Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Archiv: 2024

Verabschiedet am 4. April 2025

1 Der Ausschuss zur Erleichterung des Internationalen Seeverkehrs (FAL Committee) hat auf seiner einundvierzigsten Tagung (4. bis 7. April 2017) und der Schiffssicherheitsausschuss hat auf seiner achtundneunzigsten Tagung (7. bis 16. Juni 2017) nachdem die dringende Notwendigkeit, die Aufmerksamkeit für die Bedrohungen und Schwachstellen hinsichtlich Cyber-Risiken zu schärfen, erwogen wurde, Richtlinien zum maritimen CyberRisikomanagement zugestimmt.

2 Die Richtlinien enthalten hochrangige Empfehlungen zum maritimen Cyber-Risikomanagement, die dazu dienen, Schiffe vor den gegenwärtigen und aufkommenden Cyber-Bedrohungen und -Schwachstellen zu schützen. Die Richtlinien beinhalten ebenfalls funktionale Elemente, die ein effektives Cyber-Risikomanagement unterstützen.

3 Der Schiffssicherheitsausschuss hat auf seiner 104. Tagung (4. bis 8. Oktober 2021) und der Ausschuss zur Erleichterung des Internationalen Seeverkehrs hat auf seiner sechsundvierzigsten Tagung (9. bis 13. Mai 2022) einer Aktualisierung der zusätzlichen Leitlinien und Normen, die in Absatz 4.2 der Richtlinien enthalten sind, zugestimmt.

4 Der Schiffssicherheitsausschuss hat auf seiner 108. Tagung (15.

bis 24. Mai 2024) und der Ausschuss zur Erleichterung des Internationalen Seeverkehrs hat auf seiner sechsundvierzigsten Tagung (10. bis 14. März 2025) einer Überarbeitung der Richtlinien zum maritimen Cyber-Risikomanagement, deren Wortlaut in der Anlage wiedergegeben ist, zugestimmt.

5 Mitgliedsregierungen werden dazu aufgefordert, die Inhalte dieses Rundschreibens allen Beteiligten zur Kenntnis zu bringen.

6 Dieses Rundschreiben und seine Überarbeitungen ersetzen die vorläufigen Richtlinien, die in MSC.1/ Rundschreiben 1526 enthalten sind.

***

Anlage

Richtlinien zum Maritimen Cyber-Risikomanagement

1 Einführung

1.1 Diese Richtlinien beinhalten hochrangige Empfehlungen für das maritime Cyber-Risikomanagement. Für die Zwecke dieser Richtlinien bezieht sich der Begriff "maritimes Cyber-Risiko" auf das Ausmaß, in dem computergestützte Systeme (computer based systems, CBS) durch einen potenziellen Umstand oder ein Ereignis bedroht sind, das zu Betriebs-, Schutz- oder Sicherheitsversagen im Schifffahrts sektor infolge beschädigter, verlorener oder verfälschter Informationen oder Systeme führen kann.

1.2 Die Interessenvertreter sollten die erforderlichen Schritte unternehmen, um die Schifffahrt vor aktuellen und aufkommenden Bedrohungen und Schwachstellen in Verbindung mit der Digitalisierung, Integration und Automatisierung von Prozessen und Systemen in der Schifffahrt zu schützen.

1.3 Für Einzelheiten und eine Anleitung bezüglich der Entwicklung und Implementierung spezifischer Risikomanagementprozesse sollten die Nutzer dieser Richtlinien die jeweiligen Anforderungen und Anleitungen der Mitgliedsstaaten und Flaggenstaatverwaltungen sowie die einschlägigen internationalen und Industrienormen und bewährten Verfahren zurate ziehen.

1.4 Das Risikomanagement ist wesentlich, um den Schiffsbetrieb zu schützen und zu sichern. Das Risikomanagement hat sich traditionell auf Vorgänge im physischen, nicht digitalen Bereich beschränkt, jedoch hat der zunehmende Rückgriff auf die Digitalisierung, Integration, Automatisierung und netzwerkbasierte Systeme in der Schifffahrtsbranche zu einem wachsenden Bedarf an Cyber-Risikomanagement geführt.

1.5 Ausgerichtet auf das Ziel, die Sicherheit und Gefahrenabwehr einer Schifffahrt zu unterstützen, die gegenüber Cyber-Risiken betrieblich belastbar ist, stellen diese Richtlinien Empfehlungen zur Verfügung, die in die vorhandenen Risikomanagementprozesse integriert werden können. In dieser Hinsicht stellen die Richtlinien eine Ergänzung der Managementpraktiken zur Sicherheit und Gefahrenabwehr dar, die von dieser Organisation eingerichtet wurden.

2 Allggemein

2.1 Bestimmung der Schlüsselbegriffe

Computergestütztes System (computer based system, CBS) bezeichnet ein programmierbares elektronisches Gerät oder ein interoperabler Satz an programmierbaren elektronischen Geräten, die organisiert werden, um ein oder mehrere bestimmte Zwecke zu erfüllen, wie beispielsweise die Sammlung, Verarbeitung, Pflege, Nutzung, das Teilen, die Verbreitung oder Gliederung von Informationen. CBS an Bord umfassen informationstechnologische (IT) und betriebstechnische (OT) Systeme. Ein CBS kann aus einer Kombination von Untersystemen, die über ein Netzwerk verbunden sind, bestehen. Bordseitige CBS können direkt oder über ein öffentliches Kommunikationsmittel (z.B. das Internet) mit landseitigen CBS, CBS anderer Schiffe und/oder anderen Einrichtungen verbunden sein.

Cyber-Vorfall bezeichnet ein Ereignis oder eine Reihe von Ereignissen, das bzw. die tatsächlich oder potenziell in nachteiligen Folgen für ein CBS oder die von ihm verarbeiteten, gespeicherten oder übertragenen Informationen resultiert und eine Reaktion erfordert, um die Folgen abzuschwächen.

Cyber-Risikomanagement bezeichnet den Prozess, bei dem ein Cyber-Risiko identifiziert, analysiert, bewertet und kommuniziert wird und dieses unter Berücksichtigung der Kosten und Nutzen der von den Beteiligten getroffenen Maßnahmen zu einem annehmbaren Grad toleriert, unterbunden, übergeben oder behandelt wird.

Informationstechnologie (information technology, IT) bezieht sich auf CBS, deren Schwerpunkt auf der Verwendung von Daten als Informationen, einschließlich Software, Hardware und Kommunikationstechnologien (z.B. gewerbliche Informationen oder Daten über die Besatzung, wie beispielsweise Heuern, Zeugnisse usw.), liegt.

Betriebstechnik (operational technology, OT)