Marlink Cyber总裁Nicolas Furge写道，IT安全正在从勾选框练习演变为监管机构和利益相关者所需的重要业务工具。

网络风险是整个航运业日益关注的问题，从船舶运营商和租船人到港口和更广泛的供应链。虽然技术解决方案的数量正在激增，但监管力度的激增将对合规过程提出新的问题。

这些规则将越来越多地超越部署软件，转向定期、详细的检查流程，该流程需要造船厂、所有者、分类、OEM、IT和网络运营商之间的合作。对于船东来说，也许同样重要的是实现和维持合规性所涉及的潜在成本--这些成本将是经常性的，而不是一次性的费用。

包括国际海事组织和欧盟、美国海岸警卫队和其他船旗国在内的监管机构此前已推出指南或计划更新监管，以应对日益严重的网络威胁。BIMCO、SIRE和TMSA发布的行业标准目前正在由国际分类协会协会（IACS）制定的法规补充。

IACS统一要求E26旨在为船舶的网络恢复能力提供一组最低要求，旨在用于船舶的设计、建造、调试和运营寿命。

与其相关的要求，URE27为具有网络弹性的系统和设备提供了最低的安全能力，旨在针对第三方设备供应商。

URE26基于NIH网络安全框架，该框架包括五个关键治理领域：识别、保护、检测、响应和恢复。

尽管只有新建船舶才需要使用鲁尔E26，但Marlink认为，船东将越来越多地寻求将其原则和标准应用于现有船舶，为高价值资产和货物提供风险缓解。

与船东的对话表明，他们将逐步将该法规应用于其船队，使用UR26作为流动资产网络安全的基线。

IACS URs将由所有担任审计员的成员阶级协会应用，每个协会在文档中应用其方法论和定义的方式上只有微小差异。作为遵守即将推出的IACS UR26法规的起点，Marlink汇总了业主在如何继续操作时应该考虑的五个关键方面。

文件

UR 26需要比以前更高级别的文档，包括机载网络设置、配置和数据流的详细计划。检查员将期望提供有关网络保护措施的文件，包括验证所实施控制措施的测试计划。

船上资产库存

所有者需要组装和维护船上资产库存，并按需生产。该清单包括基于计算机的系统（CBS）以及将此类系统相互连接以及与船上或岸上其他CBS连接的网络的适用硬件和软件。

程序

该法规呼吁制定新的程序来防御网络攻击并提高风险缓解。例如，所有者需要了解如何创建程序并定义船舶设备的远程监控、控制和维护等主题的角色和职责。制定这些程序是一个需要与培训计划和提高认识密切相关的过程。

培训和提高认识

船东很可能需要对船员进行网络安全培训，并对包括船员、承包商和维护第三方在内的所有人员定期进行意识培训。培训主题包括如何识别风险、故障系统的恢复程序、如何从岸上获得外部援助和支持以及如何测试和监控机载网络。

从被动到主动

常见的网络解决方案可以提供一系列针对攻击的反应式保护，但它们几乎无法告诉您更高级别的漏洞。未来，网络安全不仅需要资产和网络保护，还需要漏洞评估、渗透测试和其他主动工具，这些工具可以深入了解可能和可能的威胁，以及这些威胁如何随着时间的推移而变化。

结论

UR26对于海事行业来说是一个重大变化，而不仅仅是平等适用所有新建船舶的首要要求。它造成的额外行政负担将是相当大的，但即便如此，类似的标准很可能很快就会扩展到现有机队。

然而，UR26仅代表商定的性能基线。未来的法规可能会更加严格，Marlink认为船东必须采取额外措施来保护自己免受网络威胁。随着时间的推移，租船公司、保险公司、类别和其他利益相关者的需求可能会增加。

成本将包括合规所需的记录保存管理、每月服务成本以及创建程序和设置的可能数百小时的咨询工作。船东可能需要增加IT支出的预算，以利用数字技术提供的可能性并加强网络防御。

为了提高合规水平，该行业需要对超越基线防御的海上安全所需的步骤有一个新的、高层次的视角。

我们在海上商船队中占有最大份额的经验告诉我们，仅遵守EU E26和其他法规本身还不够。车主需要考虑需要进行哪些进一步改进，以确保他们的车队能够继续安全运营。