IACS UR E26 und E27: Cyber-Resilienz von Schiffen als Bau- und Klassenvorgabe
Kernaussage
Mit den IACS Unified Requirements UR E26 und UR E27 wird Cyber-Sicherheit zu einer technischen Bau- und Klassifikationsvorgabe für Schiffe, nicht mehr nur zu einer organisatorischen Pflicht im Safety Management System. UR E26 ("Cyber resilience of ships") betrachtet das Schiff als vernetztes Gesamtsystem; UR E27 ("Cyber resilience of on-board systems and equipment") fordert Mindest-Cybersecurity-Fähigkeiten einzelner computerbasierter Systeme (CBS) und Komponenten.
Beide gelten in ihren revidierten Fassungen für Schiffe, deren Bauvertrag am oder nach dem 1. Juli 2024 geschlossen wurde. Das verschiebt Cyber-Sicherheit nach vorne in die Beschaffungs- und Bauphase und macht sie zum gemeinsamen Thema von Reederei, Werft, Systemlieferanten und Klassifikationsgesellschaft: Cyber-Resilienz wird zur "Designed-in"-Eigenschaft des Schiffs.
Problem in der Praxis
Viele Reedereien verstehen Cyber-Risikomanagement bisher vor allem als Dokumentationsaufgabe im SMS: Policies, Rollen und Notfallverfahren für das DOC-/SMC-Audit. Die technische Widerstandsfähigkeit des Schiffsnetzes und der OT-Systeme (Brücke, Antrieb, Ladung, Kommunikation) blieb dabei oft unbeleuchtet. Historisch wurden diese Systeme nicht mit Sicherheitsanforderungen entworfen, sondern nachträglich vernetzt.
Mit E26/E27 wird diese Lücke vertraglich relevant, und die Verantwortung verteilt sich: Die Werft integriert, Lieferanten liefern die CBS, die Klassifikationsgesellschaft prüft im Rahmen von Bau und Klasse. Wer einen Neubau bestellt, ohne Cyber-Anforderungen früh in Spezifikation und Vertrag zu verankern, riskiert Nachforderungen, Verzögerungen oder Klassevorbehalte. Der Reflex "Cyber regeln wir im Betrieb" passt nicht mehr zu einem Regime, das in der Bauphase greift.
CISO-Einordnung
Drei Regime sind sauber auseinanderzuhalten:
- IMO MSC.428(98) / ISM-Code: organisatorische, flaggenstaatliche Pflicht, die Cyberrisiken aus IT und OT im SMS adressiert, durchgesetzt über DOC/SMC-Audit.
- IACS UR E26 / E27: technische, klassenbezogene Vorgabe für Neubauten, keine Gesetzgebung, durchgesetzt über die IACS-Klassifikationsgesellschaften (z. B. DNV, ABS, BV, ClassNK).
- NIS2 / BSIG-neu: horizontale gesetzliche Pflicht; für Verkehr/Schifffahrt ist in Deutschland das BSI zuständige Behörde (nicht die BNetzA).
UR E26 adressiert das Schiff als System über fünf Kernaspekte (Identifikation der Assets, Schutz, Angriffserkennung, Reaktion, Wiederherstellung) und berührt Netzarchitektur, Segmentierung, Härtung, Protokollierung und Recovery. UR E27 zielt auf Mindest-Security-Fähigkeiten einzelner CBS und verlangt Nachweise der Lieferanten, womit es die Lieferkette in die Pflicht zieht. Die normativen Detailanforderungen beider URs sind zugangsbeschränkt und werden hier nicht reproduziert. Kurz: E26/E27 liefern das technische "Was", ISM-Cyber das organisatorische "Wozu", NIS2 die gesetzliche Klammer, ISMS und IT-Grundschutz das methodische "Wie".
Umsetzungsperspektive
Der wirksamste Hebel liegt früh, in Spezifikation und Bauvertrag: Cyber-Anforderungen aus E26/E27 gehören in die Schiffsspezifikation, die Vertragsklauseln mit der Werft und die Lieferantenbedingungen. Für E27 ist der Nachweis der Security-Fähigkeiten durch den Lieferanten ein eigenes Beschaffungskriterium, das vor Vertragsschluss zu klären ist.
Parallel braucht die Reederei ein belastbares Inventar der CBS an Bord als Grundlage für Segmentierung, Härtung und Recovery-Planung. Was an Bord resilient gebaut wird, muss im SMS und ISMS organisatorisch weitergeführt werden (Patch- und Änderungsverfahren, Monitoring, Notfall- und Wiederanlaufverfahren).
Als deutscher Umsetzungspfad bietet sich das BSI IT-Grundschutz-Profil "Reederei, Schiffsbetrieb" an. Es strukturiert den Schiffsbetrieb entlang von vier Geschäftsprozessen (technischer Betrieb, nautischer Betrieb, Ladungsbetrieb, Kommunikation) und taugt als Brücke zwischen Klassenwelt (E26/E27) und NIS2-Pflicht.
Typische Fehler
- Cyber-Anforderungen werden erst nach Bauvertragsschluss adressiert, obwohl das Regime an das Bauvertragsdatum anknüpft.
