دخل قانون تنفيذ NIS2 الألماني حيز التنفيذ في 5 ديسمبر 2025. تبدأ مواعيد التسجيل النهائية لدى BSI في مارس 2026. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تقنية المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، كيف تبدو العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.
توجيه NIS2 (التوجيه (EU) 2022/2555) يحل محل توجيه NIS الأصلي لعام 2016، والذي كان يُعتبر على نطاق واسع غير كافٍ من حيث النطاق والتنفيذ. فهو يوسع التغطية بشكل كبير من حوالي 10,000 كيان في إطار NIS1 إلى ما يُقدر بـ أكثر من 160,000 كيان في جميع أنحاء الاتحاد الأوروبي.
صُمم NIS2 لمعالجة ثلاث نقاط ضعف أساسية: التنفيذ غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والتنفيذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.
في ألمانيا، دخل قانون NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في 5 ديسمبر 2025. المكتب الاتحادي لأمن المعلومات (BSI) هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل النهائية في 6 مارس 2026.
انتقل NIS2 من نهج قائم على التعيين إلى آلية قائمة على حد الحجم. تندرج المؤسسات تلقائياً ضمن النطاق إذا استوفت معايير القطاع والحجم.
| القطاع | أمثلة |
|---|---|
| الطاقة | الكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية |
| النقل | النقل الجوي والسكك الحديدية والمائي والبري |
| الخدمات المصرفية | مؤسسات الائتمان |
| البنية التحتية للأسواق المالية | أماكن التداول، الأطراف المقابلة المركزية |
| الصحة | المستشفيات، المختبرات، الأدوية، الأجهزة الطبية |
| مياه الشرب | الإمداد والتوزيع |
| مياه الصرف الصحي | الجمع والتخلص والمعالجة |
| البنية التحتية الرقمية | نقاط تبادل الإنترنت، DNS، سجلات TLD، السحابة، مراكز البيانات، CDNs |
| إدارة خدمات تقنية المعلومات والاتصالات (B2B) | مقدمو الخدمات المُدارة، مقدمو خدمات الأمن المُدارة |
| الإدارة العامة | كيانات الحكومة المركزية |
| الفضاء | مشغلو البنية التحتية الأرضية |
| القطاع | أمثلة |
|---|---|
| خدمات البريد والبريد السريع | مقدمو خدمات البريد |
| إدارة النفايات | الجمع والنقل والمعالجة |
| التصنيع الكيميائي | الإنتاج والتوزيع |
| إنتاج الغذاء | المعالجة والتوزيع (واسع النطاق) |
| التصنيع | الأجهزة الطبية، الإلكترونيات، الآلات، المركبات |
| مقدمو الخدمات الرقمية | الأسواق الإلكترونية، محركات البحث، الشبكات الاجتماعية |
| البحث | منظمات البحث ذات التأثير الكبير |
بعض الكيانات مشمولة بغض النظر عن الحجم: مقدمو خدمات الثقة المؤهلون، سجلات TLD، مقدمو DNS، مقدمو الاتصالات، الإدارة العامة، والمقدمون الوحيدون للخدمات الأساسية.
| الجانب | الكيانات الأساسية | الكيانات المهمة |
|---|---|---|
| الإشراف | استباقي (قبلي) | تفاعلي (بعدي) |
| الحد الأقصى للغرامة | 10 ملايين يورو أو 2٪ من حجم الأعمال العالمي | 7 ملايين يورو أو 1.4٪ من حجم الأعمال العالمي |
| عمليات التدقيق | منتظمة وإلزامية | عند وجود دليل على عدم الامتثال |
| متطلبات الأمان | متطابقة | متطابقة |
التزامات الأمان نفسها لكلا المستويين. يكمن الفرق فقط في كثافة الإشراف وحدود العقوبات.
| الموعد النهائي | المتطلب | الغرض |
|---|---|---|
| 24 ساعة | إنذار مبكر لفريق CSIRT | إشارة إلى وقوع حادث كبير |
| 72 ساعة | إخطار بالحادث مع التقييم | الخطورة، التأثير، مؤشرات الاختراق |
| شهر واحد | التقرير النهائي | تحليل السبب الجذري، التأثير، تدابير التخفيف |
تتطلب المادة 20 من الهيئات الإدارية الموافقة على تدابير الأمن السيبراني، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المديرون التنفيذيون غرامات شخصية ومنع مؤقت محتمل من ممارسة أدوار إدارية. لا يمكن تفويض هذه المسؤولية بالكامل.
بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، وأمر بوقف الأنشطة، والمطالبة بالإفصاح العام عن عدم الامتثال، وتعليق الشهادات، و — للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.
