Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

1 Der Ausschuss zur Erleichterung des Internationalen Seeverkehrs (FAL Committee) hat auf seiner einundvierzigsten Tagung (4. bis 7. April 2017) und der Schiffssicherheitsausschuss hat auf seiner achtundneunzigsten Tagung (7. bis 16. Juni 2017) nachdem die dringende Notwendigkeit, die Aufmerksamkeit für die Bedrohungen und Schwachstellen hinsichtlich Cyber-Risiken zu schärfen, erwogen wurde, die in der Anlage wiedergegebenen Richtlinien zum maritimen Cyber-Risikomanagement angenommen.

2 Die Richtlinien enthalten hochrangige Empfehlungen zum maritimen Cyber-Risikomanagement, die dazu dienen, die Schifffahrt vor den gegenwärtigen und aufkommenden Cyber-Bedrohungen und -Schwachstellen zu schützen. Die Richtlinien beinhalten ebenfalls funktionale Elemente, die ein effektives Cyber-Risikomanagement unterstützen.

3 Der Schiffssicherheitsausschuss hat auf seiner 103. Tagung (5. bis 14. Mai 2021) und der Ausschuss zur Erleichterung des Internationalen Seeverkehrs hat auf seiner fünfundvierzigsten Tagung (1. bis 7. Juni 2021) eine Aktualisierung der zusätzlichen Leitlinien und Normen, die in Absatz 4.2 der Richtlinien enthalten sind, angenommen.

4 Mitgliedsregierungen werden dazu aufgefordert, die Inhalte dieses Rundschreibens allen Beteiligten zur Kenntnis zu bringen.

5 Dieses Rundschreiben und seine Überarbeitungen ersetzen die vorläufigen Richtlinien aus MSC.1/Rundschreiben 1526.

***

Anlage

Richtlinien zum Maritimen Cyber-Risikomanagement

1 Einführung

1.1 Diese Richtlinien beinhalten hochrangige Empfehlungen für das maritime Cyber-Risikomanagement. Für die Zwecke dieser Richtlinien bezieht sich der Begriff "maritimes Cyber-Risiko" auf das Ausmaß, in dem ein Technologiebestandteil durch einen potenziellen Umstand oder ein Ereignis bedroht ist, das zu Betriebs-, Schutz- oder Sicherheitsversagen im Schifffahrtssektor infolge beschädigter, verlorener oder verfälschter Informationen oder Systeme führen kann.

1.2 Die Interessenvertreter sollten die erforderlichen Schritte unternehmen, um die Schifffahrt vor aktuellen und aufkommenden Bedrohungen und Schwachstellen in Verbindung mit der Digitalisierung, Integration und Automatisierung von Prozessen und Systemen in der Schifffahrt zu schützen.

1.3 Für Einzelheiten und Anleitung bezüglich der Entwicklung und Implementierung spezifischer Risikomanagementprozesse sollten die Nutzer dieser Richtlinien die jeweiligen Anforderungen der Mitgliedsstaaten und Flaggenstaatverwaltungen zurate ziehen sowie die einschlägigen internationalen und Industrienormen und bewährte Verfahren.

1.4 Das Risikomanagement ist wesentlich, um den Schiffsbetrieb zu schützen und zu sichern. Das Risikomanagement hat sich traditionell auf Vorgänge im physischen, nichtdigitalen Bereich beschränkt, jedoch hat der zunehmende Rückgriff auf die Digitalisierung, Integration und Automatisierung netzwerkbasierter Systeme in der Schifffahrtsbranche zu einem wachsenden Bedarf an Cyber-Risikomanagement geführt.

1.5 Ausgerichtet auf das Ziel, die Sicherheit und Gefahrenabwehr einer Schifffahrt zu unterstützen, die gegenüber Cyber-Risiken betrieblich belastbar ist, stellen diese Richtlinien Empfehlungen zur Verfügung, die in die vorhandenen Risikomanagementprozesse integriert werden können. In dieser Hinsicht stellen die Richtlinien eine Ergänzung der Managementpraktiken zur Sicherheit und Gefahrenabwehr dar, die von dieser Organisation eingerichtet wurden.

2 Allgemein

2.1 Hintergrund

2.1.1 Cyber-Technologien sind für den Betrieb und das Management zahlreicher Systeme unerlässlich geworden, die für die Sicherheit und die Gefahrenabwehr in der Schifffahrt und den Schutz der Meeresumwelt entscheidend sind. In einigen Fällen müssen diese Systeme internationale Normen einhalten und mit Anforderungen der Flaggenstaatverwaltung übereinstimmen. Die Schwachstellen, die durch den Zugriff auf diese Systeme sowie das Verbinden oder Vernetzen von diesen Systemen erzeugt werden, können jedoch zu Cyber-Risiken führen, mit denen man sich befassen sollte. Zu den gefährdeten Systemen können unter anderem folgende gehören:

1. Brückensysteme;
2. Ladungsumschlags- und -managementsysteme;
3. Antriebs- und Maschinenmanagement und Leistungsregelungssysteme;
4. Zugangskontrollsysteme;
5. Fahrgastversorgungs- und -managementsysteme;
6. für Fahrgäste zugängliche öffentliche Netzwerke;
7. administrative und Versorgungssysteme der Besatzung; und
8. Kommunikationssysteme.

2.1.2 Die Unterscheidung zwischen informationstechnologischen und betriebstechnischen Systemen sollte beachtet werden. Systeme der Informationstechnologie können als Systeme, deren Fokus auf der Verwendung von Daten als Information liegt, betrachtet werden. Betriebstechnische Systeme können als Systeme, deren Fokus auf der Verwendung von Daten für die Steuerung oder Überwachung physischer Prozesse liegt, betrachtet werden. Darüber hinaus sollte auch der Schutz des Informations- und Datenaustauschs innerhalb dieser Systeme beachtet werden.

2.1.3 Obgleich diese Technologien und Systeme beträchtliche Effizienzzuwächse für die maritime Industrie bringen, stellen sie auch Risiken für kritische Systeme und Prozesse dar, die mit dem Betrieb der Schifffahrtssysteme verknüpft sind. Diese Risiken können aus Schwachstellen resultieren, die durch eine inadäquate Bedienung, Integration, Instandhaltung und Konzeption cyberbezogener Systeme entstehen, sowie durch beabsichtigte und unbeabsichtigte Cyber-Bedrohungen.

2.1.4