دخل قانون تطبيق NIS2 الألماني حيز التنفيذ في ٥ديسمبر ٢٠٢٥. تحل مواعيد التسجيل في BSI في مارس ٢٠٢٦. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تقنية المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، وما هي الالتزامات، وكيف تبدو العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.
توجيه NIS2 (التوجيه (EU) 2022/2555) يحل محل توجيه NIS الأصلي لعام ٢٠١٦، الذي كان يُعتبر على نطاق واسع غير كافٍ في النطاق والتنفيذ. يوسع النطاق بشكل كبير من حوالي ١٠٬٠٠٠ كيان بموجب NIS1 إلى ما يُقدر بـ أكثر من ١٦٠٬٠٠٠ كيان في جميع أنحاء الاتحاد الأوروبي.
صُمم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التطبيق غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.
في ألمانيا، دخل NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في ٥ ديسمبر ٢٠٢٥. BSI هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل في ٦ مارس ٢٠٢٦.
انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تكون المؤسسات تلقائياً ضمن النطاق إذا استوفت معايير القطاع والحجم.
| القطاع | أمثلة |
|---|---|
| الطاقة | الكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية |
| النقل | النقل الجوي، السكك الحديدية، المائي، البري |
| الخدمات المصرفية | مؤسسات الائتمان |
| البنية التحتية للسوق المالية | أماكن التداول، الأطراف المقابلة المركزية |
| الصحة | المستشفيات، المختبرات، الأدوية، الأجهزة الطبية |
| مياه الشرب | التوريد والتوزيع |
| مياه الصرف الصحي | الجمع، التخلص، المعالجة |
| البنية التحتية الرقمية | IXPs، DNS، سجلات TLD، السحابة، مراكز البيانات، CDNs |
| إدارة خدمات تقنية المعلومات (B2B) | MSPs، MSSPs |
| الإدارة العامة | كيانات الحكومة المركزية |
| الفضاء | مشغلو البنية التحتية الأرضية |
| القطاع | أمثلة |
|---|---|
| خدمات البريد والبريد السريع | مزودو الخدمات البريدية |
| إدارة النفايات | الجمع، النقل، المعالجة |
| التصنيع الكيميائي | الإنتاج، التوزيع |
| إنتاج الغذاء | المعالجة، التوزيع (على نطاق واسع) |
| التصنيع | الأجهزة الطبية، الإلكترونيات، الآلات، المركبات |
| مقدمو الخدمات الرقمية | الأسواق، محركات البحث، الشبكات الاجتماعية |
| البحث | منظمات البحث ذات التأثير الكبير |
بعض الكيانات ضمن النطاق بغض النظر عن الحجم: مزودو خدمات الثقة المؤهلين، سجلات TLD، مزودو DNS، مزودو الاتصالات، الإدارة العامة، والمزودون الوحيدون للخدمات الأساسية.
| الجانب | الكيانات الأساسية | الكيانات المهمة |
|---|---|---|
| الإشراف | استباقي (مسبق) | تفاعلي (لاحق) |
| الغرامة القصوى | ١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية | ٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية |
| التدقيقات | منتظمة، إلزامية | عند وجود دليل على عدم الامتثال |
| متطلبات الأمان | متطابقة | متطابقة |
التزامات الأمان هي نفسها لكلا المستويين. الفرق يكمن فقط في كثافة الإشراف وسقوف العقوبات.
| الموعد النهائي | المتطلب | الغرض |
|---|---|---|
| ٢٤ ساعة | إنذار مبكر لـ CSIRT | الإشارة إلى حدوث حادثة كبيرة |
| ٧٢ ساعة | إخطار الحادثة مع التقييم | الخطورة، التأثير، مؤشرات الاختراق |
| شهر واحد | التقرير النهائي | تحليل السبب الجذري، التأثير، تدابير التخفيف |
تتطلب المادة ٢٠ من هيئات الإدارة الموافقة على التدابير الأمنية السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت من الأدوار الإدارية. هذه المسؤولية لا يمكن تفويضها بالكامل.
بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، والأمر بوقف الأنشطة، وطلب الإفصاح العام عن عدم الامتثال، وتعليق الشهادات، و— للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.
