NIS2 und IACS UR E26/E27 für den Maritimen Sektor
Maritime Betreiber (Reedereien, Häfen und Werften) haben es sowohl mit NIS2 als auch mit IMO MSC-FAL.1/Circ.3 zu tun. IACS Unified Requirements E26 und E27 bieten einen strukturierten Rahmen für OT-Cybersicherheit an Bord.
UR E26 und UR E27 erklärt
Die International Association of Classification Societies (IACS) veröffentlichte Unified Requirements E26 und E27 für maritime OT-Cybersicherheit. Sie gelten für alle Schiffe, die von IACS-Mitgliedern klassifiziert wurden.
- •Netzwerksegmentierung und Zonierung an Bord
- •Software-Aktualisierungsrichtlinie für Schiffssteuerungen
- •Zugangskontrolle zu kritischen Schiffsystemen
- •Incident-Response-Plan für maritime OT
- •Gesicherter Fernzugriff durch OEM und Werft
- •Sicherheitsproduktanforderungen für Lieferanten von Schiffskomponenten
- •Authentifizierung und Zugangskontrolle auf Komponentenebene
- •Protokollierungs- und Prüffähigkeit der Schiffsausrüstung
- •Patchfähigkeit über den Lebenszyklus der Komponente
- •Software Bill of Materials (SBOM) bei Lieferung
Was NIS2 von maritimen Betreibern verlangt
Maritime Betreiber (Häfen, Reedereien, Werften als Anbieter wesentlicher Dienste) müssen eine Risikobewertung durchführen, die OT-Systeme an Bord und im Hafen umfasst.
Werften und Reedereien sind für die Cybersicherheit der von ihnen eingebauten Komponenten verantwortlich. IACS UR E27-Konformität der Lieferanten ist dabei ein nachweisbares Instrument.
Cybervorfälle an Bord müssen innerhalb von 24 Stunden gemeldet werden. Maritime Betreiber benötigen einen Incident-Response-Plan, der bei eingeschränkter Konnektivität auf See funktioniert.
Welche maritimen Organisationen fallen unter NIS2?
Häfen und Hafenbehörden
Hafen-IT und OT (Krane, Schleusen, Terminals) fallen unter NIS2-Transport-Anhang I. Niederländische Häfen (Rotterdam, Amsterdam) sind wesentliche Einrichtungen.
Reedereien und Fährbetreiber
Binnenwassertransport fällt unter Anhang I. Reedereien mit ≥50 Mitarbeitern oder >10 Mio. € Umsatz sind erfasst. OT an Bord fällt in den Anwendungsbereich.
Werften
Werften fallen in der Regel unter das verarbeitende Gewerbe (Anhang II) oder unter Transport als Dienstleistungsanbieter für erfasste Einrichtungen. IACS UR E27-Konformität ist Teil der Lieferkettenpflicht.
Offshore-Anlagen
Energieproduktionsschiffe (FPSO, FSO) fallen unter Energie-Anhang I. OT auf dem Produktionsdeck (DCS, SCADA, ESD) fällt in den Anwendungsbereich von NIS2 Artikel 21.
NIS2 und IACS UR-Compliance kombinieren
Kombinierte Lückenanalyse
Bewertung sowohl gegen NIS2 Artikel 21 als auch IACS UR E26 (Schiffsysteme) und E27 (Komponenten) in einer Analyse. Überschneidungen identifiziert, Doppelarbeit vermieden.
Netzwerksegmentierung an Bord
Trennung von Navigations-OT (ECDIS, DP, IAS) vom IT-Netzwerk (VSAT, Crew-WLAN) über Hardware-Firewall. Gemäß IMO MSC-FAL.1/Circ.3 und IACS UR E26.
Nachweispaket für Flaggenstaat und NIS2
Lückenbericht, Risikoregister, Netzwerkdiagramme und Sicherheitsrichtlinie, verwendbar als Nachweis sowohl für Klassifikationsgesellschaften als auch für NIS2-Aufsichtsbehörden.
Vertrauenswürdige Partner in der maritimen Automatisierung
Eekels Technology (TBI)
Schiffsmaschinenbau-Automatisierung und elektrische Installationen für maritime und Offshore-Anwendungen. Partner für maritime OT-Projekte.
Rondal (Royal Huisman)
Spezialist für Masten, Bugspriets und Deckausrüstung für Superyachten. Zusammenarbeit auf dem Gebiet der integrierten Deckautomatisierung und NIS2-Nachweisbarkeit.
OT-Sicherheit und SPS-Modernisierung gehen Hand in Hand bei maritimen Anlagen.
IEC 62443 ist der internationale Standard für OT-Cybersicherheit. GCG verwendet es als technischen Rahmen für die NIS2-Compliance.
Häufig gestellte Fragen
Starten Sie Ihre maritime NIS2-Bewertung
Wir kombinieren die NIS2- und IACS UR-Rahmen in einer einzigen Lückenanalyse: ein Prozess, ein Nachweispaket.