigt werden und ein ordnungsgemäßes Management der Gefährdungen und der zugehörigen Sicherheitsmaßnahmen angestrebt wird.

1.1.7.

Für die Bewertung der ordnungsgemäßen Anwendung des Risikomanagementverfahrens ist die Bewertungsstelle zuständig.

1.2.

Schnittstellen-Management

1.2.1.

An allen Schnittstellen, die für das zu bewertende System von Bedeutung sind, arbeiten die betroffenen Akteure des Eisenbahnsektors — unbeschadet der in einschlägigen TSI definierten Schnittstellenspezifikationen — zusammen, um gemeinsam die Ermittlung und das Management der Gefährdungen und der entsprechenden Sicherheitsmaßnahmen, die an diesen Schnittstellen relevant sind, zu bewerkstelligen. Das Management gemeinsamer Risiken an den Schnittstellen wird vom Vorschlagenden koordiniert.

1.2.2.

Wenn ein Akteur feststellt, dass zur Erfüllung einer Sicherheitsanforderung eine Sicherheitsmaßnahme notwendig ist, die er nicht selbst umsetzen kann, überträgt er die Zuständigkeit für das Management der in Frage stehenden Gefährdung auf einen anderen Akteur, mit dem er eine entsprechende Vereinbarung getroffen hat, wobei er das in Nummer 4 dargelegte Verfahren einhält.

1.2.3.

In Bezug auf das System, das der Bewertung unterzogen wird, ist jeder Akteur, der feststellt, dass eine Sicherheitsmaßnahme nicht den Anforderungen genügt oder unzureichend ist, dafür verantwortlich, dass der Vorschlagende davon in Kenntnis gesetzt wird; dieser unterrichtet seinerseits den für die Umsetzung der Sicherheitsmaßnahme zuständigen Akteur.

1.2.4.

Der Akteur, der die Sicherheitsmaßnahme umsetzt, informiert daraufhin alle Akteure, die von dem Problem betroffen sind, sei es innerhalb des zu bewertenden Systems oder — soweit dem betreffenden Akteur bekannt — innerhalb anderer bestehender Systeme, die dieselbe Sicherheitsmaßnahme anwenden.

1.2.5.

Wenn zwischen zwei oder mehreren Akteuren keine Einigung erzielt werden kann, obliegt es dem Vorschlagenden, eine Lösung zu finden.

1.2.6.

Kann eine in einer notifizierten nationalen Vorschrift festgelegte Anforderung von einem Akteur nicht erfüllt werden, holt der Vorschlagende den Rat der zuständigen Behörde ein.

1.2.7.

Unabhängig von der Definition des zu bewertenden Systems hat der Vorschlagende sicherzustellen, dass das Risikomanagement das System selbst wie auch dessen Integration in das Eisenbahnsystem als Ganzes abdeckt.

2.

BESCHREIBUNG DES RISIKOBEWERTUNGSVERFAHRENS

2.1.

Allgemeine Beschreibung

2.1.1.

Das Risikobewertungsverfahren ist der iterative Gesamtprozess, der folgende Schritte umfasst:

a)

Systemdefinition;

b)

Risikoanalyse, einschließlich Gefährdungsermittlung;

c)

Risikoevaluierung.

Das Risikobewertungsverfahren wird in Interaktion mit dem Gefährdungsmanagement gemäß Nummer 4.1 durchgeführt.

2.1.2.

Bei der Systemdefinition werden mindestens folgende Aspekte berücksichtigt:

a)

Zweckbestimmung des Systems (vorgesehene Verwendung);

b)

Funktionen und Bestandteile des Systems, sofern relevant (einschließlich menschlicher, technischer und betrieblicher Komponenten);

c)

Systemgrenzen, einschließlich anderer, interagierender Systeme;

d)

physische Schnittstellen (interagierende Systeme) und funktionale (Ein- und Ausgabe-)Schnittstellen;

e)

Systemumgebung (z. B. Energie- und Wärmefluss, Erschütterungen, Vibrationen, elektromagnetische Beeinflussung, betriebliche Verwendung);

f)

bestehende Sicherheitsmaßnahmen und — nach der erforderlichen relevanten mehrfachen Anwendung — Definition der im Rahmen des Risikobewertungsverfahrens ermittelten Sicherheitsanforderungen;

g)

Annahmen, die die Grenzen der Risikobewertung bestimmen.

