Gränserna suddas ut

Kommande år införs en tsunamivåg av nya lagar inom både tech och sjöfart. EU:s NIS2, Data Act och AI Act införs samtidigt som ny grön lagstiftning som EU ETS och FuelEU Maritime. Många av lagarna går in i varandra.

Andréa Jällbrink är sjörättsjurist på Setterwalls advokatbyrå i Göteborg och arbetar med avtal, policies och att hantera regelverk som träffar sjöfarten. Klienterna är rederier, leverantörer och andra sjöfartsbolag.

Läs också: Cybersäkerhet kommer in i kontrakten

Silos fungerar inte längre

På samma byrå arbetar kollegan Emily Svedberg-Possfelt med cybersäkerhet, AI och datahantering. De två advokaterna noterade hur deras områden tydligt började gå in i varandra. De nämner ett uppdrag kring ett företags nya speditionstjänster. Först utreddes det ur ett sjörättsperspektiv, sedan formulerade tech-avdelningen avtal för IT-tjänster och annat, och så tillbaka för bedömning av sjöfartsfrågor för att se till att den nya tjänsten fungerade ihop med gröna regelverk om exempelvis utsläppsrätter.

–Vi insåg att vi inte kan fortsätta jobba i silos, vi måste jobba ihop. Jag behöver förstå tech-avdelningens frågor och de måste förstå hur sjöfarten fungerar och varför det inte är självklart vad en redare är, säger Andréa Jällbrink. 

Kunder vill ha hjälp att börja

Den nya kombinationen av områden, som de kallar för ShipTech, har mött stort intresse från branschen.

–Många klienter vet inte hur de ska börja nysta i detta och ber oss formulera vad de behöver hjälp med. Vi får också mycket frågor om ledningsansvar, säger Emily Svedberg-Possfelt.

Enligt henne har många bolag i branschen en stor utmaning i hur deras data idag är strukturerad och om de har rådighet över den. Det här bli ett problem när nya regelverk kräver rapportering av viss data. 

–Om de inte vet varifrån de får sin data, och om den är korrekt, så kan de inte uppfylla de gröna regelverken. 

Bättre läge än när GDPR kom

Men även om många klienter nu börjar förstå utmaningarna, så är de ändå i många fall i en bättre ställning än när GDPR infördes 2018. Det märks att de har lärt sig och minns hur jobbigt det var att vakna för sent. Den här gången vill de vara mer förberedda. 

En annan skillnad jämfört med då, menar -Emily- Svedberg-Possfelt, är att många större företag nu har compliance-avdelningar med resurser som kan hjälpa till så att verksamheten följer gällande regelverk.

Sjörätt har historiskt varit ett traditionellt område. Många av dagens lagar har flera hundra år på nacken och principerna för hur man hanterar ett gemensamt haveri eller en bärgningssituation är ännu äldre.

– Utbildade du dig för tio år sedan var det i princip samma regelverk och frågor som för hundra år sedan, men så är det inte längre. På försäkringssidan har vi haft samma försäkringar i jättemånga år och nu lägger man till cyber. Det här är en tydlig indikation på att något stort håller på att hända, säger Andréa Jällbrink.

Cybersäkerhet del av sjövärdigheten

Begreppet sjövärdighet har traditionellt handlat om själva fartyget: att skrovet är tätt och att man lastat rätt. Man ska också uppfylla SOLAS-konventionen.

– Idag är cybersäkerhet en del av ISM-koden och därmed en del av begreppet sjövärdighet. Vi har ännu inte sett incidenter med legal bäring på detta men det är bara en tidsfråga. När man lägger strategier och bedömer ansvaret i de här frågorna är det därför avgörande att beakta såväl sjörättslig reglering som regelverken kring data, cyber och AI, säger Andréa Jällbrink. 

Om ett fartyg slås ut i en cyberattack kan det snabbt bli kritiskt och få extremt stora konsekvenser i form av miljökatastrofer, brand, förlisning och dödsfall.

”Lagarna är pappersmonster”

Företag kan ha bra skydd mot cyberintrång och satsa stort på gröna fartyg, men ändå inte uppfylla lag-kraven på vare sig tech- eller hållbarhetssidan, påpekar Emily Svedberg-Possfelt. Det räcker inte att göra rätt, du måste kunna visa det. Annars har du inte följt lagen.

– NIS2, AI Act och Data Act är dokumentations-lagar. De här lagarna är pappersmonster där det snabbt blir möjligt för en tillsynsmyndighet att se om verksamheten inte följt lagen eftersom det då hade funnits pappersspår.

Hon har även mött klienter som lagt mycket arbete på att ta fram processer för att kunna rapportera cyber-attacker inom 72 timmar. I annan lagstiftning har man så lång tid på sig att anmäla till tillsynsmyndighet när något hänt. Men för vissa typer av incidenter ska anmälan göras inom 24 timmar, enligt cybersäkerhetslagen som förväntas träda i kraft i Sverige i sommar. 

– Om en grupp eller organisation hittar en sårbarhet i ett IT-system och tar över, så kan det väldigt fort bli väldigt stor skada. När du anmäler att ”vi är under attack på grund av den här sårbarheten” så kan andra i branschen bli varnade och snabbt mobilisera sina IT-avdelningar, säger Emily Svedberg-Possfelt och tillägger att det förstås blev en trist överraskning för klienten som behövde göra om sina processer igen.

– Företag tycks ibland glömma att kraven kommer från en lag. Vissa lagar är logiska men andra är inte lika självklara. Och likväl är det företagets ansvar att ha koll.

Nya affärsmodeller på ingång

Automotive- och finanssektorn har tidigare gått igenom liknande omställningar. Nya regelverk brukar med tiden föda nya affärsmodeller. 

– Vi är fortfarande i uppfyllandefasen men vi börjar se en del kommersiella aspekter med nya affärsmodeller och avtalsstrukturer. Bolag som ligger långt fram upplever en stor konkurrensfördel jämfört med dem som inte börjat springa på bollen än, säger Andréa Jällbrink.

Emily Svedberg-Possfelt förvånas över att det inte varit större fokus på data i sjöfartsbranschen. Detta håller på att förändras. 

– Nu ser hela branschen att data är guld. Jag tror att man i framtiden kommer att vara mycket mer medveten om data – både vad gäller värdet och att ha rätt avtal på plats. Att jobba med data på ett mer strukturerat sätt är ett måste, både för att förbättra verksamheten rent operationellt men också för att möta regelkrav, säger hon. 

Nya tjänster behöver formuleras

Uppkopplade system gör att leverantörer idag kan tillhandahålla helt andra tjänster. Istället för att installera en enskild skrubber kan en leverantör tillhandahålla tjänsten ”rening av utsläpp” där utrustningen kontinuerligt övervakas och justeras från land. Här hjälper Setterwalls till att formulera tjänsten legalt.

Andréa Jällbrinks råd till klienter med uppkopplade system är att tänka igenom riskerna, formulera avtal som täcker dem och ha rätt nivå av skydd.

– Min fråga till alla som ska leverera något ombord är ”finns det något i detta som kan påverka navigation, manöverförmåga eller leda till att fartyget behöver gå i hamn?”. Det kan handla om uppenbara saker som drivlina, men också annat som gör att ett fartyg kan bli liggande i en vecka, säger hon.

AI eller inte?

Huruvida AI ska användas för automatiskt beslutsfattande tål att funderas på. Emily Svedberg-Possfelt ger ett fiktivt exempel där ett rederi ska installera ett nytt navigationssystem ombord. Systemet man har tänkt köpa erbjuder även en AI-funktion för att via automatiskt beslutsfattande förbruka så lite energi som möjligt. 

– Det låter ju superbra. Problemet är om det inte riktigt funkar som det ska. Om AI:n felaktigt får för sig att justera navigationen på visst sätt är det lätt att föreställa sig vilka konsekvenser detta kan få. Detsamma gäller system som inte är direkt kopplade till driften. För fartyg i passagerartrafik kan problem med avlopp eller värmesystem snabbt bli lika kritiska. Här blir det viktigt vad som reglerats i avtalet: vems ansvar är det, vårt eller leverantörens? Sådant måste man ha tänkt på innan man köper in systemet, säger hon.