NIS2 en IACS UR E26/E27 voor de maritieme sector
Maritieme operators (rederijen, havens en scheepswerven) hebben te maken met zowel NIS2 als IMO MSC-FAL.1/Circ.3. IACS Unified Requirements E26 en E27 bieden een gestructureerd kader voor OT-cyberbeveiliging aan boord.
UR E26 en UR E27 uitgelegd
De International Association of Classification Societies (IACS) publiceerde Unified Requirements E26 en E27 voor maritieme OT-cyberbeveiliging. Ze gelden voor alle schepen geclassificeerd door IACS-leden.
- •Netwerksegmentatie en zonering aan boord
- •Software-updatebeleid voor scheepsbesturingen
- •Toegangscontrole op kritieke scheepssystemen
- •Incidentresponsplan voor maritieme OT
- •Beveiligde remote-toegang door OEM en werf
- •Beveiligingsproducteisen voor leveranciers van scheepscomponenten
- •Authenticatie en toegangscontrole op componentniveau
- •Logging en auditcapaciteit van scheepsapparatuur
- •Patchbaarheid gedurende de levenscyclus van het component
- •Software Bill of Materials (SBOM) bij levering
Wat NIS2 van maritieme operators vereist
Maritieme operators (havens, rederijen, scheepswerven als aanbieders van essentiële diensten) moeten een risicobeoordeling uitvoeren die OT-systemen aan boord en in de haven omvat.
Werven en rederijen zijn verantwoordelijk voor de cybersecurity van componenten die zij inbouwen of laten inbouwen. IACS UR E27-conformiteit van leveranciers is hierbij een aantoonbaar instrument.
Cyberincidenten aan boord moeten binnen 24 uur worden gemeld. Maritieme operators hebben een incidentresponsplan nodig dat werkt bij beperkte connectiviteit op zee.
Welke maritieme organisaties vallen onder NIS2?
Havens en havenautoriteiten
Haven-IT en OT (kranen, sluizen, terminal operating systems) vallen onder NIS2 transport-Annex I. Nederlandse havens (Rotterdam, Amsterdam) zijn essentiële entiteiten.
Rederijen en ferry-operators
Waterwegen-transport valt onder Bijlage I. Rederijen met ≥50 medewerkers of >€10M omzet zijn gedekt. OT aan boord valt in scope.
Scheepswerven
Werven vallen doorgaans onder maakindustrie (Bijlage II) of onder transport als aanbieders van diensten aan gedekte entiteiten. IACS UR E27-conformiteit maakt deel uit van de toeleveringsketenverplichting.
Offshore installaties
Energie-productieschepen (FPSO, FSO) vallen onder energie-Bijlage I. OT op productiedek (DCS, SCADA, ESD) is in scope van NIS2 artikel 21.
NIS2 en IACS UR-compliance combineren
Gecombineerde gap-analyse
Toetsing aan zowel NIS2 artikel 21 als IACS UR E26 (scheepssystemen) en E27 (componenten) in één analyse. Overlap geïdentificeerd, dubbele inspanning vermeden.
Netwerksegmentatie aan boord
Scheiding van navigatie-OT (ECDIS, DP, IAS) van IT-netwerk (VSAT, crewwifi) via hardware-firewall. Conform IMO MSC-FAL.1/Circ.3 en IACS UR E26.
Bewijspakket voor vlagstaat en NIS2
Gap-rapport, risicoregister, netwerkdiagrammen en beveiligingsbeleid, bruikbaar als bewijs voor zowel klassificatiebureaus als NIS2-toezichthouders.
Vertrouwde partners in maritieme automatisering
Eekels Technology (TBI)
Scheepswerktuigkundige automatisering en elektrische installaties voor maritieme en offshore-toepassingen. Partner voor maritieme OT-projecten.
Rondal (Royal Huisman)
Specialist in masten, boegsprieten en dekuitrusting voor superyachten. Samenwerking op het gebied van geïntegreerde dekautomatisering en NIS2-aantoonbaarheid.
OT-beveiliging en PLC-modernisering gaan hand in hand voor maritieme installaties.
IEC 62443 is de internationale norm voor OT-cyberbeveiliging. GCG gebruikt het als technisch kader voor NIS2-compliance.
Veelgestelde vragen
Start uw maritieme NIS2-beoordeling
Wij combineren NIS2 en IACS UR in één gap-analyse: één traject, één bewijspakket.