2.1.3.

Für das definierte System wird eine Gefährdungsermittlung gemäß Nummer 2.2 vorgenommen.

2.1.4.

Die Vertretbarkeit des Risikos des zu bewertenden Systems wird unter Zugrundelegung eines oder mehrerer der folgenden Grundsätze der Risikoakzeptanz evaluiert:

a)

Anwendung von Regelwerken (Nummer 2.3);

b)

Vergleich mit ähnlichen Systemen (Nummer 2.4);

c)

explizite Risikoabschätzung (Nummer 2.5).

In Übereinstimmung mit dem allgemeinen Grundsatz gemäß Nummer 1.1.5 sieht die Bewertungsstelle davon ab, dem Vorschlagenden Auflagen bezüglich des anzuwendenden Grundsatzes der Risikoakzeptanz zu machen.

2.1.5.

Der Vorschlagende weist in der Risikoevaluierung nach, dass der gewählte Risikoakzeptanzgrundsatz in angemessener Weise angewandt wird. Darüber hinaus überprüft der Vorschlagende, dass die ausgewählten Risikoakzeptanzgrundsätze einheitlich angewandt werden.

2.1.6.

Mit der Anwendung dieser Risikoakzeptanzgrundsätze werden mögliche Sicherheitsmaßnahmen festgelegt, mit denen das Risiko (die Risiken) des zu bewertenden Systems auf ein vertretbares Maß beschränkt wird (werden). Von diesen Sicherheitsmaßnahmen werden diejenigen, die für die Risikobeherrschung ausgewählt wurden, zu Sicherheitsanforderungen, die vom System erfüllt werden müssen. Die Erfüllung dieser Sicherheitsanforderungen wird gemäß Nummer 3 nachgewiesen.

2.1.7.

Das iterative Risikobewertungsverfahren wird als abgeschlossen betrachtet, wenn nachgewiesen ist, dass alle Sicherheitsanforderungen erfüllt werden und keine weiteren, nach vernünftigem Ermessen vorhersehbaren Gefährdungen zu berücksichtigen sind.

2.2.

Gefährdungsermittlung

2.2.1.

Der Vorschlagende ermittelt systematisch unter Rückgriff auf die umfassende Fachkenntnis eines qualifizierten Teams sämtliche nach vernünftigem Ermessen vorhersehbaren Gefährdungen für das gesamte zu bewertende System und gegebenenfalls für dessen relevante Funktionen sowie dessen Schnittstellen.

Alle erkannten Gefährdungen werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.

2.2.2.

Mit dem Ziel, die Risikobewertung auf die wichtigsten Risiken zu konzentrieren, werden die Gefährdungen nach dem sich aus ihnen ergebenden geschätzten Risiko eingestuft. Auf der Grundlage einer Expertenbewertung müssen Gefährdungen, die mit einem allgemein vertretbaren Risiko verbunden sind, nicht weiter analysiert, sondern lediglich im Gefährdungsprotokoll erfasst werden. Die Einstufung der Gefährdungen ist zu begründen, damit eine unabhängige Bewertung durch eine Bewertungsstelle vorgenommen werden kann.

2.2.3.

Aus Gefährdungen resultierende Risiken können beispielsweise dann als allgemein vertretbar eingestuft werden, wenn das Risiko so gering ist, dass die Einführung zusätzlicher Sicherheitsmaßnahmen nicht angemessen wäre. Die Expertenbewertung berücksichtigt, dass der Gesamtumfang aller allgemein vertretbaren Risiken einen bestimmten Anteil am Gesamtrisiko nicht übersteigen darf.

2.2.4.

Bei der Gefährdungsermittlung können Sicherheitsmaßnahmen festgelegt werden. Diese werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.

2.2.5.

Die Gefährdungsermittlung muss nur so detailliert durchgeführt werden, dass bestimmt werden kann, in welchen Fällen davon auszugehen ist, dass durch Sicherheitsmaßnahmen die Risiken gemäß einem der in Nummer 2.1.4 genannten Risikoakzeptanzgrundsätze unter Kontrolle gehalten werden können. Die Phasen der Risikoanalyse und der Risikoevaluierung müssen gegebenenfalls mehrfach durchlaufen werden, bis ein ausreichender Detaillierungsgrad für die Erkennung von Gefährdungen erreicht ist.

2.2.6.

Wird zur Risikobeherrschung auf ein Regelwerk oder auf ein Referenzsystem zurückgegriffen, kann die Gefährdungsermittlung beschränkt werden auf

a)

die Überprüfung der Relevanz des Regelwerks bzw. Referenzsystems;

b)

die Ermittlung der Abweichungen vom Regelwerk bzw. Referenzsystem.

2.3.

Zugrundelegung von Regelwerken und Risikoevaluierung

2.3.1.

Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine, mehrere oder alle Gefährdungen durch die Anwendung relevanter Regelwerke angemessen abgedeckt werden.

2.3.2.

Die Regelwerke müssen mindestens folgende Anforderungen erfüllen:

a)

Sie müssen im Eisenbahnsektor allgemein anerkannt sein. Ist dies nicht der Fall, müssen sie begründet werden und für die Bewertungsstelle akzeptabel sein.

b)

Sie müssen für die Beherrschung der betreffenden Gefährdungen in dem System, das der Bewertung unterzogen wird, relevant sein. Die erfolgreiche Anwendung eines Regelwerks in ähnlichen Fällen des Umgangs mit Änderungen und der wirksamen Beherrschung der ermittelten Gefährdungen eines Systems im Sinne dieser Verordnung reicht aus, damit dieses Regelwerk als relevant angesehen wird.

c)

Sie müssen auf Nachfrage für Bewertungsstellen zugänglich sein, damit diese die Eignung sowohl der Anwendung des Risikomanagementverfahrens als auch seiner Ergebnisse entweder bewerten oder gegebenenfalls im Einklang mit Artikel 15 Absatz 5 gegenseitig anerkennen können.

2.3.3.

In Fällen, in denen gemäß der Richtlinie 2008/57/EG die Einhaltung von TSI verlangt wird und die relevanten TSI nicht das durch diese Verordnung vorgeschriebene Risikomanagementverfahren vorsehen, können die TSI als Regelwerke für die Beherrschung von Gefährdungen betrachtet werden, sofern die unter Nummer 2.3.2 Buchstabe b genannte Anforderung erfüllt ist.

2.3.4.

Nationale Vorschriften, die gemäß Artikel 8 der Richtlinie 2004/49/EG und Artikel 17 Absatz 3 der Richtlinie 2008/57/EG notifiziert werden, können als Regelwerke betrachtet werden, sofern die unter Nummer 2.3.2 genannten Anforderungen erfüllt sind.

2.3.5.

Wenn eine oder mehrere Gefährdungen durch Regelwerke unter Kontrolle gehalten werden, die die Anforderungen unter Nummer 2.3.2 erfüllen, sind die mit diesen Gefährdungen verbundenen Risiken als vertretbar anzusehen. Dies bedeutet,

a)

dass die betreffenden Risiken nicht weiter analysiert werden müssen;

b)

dass die Anwendung der Regelwerke im Gefährdungsprotokoll als Sicherheitsanforderung in Bezug auf die jeweiligen Gefährdungen erfasst wird.

2.3.6.

Entspricht der verfolgte Ansatz einem Regelwerk nicht in vollem Umfang, hat der Vorschlagende nachzuweisen, dass der stattdessen verfolgte Ansatz mindestens dasselbe Sicherheitsniveau gewährleistet.

2.3.7.

Kann das aus einer bestimmten Gefährdung erwachsende Risiko nicht durch Anwendung von Regelwerken auf ein vertretbares Maß eingedämmt werden, werden zusätzliche Sicherheitsmaßnahmen festgelegt, indem einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird.

2.3.8.

