U.S. Coast Guard Final Rule on Cybersecurity in the Marine Transportation System (2025)

The U.S. Coast Guard (USCG) released its long-awaited Final Rule on Cybersecurity in the Marine Transportation System (MTS), which officially went into effect on July 16, 2025. This regulatory milestone addresses the growing cybersecurity risks faced by the maritime sector, including hacking, ransomware, GPS spoofing, and potential cyber-piracy incidents. With this rule, the USCG aims to align the United States with international maritime security standards, such as SOLAS and the ISPS Code, while also strengthening domestic resilience under the Maritime Transportation Security Act (MTSA).

📌 Key Deadlines and Requirements

The final rule outlines a phased approach with three critical compliance dates:

1. July 16, 2025 – Immediate Incident Reporting
   • All reportable cyber incidents must be immediately submitted to the National Response Center (NRC).
   • This ensures timely situational awareness and coordinated responses across government agencies and private operators.
2. January 12, 2026 – Mandatory Cybersecurity Training
   • All personnel working in the Marine Transportation System must complete cybersecurity awareness and response training under 33 CFR 101.650.
   • Training programs are designed to standardize cyber risk understanding among seafarers, port workers, and facility staff.
3. July 16, 2027 – Cybersecurity Officer, Assessment, and Plan
   • Each operator must designate a Cybersecurity Officer (CySO) responsible for compliance.
   • Operators must conduct a Cybersecurity Assessment of their systems, identifying vulnerabilities and resilience gaps.
   • A comprehensive Cybersecurity Plan must be submitted to the USCG for review and approval.

⚠️ Enforcement and Consequences

The Coast Guard has made it clear that non-compliance will carry serious penalties. Facilities and vessels that fail to comply may face:

• Deficiency notices
• Detention of vessels
• Denial of port entry
• Captain of the Port (COTP) enforcement actions

These measures underscore the seriousness with which the USCG treats maritime cyber threats. In the post-NotPetya era, where ransomware crippled global shipping operations, regulators now demand proactive defenses to safeguard critical infrastructure.

🌍 Global Alignment and Strategic Value

This final rule does more than just tighten U.S. domestic security. It harmonizes cybersecurity governance with international frameworks, building trust with global partners and ensuring consistency across supply chains. For international operators, compliance with the U.S. standard will also mean readiness for future global regulations under IMO’s Maritime Autonomous Surface Ships (MASS) and cyber risk management guidelines.

미국 해안경비대의 해양운송시스템 사이버보안 최종 규정 (2025)

미국 해안경비대(USCG)는 해양운송시스템(MTS) 내 사이버보안 최종 규정을 2025년 7월 16일부로 시행했습니다. 이번 조치는 해상 운송 분야의 해킹, 랜섬웨어, GPS 스푸핑, 사이버 해적 행위 등 새로운 위협을 체계적으로 관리하기 위한 법적 장치입니다. 또한 국내 해양운송보안법(MTSA) 기반을 강화하면서 국제적으로는 SOLAS 협약 및 ISPS 코드와의 정합성을 확보해 글로벌 기준에 발맞추는 의미를 갖습니다.

📌 주요 이행 일정

최종 규정은 3단계 일정에 따라 적용됩니다.

1. 2025년 7월 16일 – 사이버 사고 즉시 보고
   • 모든 보고 대상 사이버 사건은 **국가대응센터(NRC)**에 즉시 보고해야 합니다.
   • 이를 통해 정부와 민간 부문이 신속히 상황을 공유하고 대응할 수 있습니다.
2. 2026년 1월 12일 – 사이버보안 의무 교육
   • 모든 관련 인력이 33 CFR 101.650에 따라 사이버보안 교육을 필수적으로 이수해야 합니다.
   • 해양 종사자, 항만 근로자, 시설 인력의 보안 인식 수준을 표준화하는 목적입니다.
3. 2027년 7월 16일 – 보안 책임자, 평가 및 계획 수립
   • 각 운영자는 **사이버보안 책임자(CySO)**를 지정해야 합니다.
   • 시설 및 선박 시스템의 사이버보안 평가를 실시해 취약점을 분석해야 합니다.
   • 사이버보안 계획을 작성하여 해안경비대 승인을 받아야 합니다.

⚠️ 미준수 시 제재 조치

규정 불이행 시에는 심각한 제재가 따릅니다.

• 결함 통보
• 선박 억류
• 입항 거부
• 항만장(COTP)의 집행 조치

이는 과거 글로벌 해운사들이 NotPetya 랜섬웨어 공격으로 수억 달러 피해를 입었던 사례를 교훈 삼아, 사전적 대비를 제도화한 조치입니다.

🌍 국제적 함의

이번 규정은 단순히 미국 내 보안 강화에 그치지 않고, 국제적 표준과 조화를 이루는 전략적 가치를 가집니다. 앞으로 IMO 차원의 자율운항선박(MASS) 및 사이버 리스크 관리 지침과 연계될 것이며, 이를 통해 미국과 협력하는 글로벌 해운사 및 항만 운영자들도 대비할 수 있습니다.