بالنسبة لشركة بإيرادات مليار يورو، تبلغ الغرامة القصوى للكيان الأساسي ٢٠ مليون يورو. يجب مراجعة بوالص تأمين D&O لفجوات التغطية — لا يمكن التأمين بالكامل ضد المسؤولية الشخصية.
| التاريخ | المعلم |
|---|---|
| ٢٧ ديسمبر ٢٠٢٢ | نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي |
| ١٦ يناير ٢٠٢٣ | دخول NIS2 حيز التنفيذ |
| ١٧ أكتوبر ٢٠٢٤ | الموعد النهائي للتطبيق لجميع الدول الأعضاء |
| ٥ ديسمبر ٢٠٢٥ | ألمانيا: دخول NIS2UmsuCG حيز التنفيذ |
| ٦ مارس ٢٠٢٦ | ألمانيا: الموعد النهائي للتسجيل في BSI |
| ١٧ أكتوبر ٢٠٢٧ | المفوضية الأوروبية تراجع عمل NIS2 |
التسجيل في مارس ٢٠٢٦ على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.
ابدأ فحص NIS2 المجاني ←يوفر ISO 27001 أساساً قوياً لكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (٢٤ساعة/٧٢ساعة/شهر)، والمسؤولية الشخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.
يفحص KENSAI باستمرار سطح الهجوم الخارجي الخاص بك — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويرسم الأصول مقابل نطاق NIS2 الخاص بك. جرد فوري لما تحتاج لحمايته.
مع أكثر من ٣٣٢٬٠٠٠ CVE، يحدد KENSAI الثغرات المعروفة ويربطها بمتطلبات NIS2. يتم تحديد أولوية كل نتيجة حسب درجة CVSS، وملاءمة NIS2، وإلحاح المعالجة بناءً على استخبارات التهديدات.
يرسم الذكاء الاصطناعي وضعك الأمني مقابل جميع متطلبات المادة ٢١: درجة الامتثال، وتقرير الفجوات، والمعالجة المرتبة حسب الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.
افحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، والثغرات، ومشاكل الشهادات، والتكوينات الخاطئة لـ DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يطلبها NIS2.
البداية: €٩٩٠/شهر — المؤسسات المتوسطة الداخلة في نطاق NIS2. احترافي: €١٬٤٩٠/شهر — البنية التحتية وسلاسل التوريد المعقدة. مؤسسي: €٢٬٤٩٠/شهر — أتمتة الامتثال الكاملة مع دعم مخصص.
تنظيم الأمن السيبراني المُحدّث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) لاستبدال توجيه NIS الأصلي. يضع تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر ١٨ قطاعاً حرجاً.
المؤسسات في ١٨ قطاعاً محدداً تستوفي عتبات المؤسسة المتوسطة (٥٠+ موظفاً أو €١٠M+ إيرادات) أو المؤسسة الكبيرة (٢٥٠+ موظفاً أو €٥٠M+ إيرادات). بعض الكيانات مثل مزودي DNS والاتصالات مشمولة بغض النظر عن الحجم.
الكيانات الأساسية: حتى €١٠M أو ٢٪ من الإيرادات العالمية. الكيانات المهمة: حتى €٧M أو ١.٤٪ من الإيرادات العالمية. بالإضافة إلى التعليمات الملزمة، والإفصاح العام، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.
ثلاث مراحل: إنذار مبكر خلال ٢٤ ساعة، إخطار الحادثة خلال ٧٢ ساعة، التقرير النهائي خلال شهر واحد.
تتطلب المادة ٢٠ من مجالس الإدارة الموافقة على التدابير الأمنية السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت.
بشكل عام لا (أقل من ٥٠ موظفاً / €١٠M إيرادات مستبعدون). توجد استثناءات لمزودي خدمات الثقة، وسجلات TLD، ومزودي DNS، والاتصالات.
تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن الامتثال لـ NIS2.
يركز NIS2 على أمن الشبكة/النظام؛ GDPR على حماية البيانات الشخصية — قد ينطبق كلاهما على حادثة سيبرانية. يأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.
هذا الدليل لأغراض إعلامية ولا يشكل استشارة قانونية. استشر محترفين قانونيين وأمنيين مؤهلين لالتزامات NIS2 الخاصة بك.
شاهد فجوات الامتثال الخاصة بك في دقائق. فحص يعمل بالذكاء الاصطناعي مع رسم خرائط NIS2 وDSGVO وDORA المدمج.
ابدأ الفحص المجاني ←الأمن ليس اختيارياً.
🗡️ فريق KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →