UR E26 verlangt vom Schiffseigner, dass die Cyber-Resilienz des Gesamtschiffs bereits im Neubauprozess mitgedacht wird. Das beginnt mit der Identifikation aller Computer-Based Systems (CBS) und ihrer Verbindungen untereinander. Daraus muss eine Risikobewertung erstellt werden, die zeigt, welche Systeme bei einem Cyber-Vorfall die Sicherheit des Schiffes beeinträchtigen können.
Auf Basis dieser Risikobewertung sind Schutzmaßnahmen zu definieren — Netzwerksegmentierung, Zugriffskontrolle, Härtung. Aber UR E26 geht über Protection hinaus: Es verlangt auch Detektionsfähigkeiten (Erkennung von Anomalien), Response-Verfahren (Eindämmung eines Vorfalls) und Recovery-Pläne (Wiederherstellung kritischer Funktionen).
UR E27 richtet sich parallel dazu an die Lieferanten der Bordsysteme. Jeder OEM muss für sein CBS nachweisen: welche Sicherheitsfunktionen das Produkt bietet, wie es gehärtet wird, welche Schwachstellen bekannt sind, wie Updates eingespielt werden und über welchen Zeitraum Support garantiert ist. Das ist eine fundamentale Änderung gegenüber der bisherigen Praxis, in der viele OEMs ihre Systeme als Black Boxes lieferten, ohne detaillierte Sicherheitsdokumentation.
Zusammen bilden E26 und E27 ein zweistufiges System: E26 schafft den Rahmen auf Schiffsebene, E27 stellt sicher, dass die Bausteine — die einzelnen CBS — diesen Rahmen auch technisch tragen können. Für die Klasse bedeutet das: Sie prüft bei der Ablieferung sowohl die Gesamtarchitektur als auch die Konformität der einzelnen Systemlieferanten.
UR E26 requires the shipowner to integrate cyber resilience into the newbuilding process from the outset. This starts with identifying all Computer-Based Systems (CBS) and their interconnections. From this, a risk assessment must be produced showing which systems could compromise vessel safety during a cyber incident.
Based on this risk assessment, protective measures must be defined — network segmentation, access control, hardening. But UR E26 goes beyond protection: it also requires detection capabilities (recognising anomalies), response procedures (containing an incident) and recovery plans (restoring critical functions).
UR E27 runs in parallel, directed at the suppliers of onboard systems. Every OEM must demonstrate for their CBS: which security functions the product offers, how it is hardened, which vulnerabilities are known, how updates are applied and over what period support is guaranteed. This is a fundamental change from previous practice, where many OEMs delivered their systems as black boxes without detailed security documentation.
Together, E26 and E27 form a two-tier system: E26 creates the framework at vessel level, E27 ensures that the building blocks — the individual CBS — can technically support this framework. For class this means: at delivery, both the overall architecture and the conformity of individual system suppliers are surveyed.
Die kritischsten Punkte im Neubauprozess konzentrieren sich auf drei Bereiche: Systemarchitektur, Netzsegmentierung und Lieferantenschnittstellen. Bei der Systemarchitektur geht es darum, frühzeitig zu definieren, wie die verschiedenen CBS-Domänen — Navigation, Automation, Kommunikation, Cargo — voneinander abgegrenzt werden. Das erfordert einen dedizierten Netzwerkplan, der nicht erst bei der Inbetriebnahme entsteht, sondern bereits Teil der Detailplanung ist.
Die Netzsegmentierung ist das operative Herzstück. IACS erwartet, dass Netzwerke in Zonen unterteilt werden, wobei jede Zone ein definiertes Schutzniveau hat. Die Kommunikation zwischen Zonen erfolgt über kontrollierte Übergangspunkte — sogenannte Conduits. Ein klassisches Problem: Der Automation-Lieferant bringt sein eigenes Netzwerk-Segment mit, der Navigations-Lieferant ebenso, und am Ende stehen drei separate Netzwerke, die über einen unkontrollierten Switch verbunden sind. Das ist genau die Situation, die UR E26 verhindern will.
Bei den Lieferantenschnittstellen wird es besonders komplex. Jeder OEM hat eigene Vorstellungen davon, wie sein System angebunden wird. Manche verlangen direkten Internetzugang für Fernwartung, andere setzen proprietäre Protokolle ein, wieder andere liefern Systeme mit eingebetteten Betriebssystemen, die seit Jahren nicht mehr gepatcht wurden. Die Werft muss hier als Integrator auftreten und sicherstellen, dass alle CBS in eine kohärente Netzwerktopologie eingebettet werden.
Ein vierter, oft übersehener Punkt sind die Factory Acceptance Tests (FAT) und Site Acceptance Tests (SAT). Bisher wurden diese primär für funktionale Tests genutzt — läuft das System, kommuniziert es korrekt? Jetzt müssen auch Cyber-Aspekte geprüft werden: Sind die Härtungsmaßnahmen umgesetzt? Sind Standardpasswörter geändert? Sind unnötige Dienste deaktiviert? Entspricht die tatsächliche Netzwerkanbindung der Dokumentation?
The most critical points in the newbuilding process concentrate on three areas: system architecture, network segmentation and supplier interfaces. For system architecture, the task is to define early how the various CBS domains — navigation, automation, communication, cargo — are separated from one another. This requires a dedicated network plan that is not created only during commissioning but is already part of detailed planning.
Network segmentation is the operational centrepiece. IACS expects networks to be divided into zones, each with a defined protection level. Communication between zones takes place via controlled transition points — so-called conduits. A classic problem: the automation supplier brings their own network segment, the navigation supplier likewise, and in the end three separate networks are connected via an uncontrolled switch. This is precisely the situation UR E26 aims to prevent.
Supplier interfaces are where things become particularly complex. Every OEM has their own ideas about how their system connects. Some require direct internet access for remote maintenance, others use proprietary protocols, still others deliver systems with embedded operating systems that have not been patched for years. The yard must act as integrator here and ensure all CBS are embedded in a coherent network topology.
A fourth, often overlooked point involves Factory Acceptance Tests (FAT) and Site Acceptance Tests (SAT). Previously these were used primarily for functional testing — does the system run, does it communicate correctly? Now cyber aspects must also be verified: are hardening measures implemented? Have default passwords been changed? Are unnecessary services deactivated? Does the actual network connection match the documentation?
UR E27 macht unmissverständlich deutlich: Cyber ist nicht allein Sache der Werft oder des Betreibers. Jeder OEM, der ein Computer-Based System liefert, muss eine sogenannte System Integrator Documentation bereitstellen. Diese enthält unter anderem: eine Beschreibung der Systemarchitektur, eine Liste aller Netzwerk-Schnittstellen, Härtungsrichtlinien, bekannte Schwachstellen mit Mitigationsmaßnahmen und eine Erklärung zur Patch-Verfügbarkeit.
Für viele maritime OEMs ist das eine erhebliche Umstellung. Automation-Hersteller, die seit Jahrzehnten proprietäre Systeme mit 20-jährigen Lebenszyklen bauen, haben oft keine etablierten Prozesse für Security-Dokumentation. Die Frage "Welche CVEs betreffen Ihr System und wie werden sie mitigiert?" ist in anderen Industrien Standard, in der maritimen OEM-Landschaft aber noch Neuland.
Die Konsequenzen sind real: Wenn ein Lieferant die UR E27-Anforderungen nicht erfüllen kann, wird sein System bei der Klassifikation zum Problem. Die Klasse prüft nicht nur die Schiffstopologie (E26), sondern auch die Konformität der einzelnen Systemlieferanten (E27). Ein nicht-konformes CBS kann die Ablieferung blockieren.
Für Betreiber bedeutet das: Die Auswahl von Lieferanten muss künftig auch deren Cyber-Reife berücksichtigen. Ein Lieferant, der technisch exzellente Systeme baut, aber keine Security-Dokumentation liefern kann, wird zum Projektrisiko. Das sollte bereits in der Spezifikationsphase adressiert werden — nicht erst, wenn die Systeme an Bord installiert sind.