Werden sämtliche Gefährdungen durch Anwendung von Regelwerken unter Kontrolle gehalten, kann das Risikomanagementverfahren beschränkt werden auf

a)

eine Gefährdungsermittlung gemäß Nummer 2.2.6;

b)

die Aufnahme eines Vermerks über die Anwendung der Regelwerke im Gefährdungsprotokoll gemäß Nummer 2.3.5;

c)

die Dokumentation der Anwendung des Risikomanagementverfahrens gemäß Nummer 5;

d)

eine unabhängige Bewertung gemäß Artikel 6.

2.4.

Heranziehung eines Referenzsystems und Risikoevaluierung

2.4.1.

Der Vorschlagende untersucht mit Unterstützung anderer beteiligter Akteure, ob eine, mehrere oder alle Gefährdung(en) durch ein ähnliches System angemessen abgedeckt wird bzw. werden, das als Referenzsystem herangezogen werden könnte.

2.4.2.

Ein Referenzsystem muss mindestens folgende Anforderungen erfüllen:

a)

Es hat sich bereits in der Praxis bewährt, weil es ein akzeptables Sicherheitsniveau gewährleistet, und es würde daher in dem Mitgliedstaat, in dem die Änderung eingeführt werden soll, nach wie vor eine Genehmigung erhalten.

b)

Es verfügt über ähnliche Funktionen und Schnittstellen wie das System, das der Bewertung unterzogen wird.

c)

Es wird unter ähnlichen Betriebsbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.

d)

Es wird unter ähnlichen Umgebungsbedingungen eingesetzt wie das System, das der Bewertung unterzogen wird.

2.4.3.

Erfüllt ein Referenzsystem die unter Nummer 2.4.2 genannten Anforderungen, gilt für das zu bewertende System Folgendes:

a)

Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden als vertretbar angesehen.

b)

Die Sicherheitsanforderungen im Falle von Gefährdungen, die von dem Referenzsystem abgedeckt werden, können aus Sicherheitsanalysen oder aus einer Bewertung der Sicherheitsdokumentation des Referenzsystems abgeleitet werden.

c)

Diese Sicherheitsanforderungen werden im Gefährdungsprotokoll als in Bezug auf die jeweiligen Gefährdungen geltende Sicherheitsanforderungen erfasst.

2.4.4.

Weicht das zu bewertende System vom Referenzsystem ab, muss aus der Risikoevaluierung hervorgehen, dass dieses System mindestens das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, indem ein anderes Referenzsystem herangezogen oder einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird. Die Risiken, die mit den vom Referenzsystem abgedeckten Gefährdungen verbunden sind, werden in diesem Fall als vertretbar angesehen.

2.4.5.

Kann nicht nachgewiesen werden, dass das System zumindest das gleiche Sicherheitsniveau erreicht wie das Referenzsystem, werden für die Abweichungen zusätzliche Sicherheitsmaßnahmen festgelegt, indem einer der beiden anderen Risikoakzeptanzgrundsätze angewandt wird.

2.5.

Explizite Risikoabschätzung und -evaluierung

2.5.1.

Wenn die Gefährdungen nicht von einem der beiden Risikoakzeptanzgrundsätze abgedeckt werden, die in den Nummern 2.3 und 2.4 festgelegt sind, wird der Nachweis über die Vertretbarkeit des Risikos in Form einer expliziten Risikoabschätzung und -evaluierung erbracht. Risiken, die sich aus diesen Gefährdungen ergeben, werden unter Berücksichtigung der vorhandenen Sicherheitsmaßnahmen quantitativ oder qualitativ oder gegebenenfalls quantitativ und qualitativ beurteilt.

2.5.2.

Die Vertretbarkeit der geschätzten Risiken wird anhand von Risikoakzeptanzkriterien bewertet, die aus in Rechtsvorschriften der Union oder notifizierten nationalen Vorschriften enthaltenen gesetzlichen Anforderungen abgeleitet werden oder darauf beruhen. In Abhängigkeit von den Risikoakzeptanzkriterien kann die Vertretbarkeit des Risikos entweder für jede Gefährdung einzeln oder insgesamt für die Kombination aller bei der expliziten Risikoabschätzung berücksichtigten Gefährdungen bewertet werden.

Wenn das geschätzte Risiko nicht vertretbar ist, werden zusätzliche Sicherheitsmaßnahmen festgelegt und umgesetzt, damit das Risiko auf ein vertretbares Maß gesenkt werden kann.

2.5.3.

Wird das mit einer Gefährdung oder mit einer Kombination mehrerer Gefährdungen verbundene Risiko als vertretbar angesehen, werden die festgelegten Sicherheitsmaßnahmen im Gefährdungsprotokoll erfasst.

2.5.4.

Der Vorschlagende ist nicht verpflichtet, zusätzliche explizite Risikoabschätzungen für Risiken vorzunehmen, die durch Zugrundelegung von Regelwerken oder Referenzsystemen bereits als vertretbar angesehen werden.

2.5.5.

Führen Funktionsausfälle eines technischen Systems zu Gefährdungen, gelten unbeschadet der Nummern 2.5.1 und 2.5.4 die folgenden harmonisierten Entwurfsziele für diese Ausfälle:

a)

Ist bei einem Ausfall davon auszugehen, dass dieser unmittelbar zu einem katastrophalen Unfall führt, muss das damit verbundene Risiko nicht weiter reduziert werden, wenn es nachweislich höchst unwahrscheinlich ist, dass es zu einem Ausfall der Funktion kommt.

b)

Ist bei einem Ausfall davon auszugehen, dass dieser unmittelbar zu einem kritischen Unfall führt, muss das damit verbundene Risiko nicht weiter reduziert werden, wenn es nachweislich unwahrscheinlich ist, dass es zu einem Ausfall der Funktion kommt.

Die Einordnung in die Begriffsbestimmung Nummer 23 oder Nummer 35 ergibt sich aus der als am wahrscheinlichsten anzunehmenden nicht mehr tolerierbaren Folge eines Ausfalls.

2.5.6.

Unbeschadet der Nummern 2.5.1 und 2.5.4 sind die in Nummer 2.5.5 festgelegten harmonisierten Entwurfsziele für den Entwurf der elektrischen, elektronischen und programmierbaren elektronischen technischen Systeme zugrunde zu legen. Dabei muss es sich um die strengsten Entwurfsziele handeln, die für die gegenseitige Anerkennung gefordert werden können.

Sie dürfen weder als quantitative Gesamtziele für das gesamte Eisenbahnsystem eines Mitgliedstaats noch für den Entwurf eines rein mechanischen technischen Systems zugrunde gelegt werden.

Bei gemischten technischen Systemen, die sowohl aus einem rein mechanischen Teil als auch einem elektrischen, elektronischen und programmierbaren elektronischen Teil bestehen, ist die Gefährdung gemäß Nummer 2.2.5 zu ermitteln. Gefährdungen, die sich aus dem rein mechanischen Teil ergeben, dürfen nicht unter Zugrundelegung der in Nummer 2.5.5 festgelegten harmonisierten Entwurfsziele unter Kontrolle gehalten werden.

2.5.7.

Das mit den in Nummer 2.5.5 genannten Funktionsausfällen technischer Systeme verbundene Risiko ist als vertretbar anzusehen, wenn außerdem die folgenden Anforderungen erfüllt sind:

a)

Der Nachweis der Erfüllung der anwendbaren harmonisierten Entwurfsziele wurde erbracht.

b)

Die damit in Zusammenhang stehenden systematischen Ausfälle und systematischen Fehler werden durch Sicherheits- und Qualitätsabläufe unter Kontrolle gehalten, die mit den harmonisierten Entwurfszielen, die für das zu bewertende technische System gelten, vereinbar und in einschlägigen, allgemein anerkannten Normen festgelegt sind.

c)

Die Anwendungsbedingungen für die sichere Integration des zu bewertenden technischen Systems in das Eisenbahnsystem sind zu ermitteln und in das Gefährdungsprotokoll gemäß Nummer 4 aufzunehmen. Gemäß Nummer 1.2.2 sind diese Anwendungsbedingungen dem für den Nachweis der sicheren Integration verantwortlichen Akteur zu übermitteln.

2.5.8.

