IMO Cyber Risk Management Resolution – óók relevant voor ladingbelanghebbenden

Februari 2021

De omvang en ernst van cyber risico’s is het afgelopen jaar sterk toegenomen. Onderzoeksrapporten laten een stijging zien van het aantal hacks en cyberinbreuken.[1] Het feit dat bedrijven mede als gevolg van COVID-19 steeds meer gebruik maken van onlinesystemen en vaker op afstand werken is hier medeverantwoordelijk voor.[2] Maar ook voordat we het woord “anderhalve-meter-samenleving” ooit hadden gebruikt, stond cybersecurity al hoog op de agenda van de International Maritime Organisation (“IMO”). In 2017 heeft de IMO dan ook de Cyber Risk Management Resolution aangenomen. Deze resolutie verplicht scheepseigenaren en scheepsmanagers om de cyberrisico’s van hun schepen en organisaties in kaart te brengen, deze te beoordelen en zo nodig maatregelen te nemen in hun onder de ISM-Code[3] verplichte Veiligheidsmanagement­systemen (Safety Management Systems, ‘SMS’). Wij verwijzen hier ook graag naar de blog van Nol van Hal uit de Van Traa nieuwsbrief van 12 januari 2021 over de Hackende Hulpverlener.

Relevantie veiligheidsbeleid – voorkomen en beperken van schade

Dat een adequaat veiligheidsbeleid met aandacht voor het managen van cyberrisico’s niet alleen relevant is voor scheepseigenaren en hun managers, is evident. Een deugdelijk beleid voorkomt cyberaanvallen enerzijds en beperkt de gevolgen van eventuele aanvallen anderzijds. Daardoor neemt de kans op (aanzienlijke) schade, waaronder die aan of met betrekking tot de lading, af. Een cyberaanval kan leiden tot vertraagde aflevering van lading, al dan niet in beschadigde toestand. Dat was bijvoorbeeld het geval bij de aanval op APM Terminals.[4] Niet uitgesloten is bovendien dat een inbreuk ook voor directe ladingschade zorgt. Als hackers een besturingssysteem uitschakelen of vertragen kan dat leiden tot aanvaringen, met schade aan lading tot gevolg. Het filmpje op Youtube van de aanvaring tussen de “Eems Cobalt” en de “Paksoy I” uit november 2018 laat zien dat een vertraagde werking van de systemen aan boord kan leiden tot een frontale botsing.[5] Ook kunnen cyberaanvallen maatregelen ter beperking van schade en kosten noodzakelijk maken, die vervolgens voor rekening van ladingbelanghebbenden worden gebracht. Zo is denkbaar dat deze kosten worden omgeslagen in averij-grosse. Ook is mogelijk dat de hulpverlener een directe vordering op de belanghebbenden bij de geredde lading heeft voor hun bijdrage in het hulploon, zoals onder het LOF en Engels recht.[6] Mogelijk is verder dat hackers een stuwprogramma bewust onjuist programmeren, waardoor containers niet op de juiste manier worden gestuwd en daardoor in het water belanden. Dit is niet onvoorstelbaar; in 2018 leidde een fout in het stuwprogramma van het binnenschip “Comienzo” immers al tot het verlies van veertig containers in de Rotterdamse haven.[7]

Toetsing adequaat veiligheidsbeleid in de rechtspraak

Gelet op het belang van een adequaat veiligheidsbeleid, waaronder op cybergebied, is het niet verwonderlijk dat de vraag of de verplichtingen van de ISM-Code zijn nageleefd regelmatig naar voren komt in de rechtspraak. In strafzaken en arbeidsgeschillen is de ISM-Code als relevant gezichtspunt aangehaald, net als in civiele zaken.[8] Rechtscolleges toetsen onder meer of het veiligheidsmanagementsysteem van het betreffende schip op orde is en verbinden daar gevolgen aan. De publiekrechtelijke regeling werkt door in het civiele recht. Als publiekrechtelijke veiligheidsnormen niet zijn nageleefd, kan dat betekenen dat het schip daardoor niet zeewaardig was en de vervoerder dus aansprakelijk is tegenover ladingbelanghebbenden. Recent heeft de Engelse Court of Appeal dat met zoveel woorden overwogen in zijn arrest in de “CMA CGM Libra”.[9] Net als in de zaak “Harns”[10], was de stranding in de zaak “CMA CGM Libra” het gevolg van het feit dat het schip, in strijd met de ISM verplichtingen, niet beschikte over voldoende up-to-date kaarten en een deugdelijk voyage/passage plan. In beide zaken oordeelden Hof en Court of Appeal dat het schip in dat geval niet zeewaardig was en waren ladingbelanghebbenden niet gehouden bij te dragen in averij-grosse. Zo kunnen gebreken in het veiligheidsbeleid leiden tot succesvol afhouden van te betalen bijdragen of juist verhaal van schadevorderingen van ladingbelanghebbenden.[11]

Tip

Gelet op de rechtspraak is aannemelijk dat in geval van schade veroorzaakt door een cyber risico, de vraag aan de orde zal komen of het veiligheidsmanagementplan van het schip aan de vereisten voldeed én er voldoende controle was op de naleving daarvan. In geval van schade veroorzaakt aan boord van schepen is het dus van belang na te gaan of het schip beschikte over een deugdelijk Cyber Security Management en, voor zover dat het geval is, of de regels in het concrete geval ook daadwerkelijk waren nageleefd.

* * *

[1] https://blogs.microsoft.com/on-the-issues/2020/09/29/microsoft-digital-defense-report-cyber-threats/.
[2] Zie bijvoorbeeld: https://www.mmc.com/insights/publications/2020/march/cyber-risk-grows-as-covid-19-spreads.html; https://home.kpmg/ch/en/home/insights/2020/04/coronavirus-increased-forensic-and-cyber-risks.html.
[3] International Safety Management Code (Resolution A.741(18)); https://puc.overheid.nl/nsi/doc/PUC_2410_14/6/.
[4] https://nos.nl/artikel/2180375-miljoenenschade-door-virus-containerterminals-blijven-dicht.html.
[5] https://www.youtube.com/watch?v=FW9hRKux2-M.
[6] Verwezen zij ook naar de blog van Nol van Hal over de hackende hulpverlener.
[7] Jaarverslag Inspectie Leefomgeving Transport 2018, p. 43; https://www.ilent.nl/documenten/jaarverslagen/2019/05/15/jaarverslag-ilt-2018.
[8] Vgl. Hof Amsterdam 11 oktober 2007, S&S 2009/102, “Egelantiersgracht”. Zie ook de twee strafzaken van de Rechtbank Amsterdam 13 juli 2020, ECLI:NL:RBAMS:2020:3383; Rechtbank Amsterdam 4 december 2017, ECLI:NL:RBAMS:2017:8905 (Frisia). Vgl. ook de civiele zaak van de Rechtbank Rotterdam 30 maart 2016, ECLI:NL:RBROT:2016:6226, S&S 2017, 83 (Happy Rover), waarin de rechtbank relevant achtte of de scheepseigenaar aan zijn verplichtingen onder de IMO ‘Code of Safe Practice for Cargo Stowage and Securing (CSS Code) had voldaan. Vgl. ook Rechtbank Rotterdam 23 oktober 2007, ECLI:NL:RBROT:2007:BC1722, waarin de scheepseigenaar in een arbeidszaak naar de ISM-Code verwees om aan te tonen dat hij een werknemer terecht op non-actief had gesteld.
[9] Court of Appeal 4 March 2020 in Alize 1954 v Allianz Elementar Versicherungs AG (The “CMA CGM LIBRA”) [2020] EWCA Civ 293. De Court of Appeal bekrachtigde de uitspraak van de High Court. Zie voor een case note over de beslissing van de High Court https://www.vantraa.nl/nl/kennis/the-cma-cgm-libra-verweer-tegen-vordering-tot-ag-bijdrage-loont/.
[10] https://www.vantraa.nl/nl/kennis/ms-harns-onvoldoende-zeewaardigheidszorg-betracht-door-rederij-agv-gebrekkige-documentatie/.
[11] Hof Amsterdam 11 oktober 2007, S&S 2009/102, “Egelantiersgracht”.

Deel dit artikel

Gerelateerde artikelen

Nieuwsbrief

Wilt u op de hoogte blijven van belangrijke ontwikkelingen en updates, kunt u zich aanmelden voor onze nieuwsbrief!

©2021 Van Traa advocaten N.v. Alle rechten voorbehouden