Die neuen Regeln treffen jedes Schiff unter US-Flagge und jede maritime Anlage, die unter den MTSA von 2002 fällt. Im Jahr 2025 erweiterte die Küstenwache dessen Anforderungen: Seit Juli 2025 müssen Cybersicherheitsvorfälle verpflichtend gemeldet werden, und bis Januar dieses Jahres mussten alle IT- und OT-Beschäftigten zu ihren Aufgaben und Verantwortlichkeiten nach dem Gesetz geschult sein. Laut einer Analyse von Alvey spiegelt die Regelung wider, wie der MTSA nach dem 11. September die physische Hafensicherheit umgestaltet hat.
Die nächste Frist fällt in den Juli: Bis dahin müssen alle US-geflaggten Schiffe und Anlagen auf dem äußeren Festlandsockel (Outer Continental Shelf, etwa Bohrinseln) eine Cybersicherheitsbewertung abgeschlossen und einen Plan erstellt haben, der die Trennung zwischen IT- und OT-Netzen durchsetzt.
Eine der wichtigsten Neuerungen ist die Pflicht, einen Cybersecurity Officer (CySO) zu benennen, der für die Sicherheit sowohl der IT- als auch der OT-Infrastruktur verantwortlich ist. Die Rolle unterscheidet sich von der eines klassischen CISO, betont Alvey: Während sich der CISO um die alltägliche technische IT kümmere, sei der CySO eher ein Regulierungsbeauftragter, der die Einhaltung der Vorschriften und die Meldung von Vorfällen sicherstelle.
Trey Ford, Chief Strategy and Trust Officer beim Crowdsourcing-Sicherheitsunternehmen Bugcrowd, erwartet, dass ähnliche Anforderungen auf weitere Branchen ausgeweitet werden. Große Industriezulieferer sollten dies als Vorboten dessen behandeln, was auf jeden regulierten Sektor zukomme, und schon vor Ablauf der Fristen Verantwortlichkeit in ihre Programme einbauen. Auch die ICS/SCADA-Welt solle aufmerksam sein, da die Regulierungsbehörden sich bald in ihre Richtung wenden dürften.
Die letzte Stufe, die bis zum 16. Juli 2027 abgeschlossen sein muss, gilt als die schwierigste: die Netzwerksegmentierung. Damit haben selbst landgestützte Unternehmen Schwierigkeiten. In einer Umfrage von Cisco aus dem Jahr 2025 berichteten 94 Prozent der Organisationen von Problemen mit der Segmentierung – wegen der Komplexität ihrer Umgebungen, mangelnder Sichtbarkeit und der Schwierigkeit, legitime Datenflüsse zu erkennen.
Eine einfache Lösung gebe es nicht, erklärte Amer Akhter, Senior Director of Product Management bei Cisco, in seiner Auswertung der Ergebnisse. Es gebe weder ein Produkt von der Stange noch einen einzelnen Ansatz, der sich als Best Practice für jeden Anwendungsfall eigne; Organisationen müssten auf mehrere Segmentierungsmethoden zurückgreifen, weshalb zu viele Projekte scheiterten. Alvey hält den vorgesehenen Zeitraum von rund anderthalb Jahren angesichts der vielen Vorarbeiten – etwa Bestandsaufnahme der Anlagen und Architekturplanung – für knapp und rechnet mit Widerstand der betroffenen Unternehmen.
„Nur weil man die Vorgaben einhält, heißt das nicht, dass man sicher ist", sagt Alvey. Genau hier könnten die Anforderungen helfen, so Ford: Sie richteten den Blick darauf, was im Schadensfall geschieht. Segmentierung verlangsame die seitliche Bewegung von Angreifern, regelmäßige Bewertungen deckten Lücken in Abwehr und Sichtbarkeit auf. Der MTSA treffe einen grundlegenden Punkt, den viele Unternehmensprogramme noch ablehnten: die Annahme des Versagens. Es gehe nicht darum, ob ein System kompromittiert werden könne, sondern ob man es bemerke, bevor ein Angreifer handle.
