Digitalisering van de scheepvaart. Is de cyber security aan boord op orde?

Januari 2021

De tijd waarin de bemanning van schepen met een sextant hun plaats bepaalden op de ‘zeven zeeën’ ligt ver achter ons. Nu heeft men aan boord de beschikking over de nodige elektronische middelen die kunnen helpen bij het navigeren. Hedendaagse schepen zijn net ‘varende computers’. De digitalisering van de scheepvaart lijkt niet meer stuiten. In de nabije of verre toekomst zullen verdergaand geautomatiseerde schepen de zeeën en binnenwateren bevaren. Het meer en meer vertrouwen op de techniek zal de nodige positieve effecten met zich meebrengen. Wat te denken van de statistiek dat méér dan 75% van de maritieme ongevallen kan worden toegeschreven aan een menselijke fout?[1] Echter, digitalisering van de scheepvaart gaat ook gepaard met de nodige risico’s, waaronder cyber risks.

Cyber risks
Het verleden laat zien dat de verwezenlijking van cyber risks tot grote schade kan leiden. Zo zou de Deense rederij Maersk naar verluidt zo’n USD 300 miljoen schade hebben geleden als gevolg van de ‘NonPetya’-cyberaanval.[2] Ook ‘digitale’ piraterij, te weten kwaadwillenden die de controle over een schip digitaal overnemen, is een risico dat hoort bij digitalisering.[3] De beveiliging van tegen digitale terreur, de cyber security, wordt steeds belangrijker. Zo heeft ook de International Maritime Organization (‘IMO’) onderkend.

Cyber security en de ISM Code
Vanaf 1 januari 2021 geldt IMO’s Maritime Safety Committee’s resolutie ‘Maritime Cyber Risk Management in Safety Management Systems’.[4] Op grond van deze resolutie zijn scheepseigenaren en –managers onder de ISM Code verplicht om de cyberrisico’s van hun schepen en organisaties in kaart te brengen, te beoordelen en zo nodig maatregelen te nemen in hun Veiligheidsmanagement­systemen (Safety Management Systems, ‘SMS’).

De verplichting voor scheepseigenaren en –managers om een SMS te hebben volgt uit de ‘International Safety Management Code’ (‘ISM Code’).[5][6] Doelstellingen van deze voorschriften zijn het verzekeren van de veiligheid op zee en het bereiken dat er niemand gewond raakt, dat er geen mensenlevens verloren gaan en dat er geen schade aan het (zee)milieu en aan eigendommen wordt toegebracht. Om deze doelstellingen te bereiken verplicht de ISM Code scheepseigenaren een veiligheids- en milieubeschermingsbeleid na te streven gericht op onder meer het hanteren van veilige (werk)methoden aan boord en het aanbrengen van voorzieningen tegen alle bekende gevaren.[7] Scheepseigenaren zijn verplicht een SMS te ontwikkelen, uit te voeren en te onderhouden dat haar personeel in staat stelt het veiligheids- en milieubeschermingsbeleid op doeltreffende wijze uit te voeren.[8] Wanneer scheepseigenaren aan deze (en andere verplichtingen) onder ISM Code voldoen, verstrekt de vlagstaat een conformiteitsdocument (Document of Compliance (‘DOC’)) aan de scheepseigenaren en een veiligheidsmanagementcertificaat (Safety Management Certificate (‘SMSC’)) aan de individuele schepen. Beide documenten zijn verplicht.

Vanaf 1 januari 2021 zijn scheepseigenaren verplicht om bij het ontwikkelen, uitvoeren en onderhouden van hun SMS ook cyber risks adequaat aan te pakken. Hoe dat concreet dient te gebeuren volgt onder meer uit IMO’s ‘Guidelines on maritime cyber risk management’[9] en de ‘Guidelines on Cyber Security Onboard Ship’[10] van diverse internationale organisaties zoals BIMCO.

Wat zijn de gevolgen van het niet voldoen aan de ISM Code?
Scheepseigenaren die verzuimen de nodige maatregelen te nemen ter beperking van cyber risks lopen - naast het risico op cyberaanvallen - het risico van stilliggende schepen en potentiële risico’s van verzekerings- en aansprakelijkheidstechnische aard.

De vlagstaat kan het DOC intrekken bij de jaarlijkse verificatie. Het feitelijke gevolg daarvan is dat schepen bij havenstaatcontroles (‘port state control’) zullen worden aangehouden en het hen verboden wordt verder te varen zolang het ‘gebrek’ niet verholpen is (met alle financiële gevolgen van dien).

Daarnaast is niet uitgesloten dat een inadequate aanpak van cyber risks in voorkomend geval ook gevolgen zou kunnen hebben voor de verzekerings- en aansprakelijkheidspositie van een scheepseigenaar. Zo zijn er polisvoorwaarden die schade als gevolg van het niet voldoen aan de ISM Code uitsluiten van dekking. Verder is het de vraag of het niet op orde hebben van de cyber security aan boord het vervoerende scheepseigenaren blokkeert om een beroep te doen op verdragsrechtelijke exoneraties vanwege de (mogelijke) onzeewaardigheid van hun schepen. Ook valt niet uit te sluiten dat een schip schuldig is aan de gevolgen van een aanvaring wanneer ‘digitale’ piraten de controle van het schip overnemen en het in aanvaring laten komen met een ander schip.

In voorkomend geval zal de discussie hierover gevoerd moeten worden. Echter, beter is die discussie te voorkomen en als scheepseigenaar ervoor te zorgen dat cyber risks in het SMS en aan boord afdoende zijn geadresseerd.

* * *

[1] Allianz Global Corporate & Specialty, Safety & Shipping 1912-2012. From Titanic to Costa Concordia.
[2] ‘Maersk says June Cyberattack will cost it up to $300 million’, Bloomberg, 16 augustus 2017.
[3] Zie hierover onder meer A. van Hal, ‘De hackende hulpverlener. Heeft de hackende hulpverlener recht op hulploon?’, december 2020.
[4] IMO Resolution MSC.428(98), te downloaden op: https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx.
[5] Zie de website van de Inspectie Leefomgeving en Transport voor een exemplaar van de ISM Code.
[6] Scheepseigenaren, scheepsmanagers en schepen zijn verplicht te voldoen aan de ISM Code op grond van het Internationaal Verdrag voor de beveiliging van mensenlevens op zee, 1974, Londen (link). De term ‘schepen’ betreft passagiersschepen, en vrachtschepen en booreenheden met een bruto tonnage van 500 of meer (Voorschrift 2/IX Solas-Verdrag).
[7] Artikel 1.2.2. en artikel 2 ISM Code.
[8] Artikel 1.4. ISM Code.
[9] MSC-FAL. 1/Circ.3, te downloaden op: https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx.
[10] Te downloaden op: https://www.bimco.org/about-us-and-our-members/publications/the-guidelines-on-cyber-security-onboard-ships.