← العودة إلى المدونة
بحث 24 فبراير 2026 18 دقيقة قراءة

الامتثال لتوجيه NIS2: الدليل الكامل للشركات الأوروبية

دخل قانون تحويل NIS2 الألماني حيز التنفيذ في 5 ديسمبر 2025. تصل مواعيد التسجيل النهائية في BSI في مارس 2026. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تكنولوجيا المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، كيف تبدو العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.

160K+
كيانات الاتحاد الأوروبي المشمولة
€10M
الغرامة القصوى
18
قطاعات مغطاة
24 ساعة
الإبلاغ عن الحوادث

ما هو توجيه NIS2؟

ℹ️ السياق

يحل توجيه NIS2 (التوجيه (EU) 2022/2555) محل توجيه NIS الأصلي لعام 2016، والذي كان يُعتبر على نطاق واسع غير كافٍ من حيث النطاق والتنفيذ. فهو يوسع التغطية بشكل كبير من ~10,000 كيان تحت NIS1 إلى ما يقدر بـ أكثر من 160,000 كيان في جميع أنحاء الاتحاد الأوروبي.

صُمم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التحويل غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والتنفيذ الضعيف مع عقوبات منخفضة للغاية لدفع التغيير.

في ألمانيا، دخل قانون NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في 5 ديسمبر 2025. معهد BSI هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل النهائية في 6 مارس 2026.


من يجب أن يمتثل لـ NIS2؟

تحول NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تكون المؤسسات ضمن النطاق تلقائياً إذا استوفت معايير القطاع والحجم.

الملحق الأول — قطاعات ذات أهمية حرجة عالية (11 قطاعاً)

القطاعأمثلة
الطاقةالكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية
النقلالنقل الجوي والسكك الحديدية والمائي والبري
الخدمات المصرفيةمؤسسات الائتمان
البنية التحتية للسوق الماليةأماكن التداول، الأطراف المقابلة المركزية
الصحةالمستشفيات، المختبرات، الأدوية، الأجهزة الطبية
مياه الشربالتوريد والتوزيع
مياه الصرف الصحيالجمع والتخلص والمعالجة
البنية التحتية الرقميةIXPs، DNS، سجلات TLD، السحابة، مراكز البيانات، CDNs
إدارة خدمات تكنولوجيا المعلومات والاتصالات (B2B)MSPs، MSSPs
الإدارة العامةكيانات الحكومة المركزية
الفضاءمشغلو البنية التحتية الأرضية

الملحق الثاني — قطاعات حرجة أخرى (7 قطاعات)

القطاعأمثلة
خدمات البريد والبريد السريعمزودو الخدمات البريدية
إدارة النفاياتالجمع والنقل والمعالجة
التصنيع الكيميائيالإنتاج والتوزيع
إنتاج الأغذيةالمعالجة والتوزيع (واسع النطاق)
التصنيعالأجهزة الطبية، الإلكترونيات، الآلات، المركبات
مزودو الخدمات الرقميةالأسواق، محركات البحث، الشبكات الاجتماعية
البحثمنظمات البحث ذات التأثير الكبير

عتبات الحجم

⚠️ تغطية مستقلة عن الحجم

بعض الكيانات ضمن النطاق بغض النظر عن الحجم: مزودو خدمات الثقة المؤهلون، سجلات TLD، مزودو DNS، مزودو الاتصالات، الإدارة العامة، ومزودو الخدمات الأساسية الوحيدون.


الكيانات الأساسية مقابل الكيانات المهمة

الجانبالكيانات الأساسيةالكيانات المهمة
الإشرافاستباقي (قبلي)تفاعلي (بعدي)
الغرامة القصوى€10M أو 2% من حجم الأعمال العالمي€7M أو 1.4% من حجم الأعمال العالمي
التدقيقاتمنتظمة، إلزاميةعند وجود دليل على عدم الامتثال
متطلبات الأمانمتطابقةمتطابقة

رؤية رئيسية

التزامات الأمان هي نفسها لكلا المستويين. الفرق يكمن فقط في شدة الإشراف وحدود العقوبات.


متطلبات NIS2 الرئيسية (المادة 21)

10 التزامات إلزامية

الجدول الزمني للإبلاغ عن الحوادث

الموعد النهائيالمتطلبالغرض
24 ساعةإنذار مبكر إلى CSIRTإشارة إلى وقوع حادث كبير
72 ساعةإخطار الحادث مع التقييمالخطورة، التأثير، مؤشرات الاختراق
شهر واحدالتقرير النهائيتحليل السبب الجذري، التأثير، تدابير التخفيف

⚠️ المسؤولية الشخصية على مستوى مجلس الإدارة

تتطلب المادة 20 من الهيئات الإدارية الموافقة على التدابير السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت من الأدوار الإدارية. هذه المسؤولية لا يمكن تفويضها بالكامل.


عقوبات NIS2 والتنفيذ

€10M
غرامة الكيان الأساسي
2%
من حجم الأعمال العالمي
€7M
غرامة الكيان المهم
1.4%
من حجم الأعمال العالمي

بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، وأمر بوقف الأنشطة، وطلب الإفصاح العام عن عدم الامتثال، وتعليق الشهادات، و— للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.

⚠️ عقوبات بحجم اللائحة العامة لحماية البيانات للأمن السيبراني

بالنسبة لشركة بإيرادات مليار يورو، الغرامة القصوى للكيان الأساسي هي 20 مليون يورو. يجب مراجعة وثائق تأمين المديرين والمسؤولين لمعرفة الفجوات في التغطية — لا يمكن التأمين على المسؤولية الشخصية بالكامل.


الجدول الزمني لـ NIS2: التواريخ الحرجة

التاريخالحدث الرئيسي
27 ديسمبر 2022نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي
16 يناير 2023دخول NIS2 حيز التنفيذ
17 أكتوبر 2024الموعد النهائي للتحويل لجميع الدول الأعضاء
5 ديسمبر 2025ألمانيا: دخول NIS2UmsuCG حيز التنفيذ
6 مارس 2026ألمانيا: الموعد النهائي للتسجيل في BSI
17 أكتوبر 2027مراجعة المفوضية الأوروبية لعمل NIS2

الموعد النهائي لـ BSI يقترب

التسجيل في مارس 2026 على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.

ابدأ فحص NIS2 المجاني ←

الامتثال لـ NIS2 خطوة بخطوة

خارطة طريق الامتثال من 10 خطوات

ℹ️ ISO 27001 ≠ امتثال NIS2

توفر ISO 27001 أساساً قوياً لكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (24 ساعة/72 ساعة/شهر واحد)، والمسؤولية الشخصية للإدارة، والتزامات أمن سلسلة التوريد التفصيلية. الشهادة وحدها لا تضمن الامتثال.


كيف تؤتمت KENSAI امتثال NIS2

اكتشاف سطح الهجوم التلقائي

تفحص KENSAI سطح الهجوم الخارجي الخاص بك باستمرار — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — وتخطط الأصول مقابل نطاق NIS2 الخاص بك. جرد في الوقت الفعلي لما تحتاج إلى حمايته.

تخطيط الثغرات الأمنية القائم على CVE

مع أكثر من 332,000 CVE، تحدد KENSAI الثغرات المعروفة وتربطها بمتطلبات NIS2. يتم ترتيب كل نتيجة حسب درجة CVSS، وأهمية NIS2، وإلحاح المعالجة بناءً على معلومات التهديدات.

تحليل فجوات امتثال NIS2

يخطط الذكاء الاصطناعي وضعك الأمني مقابل جميع متطلبات المادة 21: درجة الامتثال، وتقرير الفجوات، والمعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.

رؤية مخاطر سلسلة التوريد

افحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، والثغرات الأمنية، ومشاكل الشهادات، والتكوينات الخاطئة لـ DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يتطلبها NIS2.

التسعير للامتثال لـ NIS2

Starter: €990/شهر — المؤسسات المتوسطة الداخلة في نطاق NIS2. Professional: €1,490/شهر — البنية التحتية المعقدة وسلاسل التوريد. Enterprise: €2,490/شهر — أتمتة الامتثال الكاملة مع دعم مخصص.


الأسئلة الشائعة: امتثال NIS2

ما هو توجيه NIS2؟

لائحة الأمن السيبراني المحدثة للاتحاد الأوروبي (التوجيه (EU) 2022/2555) التي تحل محل توجيه NIS الأصلي. ينشئ تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر 18 قطاعاً حرجاً.

من يجب أن يمتثل؟

المؤسسات في 18 قطاعاً محدداً تستوفي عتبات المؤسسات المتوسطة (50+ موظفاً أو €10M+ حجم أعمال) أو المؤسسات الكبيرة (250+ موظفاً أو €50M+ حجم أعمال). كيانات معينة مثل مزودي DNS والاتصالات مغطاة بغض النظر عن الحجم.

ما هي العقوبات؟

الكيانات الأساسية: حتى €10M أو 2% من حجم الأعمال العالمي. الكيانات المهمة: حتى €7M أو 1.4% من حجم الأعمال العالمي. بالإضافة إلى تعليمات ملزمة، والإفصاح العام، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.

ما هي متطلبات الإبلاغ عن الحوادث؟

ثلاث مراحل: إنذار مبكر خلال 24 ساعة، إخطار الحادث خلال 72 ساعة، التقرير النهائي خلال شهر واحد.

كيف يؤثر NIS2 على أعضاء مجلس الإدارة؟

تتطلب المادة 20 من مجالس الإدارة الموافقة على تدابير الأمن السيبراني، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت.

هل ينطبق NIS2 على الشركات الصغيرة؟

عموماً لا (أقل من 50 موظفاً / €10M حجم أعمال مستبعدون). توجد استثناءات لمزودي خدمات الثقة، وسجلات TLD، ومزودي DNS، والاتصالات.

كيف يرتبط NIS2 بـ ISO 27001؟

تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات سلسلة توريد تفصيلية. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.

كيف يتفاعل NIS2 مع اللائحة العامة لحماية البيانات وDORA؟

يركز NIS2 على أمن الشبكة/النظام؛ اللائحة العامة لحماية البيانات على حماية البيانات الشخصية — قد ينطبق كلاهما على حادث سيبراني. تأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.


هذا الدليل لأغراض إعلامية ولا يشكل مشورة قانونية. استشر محترفين قانونيين مؤهلين ومتخصصين في الأمن السيبراني لالتزاماتك المحددة بموجب NIS2.

ابدأ رحلة امتثال NIS2 الخاصة بك

شاهد فجوات الامتثال الخاصة بك في دقائق. فحص مدعوم بالذكاء الاصطناعي مع تخطيط NIS2 و DSGVO و DORA مدمج.

ابدأ الفحص المجاني ←

الأمن ليس اختيارياً.

🗡️ فريق KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home