Die neuen Cybersicherheitsvorschriften der US-Küstenwache markieren einen Paradigmenwechsel in der maritimen Sicherheit. Nach zwei Jahrzehnten freiwilliger Compliance müssen nun alle betroffenen Unternehmen konkrete Maßnahmen ergreifen – und das unter Zeitdruck. Die Regelungen ähneln etablierten Standards wie der NERC-CIP (National Electric Reliability Council’s Critical Infrastructure Protection) für Stromversorgungsunternehmen, die sich bereits bewährt haben.
Elan Alvey von Dragos, einem Spezialisten für industrielle Cybersicherheit, sieht in der Regulierung einen wichtigen Schritt: Sie beseitigt die “einfachen Angriffsziele”, auf die opportunistische Hacker und Ransomware-Gruppen abzielen. Das reduziert zwar nicht alle Risiken, schafft aber eine Baseline für Sicherheit.
Die maritime Industrie hat in der Vergangenheit unter teils verheerenden Cyberangriffen gelitten. Der NotPetya-Angriff legte 2017 die Reederei AP Moller-Maersk lahm, GPS-Angriffe brachten Schiffe zum Kentern. Andere Länder wie Norwegen haben bereits ähnliche Maßnahmen ergriffen. Internationale Standards für transozeane Schiffe existieren bereits.
Die Meilensteine der Umsetzung
Die Anforderungen sind gestaffelt: Im Juli 2025 begann die Meldepflicht für Cybersicherheitsvorfälle. Im Januar 2026 musste die Schulung aller IT- und OT-Mitarbeiter abgeschlossen sein. Die nächste Deadline folgt im Juli 2026: Alle US-flagged Schiffe und Offshore-Anlagen müssen eine Sicherheitsbewertung durchgeführt und einen Cybersicherheitsplan erstellt haben. Die größte Herausforderung kommt aber erst 2027 – die Netzwerksegmentierung zwischen IT und OT.
Diese Segmentierung ist nicht trivial. Eine Cisco-Umfrage von 2025 zeigte, dass 94 Prozent der Organisationen Schwierigkeiten mit Segmentierung haben – aufgrund von Komplexität, mangelnder Transparenz und schwer zu identifizierenden legitimen Datenflüssen. Es gibt keine Universallösung, wie Amer Akhter von Cisco betont.
Die Rolle des Cybersecurity Officers
Ein wesentlicher Unterschied zu traditionellen CISOs: Der neue Cybersecurity Officer (CySO) ist weniger ein technischer, sondern eher ein regulatorischer Funktionär. Er oder sie trägt Verantwortung für Regelkonformität, Incident Reporting und Compliance – nicht nur für tägliche IT-Operationen.
Lessons for Global Companies
Trey Ford von Bugcrowd sieht diese Regulierung als Vorboten für andere Branchen. Große Industrielieferanten sollten jetzt handeln, bevor neue Regeln sie zwingen. Das Fundamental der MTSA-Cybersicherheitsanforderungen ist prägnant: “Es geht nicht darum, ob ein System kompromittiert wird, sondern ob man es bemerkt, bevor ein Angreifer zuschlägt.”
Diese Denkweise – die Annahme von Versagen als Ausgangspunkt – sollte jedes Unternehmen zu Herzen nehmen.