Grundläggande principer för cybersäkerhet inom sjöfart och en analys av de maritima standarderna IACS UR E26 och E27, inklusive deras integration i EU:s rättsliga ramverk.
Rättslig situation i Europeiska unionen
Det rättsliga ramverket för maritim cybersäkerhet i EU bygger på ett samspel mellan internationella regleringar och EU-specifika direktiv. För fartyg som är engagerade i internationella resor gäller i första hand kraven från International Maritime Organization (IMO), som fastställer regler för olika fartygstyper och deras utrustning (https://www.imo.org/).
Inom EU spelar Marine Equipment Directive (MED) 2014/90/EU en central roll. Den harmoniserar teststandarder och certifieringsförfaranden för marin utrustning i EU och integrerar IMO-standarder i EU:s rättsliga ramverk (https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32014L0090). Implementering och verifiering av dessa regleringar faller på flaggstater, med specialiserade anmälda organ ansvariga för överensstämmelsesbedömningar.
MED uppdateras regelbundet för att återspegla nya teknologier och säkerhetsstandarder, inklusive aspekter av cybersäkerhet. Dessutom spelar andra EU-direktiv som NIS 2 också en roll i maritim cybersäkerhet.
Detta rättsliga ramverk tillhandahåller grunden för att implementera cybersäkerhetsstandarder som IACS UR E26 och E27 i EU. Det säkerställer att fartyg som för EU-flagg och utrustning som används inom EU följer både internationella och EU-specifika krav, vilket bidrar till en mer motståndskraftig och säker maritim infrastruktur.
Krav och mål för de nya regleringarna
De nya IACS Unified Requirements E26 och E27 markerar en vändpunkt inom maritim cybersäkerhet. Dessa krav är inte bara tekniska riktlinjer utan omfattar en holistisk approach som sträcker sig över design, drift och underhåll.
Genom att integrera etablerade industristandarder och ta hänsyn till maritima-specifika utmaningar sätter dessa krav nya benchmarks för cybersäkerhet till sjöss. De väsentliga kraven och målen för dessa banbrytande regleringar undersöks detaljerat nedan.
IACS UR E26 - Cyber resiliens för fartyg
IACS UR E26 fastställer krav för cyber resiliens för fartyg. Den gäller för passagerarfartyg, lastfartyg över 500 GT, höghastighetsfartyg över 500 GT och mobila offshore-borriggar som opererar på internationella resor.
Kärnelementen i E26 är:
- Identifiera: utveckla en omfattande förståelse av cybersäkerhetsrisker ombord
- Skydda: implementera proaktiva skyddsåtgärder mot potentiella cyberincidenter
- Upptäcka: etablera avancerade system för tidig upptäckt av cyberincidenter
- Reagera: utveckla detaljerade och effektiva responsplaner för olika cyberincidentscenarier
- Återställa: förbereda omfattande planer för snabb återställning efter cyberincidenter
E26 definierar inte bara dessa områden utan specificerar också hur efterlevnad måste demonstreras. Detta inkluderar regelbundna revisioner, dokumentation och besättningsutbildning.
IACS UR E27 - Cyber resiliens för ombord-system och utrustning
IACS UR E27 kompletterar E26 och specificerar krav för cyber resiliens för ombord-system och utrustning. Den gäller för samma fartygstyper som E26. UR E27 fokuserar på säkerhet för individuella ombord-system och enheter. Nyckelkrav inkluderar:
- Identifiering och autentisering av användare
- Åtkomstkontroll och auktoriseringshantering
- Skydd mot manipulering och malware
- Säker kommunikation
- Loggning av säkerhetsrelevanta händelser
- Backup- och återställningsfunktioner
Dessutom fastställs krav för den säkra utvecklingsprocessen (secure development lifecycle) för system. Standarden specificerar också vilken dokumentation tillverkare måste tillhandahålla och hur efterlevnad ska demonstreras.
Förhållandet mellan IACS UR E26 och E27
IACS UR E26 och UR E27 kompletterar varandra:
- E26 definierar övergripande krav för cyber resiliens för hela fartyget och riktar sig främst till fartygsägare och operatörer.
- E27 specificerar konkreta tekniska krav för individuella system och enheter och vänder sig främst till tillverkare av fartygssystem.
Tillsammans skapar de ett holistiskt ramverk som täcker både organisatoriska och tekniska aspekter av maritim cybersäkerhet.
Förhållande till IEC 62443 och NIST CSF
IACS UR E26 "Cyber Resilience of Ships" fokuserar på fartygsoperationer och baseras på Cybersecurity Framework (CSF) från National Institute of Standards and Technology (NIST) (https://www.nist.gov/cyberframework). Detta ramverk har visat sig effektivt över industrier som en approach för att förbättra cybersäkerhet.
