Artikel | 07 Nov 2024
Hjälper NIS2 sjöfarten att sätta kurs mot en säkrare tillvaro?
Sjöfarten är en grundpelare i den internationella handeln. Som en del av den globala leveranskedjan blir aktörer inom sjöfartsbranschen alltmer beroende av digital teknologi och nätverkssystem. Detta gör sjöfartsbranschen till ett utmärkt mål för cyberattacker som kan störa inte bara enskilda, utan även ge en global påverkan.
NIS2 (direktiv (EU) 2022/2555) är ett EU-direktiv som syftar till att säkerställa en hög gemensam nivå av cybersäkerhet i hela EU. NIS2s tillämplighet för sjöfartsbranschen innebär att aktörer måste implementera strikta säkerhets- och riskhanteringsåtgärder för att skydda sina nätverks- och informationssystem. Genom att underlåta att följa kraven i NIS2 riskerar dessa aktörer bl.a. att behöva betala en sanktionsavgift på upp till 10 miljoner EUR eller 2 % av organisationens årliga globala omsättning, men personer i ledningen kan även bli personligt ansvariga för väsentliga brister.
Cybersäkerhetsfrågan är också direkt kopplad till fartygets sjövärdighet. Strategisk riskhantering är sedan flera år tillbaka en del av ISM-koden. ISM-koden ger dock bara övergripande riktlinjer och med de nya cyberregelverken förväntas såväl riskmedvetenheten som säkerhetsåtgärderna öka.
Cybersäkerhetsutmaningar inom sjöfartsbranschen
Det komplexa sjöfartsklustret omfattar rederier, hamnar, logistikleverantörer och andra aktörer. Sjöfartsbranschens aktörer är i sina verksamheter starkt beroende av informations- och kommunikationsteknik (”IKT”), såsom sjöfartssystem, lasthanteringssystem och kommunikationskanaler. Dessutom använder sjöfartsbranschen i stor utsträckning operativ teknologi, exempelvis i fartygens kontrollsystem. Beroendet av IKT och operativ teknologi i kombination med sjöfartens centrala roll både politiskt och kommersiellt gör branschen till ett mål för cyberhot. En verkställd cyberattack kan leda till betydande störningar i leveranskedjan, ekonomiska förluster, miljöpåverkan och risk för liv och hälsa. Flera av dessa risker gör sig särskilt påminda i sjöfarten och branschen blir därför sårbar.
Cyberattacker kan förekomma i olika former, t.ex. dataintrång, ransomware-attacker och systemsabotage. NIS2-direktivet ålägger de aktörer som omfattas att verka för att upptäcka och förebygga cyberhot och hantera incidenter. Skyddsstrategier kan omfatta bland annat installation av brandväggar, åtkomstkontroller och integrering av intrångsdetekteringssystem.
Sjöfartsbranschens specifika risker
Som en följd av sjöfartens unika natur och de särskilda risker som följer av den kommer NIS2-direktivets inverkan på sjöfartsbranschen att skilja sig från hur det ser ut för andra branscher. Direktivet ställer krav på att aktörer implementerar riskhanteringsåtgärder som bland annat omfattar lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem. De nya krav som NIS2 medför förväntas påverka cybersäkerhetsarbetet inom sjöfartsbranschen på flera sätt, bland annat genom att kräva att dessa aktörer:
- Upprättar strategier för riskanalys och informationssystemens säkerhet som är specifika för sjöfartsbranschens risker. Förutom de samhällsviktiga störningar som riskeras uppkomma vid en cybersäkerhetsincident, kommer även akuta risker för den operativa verksamheten behöva hanteras och säkerställas.
- Tar hänsyn tas till sådana risker som cybersäkerhetsrelaterade incidenter kan innebära för besättning ombord på fartyg som drabbas till följd av incidenten.
- Tar hänsyn till risker som uppstår i den fysiska miljön i anslutning till fartyg, laster och andra tillgångar. Detta för att exempelvis hindra farliga utsläpp och annan yttre påverkan.
Aktörer inom sjöfartsbranschen kommer till följd av detta att behöva investera i genomförandet av cybersäkerhetsåtgärder såsom uppgraderingar av organisationens IT-infrastruktur, utbildning av personal och utveckling av incidenthanteringsplaner och annan intern dokumentation.
Viktiga bestämmelser i NIS2
I NIS2 införs flera viktiga bestämmelser som är särskilt relevanta för sjöfartsbranschen och som exemplifieras i följande:
- Riskhanteringsåtgärder: Aktörer blir skyldiga att genomföra riskhanteringsåtgärder, såsom implementering av säkerhetsstrategier. Man behöver också bedöma effektiviteten i riskhanteringsåtgärderna och säkerställa driftskontinuitet, exempelvis genom säkerhetskopiering och krishantering. Det kan handla om att säkerställa motståndskraften i navigationssystem, lasthanteringssystem och annan digital infrastruktur.
- Rapportering av incidenter: NIS2 föreskriver att alla betydande incidenter måste rapporteras till berörda nationella myndigheter. Aktörer inom sjöfartsbranschen kommer behöva upprätta rutiner föratt upptäcka och rapportera incidenter.
- Säkerhet i leveranskedjan: Sjöfartsbranschen är ett sammanlänkat kluster. I NIS2 behandlas de risker som är förknippade med användning av tredjepartsleverantörer och säkerhet i leveranskedjan. Aktörer inom sjöfartsbranschen förlitar sig ofta på ett komplext nätverk av leverantörer. För att säkra motståndskraften genom hela leveranskedjan behöver det säkerställas att alla leverantörer i kedjan följer lämpliga cybersäkerhetsstandarder.
- Informationsutbyte: NIS2 uppmuntrar till informationsutbyte gällande risker och incidenter mellan företag och nationella myndigheter. Detta samarbete är avgörande för tidig upptäckt av cyberhot och för att dela cybersäkerheterfarenheter.
Slutsats
NIS2-direktivet är ett viktigt steg mot att förbättra cybersäkerheten inom sjöfartsbranschen. Genom att fastställa en gemensam uppsättning av regler och standarder syftar direktivet till att skydda de viktiga tjänster som branschen tillhandahåller och att säkerställa en hög gemensam cybersäkerhetsnivå inom EU. Aktörer inom sjöfartsbranschen som träffas av NIS2 behöver vidta proaktiva åtgärder för uppnå den cybersäkerhetsnivå som krävs utifrån direktivet och skydda sina nätverks- och informationssystem.
Praktiskt betyder detta att hela branschen behöver lyfta cybersäkerhetsnivån. Sett till att cybersäkerheten i de flesta fall har direkt operationell påverkan betyder detta också att cybersäkerhetsfrågan går från att vara en IT-fråga till att bli en kommersiell fråga.
Sjörättsjurister svarar
Varför börjar vi prata om detta just nu?
Historiskt har den legala spelplanen sett ungefär likadan ut de senaste 100 åren och frågorna för oss sjörättsjurister har på det stora hela varit desamma. Nu ser vi nya frågeställningar växa fram inom cybersäkerhet, data och AI. Kombinationen av gröna regelverk, såsom EU ETS och FuelEU Maritime, och nya regler om data, cyber och AI har gjort dessa frågor till viktiga fokusområden framöver. Cyberfrågan är en del av ISM-koden och frågan prioriteras i allt högre utsträckning. Flera av IG-klubbarna har i år börjat erbjuda försäkringslösningar inom cyber. Det är tydligt att ett nytt område håller på att växa fram och det vi ser nu är bara början.
Inte bara en IT-fråga
Det är inte enbart fråga om ansvar enligt nya regelverk som kommer inom cyber, data och AI, utan dessa frågor är direkt kopplade till det operationella ansvaret för rederier, befraktare och ship managers. Om man tittar på cyberfrågan så påverkar denna bedömningen av fartygets sjövärdighet vilket i sin tur har bäring i frågor om bland annat ansvar, försäkringstäckning och möjlighet till regresskrav vid gemensamma haverier.
Hur bör företag tänka?
Se dessa frågor som en del av kärnverksamheten. Frågorna behöver flyttas från IT-avdelningen, upp till styrelse- och ledningsnivå. Detta bör vara en del av den dagliga verksamheten om det inte redan är det. Det finns oändliga möjligheter inom de här delarna. Lägger man strategier redan från start och har en tydlig plan för hur man ska kunna få affärsnytta genom innovation kan man skapa konkurrensfördelar. Eftersom såväl de rättsliga ramverket som försäkringsaspekterna är under uppbyggnad finns det också möjlighet att vara med och forma dessa.
Det man också bör tänka på är att jobba med ett helhetsperspektiv när det gäller dessa frågor. Frågor om compliance, cybersäkerhet, informationskontroll (t.ex. sekretess och IP) och AI har direkt påverkan på varandra. För att få kontroll över det juridiska ansvaret behöver man ha god överblick över hur frågorna förhåller sig till varandra, både juridiskt och i praktiken.
Kontakt:
Verksamhetsområde:
IT-rätt & dataskydd, Kommersiella avtal, Sjö- och transporträtt