Hvilke krav stilles der til rederier vedrørende cybersikkerhed på skibe ifølge den nye bekendtgørelse?
Jeg vil nu undersøge, hvilke krav der stilles til rederier vedrørende cybersikkerhed på skibe ifølge den nye bekendtgørelse. Jeg vil søge i databasen over dansk lovgivning for at finde den relevante bekendtgørelse og på relevante hjemmesider for at finde de seneste opdateringer og vejledninger.
Jeg vil nu undersøge, hvilke krav der stilles til rederier vedrørende cybersikkerhed på skibe ifølge den relevante bekendtgørelse. Jeg vil bruge søgeværktøjerne til at finde information i dansk lovgivning og på relevante hjemmesider.
Baseret på de fundne oplysninger er følgende krav gældende:
Hovedbekendtgørelse og Baggrund
Den centrale bekendtgørelse er Bekendtgørelse om sikkerhed i net- og informationssystemer af betydning for skibes sikkerhed og deres sejlads (BEK nr 46 af 16/01/2019). Denne bekendtgørelse implementerer EU's Net- og Informationssikkerhedsdirektiv (NIS-direktivet) på søfartsområdet i Danmark (delstrategi-for-soefartssektorens-cyber-og-...). Bekendtgørelsen fastsætter krav til både rederier, skibe og visse udbydere af maritime tjenester.
Den juridiske ramme for bekendtgørelsen findes i Lov om sikkerhed i net- og informationssystemer i transportsektoren og Bekendtgørelse af lov om sikkerhed til søs, som giver ministeren bemyndigelse til at fastsætte nærmere regler om bl.a. sikkerhedsstyringssystemer for skibe og rederier (§ 3, stk. 1, nr. 2) og foranstaltninger til styring af risici i net- og informationssystemer (§ 4, stk. 3).
Krav til Rederier og Skibe
- Skibe omfattet af ISM-koden: Rederier for skibe, der er omfattet af den internationale kode for sikker skibsdrift (ISM-koden), skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene for skibes sikkerhed, når de anvender net- og informationssystemer. Dette skal ske i overensstemmelse med kravene i ISM-koden og IMO's retningslinjer om styring af maritime cyberrisici (MSC-FAL 1/Cir. 3) (Bekendtgørelse om sikkerhed i net- og informationssystemer... § 5, stk. 1). Disse IMO-retningslinjer er også nævnt i forbindelse med implementeringen af SOLAS-konventionen (Bekendtgørelse om skibes bygning og udstyr m.v. ... noter). Foranstaltningerne skulle senest være truffet ved den første årlige verifikation af rederiets overensstemmelsesdokument efter 1. januar 2021 (Bekendtgørelse om sikkerhed i net- og informationssystemer... § 5, stk. 3).
- Andre skibe: Søfartsstyrelsen kan påbyde rederier for skibe, der ikke er omfattet af ISM-koden, at gennemføre lignende foranstaltninger, hvis de anvender net- og informationssystemer, som har betydning for skibenes sikkerhed og deres sejlads (Bekendtgørelse om sikkerhed i net- og informationssystemer... § 5, stk. 2). Søfartsstyrelsens strategi bekræfter, at andre skibe med sårbare systemer (f.eks. elektroniske søkort, kommunikationssystemer) også skal leve op til passende sikkerhedskrav (delstrategi-for-soefartssektorens-cyber-og-...).
Indberetning af Hændelser
- Rederier for skibe omfattet af ISM-koden (samt udpegede operatører af maritime tjenester) skal hurtigst muligt indberette it-sikkerhedshændelser, der har væsentlige negative konsekvenser for skibenes sikkerhed og sejlads, til både Søfartsstyrelsen og Center for Cybersikkerhed (CFCS) (Cyber- og informationssikkerhed | sfs.dk, delstrategi-for-soefartssektorens-cyber-og-...).
- Indberetningen skal ske via Erhvervsstyrelsens portal på Virk.dk (Cyber- og informationssikkerhed | sfs.dk).
Definitioner
Bekendtgørelsen definerer centrale begreber som "Rederi", "Net- og informationssystem", "Hændelse" og "Risiko" (Bekendtgørelse om sikkerhed i net- og informationssystemer... § 2).
Sammenfattende skal rederier, især dem med skibe under ISM-koden, integrere cybersikkerhed i deres risikostyring baseret på internationale standarder og retningslinjer samt indberette væsentlige sikkerhedshændelser til myndighederne.
Gennemgå nogle relevante afgørelser omkring dette
Hvad svarer jeg på – og hvordan gør jeg?
Jeg gennemgår de afgørelser, som dukkede op i den søgning, jeg netop foretog i databasen over retspraksis. Afgørelserne handler ikke specifikt om ”cybersikkerhed”, men de viser, hvordan domstolene har håndteret rederiers (manglende) efterlevelse af de sikkerhedsstyringskrav i ISM-koden, der i den nye bekendtgørelse om net- og informationssikkerhed (§ 5) er udgangspunktet for de maritime cyberkrav.
1. Frifindelse i sag om overtrædelse af sikkerhedsforskrifter til søs (M/S Danica Four)
Frifindelse i sag om overtrædelse af sikkerhedsforskrifter til søs grundet manglende bevis for overtrædelse i tiltaleperioden og ikke udløbne frister for udbedring
Dato: 6. december 2002 – Sø- og Handelsretten
| Hovedpointer | Relevans for cyber-krav |
|---|---|
| • Rederiet var tiltalt for ikke at have implementeret arbejdsmiljø- og sikkerhedsforanstaltninger (bl.a. APV, sikkerhedsorganisation mv.) i sit ISM-system.<br>• Retten frifandt, fordi Søfartsstyrelsen ikke havde foretaget syn i tiltaleperioden, og de påtalte mangler var omfattet af igangværende frister. | Viser, at dokumentation og rettidig opfyldelse af ISM-krav er afgørende. Hvis et cyberkrav (fx risikovurdering, hændelseslog) er sat på frist – og rederiet kan dokumentere fremdrift – kan det undgå domfældelse. |
2. Frifindelse i sag om overtrædelse af sikkerhedsforskrifter på M/S Hanne Danica
Frifindelse i sag om overtrædelse af sikkerhedsforskrifter til søs grundet manglende syn inden tiltalerejsning
Dato: 6. december 2002 – Sø- og Handelsretten
| Hovedpointer | Relevans for cyber-krav |
|---|---|
| • Anklagemyndigheden henviste til manglende arbejdsmiljøuddannelse, APV og brugsanvisninger.<br>• Retten lagde vægt på, at der ikke var foretaget teknisk/organisatorisk syn, før tiltale blev rejst, og at der ikke forelå bevis for overtrædelserne. | Understreger, at myndighederne (fx Søfartsstyrelsen/CFCS) skal kunne dokumentere, at et rederi ikke har de nødvendige cybermæssige procedurer på plads. Mangel på teknisk bevis kan føre til frifindelse. |
3. Frifindelse i sag om søfartsregler vedr. sikkerhed på M/S Danica Violet
Frifindelse i sag om overtrædelse af søfartsregler vedrørende sikkerhed på M/S Danica Violet
Dato: 6. december 2002 – Sø- og Handelsretten
| Hovedpointer | Relevans for cyber-krav |
|---|---|
| • Flere sikkerhedskrav (uddannelse, APV, sikkerhedsorganisation) var rejst; retten fandt, at rederiet kunne opfylde kravene uden særskilte dokumenter (fx hele besætningen som sikkerhedsudvalg).<br>• Retten betonede også forvaltningsretlige principper (vejledning, frister). | Viser, at rederier kan få medhold, hvis de reelt har indarbejdet kravene i driftssystemet – selv om dokumentationen er anderledes end Søfartsstyrelsen forventer. Det kan overføres til cyberprocedurer, hvis rederiet kan vise, hvordan risici styres i praksis. |
Hvad kan man lære af praksis?
- Dokumentér implementeringen af ISM-kravene (nu inkl. cyber-risikostyring). Mangelfuld eller sen dokumentation har kostet sager – men frifindelserne viser også, at bevisbyrden ligger hos myndigheden.
- Overhold givne frister – både Søfartsstyrelsen og domstolene lægger vægt på, om rederiet arbejder inden for aftalte tidsplaner.
- Teknisk/organisatorisk syn er afgørende bevis. Ved cybersikkerhed vil log-filer, risikovurderinger og hændelsesrapporter få samme betydning som traditionelle ISM-syn.
- Forvaltningsretlige krav (vejledning, proportionalitet) spiller ind: hvis myndigheden ikke tydeligt har vejledt om cyberkravet, kan det reducere rederiets ansvar.
Samlet set viser sagerne, at kravet om at integrere cybersikkerhed i rederiets ISM-system forventes håndhævet på samme måde som de klassiske sikkerhedskrav – med vægt på dokumentation, frister og konkret bevis.
GEnnemgå dommen
Sådan gør jeg
Jeg gennemgår nærmere den centrale dom fra Sø- og Handelsretten i sagen “Frifindelse i sag om overtrædelse af sikkerhedsforskrifter til søs grundet manglende bevis for overtrædelse i tiltaleperioden og ikke udløbne frister for udbedring” (Danica Four-sagen, id: r-0001-01, 6. december 2002). Oplysningerne stammer udelukkende fra den domstekst, der fremgår af søgeværktøjet.
1. Faktuelt grundlag
- Tiltalte: Partrederiet for M/S Danica Four.
- Anklagepunkter:
- Manglende arbejdsmiljøuddannelse (§ 16-uddannelse).
- Manglende skriftlige arbejdspladsvurderinger (APV).
- Manglende etablering af lovpligtig sikkerhedsorganisation.
- Manglende arbejdspladsbrugsanvisning for kemikaliet “Neptun Marine Cleaner”.
- Hjemmel: Søfartsstyrelsens tekniske forskrifter og lov om sikkerhed til søs § 32, stk. 5 m.fl.
2. Bevisførelse
Domsteksten (s. – 11 ff.) viser, at:
- Der ikke var foretaget syn om bord før 15. oktober 2002 – altså længe efter tiltaleperioden.
- Ved dette syn gav Søfartsstyrelsen frister til udbedring, som stadig løb under domsforhandlingen.
- Anklagemyndigheden fremlagde ingen yderligere dokumentation for, at påståede overtrædelser fandtes i tiltaleperioden.
3. Rederiets hovedsynspunkter
- Manglende eller usikker lovhjemmel til forskrifterne.
- Væsentlige forvaltningsretlige fejl i Søfartsstyrelsens sagsbehandling.
- Uklarhed om gerningsindholdet.
- Accept fra myndighedernes side via “projekt Coaster”.
4. Rettens begrundelse (uddrag s. 12)
- Fristerne for at rette op på de påtalte forhold var ikke udløbet.
- Der forelå ingen konkrete beviser for, at forholdene bestod i den periode, anklageskriftet dækkede.
- Dermed kunne retten ikke “med den for domfældelse fornødne sikkerhed” fastslå, at partrederiet havde overtrådt reglerne.
Konsekvensen: Frifindelse for alle fire forhold; Statsskassen bar omkostningerne.
5. Væsentlige læringspunkter for cybersikkerhed-krav
Selv om sagen vedrører klassiske arbejdsmiljø-/ISM-forhold, er rettens præmisser direkte overførbare til de nye cyberkrav i Bekendtgørelse om net- og informationssikkerhed (§ 5):
| Retlig pointe i dommen | Anvendelse på cyberkrav |
|---|---|
| Bevisbyrden ligger hos myndigheden; manglende syn → frifindelse | Søfartsstyrelsen/CFCS skal kunne dokumentere manglende cyber-procedurer (risikovurdering, logfiler m.v.). |
| Kører der fortsat frister for udbedring, kan domfældelse ikke ske | Givet frist for at implementere fx IMO’s cyber-retningslinjer beskytter rederiet, så længe de overholder tidsplanen. |
| Uklarhed om gerningsindhold fører til frifindelse | Cyberkrav skal være præcist beskrevet i audits/tilsyn for at kunne sanktioneres. |
6. Link til dommen
7. Kort om de to parallelle sager
Til sammenligning nåede Sø- og Handelsretten samme resultat i:
Begge understreger, at manglende dokumentation og ikke-udløbne frister kan føre til frifindelse – en retspraksis, der også vil gælde ved håndhævelse af maritime cybersikkerhedskrav.