- E27 wird ignoriert, weil die Lieferantennachweise nicht vertraglich eingefordert werden.
- E26/E27 werden als reines Werft- und Klassethema behandelt, ohne Anschluss an SMS, ISMS und NIS2 an Land.
- Es fehlt ein Inventar der computerbasierten Systeme, sodass Segmentierung und Recovery konzeptlos bleiben.
- Bestandsschiffe werden fälschlich als "automatisch betroffen" eingestuft, obwohl die URs auf Neubauten mit Bauvertrag ab dem Stichtag zielen.
Risiken und Trade-offs
Wer Cyber-Resilienz zu spät in den Bauprozess holt, riskiert teure Nachrüstung, Terminverschiebungen und Konflikte mit der Klassifikationsgesellschaft. Wer Anforderungen ohne klare Spezifikation weiterreicht, erzeugt Interpretationsspielraum und schwer prüfbare Nachweise.
Ein zweiter Trade-off betrifft die Trennung der Regime: Erfüllte E26/E27 decken NIS2- und ISM-Pflichten nicht automatisch ab, und ein gepflegtes SMS erfüllt nicht die technischen Bauanforderungen der Klasse. Die Regime sind zu koppeln, nicht gleichzusetzen. Schließlich droht Scheinsicherheit: Erfüllte E27-Mindestfähigkeiten einzelner Systeme ergeben noch keine resiliente Gesamtarchitektur (E26), wenn Segmentierung, Monitoring und Recovery schwach bleiben.
Entscheidungspunkte
- Welche geplanten Neubauten fallen über das Bauvertragsdatum in den Anwendungsbereich von E26/E27?
- Wie werden Cyber-Anforderungen verbindlich in Schiffsspezifikation, Bauvertrag und Lieferantenbedingungen verankert?
- Wer verantwortet die Cyber-Resilienz während der Bauphase, und wer im Betrieb?
- Wie wird der Übergang von der Klassenanforderung (Bau) in SMS, ISMS und NIS2-Steuerung (Betrieb) sichergestellt?
- Welche Nachweise verlangt die gewählte Klassifikationsgesellschaft konkret, und sind sie frühzeitig beschafft?
Praktische Empfehlungen
- Behandeln Sie E26/E27 als Beschaffungs- und Bauthema: Cyber gehört in Spezifikation und Vertrag, bevor der Bauvertrag unterschrieben ist.
- Fordern Sie für E27 die Security-Nachweise der Lieferanten als hartes Beschaffungskriterium ein.
- Bauen Sie ein gepflegtes Inventar der computerbasierten Systeme als Grundlage für Segmentierung, Härtung und Recovery.
- Koppeln Sie die Klassenwelt an SMS, ISMS und NIS2 über das BSI-IT-Grundschutz-Profil "Reederei, Schiffsbetrieb".
- Klären Sie früh mit der Klassifikationsgesellschaft, welche Nachweise und Prüfschritte erwartet werden.
Relevante Normreferenzen
- IACS UR E26 "Cyber resilience of ships": Cyber-Resilienz des Schiffs als Gesamtsystem (Neubauten mit Bauvertrag ab 1.7.2024). Volltext zugangsbeschränkt, reference-only.
- IACS UR E27 "Cyber resilience of on-board systems and equipment": Mindest-Cybersecurity-Fähigkeiten einzelner CBS und Lieferantennachweise. Volltext zugangsbeschränkt, reference-only.
- IMO Resolution MSC.428(98): organisatorische Cyber-Pflicht im SMS (ISM-Code). Reference-only.
- IMO MSC-FAL.1/Circ.3 (Rev.3, 4.4.2025): nicht verbindliche Leitlinien zum maritimen Cyber-Risikomanagement. Reference-only.
- BSI IT-Grundschutz-Profil "Reederei, Schiffsbetrieb": frei verfügbarer deutscher Umsetzungspfad.
- ISO/IEC 27001: zertifizierbares ISMS als methodisches "Wie". Reference-only.
Häufige Fragen
Was unterscheidet UR E26 von UR E27?+
UR E26 betrachtet das Schiff als vernetztes Gesamtsystem (Netzarchitektur, Segmentierung, Erkennung, Recovery). UR E27 fordert Mindest-Cybersecurity-Fähigkeiten einzelner CBS und Nachweise der Lieferanten.
Ab wann gelten E26 und E27?+
Für Schiffe, deren Bauvertrag am oder nach dem 1. Juli 2024 geschlossen wurde. Maßgeblich ist das Bauvertragsdatum, nicht Kiellegung oder Ablieferung.
Sind E26/E27 Gesetze?+
Nein. Es sind Klassifikationsvorgaben, durchgesetzt über die IACS-Klassifikationsgesellschaften. Die gesetzliche Pflicht in Deutschland ergibt sich separat aus NIS2/BSIG (Aufsicht: BSI).
Erfüllt die Einhaltung von E26/E27 auch ISM und NIS2?+
Nein. Die Regime haben unterschiedliche Adressaten und Durchsetzungswege; sie sind zu koppeln, aber nicht gleichzusetzen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Maritim (IMO/IACS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mari-002.
