Maritime Cybersecurity: Mapping der Regime und Roadmap für Reedereien
Kernaussage
Eine Reederei steht nicht vor einer Cyber-Pflicht, sondern vor mehreren parallelen Regimen mit unterschiedlichen Adressaten, Behörden und Durchsetzungslogiken. Das verbindliche Flaggenstaat-Regime verlangt seit der ersten jährlichen DOC-Verifizierung nach dem 1. Januar 2021, dass Cyberrisiken im bestehenden Safety Management System (SMS) nach dem ISM-Code adressiert werden. Hinzu kommen die horizontalen NIS2-Pflichten aus dem deutschen BSIG für den Sektor Verkehr/Schifffahrt (in Kraft seit dem 6. Dezember 2025) sowie klassenbezogene Vorgaben für Neubauten (IACS UR E26/E27, für Schiffe mit Bauvertrag ab dem 1. Juli 2024).
Der häufige Fehler ist, diese Regime als getrennte Projekte zu behandeln. Es gibt jedoch ein gemeinsames Steuerungsmodell für Cyberrisiken, das nur mehrfach nachgewiesen wird. Wer einmal sauber mappt und danach eine gestufte Roadmap führt, reduziert Doppelarbeit, Audit-Stress und Haftungsrisiko der Geschäftsleitung.
Problem in der Praxis
In der Reederei treffen zwei Welten aufeinander: die etablierte Safety-/SMS-Welt an Bord (BG Verkehr, ISM, DOC/SMC) und die junge gesetzliche Informationssicherheits-Welt an Land (NIS2/BSIG, Aufsicht BSI). Beide behandeln Risikomanagement, Vorfälle und Lieferkette, aber mit unterschiedlicher Sprache, getrennten Verantwortlichen und eigenen Auditkalendern.
Typisch ist, dass das Cyber-Kapitel im SMS einmalig für die DOC-Verifizierung erstellt wurde und seitdem ruht, während NIS2 als reines IT-Thema in der Landorganisation landet. OT an Bord (Navigation, Maschine, Ladungssysteme) fällt zwischen die Stühle. Verlangen Aufsicht, Charterer oder ein Vorfall Nachweise, führt niemand das Gesamtbild.
CISO-Einordnung
Sinnvoll ist, die Lage entlang von drei Achsen zu sortieren statt entlang einzelner Dokumente:
- Flaggenstaat/SMS: MSC.428(98) verankert Cyber-Risikomanagement im ISM-Code, also als Erweiterung der bestehenden Risikobetrachtung, nicht als eigenes Cyber-SMS. Aufsicht für deutsche Flagge ist die BG Verkehr, fachlich begleitet durch das BSH. Nicht zu verwechseln mit dem ISPS-Code (physische Gefahrenabwehr, nicht der Cyber-Anker).
- Horizontal/gesetzlich: NIS2 wird in Deutschland über das BSIG umgesetzt; zuständige Behörde für Verkehr/Schifffahrt ist das BSI, nicht die BNetzA. Adressat ist die Einrichtung (das Unternehmen), nicht das einzelne Schiff.
- Klassenbezogen/technisch: Die IACS Unified Requirements UR E26 (Schiff als Gesamtsystem) und UR E27 (einzelne computerbasierte Systeme und deren Zulieferer) gelten für Neubauten mit Bauvertrag ab dem 1. Juli 2024 und werden über die Klassifikationsgesellschaften durchgesetzt.
Die verbindende Klammer ist die NIST-CSF-Funktionslogik (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen, ergänzt um Steuern/Govern). Die IMO-Leitlinien MSC-FAL.1/Circ.3 (Rev.3 vom 4. April 2025) orientieren sich daran, ein ISO/IEC-27001-ISMS liefert das organisatorische Wie, und das BSI-IT-Grundschutz-Profil den frei verfügbaren deutschen Umsetzungspfad. So lassen sich die Regime auf ein gemeinsames Funktionsgerüst abbilden, ohne aus lizenz- oder zugangsbeschränkten Dokumenten Anforderungslisten zu reproduzieren.
Umsetzungsperspektive
Für eine Reederei bewährt sich eine gestufte Roadmap statt eines Big-Bang-Programms:
- Betroffenheit klären: Welche Schiffe fallen unter ISM/DOC, und ist die Reederei im NIS2-Teilsektor Schifffahrt erfasst (See-, Küsten- und Binnenschifffahrt, daneben Hafenbehörden und Hafenanlagen-Betreiber)? Kategorie, Größenschwellen und Registrierungsfristen sind am konsolidierten BSIG zu bestimmen.
- Gemeinsames Mapping aufsetzen: eine einzige Steuerungsmatrix entlang der NIST-CSF-Funktionen, die je Funktion SMS-Cyberkapitel, NIS2/BSIG-Pflichten und ggf. UR E26/E27 verknüpft. Das BSI-IT-Grundschutz-Profil Reederei (Schiffsbetrieb) dient als Strukturgeber; es betrachtet die vier Prozesse technischer Betrieb, nautischer Betrieb, Ladungsbetrieb und Kommunikation.
- Steuerungskern betreiben: Risikoinventar für IT und OT, Owner je Risiko, Maßnahmen, Nachweise und feste Review-Taktung. Die Audits (DOC/SMC, BSI-Nachweise, ggf. Klasse) werden aus demselben Bestand bedient.
- Pflichten operationalisieren: ein Incident-Prozess, der SMS-Notfalllogik und gestufte NIS2-Meldepflichten (24 Stunden, 72 Stunden, Abschlussbericht binnen eines Monats) bedient. Lieferketten- und OT-Hersteller-Anforderungen adressieren; das bereitet zugleich UR E27 für künftige Neubauten vor.
- Geschäftsleitung einbinden: NIS2 verankert ausdrückliche Leitungspflichten; Billigung, Überwachung und Reporting der Maßnahmen gehören auf die Leitungsebene.
Typische Fehler
- ISM-Cyber und NIS2 werden als zwei unverbundene Projekte mit doppelten Risikoregistern geführt.
- Die Zuständigkeit wird falsch verortet (Annahme BNetzA statt BSI; Verwechslung von ISM mit ISPS).
- OT an Bord wird ausgeklammert, weil Cybersecurity nur der Land-IT zugeordnet ist.
- Das Cyber-Kapitel im SMS wird einmalig für die DOC-Verifizierung erstellt und danach nicht betrieben.
- UR E26/E27 werden auf die Bestandsflotte bezogen, obwohl sie an das Bauvertragsdatum ab 1.7.2024 für Neubauten anknüpfen.
- Aus zugangsbeschränkten IMO-/IACS-Dokumenten werden vermeintliche Vollchecklisten abgeleitet statt der frei verfügbaren BSI-/NIST-Quellen.
Risiken und Trade-offs
Ein zu stark auf NIS2 verengtes Programm vernachlässigt die fortbestehende, audit-relevante Flaggenstaatpflicht im SMS; ein rein SMS-zentriertes Programm verfehlt die gesetzlichen Land-Pflichten und die Leitungshaftung.
Ein gemeinsames Mapping spart Aufwand, kann aber zu grob werden: Adressat, Auditor und Sanktionsregime sind je Regime verschieden, und die Matrix muss diese Unterschiede sichtbar halten. Beim OT-Schutz an Bord besteht zudem ein realer Trade-off zwischen Härtung/Segmentierung und der Verfügbarkeit sicherheitskritischer Schiffssysteme. Cybermaßnahmen dürfen die nautische und maschinenseitige Safety nicht beeinträchtigen; enge Abstimmung mit der Safety-Organisation ist Pflicht.
Entscheidungspunkte
- Ist die Reederei NIS2-pflichtig, und in welcher Kategorie? Welche Registrierungsfrist gilt konkret?
- Wird ein zertifizierbares ISMS (ISO/IEC 27001) als Rückgrat aufgebaut, oder reicht ein IT-Grundschutz-Pfad nach BSI-Profil?
- Wie werden Land- und Bord-Verantwortlichkeiten (CISO, DPA, Flottenleitung) für ein gemeinsames Risikomodell verzahnt?
- Welche OT-Systeme an Bord sind in-scope, und wie wird die Abstimmung mit der Safety-Organisation geregelt?
- Wie werden künftige Neubauten früh auf UR E26/E27 und Lieferantenanforderungen ausgerichtet?
Praktische Empfehlungen
- Eine einzige Cyber-Steuerungsmatrix entlang der NIST-CSF-Funktionen führen und alle Regime darauf abbilden.
- Das frei verfügbare BSI-IT-Grundschutz-Profil Reederei als Strukturgeber nutzen; Aktualität des Profils vor Nutzung prüfen.
- Zuständigkeiten korrekt verankern: BSI für NIS2/BSIG, BG Verkehr für ISM/DOC, fachliche Begleitung BSH.
- Einen Incident-Prozess bauen, der SMS-Notfalllogik und gestufte NIS2-Meldepflichten in einem Ablauf bedient.
- Geschäftsleitungspflichten verankern: Billigung, Überwachung und Reporting auf Leitungsebene.
- Paragraphen, Fristen und Schwellen am konsolidierten BSIG-Primärtext verifizieren, nicht aus Sekundärquellen übernehmen.
Relevante Normreferenzen
- IMO Resolution MSC.428(98): verbindlicher Flaggenstaat-Anker; Cyberrisiken im SMS nach ISM-Code (reference-only).
- ISM-Code / SOLAS Kapitel IX: Trägerinstrument des SMS (reference-only).
- IMO MSC-FAL.1/Circ.3 Rev.3 (4.4.2025): unverbindliche Leitlinien, an NIST-CSF-Logik angelehnt (reference-only).
- IACS UR E26 / UR E27: klassenbezogen, Neubauten ab Bauvertrag 1.7.2024 (reference-only; Volltext lizenziert).
- IEC 63154: Cybersecurity für Schiffsnavigations- und Funkausrüstung, produktbezogene Ergänzung auf Equipment-Ebene (Bezug zu UR E27; reference-only, lizenziert).
- ISO/IEC 27001: zertifizierbares ISMS als organisatorisches Wie (reference-only).
- NIST CSF 2.0: Funktionslogik als verbindende Klammer (Public Domain).
- BSI IT-Grundschutz-Profil Reederei (Schiffsbetrieb): frei verfügbarer deutscher Umsetzungspfad.
- NIS2-Richtlinie (EU) 2022/2555 und BSIG (in Kraft seit 6.12.2025): horizontale gesetzliche Pflicht, Aufsicht BSI.
Häufige Fragen
Welche Behörde ist in Deutschland für NIS2 in der Schifffahrt zuständig?+
Das BSI, nicht die BNetzA. Für die Flaggenstaatpflicht (ISM/DOC) ist die BG Verkehr zuständig, fachlich begleitet vom BSH.
Ist das einzelne Schiff oder die Reederei NIS2-Adressat?+
NIS2/BSIG adressiert die Einrichtung, also das Unternehmen. Das Flaggenstaat-Regime wirkt über das DOC der Reederei und das SMC der Schiffe.
Gelten IACS UR E26/E27 für die Bestandsflotte?+
Sie knüpfen an Neubauten mit Bauvertrag ab dem 1.7.2024 an und werden über die Klassifikationsgesellschaften durchgesetzt, nicht über das Gesetz.
Brauche ich ein eigenes Cyber-SMS?+
Nein. MSC.428(98) integriert Cyber-Risikomanagement in das bestehende SMS nach ISM-Code; es entsteht kein separates System.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Maritim (IMO/IACS) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mari-003.
