Krav til innrapportering av digitale hendelser

Dette rundskrivet gir veiledning om rapportering av hendelser og angrep på digital infrastruktur og kapasiteter som truer sjøsikkerheten. Veiledningen gjelder i tilknytning til forskrift 27. juni 2008 nr. 744 om melde- og rapporteringsplikt ved sjøulykker og andre hendelser til sjøs (melde- og rapporteringsforskriften).

Samfunnet treffes av et økende antall digitale hendelser, som dermed øker sannsynligheten for direkte angrep på digital infrastruktur på skip. Digitale hendelser vil kunne påvirke sikkerheten til sjøs. Indirekte digitale hendelser vil óg kunne ramme digitale systemer som skip kan være avhengige av for å opprettholde sikker drift.

Med hendelser knyttet til eller angrep på digital infrastruktur menes i denne sammenheng tilsiktede eller utilsiktede angrep med skadevare som rammer digital infrastruktur som informasjonssystemer (IT) eller operasjonelle systemer (OT) om bord i skip, og som negativt påvirker eller med fare for negativt kan påvirke driften eller sikkerheten til skip, ombordværende personer eller lasten.

Krav om rapportering av hendelser eller angrep på digital infrastruktur

Norske skip, flyttbare innretninger og fiskefartøy har krav om å rapportere digitale hendelser og angrep på digital infrastruktur.

Det skal videre rapporteres om hendelser som ikke nødvendigvis direkte angriper eller truer skipets fysiske integritet, men hvor intensjonen vil være å forvolde tap gjennom å trenge inn i skipets digitale infrastruktur.

Hjemmelsgrunnlag

Med hjemmel i skipssikkerhetsloven § 47 fjerde ledd har Nærings- og fiskeridepartementet fastsatt melde- og rapporteringsforskriften. Skipssikkerhetsloven § 47 tredje ledd pålegger rederiet å rapportere om «andre forhold» som det er av betydning for Sjøfartsdirektoratet å kjenne til.

Med økende trussel og hendelser knyttet til digitale angrep, samt innføringen av digital sikkerhet som del av sikkerhetsstyringen for skip og rederi, har Sjøfartsdirektoratet behov for å kunne føre oversikt over digitale hendelser for å kunne utrette nødvendige tiltak. Sabotasje og piratvirksomhet er spesifikt nevnt som rapporteringspliktig. Digitale angrep kan i stor grad sammenlignes med eller anses som en form for sabotasje eller piratvirksomhet, men opptrer i det digitale og ikke i det fysiske rom.

Sjøfartsdirektoratet legger derfor til grunn at rapporteringsplikten i skipssikkerhetsloven § 47 tredje ledd også omfatter digitale hendelser og ber om at digitale hendelser rapporteres til oss.

Rapportskjema

Skjema for rapportering av digitale hendelser finnes på Sjøfartsdirektoratets hjemmeside under fanen «Meld inn ulykke og hendelse».

Krav til innrapportering av digitale hendelser

Krav om rapportering av hendelser eller angrep på digital infrastruktur

Hjemmelsgrunnlag

Rapportskjema

Regelverk