• ANAB ACCREDITED ISO/IEC 17021
  • CERTIFIED ISO27001

NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1 の 改正発行について

トップページ / KAIRIKI Circular / NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1 の 改正発行について
2025.12.23 
Please scroll down for English translation.

NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1の改正発行について

USCGより、2025年11月12日にNAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1(NVIC 02-24, CH 1)が改正発行されました。

このガイダンスは、海上輸送保安法(MTSA)の規制対象事業体および海洋輸送システム(MTS)関係者に対し、増大するサイバー脅威を含むセキュリティリスクへの対応を強化し、報告要件への遵守を目的としています。

【主な目的と背景】

  • 目的:
    セキュリティ侵害(BOS)、不審な活動(SA)、輸送セキュリティ事案(TSI)、サイバーインシデント、および報告対象のサイバーインシデント(RCI)の報告要件を遵守するためのガイダンスを提供すること。
  • 背景:
    2024年2月21日の大統領令により、33 CFR Part 6が改正され、「サイバーインシデント」の定義が追加され、実際のまたは脅威となるサイバーインシデントの即時報告が義務付けられました。

    その後、2025年7月16日には、USCGが海上セキュリティ規則を更新し、「報告対象のサイバーインシデント(RCI)」の定義を追加し、33 CFR Part 6の対象外の事業体(OCS施設など)に国家対応センター(NRC)への報告を義務付けられました。

【報告が必要なセキュリティ・サイバー事案と報告先】

  1. サイバーインシデント
    • 対象:MTSA規制対象事業体およびMTS関係者(船舶、港湾、ウォーターフロント施設など)
    • 報告内容:妨害行為、破壊的活動、またはデジタルインフラを含む施設を危うくする実際のまたは脅威となるサイバーインシデントの証拠
    • 報告先:NRCへの遅滞ない通知が強く推奨されています。これによりUSCGの港湾管理責任者(COTP)への通知要件が満たされます。
      さらに、NRCへの通知はFBIのCyWatchに直ちに転送され、FBIへの報告要件も満たされることとなります。
      また、サイバーインシデントの場合、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)にも別途報告を行う必要があります。
  2. 対象のサイバーインシデント(RCI)
    • 対象:33 CFR Part 6の対象ではない規制対象事業体(例:大陸棚(OCS)施設)
    • 報告内容:すべてのRCI
    • 報告先:NRCへ遅滞なく報告が必要です。
  3. セキュリティ侵害(BOS)と不審な活動(SA)
    • 対象:MTSA規制対象事業体
    • 報告内容:BOS(セキュリティ対策が回避または違反された事案で、TSIに至っていないもの)またはSA(TSIにつながる可能性のある活動)があった場合
    • 報告先:NRCへ遅滞なく報告することが義務付けられています。
      地元の港湾管理責任者(COTP)に直接報告することも可能ですが、NRCへの通知義務は免除されません。
  4. 輸送セキュリティ事案(TSI)
    • 対象:MTSA規制対象事業体
    • 報告内容:重大な人命の損失、環境被害、輸送システムの混乱、または特定の地域での経済的混乱をもたらすセキュリティ事案が発生した場合
    • 報告先: COTPへ遅滞なく報告し、その後、セキュリティ計画に定められた手順に従って対応を開始します(これにはNRCへの連絡が含まれる場合があります)。

【サイバー事案報告の具体例】

サイバーインシデントおよびRCIとして報告が求められるのは、以下のいずれかにつながる、または合理的にその可能性がある事案です:

  • 情報システム、ネットワーク、またはOT(オペレーショナル・テクノロジー)システムの機密性、完全性、可用性の実質的損失
  • 事業運営や物品・サービスの提供能力における混乱または重大な悪影響(公衆衛生や安全に重大な影響を与える可能性のあるものを含む)
  • 多数の個人の非公開の個人情報の開示または不正アクセス
  • 重要インフラシステムまたは資産へのその他の潜在的な運用の混乱

(通常の迷惑メールやフィッシングの試み、標準的なアンチウイルスプログラムで対処されるような悪意のある低レベルと見なされる事象は、サイバーインシデントとは見なされません。)

【問い合わせ先】

質問等があれば、USCGの港湾・施設コンプライアンス室(CG-FAC)MTSCyberRule@uscg.milに直接問い合わせが可能です。

【昨年発行されたNVIC 02-24からの変更点】

  1. 報告対象サイバーインシデント(RCI)の組み込み
    • RCIの報告要件に関するガイダンスが追加されました。
    • RCIは、OCS施設など、サイバーインシデント報告の対象外の事業体に適用されます。
  2. サイバーインシデント報告手続きの簡素化と整合性
    • 海上輸送システム(MTS)関係者に適用される「サイバーインシデント」の定義と、MTSA規制対象事業者に適用される「報告対象のサイバーインシデント(RCI)」の定義との間の重複に対処し、報告基準の整合性が図られました。
    • OCS施設がサイバーインシデント報告の対象外であること、およびRCIの報告義務が33 CFR Part 6の対象外の事業体にのみ適用されることが明確化されました。
  3. FBIへの報告の簡素化

    NRCに通知することで、FBI CyWatch への報告要件も満たされることが明確化されました。これにより、報告プロセスが合理化されました。

  4. 規制変更への対応
    • 2024年2月21日の大統領令14116号(米国船舶、港湾、港、および沿岸施設等の保全に関する規則の改正)、および2025年7月16日の沿岸警備隊による海上保安規制の更新(33 CFR Part 101、104、105、106へのサイバーセキュリティ要件の追加)に対応したガイダンスが提供されました。
    • 大統領令14116号により、33 CFR Part 6が改正され、「サイバーインシデント」の定義が追加され、サイバーインシデントの証拠をFBI、CISA、およびCOTPに直ちに報告する要件が追加されました。

原文はこちら

United States Coast Guard (USCG)
NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1(NVIC 02-24, CH 1)

本件に関するお問い合わせがございましたら、弊社までお気軽にご相談ください。

PDFのダウンロードはこちら

Dear Valued Customers & Business Partners,

USCG Navigation and Vessel Inspection Circular No. 02-24, Change 1 Issued

The U.S. Coast Guard (USCG) issued the NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1(NVIC 02-24, CH 1) on November 12, 2025.

This guidance aims to enhance the response to security risks, including the growing threat of cyber incidents, and ensure compliance with reporting requirements for entities regulated under the Maritime Transportation Security Act (MTSA) and Maritime Transportation System (MTS) stakeholders.

【Key Purpose and Background】

  • Purpose:
    To provide guidance for complying with the reporting requirements for Breaches of Security (BOS), Suspicious Activity (SA), Transportation Security Incidents (TSI), Cyber Incidents, and Reportable Cyber Incidents (RCI).
  • Background:
    An Executive Order on February 21, 2024, amended 33 CFR Part 6, adding a definition for "cyber incident" and mandating the immediate reporting of evidence of actual or threatened cyber incidents.

    On July 16, 2025, the USCG updated its maritime security regulations, adding a definition for "Reportable Cyber Incident (RCI)" and requiring entities not subject to 33 CFR Part 6 (such as Outer Continental Shelf (OCS) facilities) to report to the National Response Center (NRC).

【Security and Cyber Incidents Requiring Reporting and Where to Report】

  1. Cyber Incidents
    • Subject Entity: MTSA-regulated entities and MTS stakeholders (vessels, ports, waterfront facilities, etc.)
    • Report Content: Evidence of sabotage, subversive activity, or an actual or threatened cyber incident endangering a facility, including its digital infrastructure
    • Report To: NRC (strongly recommended for prompt notification, fulfilling COTP requirement). CISA (separate report required).
      Notification to NRC is immediately forwarded to FBI CyWatch, fulfilling the FBI reporting requirement.
  2. Reportable Cyber Incidents (RCI)
    • Subject Entity: Regulated entities not subject to 33 CFR Part 6 (e.g., OCS facilities)
    • Report Content: All RCIs
    • Report To: NRC without delay.
  3. Breach of Security (BOS) and Suspicious Activity (SA)
    • Subject Entity: MTSA-regulated entities
    • Report Content: In the event of a BOS (security countermeasures circumvented or violated, but not reaching TSI) or SA (activity potentially leading to TSI)
    • Report To: NRC without delay (mandatory).
      Direct reporting to local COTP is possible but does not waive the NRC notification requirement.
  4. Transportation Security Incidents (TSI)
    • Subject Entity: MTSA-regulated entities
    • Report Content: A security incident resulting in a significant loss of life, environmental damage, transportation system disruption, or economic disruption in a particular area.
    • Report To: Local COTP without delay, then immediately follow procedures in the security plan (which may include contacting the NRC).

【Specific Examples of Reportable Cyber Incidents】

A Cyber Incident or RCI is required to be reported if it leads to, or could reasonably lead to, any of the following:

  • Substantial loss of confidentiality, integrity, or availability of a covered information system, network, or Operational Technology (OT) system.
  • Disruption or significant adverse impact on the entity's ability to engage in business operations or deliver goods or services, including those that may significantly affect public health or safety.
  • Disclosure or unauthorized access (directly or indirectly) of nonpublic personal information of a significant number of individuals.
  • Other potential operational disruption to critical infrastructure systems or assets.

(Low-level malicious events such as routine spam, phishing attempts, or events normally addressed by standard anti-virus programs are not considered Cyber Incidents.)

【Changes from Previous NVIC 02-24】

  1. Incorporation of Reportable Cyber Incident (RCI) Requirements:
    • Guidance regarding RCI reporting requirements has been added.
    • RCIs apply to entities not subject to cyber incident reporting, such as OCS facilities.
  2. Streamlined and Aligned Cyber Incident Reporting Procedures:
    • Addressing duplication between the definition of “cyber incident” applicable to Maritime Transportation System (MTS) personnel and the definition of “Reportable Cyber Incident (RCI)” applicable to MTSA-regulated entities, ensuring consistency in reporting standards.
    • It has been clarified that OCS facilities are exempt from cyber incident reporting, and that the RCI reporting obligation applies only to entities not covered by 33 CFR Part 6.
  3. Clarification on FBI Reporting:

    Clarified that notifying the NRC fulfills the requirement to report to the FBI CyWatch, thereby streamlining the reporting process.

  4. Response to Regulatory Changes:
    • Guidance was provided addressing Executive Order 14116 of February 21, 2024 (Amendments to Regulations Concerning the Security of U.S. Ships, Ports, Harbors, and Coastal Facilities, etc.), and the Coast Guard's July 16, 2025, update to maritime security regulations (33 CFR Parts 101, 104, 105, 106) were provided.
    • Executive Order 14116 amended 33 CFR Part 6, adding a definition of “cyber incident” and requiring immediate reporting of evidence of cyber incidents to the FBI, CISA, and the COTP.

【Contact Information】

For questions regarding this policy, you may contact the USCG Office of Port and Facility Compliance (CG-FAC) directly at MTSCyberRule@uscg.mil.

The original document can be found here:

United States Coast Guard (USCG)
NAVIGATION AND VESSEL INSPECTION CIRCULAR NO. 02-24, Change 1(NVIC 02-24, CH 1)

Should you have any inquiries regarding this matter, please feel free to contact us.

Download PDF