NIS2 en IACS UR E26/E27 voor de maritieme sector

Maritieme operators (rederijen, havens en scheepswerven) hebben te maken met zowel NIS2 als IMO MSC-FAL.1/Circ.3. IACS Unified Requirements E26 en E27 bieden een gestructureerd kader voor OT-cyberbeveiliging aan boord.

IACS Unified Requirements

UR E26 en UR E27 uitgelegd

De International Association of Classification Societies (IACS) publiceerde Unified Requirements E26 en E27 voor maritieme OT-cyberbeveiliging. Ze gelden voor alle schepen geclassificeerd door IACS-leden.

IACS UR E26
Verplicht voor nieuwbouw met kiellegging na 1 januari 2024
Scope: Scheepssystemen (IAS, ECDIS, DP, bridge systems, propulsion)
  • Netwerksegmentatie en zonering aan boord
  • Software-updatebeleid voor scheepsbesturingen
  • Toegangscontrole op kritieke scheepssystemen
  • Incidentresponsplan voor maritieme OT
  • Beveiligde remote-toegang door OEM en werf
IACS UR E27
Verplicht voor componenten in nieuwbouw met kiellegging na 1 januari 2024
Scope: Scheepsapparatuur (sensoren, actuatoren, scheepssysteem-componenten)
  • Beveiligingsproducteisen voor leveranciers van scheepscomponenten
  • Authenticatie en toegangscontrole op componentniveau
  • Logging en auditcapaciteit van scheepsapparatuur
  • Patchbaarheid gedurende de levenscyclus van het component
  • Software Bill of Materials (SBOM) bij levering
NIS2-verplichtingen

Wat NIS2 van maritieme operators vereist

Art. 21(2)(a): Risicoanalyse

Maritieme operators (havens, rederijen, scheepswerven als aanbieders van essentiële diensten) moeten een risicobeoordeling uitvoeren die OT-systemen aan boord en in de haven omvat.

Art. 21(2)(d): Toeleveringsketen

Werven en rederijen zijn verantwoordelijk voor de cybersecurity van componenten die zij inbouwen of laten inbouwen. IACS UR E27-conformiteit van leveranciers is hierbij een aantoonbaar instrument.

Art. 21(2)(b): Incidentrespons

Cyberincidenten aan boord moeten binnen 24 uur worden gemeld. Maritieme operators hebben een incidentresponsplan nodig dat werkt bij beperkte connectiviteit op zee.

Reikwijdte

Welke maritieme organisaties vallen onder NIS2?

Havens en havenautoriteiten

Haven-IT en OT (kranen, sluizen, terminal operating systems) vallen onder NIS2 transport-Annex I. Nederlandse havens (Rotterdam, Amsterdam) zijn essentiële entiteiten.

Rederijen en ferry-operators

Waterwegen-transport valt onder Bijlage I. Rederijen met ≥50 medewerkers of >€10M omzet zijn gedekt. OT aan boord valt in scope.

Scheepswerven

Werven vallen doorgaans onder maakindustrie (Bijlage II) of onder transport als aanbieders van diensten aan gedekte entiteiten. IACS UR E27-conformiteit maakt deel uit van de toeleveringsketenverplichting.

Offshore installaties

Energie-productieschepen (FPSO, FSO) vallen onder energie-Bijlage I. OT op productiedek (DCS, SCADA, ESD) is in scope van NIS2 artikel 21.

Onze aanpak

NIS2 en IACS UR-compliance combineren

01

Gecombineerde gap-analyse

Toetsing aan zowel NIS2 artikel 21 als IACS UR E26 (scheepssystemen) en E27 (componenten) in één analyse. Overlap geïdentificeerd, dubbele inspanning vermeden.

02

Netwerksegmentatie aan boord

Scheiding van navigatie-OT (ECDIS, DP, IAS) van IT-netwerk (VSAT, crewwifi) via hardware-firewall. Conform IMO MSC-FAL.1/Circ.3 en IACS UR E26.

03

Bewijspakket voor vlagstaat en NIS2

Gap-rapport, risicoregister, netwerkdiagrammen en beveiligingsbeleid, bruikbaar als bewijs voor zowel klassificatiebureaus als NIS2-toezichthouders.

Partners

Vertrouwde partners in maritieme automatisering

Eekels Technology (TBI)

Scheepswerktuigkundige automatisering en elektrische installaties voor maritieme en offshore-toepassingen. Partner voor maritieme OT-projecten.

Rondal (Royal Huisman)

Specialist in masten, boegsprieten en dekuitrusting voor superyachten. Samenwerking op het gebied van geïntegreerde dekautomatisering en NIS2-aantoonbaarheid.

Ook relevant
Maritieme machine-refit

OT-beveiliging en PLC-modernisering gaan hand in hand voor maritieme installaties.

Bekijk maritieme refit
Ook relevant
IEC 62443 voor OT-beveiliging

IEC 62443 is de internationale norm voor OT-cyberbeveiliging. GCG gebruikt het als technisch kader voor NIS2-compliance.

Bekijk IEC 62443

Veelgestelde vragen

Start uw maritieme NIS2-beoordeling

Wij combineren NIS2 en IACS UR in één gap-analyse: één traject, één bewijspakket.