Krav om cybersecurity-planer på alle skibe
Pr. 1. januar 2021 skal der findes cybersecurity planer på alle skibe, som er omfattet af ISM-koden (International Safety Management).
Herefter vil cybersikkerhed være en del af Søfartsstyrelsens auditering af rederier og skibe, der er omfattet af bekendtgørelsen.
Tekst: Lise Mortensen, fotos: Ivar Svane
Der er internationale IMO-krav om, at
hele søfartserhvervet skal ruste sig med cybersecurity-planer.
Vi har spurgt leder af Søfartens
Cyber- og Informationssikkerhedsenhed, Morten Brix Laursen om, hvad den nye
bekendtgørelse helt konkret betyder ude i styrehusene:
- Uanset, om der er tale om et stort
eller mindre skib, kan vi stille krav om, at skibene skal håndtere de
sikkerhedsmæssige risici, der måtte være, hvis et skib anvender net- og
informationssystemer, som indvirker på skibenes sikkerhed og deres sejlads. Skibet
skal helst være i stand til helt at forhindre, at et muligt cyberangreb
kompromitterer sejladssikkerheden og sikkerheden om bord i skibet.
- Vi interesserer os for, om der er
truffet passende foranstaltninger til at styre cyber-risiciene. Har man fx
procedurer for håndtering af cyberangreb?
Ved besætningsmedlemmerne gennem fx
uddannelser og øvelser, hvad de skal gøre, hvis det sker? Osv. Det vil vi
tjekke for, når vi er om bord.
- Det svarer lidt til, at man skal
kunne håndtere fx et driftstop, fordi motoren sætter ud. Hvis systemerne
svigter som følge af et cyberangreb, skal man også kunne håndtere den situation.
Det er noget af det, vi vil tjekke
for.
Morten Brix Laursen tilføjer, at der ikke som sådan er
krav til officererne om, at de skal besidde særlig it-teknisk viden eller
lignende.
Auditering
Reglerne vedrørende cybersikkerhed er
som nævnt gjort gældende via ISM koden, hvor man har identificeret cybertruslen
som en ny risiko. Med det følger, at rederiet dermed skal identificere og
vurdere cyberrisici på samme måde som andre risici for skibet, personer om bord
samt miljøet og implementere passende og forholdsmæssige
sikkerhedsforanstaltninger.
Søfartsstyrelsen vil derfor efter 1.
januar 2021 auditere rederier og skibe og forholde sig til, om rederiet har
identificeret og vurderet denne risiko og implementeret passende og
forholdsmæssige tekniske og organisatoriske foranstaltninger i overensstemmelse
med de krav, der følger af ISM koden og IMO’s retningslinjer på området.
Del
af ISM-tilsyn
Cyber-auditeringen vil indgå som en
integreret del af det normale ISM-tilsyn med rederier og skibe. Det vil sige at
skibsinspektørerne vil tjekke, om det enkelte rederi og skib har inkluderet
deres cyber- og informationssikkerhedsberedskab i deres
sikkerhedsledelsessystem (Safety Management System), og om de i den forbindelse
fx har backup- og genetablerings procedurer for reetablering af de enkelte
systemer.
Det kunne fx være backup- og
genetablerings procedurer for skibets elektroniske søkortsystem, et kølesystem,
et kommunikationssystem eller skibets fremdrivningssystem m.m.
Da der er meget stor forskel på
størrelsen, alderen, kompleksiteten og ikke mindst digitaliseringsgraden af det
enkelte rederi og de enkelte skibe, vil omfanget af rederiets eller skibets
cyber- og informationssikkerhedsberedskab, der skal inkluderes i
sikkerhedsledelsessystem, varierer fra skib til skib og rederi til rederi.
Bekendtgørelsen
Kravet har udmøntet sig i dansk
lovgivning ved: ”Bekendtgørelse om sikkerhed i
net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads.”
https://www.retsinformation.dk/eli/lta/2019/46
Nærmere bestemt skal skibe og rederier
”træffe passende og forholdsmæssige tekniske og organisatoriske
foranstaltninger for at styre risiciene for skibes sikkerhed, når de anvender
net- og informationssystemer, i overensstemmelse med de krav, som følger af ISM
koden og IMO’s retningslinjer.”
[No text in field]