UR E27 makes unmistakably clear: cyber is not solely the yard's or operator's responsibility. Every OEM delivering a Computer-Based System must provide so-called System Integrator Documentation. This includes: a description of the system architecture, a list of all network interfaces, hardening guidelines, known vulnerabilities with mitigation measures and a statement on patch availability.
For many maritime OEMs, this is a considerable adjustment. Automation manufacturers who have been building proprietary systems with 20-year life cycles for decades often have no established processes for security documentation. The question "Which CVEs affect your system and how are they mitigated?" is standard in other industries but still uncharted territory in the maritime OEM landscape.
The consequences are real: if a supplier cannot meet UR E27 requirements, their system becomes a problem during classification. Class surveys not only the vessel topology (E26) but also the conformity of individual system suppliers (E27). A non-compliant CBS can block delivery.
For operators this means: supplier selection must henceforth also consider cyber maturity. A supplier who builds technically excellent systems but cannot deliver security documentation becomes a project risk. This should be addressed as early as the specification phase — not only when systems are already installed onboard.
Betreiber sollten Cyber-Themen von Anfang an in den Neubauprozess einbetten. Konkret heißt das: Cyber-Anforderungen in die Bauvorschrift aufnehmen, UR E27-Konformität als Vertragsklausel mit jedem CBS-Lieferanten vereinbaren, und einen dedizierten Cyber-Verantwortlichen im Neubauprojekt benennen.
Bei den FAT sollten Cyber-Tests als fester Bestandteil etabliert werden: Überprüfung der Härtung, Test der Zugriffskontrolle, Verifizierung der Netzwerkanbindung gegen die Spezifikation. Bei SAT an Bord kommt die Überprüfung der tatsächlichen Netzwerktopologie hinzu — stimmt die reale Installation mit dem Plan überein?
Die Dokumentation ist ein weiterer kritischer Punkt. UR E26 verlangt eine aktuelle und vollständige Dokumentation der Netzwerkarchitektur, der CBS-Inventarisierung und der Risikobewertung. Diese Dokumente müssen nicht nur bei der Ablieferung vorliegen, sondern auch während der gesamten Betriebsphase aktuell gehalten werden. Ein System, das nach Ablieferung geändert wird — sei es durch ein Software-Update, eine neue VSAT-Installation oder den Austausch eines Steuerungssystems — muss in der Dokumentation nachgezogen werden.
Operators should embed cyber topics in the newbuilding process from the very beginning. Concretely this means: include cyber requirements in the building specification, agree UR E27 conformity as a contractual clause with every CBS supplier, and appoint a dedicated cyber responsible party within the newbuilding project.
During FAT, cyber tests should be established as a fixed component: verification of hardening, testing of access control, verification of network connections against the specification. During SAT onboard, the actual network topology is additionally checked — does the real installation match the plan?
Documentation is another critical point. UR E26 requires current and complete documentation of network architecture, CBS inventory and risk assessment. These documents must not only be available at delivery but must also be kept current throughout the operational phase. A system changed after delivery — whether through a software update, a new VSAT installation or replacement of a control system — must be reflected in the documentation.
Die Bauvorschrift (Building Specification) ist das zentrale Vertragsdokument zwischen Betreiber und Werft. Hier müssen Cyber-Anforderungen als eigenständiger Abschnitt aufgenommen werden, nicht als Fußnote in der IT-Sektion. Folgende Elemente sollten enthalten sein:
Erstens: Eine Anforderung an die Netzwerktopologie. Die Werft muss einen vollständigen Netzwerkplan liefern, der alle CBS, ihre Verbindungen, Zonengrenzen und Conduits zeigt. Dieser Plan muss mit der Klasse abgestimmt sein, bevor die Detailplanung beginnt.
Zweitens: UR E27-Konformität als Lieferanforderung für alle CBS-Lieferanten. Jeder OEM muss seine System Integrator Documentation vor FAT liefern. Die Werft ist verantwortlich für die Integration dieser Dokumentation in das Gesamtpaket.
Drittens: Cyber-Tests bei FAT und SAT. Die Spezifikation sollte konkrete Testfälle definieren — Härtungsverifizierung, Zugriffskontrolltest, Netzwerksegmentierungstest, Recovery-Test für kritische Systeme.
Viertens: Eine Übergabe-Dokumentation, die alle für den Betrieb relevanten Cyber-Informationen enthält — CBS-Inventar, Netzwerkplan, Risikobewertung, Härtungsrichtlinien, Patch-Strategie, Recovery-Verfahren.
Wer diese Anforderungen nicht in die Bauvorschrift aufnimmt, wird sie später nur schwer vertraglich durchsetzen können. Nachträgliche Forderungen an OEMs sind teuer und zeitaufwändig — und sie kommen genau dann, wenn das Projekt unter Zeitdruck steht.
The building specification is the central contractual document between operator and yard. Cyber requirements must be included as a dedicated section, not as a footnote in the IT section. The following elements should be covered:
First: a requirement for the network topology. The yard must deliver a complete network plan showing all CBS, their connections, zone boundaries and conduits. This plan must be agreed with class before detailed planning begins.
Second: UR E27 conformity as a delivery requirement for all CBS suppliers. Every OEM must deliver their System Integrator Documentation before FAT. The yard is responsible for integrating this documentation into the overall package.
Third: cyber tests during FAT and SAT. The specification should define concrete test cases — hardening verification, access control testing, network segmentation testing, recovery testing for critical systems.
Fourth: a handover documentation package containing all cyber information relevant for operations — CBS inventory, network plan, risk assessment, hardening guidelines, patch strategy, recovery procedures.
Anyone who does not include these requirements in the building specification will find it difficult to enforce them contractually later. Retrospective demands on OEMs are expensive and time-consuming — and they arise precisely when the project is under time pressure.
Die ersten Schiffe, die unter voller UR E26/E27-Geltung gebaut werden, werden voraussichtlich 2026/2027 abgeliefert. Aus den laufenden Projekten lassen sich bereits Muster erkennen: Die größten Schwierigkeiten treten dort auf, wo Cyber-Anforderungen nicht von Beginn an in die Projektstruktur integriert wurden.
Werften in Ostasien, die den Großteil der globalen Tonnage bauen, reagieren unterschiedlich. Einige große Werften haben dedizierte Cyber-Teams aufgebaut. Kleinere Werften verlassen sich auf externe Berater oder erwarten, dass der Betreiber die Anforderungen im Detail spezifiziert. Das führt zu einer Asymmetrie: Erfahrene Betreiber bekommen bessere Ergebnisse, weil sie die richtigen Fragen stellen.
Auf Seiten der Klassifikationsgesellschaften variiert der Detailgrad der Prüfung. Alle IACS-Mitglieder haben die URs in ihre Regelwerke übernommen, aber die Interpretation und die Prüftiefe unterscheiden sich. Betreiber, die mit mehreren Klassen arbeiten, sollten frühzeitig klären, welche konkreten Erwartungen ihre jeweilige Gesellschaft hat.
The first vessels built under full UR E26/E27 applicability are expected to be delivered in 2026/2027. Patterns are already emerging from ongoing projects: the greatest difficulties occur where cyber requirements were not integrated into the project structure from the beginning.
Yards in East Asia, which build the majority of global tonnage, are responding differently. Some large yards have established dedicated cyber teams. Smaller yards rely on external consultants or expect the operator to specify requirements in detail. This creates asymmetry: experienced operators obtain better results because they ask the right questions.
On the classification society side, the level of survey detail varies. All IACS members have incorporated the URs into their rule sets, but interpretation and survey depth differ. Operators working with multiple class societies should clarify early what specific expectations their respective society holds.
Unverbindliches Erstgespräch – wir analysieren Ihre Situation und finden den besten Weg.Free initial consultation – we analyze your situation and find the best path forward.
Beratung anfragenRequest Consulting