La Asociación Internacional de Sociedades de Clasificación (IACS) ha publicado dos nuevos requisitos unificados (Unified Requirements, UR) sobre resiliencia cibernética, que serán obligatorios para todos los buques cuyo contrato de construcción se firme el 1 de enero de 2024 o posteriormente. Los nuevos requisitos unificados (UR) de IACS, denominados E26 y E27, se han elaborado sobre la base del trabajo realizado por el Grupo de Trabajo Conjunto sobre Sistemas Cibernéticos formado por diversos actores del sector, y utilizando la experiencia adquirida de otras Recomendaciones de IACS, de la OMI, en particular, la Resolución de la OMI MSC.428 (98) aplicable a los buques en servicio desde el 1 de enero de 2021 y otras normas internacionales reconocidas para la ciberseguridad de los sistemas de control y automatización industrial, como la IEC 62443.
El UR E26 tiene como objetivo garantizar la integración segura de los equipos de tecnología operativa (OT) y de tecnología de la información (IT) en la red del buque durante las fases de proyecto, construcción y puesta en servicio y durante la vida útil del buque. Este UR asimila al buque como un conjunto de sistemas en lo relativo a la resiliencia cibernética y cubre cinco aspectos clave: identificación de equipos, protección, detección de ataques, respuesta y recuperación.
El UR E27 tiene como objetivo garantizar que los proveedores de equipos externos aseguren y refuercen la integridad del sistema. Este UR establece requisitos para la resiliencia cibernética de los diferentes sistemas y equipos a bordo y proporciona requisitos adicionales relacionados con la interfaz entre los usuarios y los sistemas informáticos a bordo, así como los requisitos de proyecto y desarrollo de productos para nuevos dispositivos antes de su implementación a bordo del buque.
Ciberseguridad en los sistemas de control
Hasta que los nuevos UR entren en vigor, IACS anima a los proveedores de productos, astilleros y armadores a aplicar la ciberseguridad en los sistemas de control, en el proyecto del buque y en los sistemas de gestión pertinentes a bordo. Recomiendan, además, prestar especial atención a los proveedores de productos de los sistemas incluidos en el ámbito de las UR, ya que estos sistemas pueden necesitar un mayor desarrollo y cambios de diseño para cumplir con las UR.
El secretario general de la IACS, Robert Ashdown ha declarado: “Estos dos UR sobre seguridad cibernética proporcionan requisitos mínimos basados en objetivos para la resiliencia cibernética de los barcos nuevos y para la seguridad cibernética de los sistemas y equipos a bordo. En un mundo marítimo cada vez más conectado y digitalizado, estos UR representan un hito importante en el trabajo de IACS para ofrecer un transporte marítimo más seguro frente a los desarrollos tecnológicos en constante evolución”.
