IACS hat mit den Unified Requirements E26 und E27 erstmals verbindliche Mindestanforderungen für die Cyber-Resilienz von Neubauten festgelegt. UR E26 richtet sich an Schiffseigner und Werften und definiert Anforderungen auf Schiffsebene: Das Schiff als Gesamtsystem muss cyber-resilient konzipiert, gebaut und betrieben werden. Das umfasst eine dokumentierte Risikoanalyse, die Identifikation aller Computer-Based Systems (CBS), eine nachvollziehbare Netzwerkarchitektur und definierte Schutz-, Erkennungs- und Wiederherstellungsfähigkeiten.
UR E27 richtet sich ergänzend an die Lieferanten von Bordsystemen. Jeder OEM, der ein CBS liefert, muss nachweisen, dass sein Produkt über die gesamte Lebensdauer hinweg sicher gewartet, aktualisiert und konfiguriert werden kann. Das betrifft Härtungsmaßnahmen, Zugriffssteuerung, Logging-Fähigkeit und die Dokumentation bekannter Schwachstellen.
Beide URs gelten seit dem 1. Juli 2024 verbindlich für Neubauten, deren Vertrag nach diesem Datum geschlossen wurde. Die Umsetzung erfolgt über die Klassifikationsgesellschaften, die UR E26 und E27 in ihre jeweiligen Regelwerke übernommen haben. Damit ist Cyber-Resilienz keine optionale Empfehlung mehr, sondern eine klassifikationsrelevante Pflicht.
Entscheidend ist: IACS definiert kein spezifisches Produkt und kein bestimmtes Sicherheitsniveau im technologischen Sinne. Es geht um einen systematischen Ansatz — Risiken identifizieren, Maßnahmen ableiten, Wirksamkeit dokumentieren. Wer das als reine Compliance-Übung versteht, wird die Anforderungen formal erfüllen, aber operativ wenig gewinnen.
With Unified Requirements E26 and E27, IACS has established the first binding minimum standards for the cyber resilience of newbuildings. UR E26 is directed at shipowners and yards, defining requirements at vessel level: the ship as a complete system must be designed, built and operated in a cyber-resilient manner. This encompasses a documented risk assessment, identification of all Computer-Based Systems (CBS), a traceable network architecture and defined protection, detection and recovery capabilities.
UR E27 complements this by addressing the suppliers of onboard systems. Every OEM delivering a CBS must demonstrate that their product can be securely maintained, updated and configured throughout its entire service life. This covers hardening measures, access control, logging capability and documentation of known vulnerabilities.
Both URs have been mandatory since 1 July 2024 for newbuildings whose contracts were signed after that date. Implementation is carried out through the classification societies, which have incorporated UR E26 and E27 into their respective rule sets. Cyber resilience is therefore no longer an optional recommendation but a classification-relevant obligation.
The critical point: IACS does not prescribe a specific product or a particular security level in technological terms. It requires a systematic approach — identify risks, derive measures, document effectiveness. Those who treat this as a pure compliance exercise will meet requirements on paper but gain little operationally.
Betroffen sind sämtliche vernetzten Systeme, die unter den Begriff Computer-Based Systems fallen. In der Praxis bedeutet das: Navigation (ECDIS, Radar, AIS, GPS-Empfänger), Maschinenautomation (Alarm- und Monitoring-Systeme, Fernsteuerungen, Power Management), Kommunikation (GMDSS, VSAT, interne Netzwerke) und zunehmend auch Systeme für Ladungsmanagement, Ballastwasser und Emissionsüberwachung.
Die Herausforderung liegt in der Abgrenzung. Viele Systeme, die traditionell als eigenständig galten, sind heute über Ethernet, serielle Schnittstellen oder proprietäre Busse miteinander verbunden. Ein Alarm-Monitoring-System, das über das gleiche Netzwerk läuft wie der Crew-Internet-Zugang, ist ein CBS im Sinne der URs — auch wenn der Hersteller es nie als IT-System bezeichnet hat.
Besonders kritisch sind Systeme mit Fernzugriffsmöglichkeiten. OEM-Fernwartung über TeamViewer, VPN-Tunnel oder herstellereigene Plattformen schafft Angriffsflächen, die in vielen Bestandsflotten weder dokumentiert noch kontrolliert sind. UR E26 verlangt für Neubauten, dass jeder Fernzugriff in der Netzwerkarchitektur erfasst und risikobewertend behandelt wird.
Ein weiterer praktisch unterschätzter Bereich sind die sogenannten Safety Systems — Systeme, deren Ausfall unmittelbar sicherheitsrelevant ist. Dazu gehören Feuermeldeanlagen mit Netzwerkanbindung, automatische Löschsysteme mit digitaler Steuerung und Notabschaltsysteme. Hier verschärft die Cyber-Dimension die ohnehin bestehenden Anforderungen an Redundanz und Verfügbarkeit.
All networked systems falling under the definition of Computer-Based Systems are affected. In practice this means: navigation (ECDIS, radar, AIS, GPS receivers), machinery automation (alarm and monitoring systems, remote controls, power management), communication (GMDSS, VSAT, internal networks) and increasingly also systems for cargo management, ballast water treatment and emissions monitoring.
The challenge lies in drawing boundaries. Many systems traditionally considered standalone are now connected via Ethernet, serial interfaces or proprietary buses. An alarm monitoring system running on the same network as the crew internet access is a CBS under the URs — even if the manufacturer never labelled it an IT system.
Systems with remote access capabilities are particularly critical. OEM remote maintenance via TeamViewer, VPN tunnels or proprietary platforms creates attack surfaces that in many existing fleets are neither documented nor controlled. UR E26 requires newbuildings to capture every remote access point in the network architecture and subject it to risk assessment.
Another area frequently underestimated in practice involves safety systems — systems whose failure has immediate safety implications. These include fire detection systems with network connectivity, automatic extinguishing systems with digital controls and emergency shutdown systems. Here, the cyber dimension intensifies the existing requirements for redundancy and availability.
UR E27 verlagert einen substantiellen Teil der Verantwortung in die Lieferkette. Das ist ein Paradigmenwechsel. Bislang war Cyber-Sicherheit an Bord — wenn sie überhaupt adressiert wurde — Sache des Betreibers oder bestenfalls der Werft in der Endintegration. Jetzt muss jeder Systemlieferant nachweisen, dass sein CBS den Anforderungen entspricht.
Konkret verlangt UR E27 von OEMs: eine Beschreibung der Sicherheitsarchitektur ihres Produkts, eine Liste bekannter Schwachstellen und deren Mitigationsmaßnahmen, Härtungsrichtlinien für die Installation, Zugriffssteuerungskonzepte und eine Erklärung zur Patch-Fähigkeit über die erwartete Betriebsdauer. Das klingt nach Standard-IT, ist aber für viele maritime OEMs Neuland. Gerade bei Automation- und Navigationslieferanten, die seit Jahrzehnten proprietäre Systeme mit langen Lebenszyklen bauen, erfordert das einen grundlegenden Wandel in der Produktdokumentation.
Für Werften bedeutet das: Sie müssen die CBS-Zulieferungen nicht nur mechanisch und elektrisch integrieren, sondern auch die Netzwerkintegration cyber-sicher gestalten. Die Gesamtverantwortung für die Schiffstopologie liegt bei der Werft. Wenn drei verschiedene OEMs ihre Systeme in dasselbe Netzwerksegment integrieren wollen, muss die Werft das architektonisch lösen — nicht nachträglich, sondern im Design.
In der Praxis zeigt sich bereits, dass die Kommunikation zwischen Werften und Zulieferern hier oft noch nicht eingespielt ist. Viele OEMs liefern technische Dokumentation, die für den eigenen Servicebereich geschrieben wurde, aber nicht die Informationen enthält, die ein Integrator für die Netzwerktopologie braucht. Das führt zu Zeitverlust und Nachbesserungsbedarf kurz vor Ablieferung.
UR E27 shifts a substantial part of the responsibility into the supply chain. This is a paradigm shift. Until now, cyber security onboard — if addressed at all — was the operator's concern or at best the yard's task during final integration. Now every system supplier must demonstrate that their CBS meets the requirements.
Specifically, UR E27 requires OEMs to provide: a description of their product's security architecture, a list of known vulnerabilities and their mitigation measures, hardening guidelines for installation, access control concepts and a statement on patching capability over the expected operational lifetime. This sounds like standard IT, but for many maritime OEMs it is uncharted territory. Particularly for automation and navigation suppliers who have been building proprietary systems with long life cycles for decades, this demands a fundamental shift in product documentation.
For yards this means: they must not only integrate CBS deliveries mechanically and electrically but also ensure the network integration is cyber-secure. Overall responsibility for the vessel's network topology lies with the yard. When three different OEMs want to integrate their systems into the same network segment, the yard must resolve this architecturally — not retrospectively, but during design.
In practice, it is already apparent that communication between yards and suppliers is often not yet well established in this area. Many OEMs deliver technical documentation written for their own service department but lacking the information an integrator needs for the network topology. This leads to time losses and the need for rework shortly before delivery.
Für Neubauten ist eine frühzeitige Cyber-Matrix ratsam — idealerweise bereits im Spezifikationsstadium, nicht erst bei der Detailplanung. Betreiber sollten Cyber-Anforderungen in die Ausschreibungsunterlagen aufnehmen und UR E27-Konformität als Vertragsbestandteil mit jedem CBS-Lieferanten vereinbaren.
Der Prozess beginnt mit der Identifikation aller CBS an Bord und ihrer Netzwerkverbindungen. Daraus entsteht eine Risikobewertung, die als Grundlage für die Netzwerkzonierung dient. Welche Systeme dürfen miteinander kommunizieren? Welche Übergänge zwischen Zonen sind erlaubt? Wo sind Firewalls, Dioden oder Air Gaps erforderlich?
Parallel dazu sollten Betreiber ihre internen Strukturen prüfen. Wer ist für Cyber-Themen zuständig — der Superintendent, die IT-Abteilung, der DPA? In vielen Reedereien ist diese Frage nicht klar beantwortet. UR E26 erzwingt eine Klärung, denn die Klassifikationsgesellschaft wird bei der Ablieferung prüfen, ob ein funktionierendes Cyber Risk Management existiert.
For newbuildings, an early cyber matrix is advisable — ideally already at the specification stage, not only during detailed planning. Operators should include cyber requirements in tender documents and agree UR E27 conformity as a contractual component with every CBS supplier.
The process begins with identifying all CBS onboard and their network connections. This produces a risk assessment that serves as the basis for network zoning. Which systems may communicate with each other? Which transitions between zones are permitted? Where are firewalls, diodes or air gaps required?
In parallel, operators should review their internal structures. Who is responsible for cyber topics — the superintendent, the IT department, the DPA? In many shipping companies this question remains unanswered. UR E26 forces clarification, because the classification society will verify at delivery whether a functioning cyber risk management system exists.
Die Netzwerksegmentierung ist das technische Rückgrat der UR E26-Compliance. Das Konzept ist in der Industrie-IT seit Jahren etabliert (IEC 62443 lässt grüßen), aber im maritimen Kontext stellen sich spezifische Herausforderungen. An Bord existieren typischerweise mehrere Netzwerkbereiche: das OT-Netz für Automation und Maschinensteuerung, das Navigationsnetz, das administrative IT-Netz und das Crew-Welfare-Netz. In der Theorie sind diese getrennt. In der Praxis teilen sie sich oft physische Infrastruktur, und die Grenzen sind durchlässiger als dokumentiert.
Ein robustes Zonenkonzept definiert für jede Zone ein Schutzniveau und regelt die Kommunikation zwischen Zonen über sogenannte Conduits — kontrollierte Übergangspunkte. Das kann eine Firewall sein, ein Data Diode für unidirektionalen Datenfluss oder ein Application Gateway. Entscheidend ist nicht die Technologie, sondern die Konsistenz: Jeder Datenfluss zwischen Zonen muss bewusst entschieden, dokumentiert und überwachbar sein.
In der Praxis scheitern viele Konzepte an der Integration von Drittanbietersystemen. Ein Ballastwasser-Treatment-System eines Herstellers, das über einen eigenen Switch ans Schiffsnetzwerk angebunden wird, kann die gesamte Zonierung unterlaufen, wenn die Anbindung nicht in der Topologie vorgesehen war. Gleiches gilt für nachträgliche VSAT-Installationen, die plötzlich OT-Netze mit dem Internet verbinden.
Für die Klassifikationsgesellschaften ist die Netzwerktopologie ein zentrales Prüfdokument. Sie erwarten einen aktuellen, vollständigen Netzwerkplan, der alle CBS, ihre Verbindungen und die Zonengrenzen zeigt. Abweichungen zwischen Dokumentation und tatsächlicher Installation führen zu Findings — und im schlimmsten Fall zu Verzögerungen bei der Ablieferung.
Network segmentation is the technical backbone of UR E26 compliance. The concept has been established in industrial IT for years (IEC 62443 comes to mind), but the maritime context presents specific challenges. Onboard, there are typically several network domains: the OT network for automation and machinery control, the navigation network, the administrative IT network and the crew welfare network. In theory these are separate. In practice they often share physical infrastructure, and the boundaries are more permeable than documented.
A robust zone concept defines a protection level for each zone and governs communication between zones through so-called conduits — controlled transition points. This may be a firewall, a data diode for unidirectional data flow or an application gateway. What matters is not the technology but the consistency: every data flow between zones must be consciously decided, documented and monitorable.
In practice, many concepts fail at the integration of third-party systems. A ballast water treatment system from one manufacturer, connected to the vessel network via its own switch, can undermine the entire zoning if the connection was not anticipated in the topology. The same applies to retrofitted VSAT installations that suddenly connect OT networks to the internet.
For classification societies, the network topology is a central survey document. They expect a current, complete network plan showing all CBS, their connections and zone boundaries. Discrepancies between documentation and actual installation lead to findings — and in the worst case to delays at delivery.
Die Auswirkungen von UR E26/E27 enden nicht bei der Ablieferung. Betreiber müssen ein Cyber Risk Management aufrechterhalten, das die gesamte Betriebsphase abdeckt. Dazu gehören regelmäßige Überprüfungen der Netzwerktopologie, Kontrolle von Software-Versionen und Patch-Ständen, Verwaltung von Benutzerkonten und Zugriffsrechten sowie die Dokumentation jeder Änderung an CBS.
Für Superintendenten bedeutet das eine Erweiterung ihres Aufgabenfelds. Bisher war der Fokus auf mechanischer und elektrischer Integrität. Jetzt kommt die digitale Integrität hinzu. Ein Superintendent muss nicht zum IT-Spezialisten werden, aber er muss verstehen, welche Systeme vernetzt sind, wo die Risiken liegen und welche Maßnahmen greifen.
Besonders relevant ist das Management von Software-Updates. Viele OEMs liefern Updates über USB-Sticks oder Remote-Sessions. Beides sind potenzielle Einfallstore. UR E26 verlangt, dass es für solche Vorgänge dokumentierte Verfahren gibt — wer autorisiert den Zugriff, wie wird geprüft, was installiert wird, und wie wird die Änderung protokolliert.
Der ISM Code verlangt seit 2021 über MSC.428(98) bereits die Berücksichtigung von Cyber-Risiken im Safety Management System. UR E26/E27 konkretisieren das nun technisch. Betreiber, die bislang nur eine generische Cyber-Risikobewertung im SMS hatten, werden feststellen, dass die Klasse bei Neubauten jetzt deutlich mehr Substanz erwartet.
The implications of UR E26/E27 do not end at delivery. Operators must maintain a cyber risk management system covering the entire operational phase. This includes regular reviews of network topology, monitoring of software versions and patch levels, management of user accounts and access rights, and documentation of every change to CBS.
For superintendents, this means an expansion of their remit. Previously the focus was on mechanical and electrical integrity. Now digital integrity is added. A superintendent need not become an IT specialist, but must understand which systems are networked, where risks lie and which measures are in place.