بالنسبة لشركة بإيرادات مليار يورو، تبلغ الغرامة القصوى للكيان الأساسي 20 مليون يورو. يجب مراجعة وثائق التأمين على المديرين والمسؤولين لمعرفة فجوات التغطية — لا يمكن التأمين بالكامل على المسؤولية الشخصية.
| التاريخ | المعلم |
|---|---|
| 27 ديسمبر 2022 | نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي |
| 16 يناير 2023 | دخول NIS2 حيز التنفيذ |
| 17 أكتوبر 2024 | الموعد النهائي للتنفيذ لجميع الدول الأعضاء |
| 5 ديسمبر 2025 | ألمانيا: دخول NIS2UmsuCG حيز التنفيذ |
| 6 مارس 2026 | ألمانيا: الموعد النهائي للتسجيل لدى BSI |
| 17 أكتوبر 2027 | مراجعة المفوضية الأوروبية لأداء NIS2 |
التسجيل في مارس 2026 على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.
ابدأ الفحص المجاني لـ NIS2 ←توفر ISO 27001 أساساً قوياً ولكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (24 ساعة / 72 ساعة / شهر واحد)، المسؤولية الشخصية للإدارة، والتزامات تفصيلية لأمن سلسلة التوريد. الحصول على الشهادة وحده لا يضمن الامتثال.
تقوم KENSAI بمسح سطح الهجوم الخارجي الخاص بك بشكل مستمر — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — وتربط الأصول بنطاق NIS2 الخاص بك. جرد في الوقت الفعلي لما تحتاج إلى حمايته.
مع أكثر من 332,000 CVE، تحدد KENSAI الثغرات المعروفة وتربطها بمتطلبات NIS2. يتم تحديد أولوية كل نتيجة حسب درجة CVSS، وصلتها بـ NIS2، وإلحاح المعالجة بناءً على معلومات التهديدات.
يقوم الذكاء الاصطناعي بتعيين وضع الأمان الخاص بك مقابل جميع متطلبات المادة 21: درجة الامتثال، تقرير الفجوات، المعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.
افحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، الثغرات، مشكلات الشهادات، تكوينات DNS الخاطئة، وتاريخ خرق البيانات — رؤية سلسلة التوريد التي يطالب بها NIS2.
المبتدئ: 990 يورو/شهر — المؤسسات المتوسطة الداخلة ضمن نطاق NIS2. الاحترافي: 1,490 يورو/شهر — البنية التحتية المعقدة وسلاسل التوريد. المؤسسات: 2,490 يورو/شهر — أتمتة امتثال كاملة النطاق مع دعم مخصص.
تنظيم الأمن السيبراني المحدث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) الذي يحل محل توجيه NIS الأصلي. يحدد تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر 18 قطاعاً حرجاً.
المؤسسات في 18 قطاعاً محدداً التي تستوفي عتبات المؤسسة المتوسطة (50+ موظفاً أو إيرادات 10+ ملايين يورو) أو المؤسسة الكبيرة (250+ موظفاً أو إيرادات 50+ مليون يورو). بعض الكيانات مثل مقدمي DNS والاتصالات مشمولة بغض النظر عن الحجم.
الكيانات الأساسية: تصل إلى 10 ملايين يورو أو 2٪ من حجم الأعمال العالمي. الكيانات المهمة: تصل إلى 7 ملايين يورو أو 1.4٪ من حجم الأعمال العالمي. بالإضافة إلى التعليمات الملزمة، والإفصاح العام، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.
ثلاث مراحل: إنذار مبكر خلال 24 ساعة، إخطار بالحادث خلال 72 ساعة، تقرير نهائي خلال شهر واحد.
تتطلب المادة 20 من مجالس الإدارة الموافقة على تدابير الأمن السيبراني، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المديرون التنفيذيون غرامات شخصية ومنع مؤقت محتمل.
عموماً لا (أقل من 50 موظفاً / 10 ملايين يورو إيرادات مستبعدة). توجد استثناءات لمقدمي خدمات الثقة، وسجلات TLD، ومقدمي DNS، والاتصالات.
تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات تفصيلية لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.
يركز NIS2 على أمن الشبكة/النظام؛ تركز اللائحة العامة لحماية البيانات على حماية البيانات الشخصية — قد ينطبق كلاهما على حادث سيبراني. تأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ القانون الخاص.
هذا الدليل لأغراض إعلامية ولا يشكل مشورة قانونية. استشر محترفين قانونيين وأمن سيبراني مؤهلين لالتزامات NIS2 المحددة الخاصة بك.
اكتشف فجوات الامتثال الخاصة بك في دقائق. مسح يعمل بالذكاء الاصطناعي مع تعيين NIS2 وDSGVO وDORA مدمج.
ابدأ الفحص المجاني ←الأمن ليس اختيارياً.
🗡️ فريق KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →