← العودة إلى المدونة
بحث ٢٤ فبراير ٢٠٢٦ ١٨ دقيقة قراءة

الامتثال لـ NIS2: الدليل الكامل للشركات الأوروبية

دخل قانون تحويل NIS2 الألماني حيز التنفيذ في ٥ ديسمبر ٢٠٢٥. تصل مواعيد التسجيل في BSI في مارس ٢٠٢٦. يغطي هذا الدليل كل ما يحتاج مديرو أمن المعلومات ومديرو تقنية المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، كيف تبدو العقوبات، وكيفية بناء خارطة طريق امتثال عملية.

+١٦٠ ألف
كيان في الاتحاد الأوروبي مشمول
١٠ مليون يورو
الغرامة القصوى
١٨
قطاعًا مغطى
٢٤ ساعة
للإبلاغ عن الحوادث

ما هو توجيه NIS2؟

ℹ️ السياق

يستبدل توجيه NIS2 (التوجيه (EU) 2022/2555) توجيه NIS الأصلي لعام ٢٠١٦، والذي كان يُعتبر على نطاق واسع غير كافٍ من حيث النطاق والإنفاذ. يوسع النطاق بشكل كبير من حوالي ١٠٬٠٠٠ كيان بموجب NIS1 إلى ما يُقدر بـ أكثر من ١٦٠٬٠٠٠ كيان عبر الاتحاد الأوروبي.

تم تصميم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التحويل غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جدًا لدفع التغيير.

في ألمانيا، دخل NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في ٥ ديسمبر ٢٠٢٥. BSI هي السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل ٦ مارس ٢٠٢٦.


من يجب أن يمتثل لـ NIS2؟

انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. المؤسسات مشمولة تلقائيًا إذا استوفت معايير القطاع والحجم.

الملحق الأول — قطاعات ذات أهمية عالية (١١ قطاعًا)

القطاعأمثلة
الطاقةالكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية
النقلالنقل الجوي والسكك الحديدية والمائي والبري
الخدمات المصرفيةمؤسسات الائتمان
البنية التحتية للسوق الماليةأماكن التداول، الأطراف المقابلة المركزية
الصحةالمستشفيات، المختبرات، الأدوية، الأجهزة الطبية
مياه الشربالإمداد والتوزيع
مياه الصرف الصحيالجمع، التخلص، المعالجة
البنية التحتية الرقميةنقاط تبادل الإنترنت، DNS، سجلات TLD، السحابة، مراكز البيانات، CDN
إدارة خدمات تكنولوجيا المعلومات (B2B)مزودو الخدمات المُدارة، مزودو خدمات الأمن المُدارة
الإدارة العامةكيانات الحكومة المركزية
الفضاءمشغلو البنية التحتية الأرضية

الملحق الثاني — قطاعات حرجة أخرى (٧ قطاعات)

القطاعأمثلة
خدمات البريد والبريد السريعمزودو الخدمات البريدية
إدارة النفاياتالجمع، النقل، المعالجة
التصنيع الكيميائيالإنتاج، التوزيع
إنتاج الغذاءالمعالجة، التوزيع (واسع النطاق)
التصنيعالأجهزة الطبية، الإلكترونيات، الآلات، المركبات
المزودون الرقميونالأسواق، محركات البحث، الشبكات الاجتماعية
البحثمنظمات البحث ذات تأثير كبير

عتبات الحجم

⚠️ التغطية المستقلة عن الحجم

كيانات معينة مشمولة بغض النظر عن الحجم: مقدمو خدمات الثقة المؤهلون، سجلات TLD، مزودو DNS، مقدمو خدمات الاتصالات، الإدارة العامة، والمزودون الوحيدون للخدمات الأساسية.


الكيانات الأساسية مقابل الكيانات المهمة

الجانبالكيانات الأساسيةالكيانات المهمة
الإشرافاستباقي (ex-ante)تفاعلي (ex-post)
الغرامة القصوى١٠ مليون يورو أو ٢٪ من الإيرادات العالمية٧ مليون يورو أو ١٫٤٪ من الإيرادات العالمية
عمليات التدقيقمنتظمة، إلزاميةعند وجود دليل على عدم الامتثال
متطلبات الأمانمتطابقةمتطابقة

رؤية رئيسية

التزامات الأمان هي نفسها لكلا المستويين. الفرق يكمن فقط في كثافة الإشراف وحدود العقوبة.


المتطلبات الرئيسية لـ NIS2 (المادة ٢١)

١٠ التزامات إلزامية

الجدول الزمني للإبلاغ عن الحوادث

الموعد النهائيالمتطلبالغرض
٢٤ ساعةإنذار مبكر لـ CSIRTإشارة إلى وقوع حادث كبير
٧٢ ساعةإخطار الحادث مع التقييمالخطورة، التأثير، مؤشرات الاختراق
شهر واحدتقرير نهائيتحليل السبب الجذري، التأثير، تدابير التخفيف

⚠️ المسؤولية الشخصية على مستوى مجلس الإدارة

تتطلب المادة ٢٠ من هيئات الإدارة الموافقة على تدابير الأمن السيبراني، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب NIS2UmsuCG الألماني، يواجه المديرون التنفيذيون غرامات شخصية ووقفًا محتملاً مؤقتًا من أدوار الإدارة. هذه المسؤولية لا يمكن تفويضها بالكامل.


عقوبات وإنفاذ NIS2

١٠ مليون يورو
غرامة الكيان الأساسي
٢٪
من الإيرادات العالمية
٧ مليون يورو
غرامة الكيان المهم
١٫٤٪
من الإيرادات العالمية

بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، والأمر بوقف الأنشطة، وطلب الإفصاح العلني عن عدم الامتثال، وتعليق الشهادات، و— للكيانات الأساسية — حظر وظائف الإدارة مؤقتًا للأفراد المسؤولين.

⚠️ عقوبات بحجم GDPR للأمن السيبراني

لشركة بإيرادات مليار يورو، الغرامة القصوى للكيان الأساسي هي ٢٠ مليون يورو. يجب مراجعة وثائق تأمين المديرين والمسؤولين للكشف عن فجوات التغطية — لا يمكن التأمين ضد المسؤولية الشخصية بالكامل.


الجدول الزمني لـ NIS2: التواريخ الحرجة

التاريخالمعلم
٢٧ ديسمبر ٢٠٢٢نُشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي
١٦ يناير ٢٠٢٣دخول NIS2 حيز التنفيذ
١٧ أكتوبر ٢٠٢٤الموعد النهائي للتحويل لجميع الدول الأعضاء
٥ ديسمبر ٢٠٢٥ألمانيا: دخول NIS2UmsuCG حيز التنفيذ
٦ مارس ٢٠٢٦ألمانيا: الموعد النهائي للتسجيل في BSI
١٧ أكتوبر ٢٠٢٧مراجعة المفوضية الأوروبية لعمل NIS2

موعد BSI النهائي يقترب

التسجيل في مارس ٢٠٢٦ على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.

ابدأ فحص NIS2 المجاني ←

الامتثال لـ NIS2 خطوة بخطوة

خارطة طريق الامتثال المكونة من ١٠ خطوات

ℹ️ ISO 27001 ≠ امتثال NIS2

يوفر ISO 27001 أساسًا قويًا لكن NIS2 يضيف متطلبات محددة: مواعيد نهائية إلزامية للإبلاغ عن الحوادث (٢٤ ساعة/٧٢ ساعة/شهر)، ومسؤولية شخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.


كيف يؤتمت KENSAI الامتثال لـ NIS2

اكتشاف آلي لسطح الهجوم

يفحص KENSAI بشكل مستمر سطح الهجوم الخارجي الخاص بك — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويرسم الأصول مقابل نطاق NIS2 الخاص بك. جرد في الوقت الفعلي لما تحتاج إلى حمايته.

تخطيط الثغرات بناءً على CVE

مع أكثر من ٣٣٢٬٠٠٠ CVE، يحدد KENSAI الثغرات المعروفة ويربطها بمتطلبات NIS2. يتم ترتيب كل نتيجة حسب الأولوية بناءً على درجة CVSS وملاءمة NIS2 وإلحاح المعالجة استنادًا إلى معلومات التهديدات.

تحليل فجوات امتثال NIS2

يقوم الذكاء الاصطناعي برسم وضعك الأمني مقابل جميع متطلبات المادة ٢١: درجة الامتثال، وتقرير الفجوات، والمعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.

رؤية مخاطر سلسلة التوريد

فحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة والثغرات ومشاكل الشهادات وأخطاء تكوين DNS وتاريخ خرق البيانات — رؤية سلسلة التوريد التي يطلبها NIS2.

التسعير للامتثال لـ NIS2

المبتدئ: €٩٩٠/شهر — المؤسسات المتوسطة الداخلة في نطاق NIS2. احترافي: €١٬٤٩٠/شهر — البنية التحتية المعقدة وسلاسل التوريد. المؤسسة: €٢٬٤٩٠/شهر — أتمتة امتثال كاملة النطاق مع دعم مخصص.


الأسئلة المتكررة: الامتثال لـ NIS2

ما هو توجيه NIS2؟

لائحة الأمن السيبراني المحدثة للاتحاد الأوروبي (التوجيه (EU) 2022/2555) تستبدل توجيه NIS الأصلي. ينشئ تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر ١٨ قطاعًا حيويًا.

من يجب أن يمتثل؟

المؤسسات في ١٨ قطاعًا محددًا تستوفي عتبات المؤسسات المتوسطة (٥٠+ موظف أو إيرادات ١٠+ مليون يورو) أو المؤسسات الكبيرة (٢٥٠+ موظف أو إيرادات ٥٠+ مليون يورو). كيانات معينة مثل مزودي DNS والاتصالات مشمولة بغض النظر عن الحجم.

ما هي العقوبات؟

الكيانات الأساسية: حتى ١٠ مليون يورو أو ٢٪ من الإيرادات العالمية. الكيانات المهمة: حتى ٧ مليون يورو أو ١٫٤٪ من الإيرادات العالمية. بالإضافة إلى تعليمات ملزمة، والإفصاح العلني، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.

ما هي متطلبات الإبلاغ عن الحوادث؟

ثلاث مراحل: إنذار مبكر خلال ٢٤ ساعة، إخطار الحادث خلال ٧٢ ساعة، تقرير نهائي خلال شهر واحد.

كيف يؤثر NIS2 على أعضاء مجلس الإدارة؟

تتطلب المادة ٢٠ من مجالس الإدارة الموافقة على تدابير الأمن السيبراني، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المديرون التنفيذيون غرامات شخصية ووقفًا محتملاً مؤقتًا.

هل ينطبق NIS2 على الشركات الصغيرة؟

بشكل عام لا (أقل من ٥٠ موظفًا / ١٠ مليون يورو إيرادات مستثناة). توجد استثناءات لمقدمي خدمات الثقة وسجلات TLD ومزودي DNS والاتصالات.

كيف يرتبط NIS2 بـ ISO 27001؟

تداخل كبير، لكن NIS2 يضيف مواعيد نهائية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.

كيف يتفاعل NIS2 مع GDPR وDORA؟

يركز NIS2 على أمن الشبكة/النظام؛ GDPR على حماية البيانات الشخصية — قد ينطبق كلاهما على حادث سيبراني. يأخذ DORA الأولوية للكيانات المالية بموجب مبدأ lex specialis.


هذا الدليل لأغراض إعلامية ولا يشكل استشارة قانونية. استشر محترفين قانونيين ومحترفي الأمن السيبراني المؤهلين لالتزامات NIS2 الخاصة بك.

ابدأ رحلة الامتثال لـ NIS2

شاهد فجوات الامتثال الخاصة بك في دقائق. المسح المدعوم بالذكاء الاصطناعي مع تخطيط NIS2 وDSGVO وDORA المدمج.

ابدأ الفحص المجاني ←

الأمن ليس اختياريًا.

🗡️ فريق KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home