Cybersecurity Regulierung in der Schifffahrt

Die zunehmende Digitalisierung und Vernetzung in der Schifffahrt bringt neben vielen Vorteilen auch neue Risiken mit sich. Um diesen zu begegnen, wurden in den letzten Jahren wichtige Regulierungen zur Cybersicherheit eingeführt. Zwei zentrale Dokumente sind dabei die Unified Requirements E26 “Cyber Resilience of Ships” und E27 “Cyber Resilience of On-Board Systems and Equipment” der International Association of Classification Societies (IACS).

Rechtliche Lage in der Europäischen Union

Die rechtliche Lage der maritimen Cybersicherheit in der EU basiert auf einem Zusammenspiel internationaler Regelwerke und EU-spezifischer Direktiven. Für Schiffe in internationalen Gewässern gelten zunächst die Vorgaben der Internationalen Seeschifffahrts-Organisation (IMO), die Anforderungen für verschiedene Schiffstypen und deren Ausrüstung festlegen.

Innerhalb der EU spielt die Schiffsausrüstungsrichtlinie (Marine Equipment Directive, MED) 2014/90/EU eine zentrale Rolle. Sie harmonisiert die Prüfnormen und Zertifizierungsverfahren für Schiffsausrüstungen in der EU und integriert die IMO-Standards in den EU-Rechtsrahmen. Die Umsetzung und Überprüfung dieser Regelwerke obliegt den Flaggenstaaten, wobei spezialisierte “Notified Bodies” für Konformitätsbewertungen zuständig sind.

Die MED wird regelmäßig aktualisiert, um neue Technologien und Sicherheitsstandards, einschließlich Aspekte der Cybersicherheit, zu berücksichtigen. Ergänzend spielen auch andere EU-Richtlinien wie die Netz- und Informationssicherheitsrichtlinie (NIS 2) eine Rolle in der maritimen Cybersicherheit.

Dieser rechtliche Rahmen schafft die Basis für die Implementierung von Cybersicherheitsstandards wie IACS UR E26 und E27 in der EU. Er stellt sicher, dass Schiffe unter EU-Flagge und in der EU verwendete Schiffsausrüstungen sowohl internationalen als auch EU-spezifischen Anforderungen entsprechen, was zu einer resilienteren und sichereren maritimen Infrastruktur beiträgt.

Anforderungen und Ziele der neuen Vorgaben

Die neuen Vorgaben der IACS in Form der Unified Requirements E26 und E27 markieren einen Wendepunkt in der maritimen Cybersicherheit. Diese Anforderungen stellen nicht nur technische Leitlinien dar, sondern umfassen einen ganzheitlichen Ansatz, der von der Konstruktion über den Betrieb bis hin zur Wartung reicht.

Durch die Integration bewährter Industriestandards und die Berücksichtigung spezifischer maritimer Herausforderungen setzen diese Vorgaben neue Maßstäbe für die Cybersicherheit auf See. Im Folgenden werden die wesentlichen Anforderungen und Ziele dieser wegweisenden Regularien detailliert beleuchtet.

IACS UR E26 – Cyber Resilience of Ships

Die IACS UR E26 legt Anforderungen für die Cyber-Resilienz von Schiffen fest. Sie gilt für Passagierschiffe, Frachtschiffe über 500 BRZ, Hochgeschwindigkeitsfahrzeuge über 500 BRZ sowie mobile Offshore-Bohreinheiten, die alle auf internationalen Reisen eingesetzt werden.

Die Kernpunkte der E26 sind:

  • Identifizierung: Entwicklung eines umfassenden Verständnisses für Cybersicherheitsrisiken an Bord
  • Schutz: Implementierung proaktiver Schutzmaßnahmen gegen potenzielle Cybervorfälle
  • Erkennung: Einrichtung fortschrittlicher Systeme zur frühzeitigen Erkennung von Cybervorfällen
  • Reaktion: Entwicklung detaillierter und effektiver Reaktionspläne für verschiedene Cybervorfallszenarien
  • Wiederherstellung: Ausarbeitung umfassender Pläne zur schnellen Wiederherstellung nach Cybervorfällen

Die E26 definiert nicht nur diese Bereiche, sondern legt auch fest, wie die Einhaltung der Anforderungen nachgewiesen werden muss. Dies umfasst regelmäßige Audits, Dokumentation und Schulungen für die Besatzung.

IACS UR E27 – Cyber resilience of on-board systems and equipment

Die IACS UR E27 ergänzt die E26 und spezifiziert Anforderungen für die Cyber-Resilienz von Systemen und Geräten an Bord. Sie gilt für die gleichen Schiffstypen wie E26. Die UR E27 legt den Fokus auf die Sicherheit einzelner Bordsysteme und -geräte. Die zentralen Anforderungen umfassen:

  • Identifikation und Authentifizierung von Benutzern
  • Zugriffskontrolle und Berechtigungsverwaltung
  • Schutz vor Manipulationen und Schadcode
  • Sichere Kommunikation
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Funktionen für Backup und Wiederherstellung

Zudem werden Anforderungen an den sicheren Entwicklungsprozess (Secure Development Lifecycle) der Systeme gestellt. Darüber hinaus ist festgelegt, welche Dokumentation Hersteller bereitstellen müssen und wie die Einhaltung der Anforderungen nachgewiesen wird.

Zusammenhang zwischen IACS UR E26 und E27

Die IACS UR E26 und UR E27 ergänzen sich gegenseitig:

  • E26 definiert übergreifende Anforderungen an die Cyber-Resilienz des gesamten Schiffs und richtet sich primär an Schiffseigner und -betreiber.
  • E27 spezifiziert konkrete technische Anforderungen an einzelne Systeme und Geräte und adressiert hauptsächlich die Hersteller von Schiffssystemen.

Zusammen schaffen sie einen ganzheitlichen Rahmen, der sowohl organisatorische als auch technische Aspekte der maritimen Cybersicherheit abdeckt.

Zusammenhang mit der IEC 62443 und dem NIST CSF

Die IACS UR E26 “Cyber Resilience of Ships” konzentriert sich auf den Betrieb von Schiffen und basiert auf dem Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST). Dieses Framework hat sich in verschiedenen Branchen als effektiver Ansatz zur Verbesserung der Cybersicherheit bewährt.

NIST CSF und die IACS UR E26

Die E26 übernimmt dabei die fünf Kernfunktionen des NIST-Frameworks – Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen – und passt sie an den Kontext der Schifffahrt an. Dieser risikobasierte Ansatz ermöglicht es Schiffseignern und -betreibern, ihre Cybersicherheitsmaßnahmen flexibel und skalierbar zu gestalten.

Ein zentraler Aspekt des NIST-Frameworks, den die E26 übernimmt, ist die Betonung der kontinuierlichen Verbesserung. In der sich ständig weiterentwickelnden Landschaft der Cyberbedrohungen ist es entscheidend, dass Sicherheitsmaßnahmen im Schiffsbetrieb regelmäßig überprüft und angepasst werden.

IEC 62443 und die IACS UR E27

Während die E26 sich auf die übergreifenden organisatorischen Aspekte der Cybersicherheit im Schiffsbetrieb konzentriert, adressiert die IACS UR E27 spezifisch die technischen Aspekte der Bordsysteme und -ausrüstungen. Hierbei orientiert sich die E27 stark an der internationalen Normenreihe IEC 62443 zur IT-Sicherheit in der Automatisierungstechnik. Die IEC 62443 gilt als Goldstandard für die Cybersicherheit in industriellen Kontrollsystemen und bietet einen umfassenden Rahmen für die Absicherung vernetzter Systeme.

Konkret übernimmt die E27 detaillierte technische Anforderungen an die Sicherheitsfähigkeiten von Bordsystemen und -geräten aus der IEC 62443-3-3. Dies umfasst Aspekte wie Zugriffskontrollen, sichere Kommunikation und Ereignisprotokollierung für spezifische Komponenten an Bord. Darüber hinaus integriert die E27 Konzepte aus der IEC 62443-4-1 zum sicheren Entwicklungslebenszyklus. Dies stellt sicher, dass Cybersicherheit nicht nur im Betrieb, sondern bereits bei der Entwicklung und Herstellung von maritimen Systemen und Ausrüstungen berücksichtigt wird.

Zones und Conduits in den IACS UR

Ein Schlüsselkonzept, das sowohl E26 als auch E27 aus der IEC 62443 übernehmen, ist das der “Zones und Conduits”. Dieses Konzept der Netzwerksegmentierung ist besonders relevant für die komplexen und vernetzten Systeme moderner Schiffe. Es ermöglicht eine granulare Kontrolle des Datenverkehrs zwischen verschiedenen Bordsystemen und erhöht so die Gesamtsicherheit sowohl im Schiffsbetrieb als auch bei den einzelnen Bordsystemen.

Die Kombination der betrieblichen Ansätze aus dem NIST-Framework (E26) mit den technischen Spezifikationen aus der IEC 62443 (in beiden E26 und E27) schafft einen ganzheitlichen Rahmen für die maritime Cybersicherheit. Dieser integrierte Ansatz adressiert sowohl die Managementebene des Schiffsbetriebs als auch die technische Implementierung in den Bordsystemen und bietet der Schifffahrtsindustrie einen robusten Leitfaden zur Bewältigung aktueller und zukünftiger Cybersicherheitsherausforderungen.

Fazit

Diese neuen Regulierungen signalisieren einen Paradigmenwechsel in der Schifffahrtsindustrie, der die Bedeutung von Cyber-Sicherheit und die Notwendigkeit, proaktive Maßnahmen zu ergreifen, unterstreicht. Sie repräsentieren einen proaktiven Ansatz, um die maritime Infrastruktur vor den zunehmend komplexen und potenziell verheerenden Cyber-Bedrohungen zu schützen. Mit der Implementierung von IACS UR E26 und E27 wird die Schifffahrtsindustrie nicht nur sicherer, sondern auch widerstandsfähiger und zukunftsfähiger.

Insgesamt sind die IACS UR E26 und E27 ein wichtiger Schritt in Richtung einer sichereren maritimen Zukunft, stellen aber auch erhebliche Herausforderungen für eine Branche dar, die sich an neue digitale Realitäten anpassen muss. Die Regulierungen sind ein Zeichen dafür, dass Cybersecurity nicht länger ignoriert werden kann und dass proaktive Maßnahmen erforderlich sind, um die Integrität und Sicherheit des globalen Handels zu gewährleisten.

Unterstützung bei der Umsetzung von IACS UR E26 und E27

Die Implementierung der IACS UR E26 und E27 stellt für viele Akteure in der Schifffahrtsindustrie eine komplexe Herausforderung dar. Unser Team von erfahrenen Cybersecurity-Experten bietet umfassende Unterstützung bei der Umsetzung dieser wichtigen Regulierungen:

  • Durchführung von Gap-Analysen zur Identifizierung von Handlungsbedarf
  • Entwicklung maßgeschneiderter Implementierungsstrategien für Reedereien und Systemhersteller
  • Schulungen für Schiffsbesatzungen und technisches Personal zu den Anforderungen der IACS UR E26 und E27
  • Begleitung während des gesamten Konformitätsprozesses, von der Planung bis zur Umsetzung
  • Unterstützung bei der Erstellung der erforderlichen Dokumentation und Nachweisführung
  • Vorbereitung und Begleitung von Audits und Zertifizierungen durch Klassifikationsgesellschaften

Wir verstehen die spezifischen Herausforderungen der maritimen Branche und passen unsere Beratung individuell an die Bedürfnisse von Schiffsbetreibern, Werften und Zulieferern an. Unser Ziel ist es, nicht nur bei der Einhaltung der IACS-Vorgaben zu helfen, sondern auch die maritime Cybersecurity-Resilienz insgesamt zu stärken.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch, in dem wir gemeinsam ermitteln, wie wir Sie bei der effizienten und effektiven Umsetzung der IACS UR E26 und E27 unterstützen können.

Kommentar hinzufügen