¿Qué Requisitos en ciberseguridad son obligatorios para nuevos barcos y construcciones offshore?

IACS (International Association of Classification Societies) ha adoptado dos nuevos Requisitos Unificados (URs) en ciberseguridad para barcos: URE26 y URE27. Estos URs serán obligatorios para nuevos barcos y construcciones offshore a partir del 1 de enero de 2024.

por Concha González, Febrero 2023

¿Qué es IACS?

IACS es una organización no gubernamental con estatus de asesor técnico de IMO (International Maritime Organization) desde 1969.

Más del 90% del tráfico marítimo de mercancías está cubierto por las reglas y estándares de las sociedades de clasificación miembros del IACS; tanto para el diseño, la construcción como la operación durante su ciclo de vida. Innegablemente, los requisitos IACS tienen un peso en la industria marítima.  En este momento, IACS tiene 11 miembros que se listan a continuación.

  • American Bureau of Shipping (ABS)
  • Bureau Veritas (BV)
  • China Classification Society (CCS)
  • Croatian Register of Shipping (CRS)
  • DNV-GL
  • Indian Register of Shipping (IRS)
  • Korean Register (KR)
  • Lloyd’s Register (LR)
  • Class NK (NK)
  • Polish Register of Shipping (PRS)
  • RINA

A nivel mundial, hay más de 50 sociedades de clasificación; pero sólo 11 están actualmente reconocidas por la Unión Europea. Este reconocimiento les permite actuar como organizaciones en nombre de los estados miembros de la UE.

¿Cuál es el impacto de los nuevos requisitos de ciber seguridad de IACS?

IACS adoptó requisitos en ciber seguridad que serán obligatorios para nuevos barcos que se contraten a partir del 1 de enero de 2024. Para poder evaluar el impacto de estos nuevos requisitos, hablemos primero de los certificados legales, obligatorios y de clase.

Certificados de clase

Bajo leyes internaciones, cualquier barco sobre  100 GT debe estar abanderado en un país. Esta bandera representa la nacionalidad así como el país de registro del barco.

Las leyes del país de abanderamiento exigen certificados legales. Por tanto, si un barco navega sin un certificado legal exigido está quebrantando la ley. A pesar de que los certificados obligatorios pueden no estar exigidos por las leyes del país de abanderamiento, sí lo pueden estar para la operación del barco. Por ejemplo, un barco con bandera de Filipinas puede navegar sin un certificado legal de protección de incendios según la ley filipina, pero en cambio necesita un certificado obligatorio en protección de incendios para navegar en aguas europeas o entrar en puertos europeos. Más aún, los países puede exigir que el diseño, la construcción y el mantenimiento de los barcos cumplan con los estándares de las sociedades de clasificación reconocidas; de esta forma, los países pueden exigir para operar en su ámbito, el cumplimiento de los certificados de clase.

Ya que más del 90% del tráfico marítimo de mercancías está cubierto por los estándares de los once miembros del IACS; nuevos requisitos sin lugar a dudas tendrán un gran impacto en astilleros, armadores y gestores, proyectistas y suministradores.

Nuevos requisitos en ciber seguridad obligatorios en Enero de 2024

Estos dos nuevos requisitos, UR26 y UR27, serán obligatorios para barcos sujetos a clase e instalaciones offshore cuya construcción se contrate a partir del 1 de enero de 2024.

IEC 62443 está en el origen de ambos requisitos. Brevemente, IEC 62443 es un conjunto de estándares cuyo principal objetivo es incrementar la ciber seguridad en industria, dirigiéndose a las vulnerabilidades de los Sistemas de Automatización y Control Industrial para los ciber ataques y aplicando medidas que mitiguen su posible impacto.

UER26

Unified Requirement 26 entiende al buque en su conjunto y da un mínimo de requisitos para la ciber resilencia.

Cubre cinco áreas principales. Primero, la identificación y comprensión de todos los elementos, sistemas, redes y flujos de datos a bordo. Segundo, la protección de sistemas OT e IT.  Tercero, la detección de ciber incidentes a tiempo y efectivamente. Cuarto, la respuesta a ciber incidentes para limitar la extensión, los efectos y los posibles daños. Por úlitmo e igualmente importante, recuperar la funcionalidad.

Se aplica a Tecnología de Operaciones (OT) o sistemas a bordo del barco que pueden ser vulnerables a ciber incidentes y que si están comprometidos, pueden llevar a situaciones peligrosas para la seguridad humana, del buque y/o del medio ambiente. Sin ser exhaustivos: propulsión, detección de incendios, atraque y amarre o sistemas de navegación. También, aplica a cualquier comunicación IP (Internet Protocol) o conexión entre equipos/sistemas.

UER27

El Requisito Unificado  27 está enfocado a asegurar que la integridad del sistema se asegura y fortalece por terceros suministradores. Da los requisitos para el diseño y desarrollo del producto antes de la implementación a bordo así como para las interfaces entre sistemas digitales y usuarios.

Se aplica a CBS (Sistemas basados en computación – computer based systems) incluyendo sistemas IT y OT. Un CBS se define como un “elemento electrónico programable, o un conjunto de elementos electrónicos programables inter-operativos organizados para conseguir uno o más objetivos específicos como son la  recopilación, procesamiento, mantenimiento, uso, intercambio, diseminación o disposición de la información.»

En este artículo  «¿Qué es la ciberseguridad desde el diseño en la industria de la construcción naval?» puede encontrar más información sobre la tecnología IT y  OT , sus ciber vulnerabilidades, cómo comprobarlas en términos de ciber seguridad y cómo Aeromarine puede ayudarle en ello.

 Si necesita más información,  contáctenos