Krav om cybersecurity-planer på alle skibe

Der er internationale IMO-krav om, at hele søfartserhvervet skal ruste sig med cybersecurity-planer.

Vi har spurgt leder af Søfartens Cyber- og Informationssikkerhedsenhed, Morten Brix Laursen om, hvad den nye bekendtgørelse helt konkret betyder ude i styrehusene:

- Uanset, om der er tale om et stort eller mindre skib, kan vi stille krav om, at skibene skal håndtere de sikkerhedsmæssige risici, der måtte være, hvis et skib anvender net- og informationssystemer, som indvirker på skibenes sikkerhed og deres sejlads. Skibet skal helst være i stand til helt at forhindre, at et muligt cyberangreb kompromitterer sejladssikkerheden og sikkerheden om bord i skibet.

- Vi interesserer os for, om der er truffet passende foranstaltninger til at styre cyber-risiciene. Har man fx procedurer for håndtering af cyberangreb?

Ved besætningsmedlemmerne gennem fx uddannelser og øvelser, hvad de skal gøre, hvis det sker? Osv. Det vil vi tjekke for, når vi er om bord.

- Det svarer lidt til, at man skal kunne håndtere fx et driftstop, fordi motoren sætter ud. Hvis systemerne svigter som følge af et cyberangreb, skal man også kunne håndtere den situation.

Det er noget af det, vi vil tjekke for. 

Morten Brix Laursen tilføjer, at der ikke som sådan er krav til officererne om, at de skal besidde særlig it-teknisk viden eller lignende.

Auditering

Reglerne vedrørende cybersikkerhed er som nævnt gjort gældende via ISM koden, hvor man har identificeret cybertruslen som en ny risiko. Med det følger, at rederiet dermed skal identificere og vurdere cyberrisici på samme måde som andre risici for skibet, personer om bord samt miljøet og implementere passende og forholdsmæssige sikkerhedsforanstaltninger.

Søfartsstyrelsen vil derfor efter 1. januar 2021 auditere rederier og skibe og forholde sig til, om rederiet har identificeret og vurderet denne risiko og implementeret passende og forholdsmæssige tekniske og organisatoriske foranstaltninger i overensstemmelse med de krav, der følger af ISM koden og IMO’s retningslinjer på området. 

Del af ISM-tilsyn

Cyber-auditeringen vil indgå som en integreret del af det normale ISM-tilsyn med rederier og skibe. Det vil sige at skibsinspektørerne vil tjekke, om det enkelte rederi og skib har inkluderet deres cyber- og informationssikkerhedsberedskab i deres sikkerhedsledelsessystem (Safety Management System), og om de i den forbindelse fx har backup- og genetablerings procedurer for reetablering af de enkelte systemer.

Det kunne fx være backup- og genetablerings procedurer for skibets elektroniske søkortsystem, et kølesystem, et kommunikationssystem eller skibets fremdrivningssystem m.m.

Da der er meget stor forskel på størrelsen, alderen, kompleksiteten og ikke mindst digitaliseringsgraden af det enkelte rederi og de enkelte skibe, vil omfanget af rederiets eller skibets cyber- og informationssikkerhedsberedskab, der skal inkluderes i sikkerhedsledelsessystem, varierer fra skib til skib og rederi til rederi.

Bekendtgørelsen

Kravet har udmøntet sig i dansk lovgivning ved: ”Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads.” https://www.retsinformation.dk/eli/lta/2019/46

Nærmere bestemt skal skibe og rederier ”træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for skibes sikkerhed, når de anvender net- og informationssystemer, i overensstemmelse med de krav, som følger af ISM koden og IMO’s retningslinjer.”