Cyberbeveiliging op passagiersschepen: training voor bemanningsleden die nooit achter een bureau zitten

De meeste cyberbeveiligingstrainingen gaan uit van een vrij standaard werkomgeving: een computer, een vaste werkplek, een vast rooster. Voor de bemanning van een passagiersschip geldt dat allemaal niet. Ze werken in wisselende ploegen, brengen weken op zee door, delen apparaten en hebben zelden toegang tot een stabiele kantooromgeving. Ondertussen wordt het dreigingsbeeld voor de cyberbeveiliging van passagiersschepen met het jaar ernstiger. In de eerste helft van 2024 registreerde beveiligingsbedrijf Marlink meer dan 23.400 malware-detecties op 1.800 gemonitorde schepen. Tegen 2025 was het aantal cyberincidenten in de maritieme sector met 103% gestegen ten opzichte van het jaar ervoor. Bijna de helft van die incidenten begon met phishing. Hetzelfde geldt voor de cyberbeveiliging van vrachtschepen: het type schip verandert, maar het menselijke toegangspunt blijft hetzelfde.

STCW heeft betrekking op het dek. Niet op de inbox.

Voor zeevarenden op schepen die voldoen aan de ISPS-code is een STCW-certificaat voor veiligheidsbewustzijn wettelijk verplicht. De opleiding behandelt de te verwachten onderwerpen: het herkennen van fysieke bedreigingen aan boord, het controleren van de toegang tot beperkte zones, inzicht in veiligheidsniveaus en het weten hoe verdachte activiteiten moeten worden gemeld. Het vormt een solide basis en voldoet volledig aan de eisen op het gebied van fysieke veiligheid.

Digitale bedreigingen zijn een heel ander verhaal. De bemanningslid die correct reageert op een onbevoegde persoon bij de loopplank, denkt er misschien niet twee keer over na voordat hij op een link klikt in een bericht dat afkomstig lijkt te zijn van het beheersysteem van de rederij. Bewustzijn op het gebied van fysieke veiligheid en bewustzijn op het gebied van digitale veiligheid zijn twee verschillende vaardigheden. STCW gaat niet in op phishing, social engineering of diefstal van inloggegevens. Die leemte is reëel en wordt steeds vaker misbruikt.

NIS2 maakt digitaal bewustzijn ook tot een wettelijke verplichting

Europese maritieme exploitanten staan nu onder druk vanuit twee kanten. De eerste is de dreiging zelf. De tweede is de regelgeving. Op grond van de NIS2-richtlijn worden maritieme transportbedrijven aangemerkt als exploitanten van essentiële diensten. Dit brengt een gedocumenteerde zorgplicht, meldingsplichten bij incidenten en een expliciete verplichting met zich mee om te investeren in het veiligheidsbewustzijn van medewerkers. Hoe dat er in de praktijk uitziet, wordt behandeld in de NIS2-gids van Guardey voor 2026, waarin de vereisten voor bewustwordingstrainingen worden beschreven waaraan organisaties binnen het toepassingsgebied moeten voldoen.

Training die je kunt volgen zonder bureau of vast rooster

Hier komt de praktische uitdaging om de hoek kijken. De jaarlijkse e-learningmodules zijn ontworpen voor kantoormedewerkers. Uit onderzoek blijkt dat tot wel 90% van de kennis uit jaarlijkse trainingen binnen enkele weken weer verdwijnt, maar voor een bemanningslid dat terugkeert na vier weken op zee kan de tijd tussen trainingssessies veel langer zijn. Traditionele opzetvormen sluiten simpelweg niet aan bij het ritme van het maritieme werk.

De meest effectieve methode is kort en frequent: wekelijkse sessies van twee tot drie minuten, beschikbaar op elk apparaat en te volgen wanneer het schema het toelaat. De bewustwordingstraining van Guardey is precies op die aanpak gebaseerd, met mobielgerichte microtrainingen die gebruikmaken van gamificatie om de betrokkenheid op de lange termijn hoog te houden. Voor medewerkers die zelden achter een bureau zitten, is dit geen onbelangrijk voordeel. Het is het verschil tussen een trainingsprogramma dat mensen daadwerkelijk bereikt en een programma dat alleen op papier bestaat.

Exploitanten van passagiersschepen die al aan de STCW-normen voldoen, beschikken al over de fysieke beveiligingslaag. NIS2 vereist nu ook de digitale laag. Het goede nieuws is dat het formaat dat het meest geschikt is om aan die verplichting te voldoen, toevallig ook het beste aansluit bij de omstandigheden in de maritieme sector: kort, mobiel en continu.