Die folgenden Begriffsbestimmungen gelten speziell in Bezug auf die harmonisierten quantitativen Entwurfsziele der technischen Systeme:

a)

Der Begriff „unmittelbar” bedeutet, dass der Ausfall der Funktion das Potenzial hat, zu einer der unter Nummer 2.5.5 genannten Unfallarten zu führen, ohne dass weitere Ausfälle auftreten müssen;

b)

der Begriff „Potenzial” bedeutet, dass der Ausfall der Funktion zu der unter Nummer 2.5.5 genannten Unfallart führen kann.

2.5.9.

Führt der Ausfall einer Funktion des zu bewertenden technischen Systems nicht unmittelbar zu dem zu prüfenden Risiko, ist die Anwendung eines weniger strengen Entwurfsziels zulässig, sofern der Vorschlagende nachweisen kann, dass das gleiche Sicherheitsniveau erreicht werden kann, wenn die in Artikel 3 Nummer 34 definierten Vorkehrungen getroffen wurden.

2.5.10.

Unbeschadet der in Artikel 8 der Richtlinie 2004/49/EG oder in Artikel 17 Absatz 3 der Richtlinie 2008/57/EG des Europäischen Parlaments und des Rates⁽¹⁾ vorgesehenen Verfahren kann im Interesse der Aufrechterhaltung eines nationalen Sicherheitsniveaus im Wege einer notifizierten nationalen Vorschrift für das zu bewertende technische System ein strengeres Entwurfsziel als das in Nummer 2.5.5 festgelegte harmonisierte Entwurfsziel festgelegt werden. Werden zusätzliche Genehmigungen für die Inbetriebnahme von Fahrzeugen verlangt, gelten die Verfahren der Artikel 23 und 25 der Richtlinie 2008/57/EG.

2.5.11.

Wird ein technisches System unter Zugrundelegung der unter Nummer 2.5.5 niedergelegten Anforderungen entwickelt, findet das Prinzip der gegenseitigen Anerkennung gemäß Artikel 15 Absatz 5 Anwendung.

Weist der Vorschlagende jedoch für eine bestimmte Gefährdung nach, dass das bestehende nationale Sicherheitsniveau in dem Mitgliedstaat, in dem das System zum Einsatz kommt, sich auch mit einem weniger strengen Entwurfsziel als dem harmonisierten Entwurfsziel aufrechterhalten lässt, kann statt des harmonisierten Entwurfsziels dieses weniger strenge Entwurfsziel vom Vorschlagenden im betreffenden Mitgliedstaat zugrunde gelegt werden.

2.5.12.

Die explizite Risikoabschätzung und -evaluierung muss mindestens folgende Anforderungen erfüllen:

a)

Die für die explizite Risikoabschätzung eingesetzten Methoden geben das System, das der Bewertung unterzogen wird, und seine Parameter (einschließlich aller Betriebsmodi) korrekt wieder.

b)

Die Ergebnisse sind ausreichend präzise, um als solide Entscheidungshilfe dienen zu können. Geringfügige Änderungen bei den zugrunde gelegten Annahmen oder Voraussetzungen dürfen nicht zu erheblich unterschiedlichen Anforderungen führen.

3.

NACHWEIS DER ERFÜLLUNG DER SICHERHEITSANFORDERUNGEN

3.1. Bevor die Sicherheit einer Änderung bescheinigt wird, ist — unter Aufsicht des Vorschlagenden — die Erfüllung der sich aus der Phase der Risikobewertung ergebenden Sicherheitsanforderungen nachzuweisen.

3.2. Dieser Nachweis wird von jedem der für die Erfüllung der gemäß Nummer 1.1.5 bestimmten Sicherheitsanforderungen verantwortlichen Akteure erbracht.

3.3. Die für den Nachweis der Erfüllung der Sicherheitsanforderungen gewählte Vorgehensweise sowie der Nachweis selbst werden einer unabhängigen Bewertung durch eine Bewertungsstelle unterzogen.

3.4. Eine Unangemessenheit der Sicherheitsmaßnahmen, durch die die Sicherheitsanforderungen erfüllt werden sollen, oder eine Gefährdung, die beim Nachweis der Erfüllung der Sicherheitsanforderungen entdeckt wird, hat eine erneute Bewertung und Evaluierung der damit verbundenen Risiken durch den Vorschlagenden gemäß Nummer 2 zur Folge. Die neuen Gefährdungen werden gemäß Nummer 4 im Gefährdungsprotokoll erfasst.

4.

GEFÄHRDUNGSMANAGEMENT

4.1.

Gefährdungsmanagementverfahren

4.1.1.

Im Verlauf der Planung und Durchführung werden — bis zur Genehmigung der Änderung oder der Vorlage des Sicherheitsbewertungsberichts — vom Vorschlagenden Gefährdungsprotokolle angelegt bzw. aktualisiert (sofern sie bereits bestehen). In einem Gefährdungsprotokoll werden die Fortschritte bei der Überwachung der aus den ermittelten Gefährdungen resultierenden Risiken aufgezeichnet. Sobald das System genehmigt und in Betrieb genommen wurde, wird das Gefährdungsprotokoll von dem Infrastrukturbetreiber oder dem Eisenbahnunternehmen, der bzw. das für den Betrieb des der Bewertung unterzogenen Systems verantwortlich ist, als integraler Bestandteil seines Sicherheitsmanagementsystems weitergeführt.

4.1.2.

Im Gefährdungsprotokoll sind alle Gefährdungen sowie alle entsprechenden Sicherheitsmaßnahmen und Systemannahmen aufgeführt, die im Zuge des Risikobewertungsverfahrens ermittelt wurden. Das Protokoll enthält einen eindeutigen Verweis auf den Ursprung der Gefährdungen und die gewählten Risikoakzeptanzgrundsätze sowie genaue Angaben zu dem (den) Akteur(en), der (die) jeweils dafür zuständig ist (sind), die einzelnen Gefährdungen unter Kontrolle zu halten.

4.2.

Informationsaustausch

Alle Gefährdungen und damit zusammenhängenden Sicherheitsanforderungen, die nicht durch einen Akteur allein unter Kontrolle gehalten werden können, werden einem weiteren beteiligten Akteur gemeldet, damit gemeinsam eine angemessene Lösung gefunden werden kann. Die Gefährdungen, die im Gefährdungsprotokoll des Akteurs aufgezeichnet sind, der die Zuständigkeit auf einen anderen Akteur überträgt, gelten nur dann als beherrscht, wenn die Evaluierung der Risiken im Zusammenhang mit diesen Gefährdungen von dem anderen Akteur vorgenommen wird und sich alle Beteiligten auf eine Lösung einigen.

5.

NACHWEISE FÜR DIE ANWENDUNG DES RISIKOMANAGEMENTVERFAHRENS

5.1. Das Risikomanagementverfahren, das für die Bewertung der Sicherheitsniveaus und der Erfüllung der Sicherheitsanforderungen angewandt wird, ist vom Vorschlagenden in einer solchen Weise zu dokumentieren, dass einer Bewertungsstelle alle erforderlichen Nachweise hinsichtlich der Eignung sowohl der Anwendung des Risikomanagementverfahrens als auch seiner Ergebnisse zugänglich sind.

5.2. Das vom Vorschlagenden gemäß Nummer 5.1 erstellte Dokument enthält mindestens

a)

eine Beschreibung der Organisation und Angaben zu den Experten, die benannt wurden, um das Risikobewertungsverfahren durchzuführen;

b)

die Ergebnisse der verschiedenen Phasen der Risikobewertung sowie eine Auflistung aller Sicherheitsanforderungen, die erfüllt werden müssen, damit das Risiko auf einem vertretbaren Niveau gehalten werden kann;

c)

den Nachweis der Erfüllung aller erforderlichen Sicherheitsanforderungen;

d)

alle für die Integration, den Betrieb oder die Instandhaltung eines Systems relevanten Annahmen, die im Zuge der Systemdefinition und -entwurf und der Risikobewertung gemacht wurden.

5.3. Die Bewertungsstelle hält ihre Schlussfolgerungen in einem nach Anhang III abgefassten Sicherheitsbewertungsbericht fest.