NIS2 i IACS UR E26/E27 dla sektora morskiego
Operatorzy morscy (armatorzy, porty i stocznie) podlegają zarówno NIS2, jak i IMO MSC-FAL.1/Circ.3. IACS Unified Requirements E26 i E27 zapewniają ustrukturyzowane ramy dla cyberbezpieczeństwa OT na pokładzie.
UR E26 i UR E27 wyjaśnione
International Association of Classification Societies (IACS) opublikowała Unified Requirements E26 i E27 dla morskiego cyberbezpieczeństwa OT. Obowiązują dla wszystkich statków sklasyfikowanych przez członków IACS.
- •Segmentacja sieci i strefowanie na pokładzie
- •Polityka aktualizacji oprogramowania systemów okrętowych
- •Kontrola dostępu do krytycznych systemów okrętowych
- •Plan reagowania na incydenty dla morskiego OT
- •Bezpieczny zdalny dostęp przez OEM i stocznię
- •Wymagania bezpieczeństwa produktów dla dostawców komponentów okrętowych
- •Uwierzytelnianie i kontrola dostępu na poziomie komponentu
- •Możliwości rejestrowania i audytu wyposażenia okrętowego
- •Możliwość aktualizacji przez cały cykl życia komponentu
- •Software Bill of Materials (SBOM) przy dostawie
Co NIS2 wymaga od operatorów morskich
Operatorzy morscy (porty, armatorzy, stocznie jako dostawcy usług kluczowych) muszą przeprowadzić ocenę ryzyka obejmującą systemy OT na pokładzie i w porcie.
Stocznie i armatorzy są odpowiedzialni za cyberbezpieczeństwo instalowanych komponentów. Zgodność dostawców z IACS UR E27 jest tu wymiernym instrumentem dowodowym.
Cyberincydenty na pokładzie muszą być zgłoszone w ciągu 24 godzin. Operatorzy morscy potrzebują planu reagowania na incydenty działającego przy ograniczonej łączności na morzu.
Które organizacje morskie podlegają NIS2?
Porty i władze portowe
IT i OT portów (żurawie, śluzy, systemy zarządzania terminalami) podlegają NIS2 załącznik I transport. Porty holenderskie (Rotterdam, Amsterdam) są podmiotami kluczowymi.
Armatorzy i operatorzy promów
Transport śródlądowy podlega załącznikowi I. Armatorzy z ≥50 pracownikami lub >10 mln € obrotu są objęci. OT na pokładzie wchodzi w zakres.
Stocznie
Stocznie zazwyczaj podlegają przemysłowi wytwórczemu (załącznik II) lub transportowi jako dostawcy usług dla objętych podmiotów. Zgodność z IACS UR E27 jest częścią obowiązku łańcucha dostaw.
Instalacje offshore
Statki produkcji energii (FPSO, FSO) podlegają energetycznemu załącznikowi I. OT na pokładzie produkcyjnym (DCS, SCADA, ESD) wchodzi w zakres art. 21 NIS2.
Łączenie zgodności z NIS2 i IACS UR
Połączona analiza luk
Ocena względem zarówno art. 21 NIS2, jak i IACS UR E26 (systemy okrętowe) i E27 (komponenty) w jednej analizie. Zidentyfikowano nakładanie się, uniknięto podwójnego wysiłku.
Segmentacja sieci na pokładzie
Oddzielenie OT nawigacyjnego (ECDIS, DP, IAS) od sieci IT (VSAT, wifi załogi) za pomocą sprzętowej zapory sieciowej. Zgodnie z IMO MSC-FAL.1/Circ.3 i IACS UR E26.
Pakiet dowodowy dla państwa bandery i NIS2
Raport z analizy luk, rejestr ryzyka, diagramy sieci i polityka bezpieczeństwa, możliwe do wykorzystania jako dowód zarówno dla towarzystw klasyfikacyjnych, jak i organów nadzoru NIS2.
Zaufani partnerzy w automatyce morskiej
Eekels Technology (TBI)
Automatyzacja inżynierii morskiej i instalacje elektryczne dla zastosowań morskich i offshore. Partner dla morskich projektów OT.
Rondal (Royal Huisman)
Specjalista w zakresie masztów, bowspritów i wyposażenia pokładowego dla superjachtów. Współpraca w zakresie zintegrowanej automatyki pokładowej i wykazania zgodności z NIS2.
Bezpieczeństwo OT i modernizacja PLC idą w parze dla instalacji morskich.
IEC 62443 to międzynarodowy standard cyberbezpieczeństwa OT. GCG używa go jako technicznego ramy dla zgodności z NIS2.
Najczęściej zadawane pytania
Rozpocznij morską ocenę NIS2
Łączymy ramy NIS2 i IACS UR w jednej analizie luk: jeden proces, jeden pakiet dowodowy.