EN SV
legislation

Maritim cybersikkerhed IACS UR E26 og E27 forklaret

7 minutters læsning
Maritim cybersikkerhed IACS UR E26 og E27 forklaret

Grundlæggende principper for cybersikkerhed inden for skibsfart og en analyse af de maritime standarder IACS UR E26 og E27, herunder deres integration i EU lovrammen.

Den juridiske situation i Den Europæiske Union

Den juridiske ramme for maritim cybersikkerhed i EU er baseret på et samspil mellem internationale regulativer og EU-specifikke direktiver. For skibe der deltager i internationale rejser gælder først og fremmest kravene fra International Maritime Organization (IMO), som fastlægger regler for forskellige skibstyper og deres udstyr (https://www.imo.org/).

Inden for EU spiller Marine Equipment Directive (MED) 2014/90/EU en central rolle. Det harmoniserer teststandarder og certificeringsprocedurer for marineudstyr i EU og integrerer IMO standarder i EU lovrammen (https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32014L0090). Implementering og verifikation af disse regulativer påhviler flagstater, med specialiserede notificerede organer ansvarlige for overensstemmelsesvurderinger.

MED opdateres regelmæssigt for at afspejle nye teknologier og sikkerhedsstandarder, herunder aspekter af cybersikkerhed. Derudover spiller andre EU direktiver såsom NIS 2 også en rolle i maritim cybersikkerhed.

Denne juridiske ramme danner grundlaget for implementering af cybersikkerhedsstandarder som IACS UR E26 og E27 i EU. Den sikrer at skibe under EU flag og udstyr brugt inden for EU overholder både internationale og EU-specifikke krav og bidrager til en mere modstandsdygtig og sikker maritim infrastruktur.

Krav og målsætninger for de nye regulativer

De nye IACS Unified Requirements E26 og E27 markerer et vendepunkt i maritim cybersikkerhed. Disse krav er ikke blot tekniske retningslinjer; de omfatter en holistisk tilgang der spænder over design, drift og vedligeholdelse.

Ved at integrere etablerede industristandarder og tage hensyn til maritime-specifikke udfordringer sætter disse krav nye benchmarks for cybersikkerhed til søs. De væsentlige krav og målsætninger for disse banebrydende regulativer undersøges detaljeret nedenfor.

IACS UR E26 - Cyber modstandsdygtighed af skibe

IACS UR E26 fastsætter krav til cyber modstandsdygtighed af skibe. Det gælder for passagerskibe, lastskibe over 500 GT, højhastighedsfartøjer over 500 GT og mobile offshore boring enheder der opererer på internationale rejser.

Kerneelementerne i E26 er:

  • Identificere: udvikling af en omfattende forståelse af cybersikkerhedsrisici om bord
  • Beskytte: implementering af proaktive beskyttelsesforanstaltninger mod potentielle cyberincidenter
  • Detektere: etablering af avancerede systemer til tidlig opdagelse af cyberincidenter
  • Reagere: udvikling af detaljerede og effektive reaktionsplaner for forskellige cyberincident scenarier
  • Genoprette: forberedelse af omfattende planer for hurtig genopretning efter cyberincidenter

E26 definerer ikke blot disse områder men specificerer også hvordan overholdelse skal demonstreres. Dette inkluderer regelmæssige revisioner, dokumentation og besætningsuddannelse.

IACS UR E27 - Cyber modstandsdygtighed af ombord systemer og udstyr

IACS UR E27 supplerer E26 og specificerer krav til cyber modstandsdygtighed af ombord systemer og udstyr. Det gælder for de samme skibstyper som E26. UR E27 fokuserer på sikkerhed for individuelle ombord systemer og enheder. Nøglekrav inkluderer:

  • Identifikation og autentificering af brugere
  • Adgangskontrol og autorisationsstyring
  • Beskyttelse mod manipulation og malware
  • Sikker kommunikation
  • Logning af sikkerhedsrelevante begivenheder
  • Backup og genopretningsfunktioner

Derudover opstilles krav til den sikre udviklingsproces (secure development lifecycle) af systemer. Standarden specificerer også hvilken dokumentation producenter skal levere og hvordan overholdelse skal demonstreres.

Forholdet mellem IACS UR E26 og E27

IACS UR E26 og UR E27 supplerer hinanden:

  • E26 definerer overordnede krav til cyber modstandsdygtighed af hele skibet og er primært rettet mod skibsejere og operatører.
  • E27 specificerer konkrete tekniske krav til individuelle systemer og enheder og henvender sig primært til producenter af skibssystemer.

Tilsammen skaber de en holistisk ramme der dækker både organisatoriske og tekniske aspekter af maritim cybersikkerhed.

Forhold til IEC 62443 og NIST CSF

IACS UR E26 "Cyber Resilience of Ships" fokuserer på skibsdrift og er baseret på Cybersecurity Framework (CSF) fra National Institute of Standards and Technology (NIST) (https://www.nist.gov/cyberframework). Dette framework har vist sig effektivt på tværs af industrier som en tilgang til forbedring af cybersikkerhed.

NIST CSF og IACS UR E26

E26 adopterer de fem kernefunktioner i NIST frameworket - identificer, beskyt, detekter, reager og genopret - og tilpasser dem til skibsfartens kontekst. Denne risikobaserede tilgang gør det muligt for skibsejere og operatører at designe deres cybersikkerhedsforanstaltninger fleksibelt og skalerbart.

Et centralt aspekt af NIST frameworket som E26 omfavner er vægten på kontinuerlig forbedring. I det konstant udviklende landskab af cybertrusler er det essentielt at sikkerhedsforanstaltninger i skibsdrift regelmæssigt gennemgås og justeres.

IEC 62443 og IACS UR E27

Mens E26 fokuserer på de overordnede organisatoriske aspekter af cybersikkerhed i skibsdrift, adresserer IACS UR E27 specifikt de tekniske aspekter af ombord systemer og udstyr. Her er E27 tæt tilpasset den internationale IEC 62443 standardserie for IT sikkerhed i automationsteknologi. IEC 62443 betragtes som guldstandarden for cybersikkerhed i industrielle kontrolsystemer og leverer en omfattende ramme for sikring af netværksforbundne systemer.

Specifikt adopterer E27 detaljerede tekniske krav til sikkerhedskapaciteter for ombord systemer og enheder fra IEC 62443-3-3. Dette inkluderer aspekter såsom adgangskontrol, sikker kommunikation og event logning for specifikke ombord komponenter. Derudover integrerer E27 koncepter fra IEC 62443-4-1 om den sikre udviklingslivscyklus for at sikre at cybersikkerhed ikke blot overvejes under drift men allerede under udvikling og fremstilling af maritime systemer og udstyr.

Zoner og kanaler i IACS URerne

Et nøglekoncept adopteret fra IEC 62443 af både E26 og E27 er det med zoner og kanaler. Dette netværkssegmenteringskoncept er særligt relevant for de komplekse og indbyrdes forbundne systemer i moderne skibe. Det muliggør granulær kontrol af dataflows mellem forskellige ombord systemer og øger dermed den overordnede sikkerhed både i skibsdrift og for individuelle ombord systemer.

Kombinationen af de operationelle tilgange fra NIST frameworket (E26) med de tekniske specifikationer fra IEC 62443 (reflekteret i både E26 og E27) skaber en omfattende ramme for maritim cybersikkerhed. Denne integrerede tilgang adresserer både ledelsesniveauet af skibsdrift og den tekniske implementering i ombord systemer og giver den maritime industri en robust guide til at tackle nuværende og fremtidige cybersikkerhedsudfordringer.

Konklusion

Disse nye regulativer signalerer et paradigmeskift i den maritime industri og understreger vigtigheden af cybersikkerhed og behovet for proaktive foranstaltninger. De repræsenterer en fremadskuende tilgang til at beskytte maritim infrastruktur mod stadigt mere komplekse og potentielt ødelæggende cybertrusler. Med implementeringen af IACS UR E26 og E27 vil den maritime industri ikke blot blive sikrere men også mere modstandsdygtig og fremtidsklar.

Overordnet set er IACS UR E26 og E27 et vigtigt skridt mod en mere sikker maritim fremtid, men de udgør også betydelige udfordringer for en industri der skal tilpasse sig nye digitale realiteter. Regulativerne gør det klart at cybersikkerhed ikke længere kan ignoreres og at proaktive foranstaltninger er påkrævet for at sikre integriteten og sikkerheden af global handel.

Support til implementering af IACS UR E26 og E27

Den stigende sammenkoblingsevne og digitalisering af moderne skibe medfører nye cybersikkerhedskrav. Operatører, skibsværfter og systemleverandører står over for opgaven med at demonstrere sikkerhed ikke blot teknisk men også fra et regulatorisk perspektiv - særligt med hensyn til kravene fra klassifikationsselskaber og internationale regulativer.

Secuvi støtter maritime interessenter i at udvikle passende sikkerhedsforanstaltninger for skibssystemer og integrere dem i eksisterende processer. Tjenester inkluderer risikoanalyser, teknisk beskyttelse, organisatoriske foranstaltninger og udarbejdelse af reviderbar dokumentation. Målet er at implementere sikkerhedskrav på en sporbar måde uden unødigt at hæmme driften.

Hvad enten det er for nybyggerier, eftermonteringsprojekter eller som en del af systemudvikling, hjælper vi dig med at implementere cybersikkerhed i skibsfart på en praktisk og standardkompatibel måde.

Mere information: secuvi.com