NIST CSF och IACS UR E26
E26 adopterar de fem kärnfunktionerna i NIST-ramverket - identifiera, skydda, upptäcka, reagera och återställa - och anpassar dem till sjöfartens kontext. Denna riskbaserade approach tillåter fartygsägare och operatörer att designa sina cybersäkerhetsåtgärder flexibelt och skalbart.
En central aspekt av NIST-ramverket som E26 omfamnar är betoningen på kontinuerlig förbättring. I det ständigt utvecklande landskapet av cyberhot är det väsentligt att säkerhetsåtgärder i fartygsoperationer regelbundet granskas och justeras.
IEC 62443 och IACS UR E27
Medan E26 fokuserar på de övergripande organisatoriska aspekterna av cybersäkerhet i fartygsoperationer, adresserar IACS UR E27 specifikt de tekniska aspekterna av ombord-system och utrustning. Här är E27 nära anpassad till den internationella IEC 62443 standardserien för IT-säkerhet inom automationsteknologi. IEC 62443 betraktas som guldstandarden för cybersäkerhet i industriella kontrollsystem och tillhandahåller ett omfattande ramverk för att säkra nätverksanslutna system.
Specifikt adopterar E27 detaljerade tekniska krav för säkerhetskapaciteter för ombord-system och enheter från IEC 62443-3-3. Detta inkluderar aspekter som åtkomstkontroller, säker kommunikation och händelseloggning för specifika ombord-komponenter. Dessutom integrerar E27 koncept från IEC 62443-4-1 om den säkra utvecklingslivscykeln för att säkerställa att cybersäkerhet övervägs inte bara under drift utan redan under utveckling och tillverkning av maritima system och utrustning.
Zoner och kanaler i IACS UR:erna
Ett nyckelkoncept adopterat från IEC 62443 av både E26 och E27 är det med zoner och kanaler. Detta nätverkssegmenteringskoncept är särskilt relevant för de komplexa och sammankopplade systemen i moderna fartyg. Det möjliggör granulär kontroll av dataflöden mellan olika ombord-system och ökar därmed den övergripande säkerheten både i fartygsoperationer och för individuella ombord-system.
Kombinationen av de operationella approacherna från NIST-ramverket (E26) med de tekniska specifikationerna från IEC 62443 (reflekterade i både E26 och E27) skapar ett omfattande ramverk för maritim cybersäkerhet. Denna integrerade approach adresserar både ledningsnivån av fartygsoperationer och den tekniska implementeringen i ombord-system, vilket ger sjöfartsindustrin en robust guide för att hantera nuvarande och framtida cybersäkerhetsutmaningar.
Slutsats
Dessa nya regleringar signalerar ett paradigmskifte inom sjöfartsindustrin och understryker vikten av cybersäkerhet och behovet av proaktiva åtgärder. De representerar en framtidsinriktad approach för att skydda maritim infrastruktur mot allt mer komplexa och potentiellt förödande cyberhot. Med implementeringen av IACS UR E26 och E27 kommer sjöfartsindustrin att bli inte bara säkrare utan också mer motståndskraftig och framtidsredo.
Överlag är IACS UR E26 och E27 ett viktigt steg mot en säkrare maritim framtid, men de utgör också betydande utmaningar för en industri som måste anpassa sig till nya digitala realiteter. Regleringarna gör det tydligt att cybersäkerhet inte längre kan ignoreras och att proaktiva åtgärder krävs för att skydda integriteten och säkerheten för global handel.
Stöd för implementering av IACS UR E26 och E27
Den ökande sammankopplingen och digitaliseringen av moderna fartyg medför nya cybersäkerhetskrav. Operatörer, varv och systemleverantörer står inför uppgiften att demonstrera säkerhet inte bara tekniskt utan också från ett regulatoriskt perspektiv - särskilt med avseende på kraven från klassifikationssällskap och internationella regleringar.
Secuvi stödjer maritima intressenter i att utveckla lämpliga säkerhetsåtgärder för fartygssystem och integrera dem i befintliga processer. Tjänster inkluderar riskanalyser, tekniska skydd, organisatoriska åtgärder och framställning av granskningsbar dokumentation. Målet är att implementera säkerhetskrav på ett spårbart sätt utan att onödigt hindra verksamheten.
Oavsett om det är för nybyggnationer, eftermonteringsprojekt eller som del av systemutveckling, hjälper vi dig att implementera cybersäkerhet inom sjöfarten på ett praktiskt och standardkompatibelt sätt.
Mer information: secuvi.com