The management of software updates is particularly relevant. Many OEMs deliver updates via USB sticks or remote sessions. Both are potential entry points. UR E26 requires documented procedures for such operations — who authorises access, how is the installation verified, and how is the change logged.
The ISM Code has required the consideration of cyber risks within the Safety Management System since 2021 via MSC.428(98). UR E26/E27 now give this technical substance. Operators who previously had only a generic cyber risk assessment in their SMS will find that class now expects considerably more depth for newbuildings.
Ein typisches Szenario: Ein Betreiber bestellt eine Serie von Mehrzweckfrachtern. Der Vertrag wurde nach Juli 2024 geschlossen, UR E26/E27 gelten also vollständig. Die Werft hat Cyber-Anforderungen im Lastenheft erwähnt, aber nicht als eigenständigen Abschnitt mit konkreten Lieferanforderungen an die OEMs aufgenommen.
In der Detailplanung stellt sich heraus, dass der Automation-Lieferant keine UR E27-konforme Dokumentation liefern kann, weil seine Produktlinie das Thema bisher nicht systematisch adressiert hat. Der Navigationslieferant hat ein Härtungsdokument, aber keine Aussage zur Patch-Fähigkeit über 15 Jahre. Die Werft hat keinen dedizierten Netzwerkplan, weil die einzelnen Systeminseln bisher getrennt betrachtet wurden.
Das Ergebnis: Sechs Monate vor geplanter Ablieferung beginnt eine hektische Nachbesserungsphase. Netzwerkpläne werden erstellt, OEMs liefern nachträglich Dokumentation, die Klasse hält Findings offen. Der Zeitverlust hätte vermieden werden können, wenn Cyber-Anforderungen von Anfang an als fester Bestandteil der Spezifikation behandelt worden wären.
A typical scenario: an operator orders a series of multipurpose cargo vessels. The contract was signed after July 2024, so UR E26/E27 apply in full. The yard mentioned cyber requirements in the specification but did not include them as a dedicated section with concrete delivery requirements for OEMs.
During detailed planning it emerges that the automation supplier cannot deliver UR E27-compliant documentation because their product line has not systematically addressed the topic. The navigation supplier has a hardening document but no statement on patching capability over 15 years. The yard has no dedicated network plan because the individual system islands were previously treated separately.
The result: six months before planned delivery, a hectic remediation phase begins. Network plans are created, OEMs deliver documentation retrospectively, class keeps findings open. The time loss could have been avoided if cyber requirements had been treated as an integral part of the specification from the outset.
Die zentrale strategische Frage für Betreiber lautet: Erfüllen wir UR E26/E27 minimal — oder nutzen wir die Anforderungen als Hebel für echte operative Resilienz? Der Unterschied zeigt sich im Umgang mit der Risikoanalyse. Ein Minimal-Ansatz identifiziert CBS, erstellt eine Matrix und dokumentiert Maßnahmen. Ein operativer Ansatz geht weiter: Er testet Recovery-Verfahren, simuliert Ausfallszenarien und verankert Cyber-Routinen im Bordbetrieb.
Der Mehraufwand für den operativen Ansatz ist überschaubar, wenn er früh im Projekt integriert wird. Der Nutzen zeigt sich nicht nur bei Audits, sondern auch bei realen Störfällen. Ein Schiff, dessen Besatzung weiß, wie sie bei einem Ransomware-Befall die Navigation auf Backup-Systeme umschaltet, hat einen konkreten operativen Vorteil gegenüber einem Schiff, dessen Cyber-Plan nur im Ordner liegt.
The central strategic question for operators is: do we meet UR E26/E27 minimally — or do we use the requirements as leverage for genuine operational resilience? The difference shows in how the risk assessment is handled. A minimal approach identifies CBS, creates a matrix and documents measures. An operational approach goes further: it tests recovery procedures, simulates failure scenarios and embeds cyber routines in daily onboard operations.
The additional effort for the operational approach is manageable when integrated early in the project. The benefit shows not only during audits but also during real incidents. A vessel whose crew knows how to switch navigation to backup systems during a ransomware event has a concrete operational advantage over one whose cyber plan exists only in a folder.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting