Wat is de 'Cyber Security Class Note' van DNV?

Je staat op het dek van een DP2 offshore constructieschip, de wind waait hard en je hebt een lading van 800 ton aan subsea equipment aan boord. Alles is geregeld, tot je hoort dat een haven in Noorwegen je schip weigert tenzij je een specifiek document kunt tonen: de Cyber Security Class Note. Paniek?

Nee, niet als je weet wat het is en waarom DNV dit nu eist.

Dit is niet zomaar een stukje papier; het is het bewijs dat je digitale systemen net zo veilig zijn als je fysieke kranen en ankers. Veel kapiteins en operators in de heavy-lift en offshore wereld schrikken van de nieuwe regels. Je bent druk met liftplanning, ballast management en de weersvoorspellingen.

En nu moet je ook nog cyberveiligheid regelen? Het voelt als een extra last, maar het is vooral een manier om je boot en je lading te beschermen tegen digitale aanvallen die je stil kunnen leggen. In dit stuk leg ik je uit wat die Cyber Security Class Note precies is, hoe je hem krijgt en wat het je kost.

Wat is die Class Note eigenlijk?

De Cyber Security Class Note van DNV is een certificering dat aantoont dat een schip voldoet aan de cyberveiligheidsnormen van de klassenmaatschappij. Het is geen vrijblijvend document; het is een vereiste voor nieuwe schepen en bestaande schepen die bepaalde systemen updaten.

De basis is de DNV-CG-0142 norm, die specifiek gaat over de beveiliging van operationele technologie (OT) aan boord.

Denk aan je automatische identificatiesysteem (AIS), je GPS-navigatie, de motorbesturing (PLC's) en je communicatiesystemen. Het doel is simpel: voorkom dat hackers je systemen overnemen. In de offshore wereld kan een digitale aanval leiden tot verlies van positie (cruciaal bij DP2 schepen), stilvallende kranen of zelfs milieuschade als ballastsystemen worden gemanipuleerd.

De Class Note laat zien dat je risico's hebt geïdentificeerd en maatregelen hebt genomen. Het is het digitale equivalent van een geldig veiligheidskeurmerk voor je laadkranen.

Waarom dit nu zo belangrijk is voor heavy-lift en offshore

Stel je voor: je bent onderweg met een kritieke lading, een transformator van 400 ton voor een nieuw windpark. Opeens valt je navigatiesysteem uit of erger, je kraan reageert niet meer. De oorzaak?

Een simpele USB-stick met malware of een zwakke wifi-verbinding. In de offshore sector zijn de gevolgen enorm. Vertragingen kosten al snel €50.000 per dag, en schade aan je lading of het milieu loopt in de miljoenen.

Verzekeraars eisen nu dat je aan kunt tonen dat je digitale hygiëne op orde is.

De regelgeving komt niet zomaar uit de lucht vallen. Na incidenten zoals de aanval op de Maersk-container schepen in 2017, waarbij complete vloten plat kwamen te liggen, hebben klassenmaatschappijen zoals DNV, ABS en Lloyd's Register hun protocollen aangescherpt. Voor heavy-lift schepen is het extra kritiek omdat hun systemen vaak complex en onderling verbonden zijn.

Je hebt te maken met dynamische positionering, zware hijswerkzaamheden en complexe ladingbeveiliging. Een digitale verstoring kan hier fatale gevolgen hebben.

De kern: Wat er precies wordt gecontroleerd

DNV kijkt naar de 'cyber resilience' van je schip. Dat betekent dat ze niet alleen kijken of je een antivirusprogramma hebt, maar naar het hele systeem.

Ze splitsen het op in drie niveaus: Niveau 1: Awareness, Niveau 2: Verification en Niveau 3: Assurance. Voor de Class Note moet je vaak minimaal niveau 2 halen. Dit houdt in dat je een cyber risk assessment hebt uitgevoerd en dat je maatregelen technisch hebt getest.

Een specifieke controle is de 'air gap' (luchtspouw) tussen bedrijfsnetwerken (IT) en operationele netwerken (OT).

Veel schepen denken dit te hebben, maar in de praktijk blijkt vaak dat er via USB-sticks, printers of 4G-routers toch verbindingen zijn. DNV controleert of je netwerkarchitectuur echt gescheiden is. Ze kijken ook naar je 'Access Control'.

Hoe kom je aan boord? Wie mag in de machinekamer en hoe train je de bemanning voor noodsituaties?

En wie mag inloggen op de besturing van de kraan? Je moet aantonen dat je sterke wachtwoorden gebruikt, tweefactorauthenticatie (2FA) activeert en dat je fysieke toegang tot servers beperkt.

Een ander essentieel onderdeel is het incident response plan. Wat doe je op het moment dat je een cyberincident vermoedt? DNV verwacht een duidelijk stappenplan. Hoe schakel je systemen uit?

Hoe bewaar je bewijs? En hoe blijf je communiceren met de wal?

Je moet dit plan getest hebben, bijvoorbeeld via een tabletop exercise met je officieren. De Class Note wordt alleen afgegeven als je deze testen met succes hebt doorlopen.

De kosten: Wat kost zo'n Class Note?

De investering hangt af van de grootte van je schip, de complexiteit van je systemen en je huidige status. Een nieuw te bouwen heavy-lift schip kan rekenen op een meerprijs van €30.000 tot €50.000 voor het volledige cyber security package inclusief certificering, wat essentieel is voor de beveiliging van heavy-lift schepen in risicogebieden.

Dit zit 'm in de engineering van het netwerk, het aanschaffen van extra firewalls (zoals die van Fortinet of Palo Alto) en het schrijven van de benodigde documentatie.

Voor bestaande schepen (retrofit) liggen de kosten vaak lager, maar de uitdaging is groter. Je moet bestaande systemen aanpassen zonder je operaties stil te leggen. Reken op een eenmalige investering van €10.000 tot €25.000 voor een grondige audit en het implementeren van basismaatregelen.

Daarnaast zijn er jaarlijkse kosten voor inspectie en monitoring. De DNV-audit zelf kost ongeveer €3.000 tot €6.000, afhankelijk van het aantal dagen dat een surveyor aan boord is.

Denk aan €1.200 per dag exclusief reiskosten. Er zijn verschillende modellen. Je kunt kiezen voor een 'one-off' inspectie, maar steeds meer rederijen kiezen voor een 'Cyber Security Continuous Assurance' abonnement. Dit kost ongeveer €500 tot €1.000 per maand en geeft je toegang tot software updates en tussentijdse checks. Dit is vooral interessant voor vloten met 5+ schepen in de heavy-lift sector, waar de druk op compliance constant is.

Praktische tips om je voor te bereiden

Het voelt als een berg, maar je kunt hem beklimmen. Begin klein. De meeste problemen bij offshore schepen ontstaan door 'vergeten' systemen, terwijl de bescherming van mariene ecosystemen tijdens offshore bouw ook een cruciaal onderdeel is van je operationele verantwoordelijkheid.

Loop je schepen na op oude Windows XP-pc's die nog ergens in een kast draaien voor specifieke software. Vervang deze of isoleer ze volledig van het netwerk. Dit is vaak de grootste winst die je kunt behalen zonder direct een volledige nieuwe IT- infrastructuur te bouwen.

1. Maak een netwerkdossier: Teken uit hoe alle kabels en systemen zijn aangesloten. Weet welke computer verbinding heeft met de boegschroef en welke met de kranen. Zonder kaart ben je verloren.
2. Leid je crew op: Techniek is één, gedrag is twee. Zorg dat je crew weet wat een phishing-mail is en waarom ze nooit een USB-stick van een onbekende in de computer moeten stoppen. Dit kost je niets, maar levert enorm veel op.
3. Test je backups: In de offshore sector draait alles om redundantie. Zorg dat je offline backups hebt van je navigatiekaarten en kranensoftware. Test maandelijks of je deze kunt herstellen.
4. Neem een expert mee: Schakel een gespecialiseerd bedrijf in dat bekend is met de DNV-normen voor de offshore sector. Zij snappen de taal van de kapitein en die van de IT-er.

De Cyber Security Class Note is geen straf, maar een verzekering. Het beschermt je schip, je lading en je mensen.

In een wereld waar digitale bedreigingen net zo reëel zijn als een storm op zee, is dit de reddingsboot die je aan boord wilt hebben. Zorg dat je klaar bent.