NIS2 und IACS UR E26/E27 für den Maritimen Sektor

Maritime Betreiber (Reedereien, Häfen und Werften) haben es sowohl mit NIS2 als auch mit IMO MSC-FAL.1/Circ.3 zu tun. IACS Unified Requirements E26 und E27 bieten einen strukturierten Rahmen für OT-Cybersicherheit an Bord.

IACS Einheitliche Anforderungen

UR E26 und UR E27 erklärt

Die International Association of Classification Societies (IACS) veröffentlichte Unified Requirements E26 und E27 für maritime OT-Cybersicherheit. Sie gelten für alle Schiffe, die von IACS-Mitgliedern klassifiziert wurden.

IACS UR E26
Pflicht für Neubauten mit Kiellegung nach dem 1. Januar 2024
Umfang: Schiffsysteme (IAS, ECDIS, DP, Brückensysteme, Antrieb)
  • Netzwerksegmentierung und Zonierung an Bord
  • Software-Aktualisierungsrichtlinie für Schiffssteuerungen
  • Zugangskontrolle zu kritischen Schiffsystemen
  • Incident-Response-Plan für maritime OT
  • Gesicherter Fernzugriff durch OEM und Werft
IACS UR E27
Pflicht für Komponenten in Neubauten mit Kiellegung nach dem 1. Januar 2024
Umfang: Schiffsausrüstung (Sensoren, Aktoren, Schiffsystemkomponenten)
  • Sicherheitsproduktanforderungen für Lieferanten von Schiffskomponenten
  • Authentifizierung und Zugangskontrolle auf Komponentenebene
  • Protokollierungs- und Prüffähigkeit der Schiffsausrüstung
  • Patchfähigkeit über den Lebenszyklus der Komponente
  • Software Bill of Materials (SBOM) bei Lieferung
NIS2-Verpflichtungen

Was NIS2 von maritimen Betreibern verlangt

Art. 21(2)(a): Risikoanalyse

Maritime Betreiber (Häfen, Reedereien, Werften als Anbieter wesentlicher Dienste) müssen eine Risikobewertung durchführen, die OT-Systeme an Bord und im Hafen umfasst.

Art. 21(2)(d): Lieferkette

Werften und Reedereien sind für die Cybersicherheit der von ihnen eingebauten Komponenten verantwortlich. IACS UR E27-Konformität der Lieferanten ist dabei ein nachweisbares Instrument.

Art. 21(2)(b): Incident Response

Cybervorfälle an Bord müssen innerhalb von 24 Stunden gemeldet werden. Maritime Betreiber benötigen einen Incident-Response-Plan, der bei eingeschränkter Konnektivität auf See funktioniert.

Anwendungsbereich

Welche maritimen Organisationen fallen unter NIS2?

Häfen und Hafenbehörden

Hafen-IT und OT (Krane, Schleusen, Terminals) fallen unter NIS2-Transport-Anhang I. Niederländische Häfen (Rotterdam, Amsterdam) sind wesentliche Einrichtungen.

Reedereien und Fährbetreiber

Binnenwassertransport fällt unter Anhang I. Reedereien mit ≥50 Mitarbeitern oder >10 Mio. € Umsatz sind erfasst. OT an Bord fällt in den Anwendungsbereich.

Werften

Werften fallen in der Regel unter das verarbeitende Gewerbe (Anhang II) oder unter Transport als Dienstleistungsanbieter für erfasste Einrichtungen. IACS UR E27-Konformität ist Teil der Lieferkettenpflicht.

Offshore-Anlagen

Energieproduktionsschiffe (FPSO, FSO) fallen unter Energie-Anhang I. OT auf dem Produktionsdeck (DCS, SCADA, ESD) fällt in den Anwendungsbereich von NIS2 Artikel 21.

Unser Ansatz

NIS2 und IACS UR-Compliance kombinieren

01

Kombinierte Lückenanalyse

Bewertung sowohl gegen NIS2 Artikel 21 als auch IACS UR E26 (Schiffsysteme) und E27 (Komponenten) in einer Analyse. Überschneidungen identifiziert, Doppelarbeit vermieden.

02

Netzwerksegmentierung an Bord

Trennung von Navigations-OT (ECDIS, DP, IAS) vom IT-Netzwerk (VSAT, Crew-WLAN) über Hardware-Firewall. Gemäß IMO MSC-FAL.1/Circ.3 und IACS UR E26.

03

Nachweispaket für Flaggenstaat und NIS2

Lückenbericht, Risikoregister, Netzwerkdiagramme und Sicherheitsrichtlinie, verwendbar als Nachweis sowohl für Klassifikationsgesellschaften als auch für NIS2-Aufsichtsbehörden.

Partner

Vertrauenswürdige Partner in der maritimen Automatisierung

Eekels Technology (TBI)

Schiffsmaschinenbau-Automatisierung und elektrische Installationen für maritime und Offshore-Anwendungen. Partner für maritime OT-Projekte.

Rondal (Royal Huisman)

Spezialist für Masten, Bugspriets und Deckausrüstung für Superyachten. Zusammenarbeit auf dem Gebiet der integrierten Deckautomatisierung und NIS2-Nachweisbarkeit.

Auch relevant
Maritime Maschinenüberholung

OT-Sicherheit und SPS-Modernisierung gehen Hand in Hand bei maritimen Anlagen.

Maritime Überholung ansehen
Auch relevant
IEC 62443 für OT-Sicherheit

IEC 62443 ist der internationale Standard für OT-Cybersicherheit. GCG verwendet es als technischen Rahmen für die NIS2-Compliance.

IEC 62443 ansehen

Häufig gestellte Fragen

Starten Sie Ihre maritime NIS2-Bewertung

Wir kombinieren die NIS2- und IACS UR-Rahmen in einer einzigen Lückenanalyse: ein Prozess, ein Nachweispaket.